対サイバー攻撃アラートシステム “DAEDALUS”(ダイダロス)の紹介
?
2 likes?1,403 views
動画はこちら( https://vimeo.com/56357060 ) 武蔵ビジネスクラブ 2012年12月セミナーのプレゼン資料。 NICT(独立行政法人 情報通信研究機構)が 2012年6月 に発表した、対サイバー攻撃アラートシステム “daedalus”(ダイダロス)の紹介。
対サイバー攻撃アラートシステム “DAEDALUS”(ダイダロス)の紹介
- 1. ネットワークセキュリティの 最先端技術 株式会社クルウィット 「安心?安全?安定?信頼」できるインターネットサービスを
- 2. ネットワークセキュリティ ? インターネットに存在する脅威 ? ウイルス感染 ? スパムメール ? フィッシング詐欺 ? DoS攻撃 ? なりすまし攻撃 ? Etc... 2
- 3. ネットワークセキュリティ ? インターネットに存在する脅威 ? ウイルス感染 ? スパムメール ? フィッシング詐欺 ? DoS攻撃 ? なりすまし攻撃 ? Etc... これら無数の脅威から?身を守る術のこと 2
- 4. 重要な事実 インターネットに接続 || 脅威にさらされる 3
- 5. DEMO
- 6. 脅威の種類 ? 単独犯型 ? スピア型 ? 拡散ボット型 5
- 7. 単独犯型 ? 個?人(あるいはごく少数)がもっぱら技術的な 興味や社会騒動などの個?人的な欲求を満たす ために実?行行 ? 使?用するツールや端末なども?自ら 作成?頒布?制御 ? 低コストで実?行行可能 ? 散発的に発?生 6
- 8. 単独犯型 ? 個?人(あるいはごく少数)がもっぱら技術的な 興味や社会騒動などの個?人的な欲求を満たす ために実?行行 ? 使?用するツールや端末なども?自ら 作成?頒布?制御 ? 低コストで実?行行可能 ? 散発的に発?生 PCのっとり?なりすまし殺害予告事件 (2012/10) 6
- 9. スピア型 ? 特定の?人?組織を狙い撃ちする攻撃 ? 産業機密や個?人情報などの奪取を?目的とする ? 事前に攻撃対象について周到に情報収集を ?行行う ? 攻撃対象だけに有効な?手法を?用いる 7
- 10. スピア型 ? 特定の?人?組織を狙い撃ちする攻撃 ? 産業機密や個?人情報などの奪取を?目的とする ? 事前に攻撃対象について周到に情報収集を ?行行う ? 攻撃対象だけに有効な?手法を?用いる Stuxnetによるイラン核施設の遠心分離機破壊工作(2010/06) 7
- 11. 拡散ボット型 ? ?大量量の「感染したPC ?(ボット)」を?用いた攻撃 ? 特定の組織がボットを束ねている ? 営利利活動が主?目的 ? 脅迫、迷惑メール送信など ? 質よりも数(数が多いことが価値を?生む) ? 2005/10 ?オランダで検挙された業者 → ?150万台 ? 2010/2 ?スペインで検挙された業者 → ?1200万台 8
- 12. 拡散ボット型 ? ?大量量の「感染したPC ?(ボット)」を?用いた攻撃 ? 特定の組織がボットを束ねている ? 営利利活動が主?目的 ? 脅迫、迷惑メール送信など ? 質よりも数(数が多いことが価値を?生む) ? 2005/10 ?オランダで検挙された業者 → ?150万台 ? 2010/2 ?スペインで検挙された業者 → ?1200万台 9
- 13. 拡散ボット型 ? ?大量量の「感染したPC ?(ボット)」を?用いた攻撃 ? 特定の組織がボットを束ねている ? 営利利活動が主?目的 ? もっとも身近な 脅迫、迷惑メール送信など ? 脅威 質よりも数(数が多いことが価値を?生む) ? 2005/10 ?オランダで検挙された業者 → ?150万台 ? 2010/2 ?スペインで検挙された業者 → ?1200万台 9
- 14. 加害者というリスク ? ?大きな事業をしていなくても「狙われる」 ? 数が欲しい ? 問題が検知しにくい ? 感染しても気がつかない(何も起きない) ? 「他?人を」攻撃していても気がつかない ? 突然の損害賠償請求 10
- 15. 感染経路 ? ネットワーク経由で脆弱性を利利?用 ? Web経由でブラウザの脆弱性を利利?用 ? メールでマルウェアを送信 ? ソーシャル?エンジニアリング 11
- 16. 対策コストの増大 ? 「すべての」PCで ? OSのアップデートは即?日対応 ? ウイルス対策ソフトをインストール ? ウイルス対策ソフトを毎?日最新に 12
- 17. ボットのネットワーク ? ボット(感染したPC) ? 感染したPC ? 司令令を受けて実際に実?行行する ? ハーダ(司令令塔) ? ボットに動作指令令 ? ボットをアップデート&メンテナンス 13
- 18. ボットはゾンビ ? ボットはボットを?生む ? ボットはさらに別のPCを感染させる ? ボットは変異異する ? 感染時に?自分を少しだけ書き換えてコピー 14
- 19. ボットはゾンビ ? ボットはボットを?生む ? ボットはさらに別のPCを感染させる ? ボットは変異異する ? 感染時に?自分を少しだけ書き換えてコピー ウィルス対策ソフトの更更新が間に合わない 14
- 20. 15
- 21. 外部観測網という方法 ? ボットはインターネットにアクセスする ? 感染?行行動 ? 攻撃 ? 不不審なアクセスを外部から観測 ? 外部観測網(ダークネット)を利利?用 ? 感染している事実を把握 16
- 22. ダークネット 組織A インターネット 17
- 23. ダークネット 組織A インターネット 18
- 24. ダークネット 組織A ダークネット インターネット 18
- 25. ダークネットの利用 組織A インターネット 19
- 26. ダークネットの利用 組織A センサー インターネット 19
- 27. ダークネットの利用 組織A インターネット 組織B 20
- 28. ダークネットの利用 組織A インターネット 組織B 20
- 29. ダークネットの利用 組織A インターネット 組織B 20
- 30. ダークネットの利用 組織A ! ! インターネット 組織B 20
- 31. ダークネットの利用 組織A 組織BのPCが 感染している ! ! インターネット 組織B 20
- 32. DAEDALUS ? NICT ?(独?立立?行行政法?人 ?情報通信研究機構) ? 対サイバー攻撃アラートシステム http://www.nict.go.jp/press/2012/06/06-1.html 21
- 33. 顿础贰顿础尝鲍厂の动き 自組織 F 協 織 ダークネット 力 組 組 力 織 協 センサー A ライブネット (使用中のIPアドレス) 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 22
- 34. 顿础贰顿础尝鲍厂の动き 自組織 F 協 織 力 組 組 力 織 協 A 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 23
- 35. 顿础贰顿础尝鲍厂の动き 自組織 F 協 織 力 組 組 力 織 協 A 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 24
- 36. 顿础贰顿础尝鲍厂の动き 自組織 不正ホスト F 協 織 力 組 組 力 織 協 A 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 24
- 37. 顿础贰顿础尝鲍厂の动き 自組織 不正ホスト 1. 不正通信 F 協 織 力 組 組 力 織 協 A 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 24
- 38. 顿础贰顿础尝鲍厂の动き 自組織 不正ホスト 1. 不正通信 F 協 織 力 組 組 力 織 協 A 知 検 2. 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 24
- 39. 顿础贰顿础尝鲍厂の动き 自組織 不正ホスト 1. 不正通信 F 協 織 3. アラート 力 組 組 力 織 協 A 知 検 2. 協力組 織E 織 組 B 協力 協力 D 組織 織 組 協力 C 24
- 40. DEMO
- 41. まとめ ? ボットの脅威が増?大 ? 攻撃者になってしまうリスク ? 検知の難しさ ? ダークネットセンサーを?用いた検知技術 26
- 42. SiteVisor ? DAEDALUS ?の仕組みを?民間に技術移転 ? 商?用アラートサービス ? 加害者にならないための防衛策 ? ? 膨?大なダークネットセンサー ? およそ19万個 ? 世界各地に分散 http://sitevisor.jp/ 27