サイバー攻撃を偽のネットワークに誘いこむ「STARDUST」 NICTが開発

NICT サイバーセキュリティ研究室は、サイバー攻撃誘引基盤「STARDUST」を開発した。政府や企業のシステムネットワークを模した環境に誘い込み、長期に渡って挙動分析を行う。

» 2017年05月31日 21時10分 公開
[ITmedia]

 情報通信研究機構(以下、NICT)は5月31日、サイバー攻撃誘引基盤「STARDUST」を開発したと発表した。

 同基盤は、NICT サイバーセキュリティ研究室が開発したもので、政府や企業などのシステムネットワークを精巧に模した環境に、標的型攻撃の攻撃者を誘い込み、その活動を攻撃者には察知できないよう長期間観測する。これにより、従来では収集が困難であった攻撃者の組織侵入後の詳細な挙動をリアルタイムに把握することを目指す。

 NICTでは、STARDUSTを活用することで、これまでマルウェアを解析するだけでは難しかった、初期侵入段階以降の攻撃活動の情報や、攻撃関連の実データセットなどの入手を目指す。

「STARDUST」の概念図 「STARDUST」の概念図

 STARDUSTは、政府や企業などのネットワークを模した「並行ネットワーク」を数時間程度で柔軟に構築することが可能。並行ネットワーク上では、各種サーバや数十台〜数百台のPCが実稼働し、さらに、サーバやPCには組織の情報資産を模した模擬情報が配置される。

並行ネットワーク 並行ネットワーク

 並行ネットワーク上のPC「模擬ノード」で、標的型攻撃に用いられるマルウェア検体を実行すると、マルウェアが設けたバックドアを経由して、攻撃者が外部から接続を試みる。侵入した攻撃者が、調査行為や感染拡大行為、情報窃取などを開始すると、STARDUSTは、ステルス性の高い手法で観測し、リアルタイムの挙動観測・分析を行う。

 STARDUST上の並行ネットワークは、複数同時並行で稼働させられるため、さまざまなセキュリティ関連組織の分析活動に同基板の活用を進めていく。今後は、STARDUSTによる攻撃誘引の結果を標的型攻撃対策技術の研究開発に活用し、セキュリティ関連組織など情報共有していく考えだ。なお、6月7日〜9日に幕張メッセで開催される「Interop Tokyo 2017」では、このSTARDUSTの動態展示を行う。

 STARDUSTの研究開発は、NICTに加え、富士通研究所、サイバーディフェンス研究所、セキュアブレイン、ニッシン、日立製作所、日立システムズ、NTTセキュアプラットフォーム研究所、エヌ・ティ・ティ・アドバンステクノロジなどが参加している。

※初出時にNTTとNTTセキュアプラットフォーム研究所を重複して記載していました。おわびして訂正します(6月1日11時00分訂正)

 海外などでは、過去に攻撃者だった人物に協力させ、詳細な攻撃手法を把握するといった取り組みが行われているが、STARDUSTのような基盤を使えば、最新の攻撃手法の詳細なサンプルを多数取得できる可能性がある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ