サイバー攻撃警告システム「ダイダロス」の利用が拡大へ

　情報通信研究機構（NICT）は6月6日、組織内ネットワークでのマルウェア感染などを迅速に検知し、警告を発信する対サイバー攻撃アラートシステム「DAEDALUS（ダイダロス）」の外部展開を開始した。

　DAEDALUSは、NICTが研究開発を進めているインシデント分析システム「nicter（ニクター）」の大規模“ダークネット”観測網を活用した対サイバー攻撃アラートシステム。ダークネットは、ネット上で到達可能かつ未使用のIPアドレス空間を指す。

　通常のネット利用の範囲では、ダークネットにパケットが到達することは稀だが、実際にはマルウェアの感染活動など、ネットで発生している何らかの不正な活動に起因する相当数のパケットが観測されるという。これらを観測することで、ネット上の不正な活動の傾向把握が可能になるとしている。

　DAEDALUSは、日本各地に分散配置されたnicterのダークネット観測網により、観測対象とする組織内のマルウェアによる感染活動や、組織内から組織外への感染活動、組織外から受けているサービス妨害（DoS）攻撃の跳ね返り（バックスキャッタ）などを観測すると、あらかじめ設定された当該組織のメールアドレスへ迅速にアラートを送信する。

　侵入検知システムや侵入防止システムなど、既存の境界防御技術と併用することで、組織内ネットワークの情報セキュリティの一層の向上が期待できるという。

　NICTは今回の取り組みで、nicterのセンサを設置可能な大学などの教育機関にDAEDALUSアラートを無償で提供するほか、クルウィットとディアイティにDAEDALUSの仕組みを技術移転し、商用アラートサービス「SiteVisor」を開始するとしている。

画面1：DAEDALUSの可視化エンジン（上部からの視点）
中央の球状で表現されたネットから、その周囲を周回するリング状の観測対象組織（nicter）のダークネットに向かって、パケットが飛来している様子

画面2：DAEDALUSの可視化エンジン（観測対象組織）
リング状にマッピングされた観測対象組織のIPアドレスブロック。水色部分がライブネット（使用中IPアドレス）、紺色部分がダークネット（未使用IPアドレス）。異常検知されたライブネットのIPアドレスに「警」のアイコンでアラートが表示される

画面3：DAEDALUSの可視化エンジン（新規アラート発生時）
新規の異常が検知された場合には、画面全体にアラートアイコンを強調表示する

画面4：DAEDALUSのウェブインターフェース
送信されたDAEDALUSアラートは、各組織ごとにアクセス制御されたウェブインターフェースで閲覧、検索できる