はじめに
「標的型攻撃」による情報窃取事例は国内外で後を絶たない。しかしその研究対策はあまり進んでいない。
理由としては、攻撃者がどのようなコマンドを使ったのか、何を持ち出したのか等の具体的な情報が得られないことにある。
攻撃の起点となったマルウェアを解析するだけでは、どうやってネットワークに侵入したか、までしかわからない。また、持ち出された情報等は組織の機密事項にあたるためまず公開されない。
標的型攻撃対策の実践的な研究開発を行うため開発されたのが「STARDUST」である。今回はこれについてまとめてみる。
本題
「STARDUST」
国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究室が開発した、サイバー攻撃誘引基盤。2017年5月にその成果が公表された。
動き
標的型攻撃が始まると、政府や企業等の組織を精巧に模擬したネットワークである「並行ネットワーク」を高速(数時間程度)で構築する。そして攻撃者を模擬環境である並行ネットワークに誘引し、そこで攻撃者を自由に泳がせる。こうすることで実ネットワークに影響を与えることなく、攻撃者の挙動をリアルタイムに観測・分析することができる。
課題
・攻撃者に偽装環境と気付かれないようにする必要がある
・偽装環境構築のためのリソースとコスト
・など
参考
サイバー攻撃を偽装環境に誘引する攻撃誘引基盤「STARDUST」
http://www.keyman.or.jp/at/30009756/
サイバー攻撃誘引基盤“STARDUST”(スターダスト)を開発
https://www.nict.go.jp/press/2017/05/31-1.html