攻撃トラフィックの測定方法にダークネットのトラフィック観測がある。国内では NICTER という観測システムがとても有名だ。Interop Tokyo やセキュリティ系カンファレンスなどで国立研究開発法人情報通信研究機構( NICT:エヌアイシーティー)がそのデモをしているのを見たことがある人は多いはずだ。
本稿は、昨年末に開催された Internet Week 2021 のセッション「 NICTER 観測で捉えた、日本国内の脅威 2021 」の取材メモをもとに、講演の要旨をレポートする。なお、本年の Internet Week 2022 は、11月21日(月)から11月30日(水)までオンラインと現地会場(東京大学)のハイブリッド開催される。
●ダークネットで攻撃トラフィックを観測するという手法
2003 年に猛威を振るった MSBlaster(ワームの一種)の流行は、世界にトラフィック観測の必要性を再認識させた。NICTER は当時の状況を受け、NICT(エヌアイシーティー)が構築した観測システムだ。2005 年からダークネットの観測を続け、現在に至っている。
ダークネットとは、実際には使われていない IPv4 アドレスのことである。世界に約 30 万ほど存在している。実際のホストとして割り当てられていないため、本来であればそのアドレスへのトラフィックは発生しない・・・はずなのだが、実際にはアクセスが発生している。
その理由は、クローラーやボットがアドレス空間をスキャンすることがあるからだ。インターネットのクローリングやスキャンは合法的なものだが、中には無差別攻撃のトラフィック、標的が発する攻撃トラフィックへの応答なども含まれる場合がある。
NICTER の観測によって、無差別型攻撃の傾向を俯瞰的に把握することができる。
