2021年5月29日土曜日

インターネットノイズ

 私たちがふだん利用しているインターネットには、ノイズのような信号が含まれている
大量に集めて分析してみると、ノイズの中に人間の悪意が潜んでいる

研究者(以下、仮名・木寺さん)によると
インターネットノイズとは意図が不明で無害な信号
こうしたノイズがインターネットの中に存在していることは2000年に入ってからわかってきた
例えば私たちがWEBサイトにアクセスする場合
サーバー(ホームページを表示するために必要となる情報を格納しておくコンピューター)にページを見せて欲しいという内容の信号を送り
それをサーバーが返してくれることでページが表示
これは明確な意図がある通信
ノイズ”は通信装置の不具合などでも発生
・・・あるのがアタリマエ
クリーンな信号なんてない

通信量を示すパケット数も小さいため私たちが普段パソコンを使用する時にも現れていますが無視できる信号として扱われ
多くの人は気にせずにインターネットを使う

木寺さんは、ひとつひとつを見ても何も分からないこのノイズを大量に集めて解析すると
「その“意図”を垣間見ることができる」
木寺さんがノイズに注目したきっかけは2014/7
WEBのサーバーを置いたところWEBサイトを作っていないのに何者かからサイトを開くように要求する信号が届いた
その信号は正確に24時間間隔であり毎回違うIPアドレスからだった
IPアドレスが違うということは、異なるパソコンやスマートフォンといった端末から送られてきている
この通信の内容を解析するとどういう訳か海外のあるホテルの予約サイトにアクセスしようとする信号が含まれてた
その信号が求めていた情報は国名、都市名のリストだけで、予約をとろうとするようなものではなかった
サイバー攻撃のような不審なサインはみられず、最初はあまり気にとめなんだ
ただ一応、興味本位でインターネットで調べてみたら
同様の予約サイトの信号が世界各地で複数観測されていた
謎のアクセスは世界中をターゲットにしている?

木寺さんは謎の通信の正体を調べてみようと
通信に対してそのまま送り返してみた
ノイズに反応した
するとそれまで24時間間隔だった信号が1時間おきに来るように
人の意図の存在を初めて感じた
観測を続けると、信号は同じIPアドレスから複数回送られてきているものもあったが
やはりほとんどが別のIPアドレスから
そしてIPアドレスの数を調べると1万ほどに
そして多くは企業が使うような登録されているIPアドレスではなく、個人が使うプロバイダーのIPアドレス

調査を始めてから2か月後
どのようなデータを集めようとしているのか、木寺さんがさらに追跡しようと偽装した応答を返した直後
謎の通信がピタっと途絶えた

木寺さん
「世界中のWEBの状況を確認するシステムの技術開発の過程で実施していた実験」?
木寺さんは、この実験のプロジェクトで使われたとみられるソースコード(プログラムの文字列)をネット上で発見
そのプログラム名はtotoro(トトロ)
詳細は不明ですが信号を送ってそれに対する反応を確かめることで、サーバーの動作をチェックするためのツールだと判断

世界中に37億以上あるグローバルIPアドレスが振られたWEBサーバーを
1万台もの端末を操って調査しようとしているのは何者なのか?
木寺さんは、ビジネスにならないことにお金を投じてでも運用を続ける組織?
その目的や規模、所属などは一切?
ただ、何者かが行っているこうした通信には
サイバー攻撃を行う前の偵察行動が含まれていると見られる
信号をまず送り、そこで得られた情報からセキュリティーの“穴”(ぜい弱性)を見つけ出そうと、日々網羅的なミッションが行われている?

木寺さん
「ノイズそのものに攻撃の意図はない。送信者が誰でどんな目的かがわからないが、ノイズの受け手によって次の行動に移っているので、受け手の応答内容が次の行動を決定する条件になっていると考えられる」

防衛大学校の中村康弘教授
おとり捜査の手法を使ってその正体に迫ろうと・・・
使用したのは防衛大学校が持つおよそ1500のIPアドレス
偵察を入れてきた通信のデータをすべて集め、そこから目的を推察
まず、1日に蓄えたデータを縦軸をIPアドレス、横軸を時間にして表に
すると、ひとつのアドレスだけではノイズと思われていた信号も
表にすると階段状になっているなどパターンが見える
ほかにも、すべてのアドレスを時間をかけてみていく全数低速型のほか
雪崩が起きたようになる雪崩型など、さまざまなパターンが見えてきた
いずれも単なるノイズではなく
あきらかに何かしら意図を持って行われている通信だと見ることが出来ると・・・
また、同じ情報を送ってきている通信ごとに分類すると
いくつかのグループに分かれる
ひとつのIPアドレスから多くの防衛大のIPアドレスに向けて送信するグループ
ひとつのIPアドレスからひとつのIPアドレスだけに送信するグループなどがあった
「例えばひとつの送信元アドレスからひとつのアドレスを偵察するというのは、偵察を悟られないようにしているとみられます。グループによって偵察の手法を変えていると思われます」
さらに、発信元のIPアドレスが登録されている国や地域で分けると極めて興味深い結果に
例えば、2014/6/15のノイズのデータを、アメリカ、中国、日本、オランダ、ロシア、韓国、イギリス、ドイツ、イタリア、インドネシア、香港と発信元別にわけて表示してみると
アメリカからのアクセスでは、さまざまなアドレスを一定時間でスキャンするような斜めの線が現れた
また中国からのアクセスでは、一定時間に一定量のアドレスをスキャンする四角いキューブ型のグラフが
日本からのアクセスはほぼなし
オランダからはあらゆるアドレスをランダムにまんべんなく調べていて
ロシアからは一定期間ずっと同じアドレスにアクセスし続けている
各国からのアクセスでなぜ手法に違いがあるのか?
その背景や目的は?
「国ごとに特徴がある。すべてを一気に調べないで時間をかけていく方法など各国でやりかたが異なりますが、いずれにしてもサイバー攻撃の前段階である偵察のようにみることができます」
ノイズをたどって見えてきたのは、日夜行われている偵察行動の痕跡
最新の研究で、その裏に暗躍する悪玉ハッカーの姿が・・・

一般的に、ソフトウエアはリリースされた時点で万全というわけではありません
さまざまなセキュリティーの“穴”が見つかる
・・・バグはあってアタリマエ

ソフトウエアの開発者やそのソフトウエアを使ったサービスの運営元は、その穴を見つけて修正するプログラムを速やかに配布することで対処
そして、このセキュリティーの穴は世界中にいるホワイトハッカーと呼ばれる善玉ハッカーによっても発見・報告され、穴をふさぐ活動が続けられてる

この穴を開発者やホワイトハッカーよりも先に悪玉ハッカーが見つければ、安易に攻撃が可能
サイバーセキュリティーの世界はこの激しい攻防の連続

映画スター・ウォーズに例えるなら、サイバー空間で行われている悪玉ハッカーとホワイトハッカーの戦いは
強大な能力(フォース)があるがゆえに暗黒面に落ちたシスと、すぐれた能力を正義のためにつかうジェダイの宇宙戦争のよう


防衛大学校 辻本真喜子2等陸尉
この悪玉ハッカーの動きを探ろうと、防衛大学校の中村教授の研究室に所属する辻本真喜子2等陸尉が調べたのはポート
メールなどのソフトウエアが、インターネット通信を始めるための扉
1500のIPアドレスのポートに、2018/12/31までの5年あまりの間に送られてきた通信の情報をすべて記録
およそ15TBテラ、DVDで3140枚あまり
膨大な情報の中からホワイトハッカーが見つけて報告している10件の穴(セキュリティーホール)について詳しく解析
解析の結果、10件中6件でホワイトハッカーによる発見・報告よりも前に
この穴だけにアクセスする通信があったことがわかった
被害自体は明らかになっていませんが(おそらく被害をうけたことすら気づいていない可能性が高い)中にはパッチが公開されるよりも1年以上前に不審なアクセスを受けていたところも
防衛大学校 辻本真喜子2等陸尉
が守ることができていたのは10件中4件
残りの6件は悪玉ハッカーによってすでに攻撃を受けていた可能性が高いことがわかった
また、いくつかの穴は、修正されたプログラムが公開される日の数日前から、アクセスが少し増えていた
これは、穴を発見した悪玉ハッカーが、別の攻撃者に情報を売ったことに起因するのではないかと・・・
攻撃されていること、被害を受けていることさえ気付いていない可能性があり
暗黒面のシスのフォース(能力)の強大さが、浮き彫りに

防衛大学校 辻本真喜子2等陸尉
「ホワイトハッカーの報告の1年以上も前からアクセスがあったことは驚きです
この解析手法を活用すれば、これまで対策が打てなかった“ゼロデイ攻撃”(セキュリティーのぜい弱性への対処が確立する以前に行われるサイバー攻撃)の検知に使えるのではないかと考えています」

2020/1ころから1万番以降のボートへのノイズが増加している
そして、こうしたインターネットノイズは、新型コロナウイルスの感染拡大に合わせるかのように、増加していることもわかってきました
インターネットにつながるためのドアであるポートの番号は、0番から6万5535番まで用意されていますが通常使用されるのは1000番台ほどまでで、1万番以降はあまり使われていません

木寺さんの解析では
去年1月以降、この1万番以降のポート番号へのアクセスが目立って増えていました
1万番以降のポート番号は、リモートワークでシステムを構築する場合に企業が独自で使うことがあるほか、医療・研究機関でも独自に使用する場合があります
新型コロナウイルスのワクチンの製薬会社に対するサイバー攻撃の情報が伝えられています
医療・研究情報を盗み取ることを目的とした通信とも考えられると・・・

ネットの膨大な情報の中に紛れた、わずかな信号から浮かび上がってきた大規模な偵察行動
セキュリティーのぜい弱性を探る、そうした偵察行動は、やがて悪質なサイバー攻撃につながっていきます
サイバー攻撃による企業への不正アクセスや情報流出などのニュースを耳にしない日はありません

IDやパスワードが初期設定のままのWEBカメラなどのIoT機器がリモートコントロールされ、10万台以上が一度のサイバー攻撃に使われたこともあります
インターネットというサイバー空間にひとたびつながれば、すぐに偵察され、そこに“穴”があればすぐさま犯罪に利用される世界・・・

今日は~
スズラン/Convallaria majalis var keiskei

5月初め
控え目なコ

0 件のコメント:

コメントを投稿