NICTとは
こんにちは。最近サイバーセキュリティに興味を持ち出したBryan(ブライアン)です。このブログではサイバーセキュリティの入門から色々と楽しく勉強していきたいと思いますので、よろしくお願いします。
さて、今回のトピックですが、NICTという組織をご存知でしょうか。
国立研究開発法人情報通信研究機構の事です。
情報通信の唯一の公的研究機関として技術の研究開発を行ったり、技術の振興に努めていらっしゃる機関です。
抜粋:
http://www.nict.go.jp/research/index.html
こちらの組織の一つのテーマとしてサイバーセキュリティが挙げられており、nicterというサイバー攻撃の観測・分析・対策を行うインシデント分析センターが観測した情報の一部をWebで逐次公開しています。
http://www.nicter.jp/nw_public/scripts/index.php#nicter
きました!なんだか男心にワクワクする感じの未来感というかスパイ映画感というか、そんな気持ちわかるでしょう。
項目は"Cube""Atlas""Stats""Top10 List"という情報が閲覧できるようになっています。
これらの項目の内容については、以下のハルパス様のブログでわかりやすく説明がありました。
日本に対するサイバー攻撃をリアルタイムで可視化「NICTERWEB」 | ハルパス
では、確認しながら見ていきましょう。
http://www.nicter.jp/nw_public/scripts/cube.php
これはCubeです。
まず、左手前のSrc IP Addressというのが送信元のIPアドレスとの事。Srcはソースっていう事なんですね。そうすると右奥はDst IP addressつまり送信先IPアドレスという事になります。Distinationですね。
そして、底についてはPort Numberの左は送信元から右の送信先へという表記なっています。
さて、ここに表示される青とか赤とかはマルウェアのネットワークトラフィックを表していて、右下の凡例のようにそれぞれ、TCP SYN, TCP SYN-ACK,TCP Other, UDP , ICMPと色分けされています。
また、カーソルを各トラフィックに合わせると上記のようにパケット情報が閲覧可能です。
さて、見た感じはどうも青いパケットが多いですね。
TCP SYNとは何でしょうか。
TCPはレイヤー4、トランスポート層のプロトコルでレイヤー3のIP情報と上位のアプリケーションとの橋渡しをします。httpなら80,pop3なら110といったように、アプリに利用されるポート番号を定義するのもこのTCPですね。
SYNというのは、TCPが宛先に接続の打診をするためのパケットの事です。SYNを受け取った宛先はACKというものを返す事で接続が合意に至ったという事になります。
そんな風に見ているうちに大量の攻撃が中国から一斉に放たれた図です。dist portはすべて1433という事でSQL関連の攻撃なんでしょう。
こちらはAtlas です。
これはわかりやすいですね。このビジュアルからわかる事といえば、"世界中から常に攻撃を受け続けている、よ⭐️"という事くらいな気がしますが。
今度はStats、これは時間軸による分析ですね。21日の19時にパケットが突き抜けているのがわかりますが、他の情報と相関で見る必要がありますね。
これはわかりやすいですね、日本にどこの国が仕掛けてきているのがわかります。
コスタリカやブラジルも多いですね。23番ポートはTelnetのようです。
以下のニュースを見ると、telnetで組み込みLinux機器を狙った攻撃が顕著に増えているようで、そうした機器が攻撃の踏み台となってしまうボット化を起こすようだ。
などなど日本ではNICTという組織がサイバーセキュリティの研究をされているという事がわかりましたし、どれだけ日本が攻撃を受けているかというのも見て取る事ができました。
こういった特殊法人さんってアルファベット3文字か4文字の略称が大体つきますけど、パッと聴きだとわからないんですよね。覚えときましょう。