有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は12月10日から,セキュリティ侵害の予防に役立てる「インターネット定点観測システム」を稼働させる予定だ。不審と思われるアクセスを観測し,企業の管理者などに統計情報を提供する。

図1●インターネット定点観測システムの概要
インターネット上に設置したセンサーが,不審と思われるアクセスの情報(時刻,送信元IPアドレス,送信元ポート番号,受信先ポート番号)を収集する。JPCERT/CCは一定間隔でアクセス情報の統計を取り,その結果をネットワーク管理者などへ通知する。当面の間,週に一度,メールやWebサイトで情報提供する。なお,収集した情報に分析は加えない
 インターネット定点観測システムの仕組みを図1[拡大表示]に示す。まず,(1)JPCERT/CCはインターネット上の「CIDRサイダーブロック」(一連のIPアドレスを持つネットワーク)に“センサー”と呼ぶ情報収集機器を偏りなく設置する。(2)センサーは,外部からのアクセスのうち,不審なアクセスが到着した時刻,その送信元IPアドレス,送信元ポート番号,受信先のポート番号の情報を収集する。(3)JPCERT/CCは,一定間隔でセンサーからログを収集し,統計を取る(統計処理後,ログは破棄)。(4)統計情報は,無料で企業のシステム管理者などに提供する。提供形態は,当面,毎週第3営業日に発行するメーリング・リストでのメールと,Webサイト(http://www.jpcert.or.jp/)への掲載になる。センサーの設置場所や数などは非公開としている。

 JPCERT/CCは,今までも「注意喚起」と呼ぶセキュリティ情報を発信している。例えば,今年11月12日に新たにWindowsのぜい弱性がマイクロソフトから発表されたが,JPCERT/CCは11月14日に「この発表に反応してTCPポート139番への不審なスキャンが高まっている」との注意喚起を発信している。

 この注意喚起と定点観測システムの提供情報との違いは「分析の有無」だ。JPCERT/CCによればインシデント(インターネット上のセキュリティを妨害する要因)の発生には一連の相関関係があるという。まず「ぜい弱性の公開などの原因」があり,続いて「既知の攻撃手法を基にした,実害はないが不審なアクセス(=試行錯誤)」がある。その結果,「試行錯誤の中から新たなワームやウイルスが発生する」。

 JPCERT/CCは注意喚起の際にはこの相関関係を踏まえ,ネットワーク上の不審な動向を分析/判断している。一方,今回の定点観測システムでは「先週の不審なアクセス上位10」など,「未遂のインシデント」と思われる“生データ”を提供するだけにとどまる。

 これは,情報を受け取る側で生データの解析が必要になることを意味する。「例えば自社のトラフィック状況と定点観測システムの情報とを照らし合わせて,『いま自社で何が起こっているのか』を分析できる能力が必要だ」(JPCERT/CC)。

 なお,定点観測は既に警察庁が「@police(http://www.cyberpolice.go.jp/)」で実施している。JPCERT/CCは,「センサーの設置場所により,収集できる情報は大きく異なってくる。情報源が増えることは良いこと」とみる。さらにJPCERT/CCは近く,米CERT/CCやアジア大平洋地域の複数のセキュリティ組織とインシデント情報のやり取りを開始する予定だ。

(井上 英明=h-inoue@nikkeibp.co.jp)