１．担当ＰＭ

　竹内　郁雄 　　（東京大学大学院教授）

２．採択者氏名

３．プロジェクト管理組織

　株式会社創夢

　3,000,000円

５．テーマ名

　ABLA:エージェント・P2Pネッ トワークを利用した個人ユーザ参加型インターネット観測システムの開発

６．関連Webサイト

　http://abla.sourceforge.jp/

７．プロジェクト概要

　近年，ソフトウェア の脆弱性を利用し感染を拡大するワームやウィルスなど，マルウェアによる被害が急増している．
　被害の発生を早急に発見する有効な手段として，複数の計算機で広域的にネットワークのパケットやログを記録・収集し，より多くのデータを解析することが 有効である．このような方法はネットワーク観測と言われており，国内においては警視庁の@Police，JPCERT/CCのISDAS，IPAの TALOT/TALOT2などの固定観測点によるインターネット観測システムが運用されている．
　しかしながら既存の観測システムは運用上，公開している情報が観測結果のみであることがほとんどであり，収集したログやその解析手法等は公開されていな い．そのため利用者は，観測システムによって収集されたログデータを用いて，公開されている情報とは別の角度から解析を行なうことができないほか，観測結 果の更新を要求することが困難である．
　そこで本プロジェクトでは，個人ユーザらによる，固定観測点をもたないインターネット観測システムの構築を行なうことの可能なソフトウェアABLA (Agent Based Log Analyzing System) を提案し実装する．ABLAでは，参加者らのもつ複数の計算機をPeer-to-Peer (P2P) 型のネットワークで接続し，それらの計算機の間をモバイルエージェントが移動しながら，計算機上のログの解析を行なう．
　ABLAによって，個人や法人といった枠を越え，世界的なトラフィック情報を把握することが可能となる．またこの情報は利用者からの要求によってカスタ ム化することが可能であり，さまざまな角度から解析を行なうことが可能となる．
　また，P2Pにより多くの観測点を確保することができるため，観測精度の向上が期待されるほか，個人が任意の解析要求を自由に出せるため，必要なときに 最新の観測結果を得ることができる．

８．採択理由

　例によってP2Pにこ だわった多数の提案があったが，その中ではP2Pの有用性が納得できた提案である．基本アイデアはP2Pでつながった有志によってインターネットを観測 し，インターネット上のマルウェアの早期発見・対策に資することである．技術的な問題自体より，そのような有志が集うかどうかが実際のところ重要なのでは ないかと思ったが，なにしろそれを可能にする技術基盤がまず必要である．提案者にはそれを構築できる実力があると見た．

９．成果概要

　ABLA開発の目標は 以下の2点であり，これを達成するシステムを開発した．

・ 個人ユーザ等の一般的なインターネット利用者がインターネット上の攻撃動向を把握し，セキュリティを向上させるための，より利便性の高い観測システムを構 築すること
・ 観測点の固定的な設置から解放された，より多くの観測点をもつ，真にグローバルでかつ観測精度の高いインターネット観測システムを構築すること

　個人ユーザは，ABLAを使い，観測システムに接続することで，各観測点において公開されているtcpdumpの情報からインターネットの観測結果を得 ることができる．観測結果から，トラフィックの増減やパターンよりウィルス，ワームなどのマルウェアの活動状況や不正アクセスの最新の傾向を捉えることが 可能である (図2.7.1 ABLAの概要)．
　ABLAでは，観測結果を取得する際に，解析をする開始時刻と終了時刻，解析結果を収集する観測点数，観測結果に含める情報の細かな条件などを自由に指 定することができる (図2.7.2 ABLAの解析要求GUI)．すなわち，利用者は自身の環境にあわせ，必要とすべき情報のみを含んだ観測結果を取得することが可能である．このように，観 測要求条件を柔軟に指定できるため，既存のインターネット観測システムでは得ることが難しい特定のポート番号やIPアドレスのみを対象とした観測結果と いった詳細な観測情報を入手できる．
　ABLAは観測結果の宛先ポート番号，送信元IPアドレス毎等をグラフとして可視化することが可能であり，時系列に沿ってウィルスやワームなどのマル ウェアによる被害や不正アクセスの傾向がないかを見ることができる．さらに，観測結果に含まれるIPアドレスを世界地図，日本地図にマッピングして表示さ せることで，マルウェアの感染元，攻撃元と疑われる計算機を国単位で知ることができる (図2.7.3 IPアドレスから場所を同定して地図上に表示する)．このほかにも，可視化については多様な手法を開発して，評価した．
　ABLAによる観測システムの観測点となるために必要となるのは，ABLAの起動後，公開する観測情報としてtcpdumpで取得したネットワークパ ケットのログファイルを指定するだけである．そのため，個人ユーザが，匿名性を保証されつつ，観測システムを構成する観測点として参加し，インターネット 観測の精度向上に容易に協力できるようになった．

　　　　 図 2.7.1 ABLA の概要

　　　 2.7.2 ABLA の解析要求 GUI

　　　　 図 2.7.3 IP アドレスから場所を同定して地図上に表示する

　　主要技術の開発の詳細は以下の通りである．
(1) ABLAは多数の観測点が観測網に容易に参加・離脱可能な分散型の観測システムである．そのため，観測点により構成されるP2Pネットワークとして実用に 耐えるネットワーク構築アルゴリズムとして，多数のノードが存在する場合でもスケーラビリティの高い Chordという分散ハッシュテーブルを用いた．
(2) Chordの実装に際して，論理ネットワークの構成確認と，自動化が困難なテストを目的としたネットワーク可視化ツールChord Visualizerを作成した．ABLAの一般利用者が本ツールを使用することは想定していないが，Chord実装を進めるにあたり問題点の発見や修正 に用いた．
(3) プロトタイプにあった種々の問題を解決するために，ABLAアーキテクチャをChordに対応させるべく再構築した (図2.7.4 ABLAーキテクチャ)．ABLAアーキテクチャの中のエージェントマネージャは，ホスト間を動いてログの解析を行なうエージェントを生成したり，ほかか ら来たエージェントを動作させるものである．また，P2Pマネージャとエージェントの間でやりとりされるメッセージを仲介する．リソースマネージャは， tcpdumpによるパケットログの頻度解析 (bpf形式のフィルタリングが可能) を行ない，公開するログのパケットの各フィールドに対して公開・非公開を設定する．
(4) エージェント移動アルゴリズムを改善した．従来は，エージェントが指定された数のホストを回り，情報をすべて背負ってから戻る方式だったのを，情報が得ら れるたびに自分のコピーにその情報を背負わせて解析要求元に帰らせる方式にした．このほうが一般に負荷が軽くなる．そのほか，P2P特有のネットワークの 不確実性に対応できるような改善も行なった．

　　　 図 2.7.4 ABLA ーキテクチャ

　　ABLAを実験的に使用して得られた解析結果を図2.7.5 ポート135に対するパケット数が異常だったことがわかった例 に示す．この結果を受けて，さらに詳細な解析要求をした結果得られたグラフを図2.7.6 ポート135への集中パケットはx.156.43.39から送られていたことが判明 に示す．

　　　　　　　 図 2.7.5 ポート 135 に対するパケット数が異常だったことがわかった例

　　　　　　　 図 2.7.6 ポート 135 への集中パケットは x.156.43.39 から送られていたことが判明

１０． ＰＭ評価とコメント

　ABLAの概念はこの プロジェクトの前にすでに存在し，ある程度のプロトタイプができていた．これを未踏ユースの中で一気に完成度の高いソフトにするという計画である．それは かなり達成されたと言える．分散ハッシュテーブルによるP2Pの管理，エージェントの移動アルゴリズム，GUIなどでしっかりした進展を示してくれた．論 文の発表もできた．実際，葛野君は書き物が得意で，かなり早く文書を書ける才能があると見た．最終報告書も長いPM経験の中で最も分厚かったと思う．
　ただ，このシステムはまだ研究室内実験レベルに留まっている．というのは，この種のソフトウェアを一般ユーザが使おうとした場合，真っ先に考えるのがセ キュリティの問題である．エージェントが動き回るというだけで，それこそなにが起こるかわからない危なさがあるのに，ネットワークのログを見るというのだ から，セキュリティに関してよほどの理論武装というか，準備をしておかないと，簡単には世の中に普及していかない．ただし，これに関連するが，エージェン トが収集した観測情報を要求元に持ち帰る際，決して直接戻らず，ほかのホストを寄り道してから帰るというのはなかなかよく考えられている．
　最終結果の最後のところで示したように，通常のインターネット観測システムでは得られないような観測情報が，ある意味でインタラクティブに収集できてい る．これはなかなか見事である．シリアスなユーザは喜ぶと思う．この方向でシステムをリファインしていくのが吉であろう．その反面，IPアドレスの地理情 報は見ていて面白いが，ちょっとおまけ的かなぁと思うのはPMだけだろうか．本当に発信元を知りたければ，いろいろなパケットが分布的に表現されているだ けの地図よりは，怪しいIPアドレスに対して直接HostIPのようなサービスを使うのではなかろうか？ もっとも，インターネット監視のいろいろな視覚化が提唱されている中でこれはユニークだと思ったことは事実である (むしろ，教育効果があるかもしれない)．あと，ちょっと心配なのはエージェントが動き回って結構たくさんの情報を収集すること自体がインターネットに害 をもたらさないかという点である．心配するほどのことはないと思うが…．
　さて，P2Pということは，まずこれを使ってもらう輪を広げないといけない．その戦略をちょっと工夫したらどうだろう．セキュリティに関してまだちょっ と危ういところがあるのだから，まず宣伝だけして，本当に協力してもらえそうな人を募って，バイナリを個別に配布するといった手があるかもしれない．真っ 当に使用すれば，相当に効果のある便利なソフトウェアだと思うので，まずはスタートが肝心である．オープンソースソフトにいきなりしてしまうのが，良い戦 略なのかどうかはPMにはちょっと判断しかねる．まず，バイナリでコミュニティを形成して，信頼を勝ち取るという戦略がありそうだ．
　葛野君の目指す「多くのターゲットユーザに広く利用してもらう」，「多数の観測点を持った観測精度の高いインターネット観測システムを実際に構築する」 ところまで頑張ってほしい．

　ところで，葛野君のプロジェクトは岩手県立大学同期の4人から構成されている．葛野君だけが奈良先端大に進み，残りの3人は岩手県立大に進んだという地 理的に相当に分離したグループである．これまでもこれに似たような状況のグループによる開発があったが，ネットワークがこれほど進んだ時代ではあっても分 散開発はなかなか難しいものである．葛野君曰く「やはり時間管理が難しかった」である．