ダークネットとはインターネット上の未使用のIPアドレス空間のことを示す。ダークネットに到来するパケットを観測することで、インターネットを経由して感染を広めるマルウェア（以下、リモートエクスプロイト型マルウェア）の活動傾向などを把握することが出来る。本稿では、ダークネット観測の技術動向ならびに、2008年度下半期の観測事例について示す。

 　ダークネットとは、インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においては稀なはずであるが、実際にダークネットを観測してみると相当数のパケットが到着することが分かる。これらのパケットには

•  　リモートエクスプロイト型マルウェアが次の感染対象を探査するためのスキャン
•  　マルウェアが感染対象の脆弱性を攻撃するためのエクスプロイトコード
•  　送信元IPアドレスが詐称されたDDoS攻撃を被っているサーバからの応答であるバ
   　ックススキャッタ

 　などが含まれ、インターネット上での何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを受動的に観測することで、インターネット上で発生している不正な活動の傾向把握が可能になる。ダークネット観測の最大の利点は、パケットを正・不正で区別する処理を必要とせず、全てのパケットを不正なものと見なして分析することが出来る点にある。また、パケットの送信元に対して能動的に適切な応答をすると、さらに詳細な攻撃情報やマルウェアの検体を捕獲することも可能である。

 　ダークネット観測を行なう場合、パケット収集・応答用のセンサを設置する。センサは、パケットの送信元に対する応答の程度によって次のように分類される。

•  　ブラックホールセンサ：パケットの送信元に対し、全く応答を行なわないセンサ。メンテナンスが容易であり大規模なダークネット観測に向く。無応答であるため、外部からセンサの存在を検知することが困難であるという利点もある。ただし、マルウェアの感染活動の初期段階であるスキャンやコネクションレスのエクスプロイトコードなどは観測可能であるが、それ以降の挙動を観測することは出来ない。


•  　低インタラクションセンサ：パケットの送信元に対し、一定レベルの応答を返すセンサ。TCPのSYNパケットに対してSYN-ACKパケットを返すセンサや、OSの既知の脆弱性を模擬する低インタラクションハニーポットがここに含まれる。リッスンしているポートや応答の傾向などからセンサの存在が露呈し易く、アドレスが連続した大規模なダークネットでの運用には不向きである。


•  　高インタラクションセンサ：実マシン、もしくはそれに準じた応答を返すセンサ（いわゆる、高インタラクションハニーポット）。マルウェアの本体やその感染時の挙動、攻撃者が不正アクセスを試みた際の行動履歴など多様な情報が取得可能である。ただし、安全な運用を行うためのコストは非常に高く、大規模運用には不向きである。

 　世界各国でダークネット観測プロジェクトが進行中である。ここでは、主要なダークネット観測プロジェクトについての概要を記す。

•  　Network Telescope：
   　http://www.caida.org/research/security/telescope/
   　米国のCAIDA（Cooperative Association for Internet Data Analysis）によるダークネット観測プロジェクト。16万アドレス以上のダークネットを観測し、バックスキャッタやワームによるトラフィックのデータセットを公開している。


•  　REN-ISAC：
   　http://www.ren-isac.net/monitoring.html
   　米国の研究教育ネットワーク（REN: Research and Education Networking）におけるセキュリティ情報の共有・分析プロジェクト。Internet2で観測されたトラフィックを分析し、観測結果を公開している。


•  　Internet Motion Sensor (IMS)：
   　（現在、Webでの観測情報の公開は停止している）
   　米国のミシガン大学による/8ネットワークを含む1700万アドレス以上の大規模ダークネット観測プロジェクト。観測されたTCP SYNパケットの一部にセンサ側からSYN-ACKを返すことでTCPコネクションの確立を試み、コネクション確立後の最初のパケットのペイロードを収集・分析する機能を持つ。


•  　Leurre.com：
   　http://www.leurrecom.org/
   　フランスの研究機関Eurecomによる分散型ハニーポットを用いた情報収集・分析プロジェクト。観測対象のIPアドレス数は比較的少数であるが、観測地域は世界各国に分散している。第1世代のLeurre.com v1.0は低インタラクションセンサのHoneydを使用していたが、第2世代のLeurre.com v2.0ではSGNETを使用して情報収集能力の向上を図っている。


•  　Internet Storm Center (ISC)
   　http://isc.sans.edu/
   　米国のSANS（SysAdmin, Audit, Networking, and Security）による、セキュリティ情報の収集・分析プロジェクト。厳密にはダークネット観測ではないが、50万アドレス以上のファイアウォールログを、DShieldと呼ばれるシステムに集約し、統計情報やボランティアによる分析レポートを公開している。


•  　Worldwide Observatory of Malicious Behaviors and Attack Threats (WOMBAT)：
   　http://www.wombat-project.eu/
   　欧州委員会（European Commission）のセキュリティ関連プロジェクト。フランステレコム、Eurecom、ウイーン工科大学、シマンテックなど複数の研究機関が参画し、ダークネットトラフィックやマルウェアなどのデータ収集と、それらの分析・原因究明を目指している。

 　日本国内では下記のプロジェクトが進行中である。

•  　ISDAS（JPCERT/CC）
   　http://www.jpcert.or.jp/isdas/


•  　@police（警察庁）
   　http://www.cyberpolice.go.jp/detect/observation.html


•  　MUSTAN（情報処理推進機構）
   　http://mustan.ipa.go.jp/mustan_web/


•  　WCLSCAN（三菱総合研究所ほか）
   　http://www.wclscan.org/


•  　nicter（情報通信研究機構）
   　（現在、Webでの観測情報の公開は行っていない）

 　以下では、2008年9月〜11月の3ヶ月間のダークネット観測事例を示す。この事例は、情報通信研究機構が研究開発を進めるnicterシステムが、/16ダークネット（65,536個の未使用IPアドレスブロック）に設置したブラックホールセンサによって得られた観測結果に基づいている。

(1) パケット数とユニークホスト数

 　図 1は、nicterの観測ポイントの1つである/16ダークネットに、2008年9月1日から11月30日までの3ヶ月間に到着したパケットの、1日あたりの総数（青実線）、および1日あたりの送信元ホストのユニーク数（赤破線）を示している。この/16ダークネットでは、1日平均で約250万パケット、約3.2万台のユニークホストを観測した。

図 1 　/16ダークネットのパケット数とユニークホスト数

(2) プロトコル別のパケット数

 　ダークネットの観測結果を分析する際の常套手段として、まず全てのパケットをTCP、UDP、ICMPのプロトコル別に分離することが行われる。図 2は、/16ダークネットに到着した1日あたりのパケット数をプロトコル別に示したものである。パケット数ではTCP（青実線）が平均約148万個と最も多く、次いでUDP（赤破線）の約77万個、ICMPおよびその他のプロトコル（黄破線）は約28万個のパケットを観測した。
 　TCPのパケット数は変動が大きく何箇所かピークも見られる。3ヶ月間で最も大きいピークは11月12日に観測されており、これは中国の特定のサーバからの大量のバックスキャッタの影響である。

図 2 プロトコル別のパケット数

(3) プロトコル別のユニークホスト数

 　プロトコル別に分離したユニークホスト数も、時に重要な情報を与えてくれる。図 3はそれぞれ、TCP（青実線）、UDP（赤破線）、ICMPおよびその他（黄破線）のプロトコルでパケットを送信したユニークホスト数を示している。/16ダークネットにおいて、TCPは1日平均約1.8万台、UDPは約1万台、ICMPおよびその他は約3千台のユニークホストからのアクセスを観測した。
 　9月10日にはTCPで顕著なピークが現れている。これは、ボットネットからのTCP 1433番ポートへのスキャン活動の影響である。このスキャン活動は約14時間継続し、合計約7万台のユニークホストが観測された。一般に、ボットネットの活動では多数のホストが一斉動作するため、大規模なダークネットでユニークホスト数を観測することで、その活動を検知することが可能である。

図 3 プロトコル別のユニークホスト数

(4) TCP 445番ポートの観測結果

 　さらに詳細な分析を行うためには、TCPとUDPのポート番号ごとにパケットを分離することが有効である。図 4は、/16ダークネットに到着したパケットのうち、宛先ポート番号がTCP 445番ポートであるパケットを抜き出し、1日あたりのパケット数（青実線）、およびそれらパケットの送信元ホストのユニーク数（赤破線）を示したものである。図より、9月中旬からパケット数、ユニークホスト数ともに増加傾向を示していることが分かる。
 　これは、Windowsサーバサービスの脆弱性MS08-067を狙ったワームであるW32.Downadup（別名W32/Conficker.worm）が感染を拡大していることが原因と考えられる。その増加傾向は2009年1月現在も依然として続いており、2003年8月に大規模感染を引き起こしたBlasterの再来とも言われている。Microsoftは2008年10月24日にMS08-067を修正する緊急Windowsアップデートを行ったが、その1ヶ月以上前からこの脆弱性を悪用したワームの活動の兆候が、ダークネットにおいて観測されていた。

図 4 TCP 445番ポートのパケット数とユニークホスト数

 　本稿ではダークネット観測の技術動向と関連プロジェクト、および2008年度下半期の観測事例について述べた。大規模なダークネット観測により、インターネット上での不正な活動を迅速に検知することが可能であるが、観測結果から如何に原因を究明し、有効な対策につなげるかが課題となっている。