インターネット天気予報

先週末は全国的に寒さが厳しく、 大雪による列車の遅れや高速道路の一時閉鎖など、各地に大きな影響をおよぼした。
12月22日を休暇とすれば、土曜日から火曜日まで四連休となることも有り、 多くの方が旅行や外出を計画されていたであろう。 しかし、
金曜日の天気予報では、 週末の大荒れの天気に対する警戒を呼びかけていた。
この情報を耳にして、予定を延期または日延べをされた方も多くあったと思われる。

このように、天気予報から気象動向情報を収集し、 それに応じた対処・対策を行うことは日常生活の一部となっている。
もし、インターネットにも天気予報があり、 大規模な災害(ワーム、ウィルス)を予測することが出来たら、
「雨が降るなら傘を持つ」ように、何らかの対処を行うことで、 ワームやウィルスなどの被害を抑えることができるのではないだろうか。
この発想を具体化したシステムが「インターネット天気予報」である。

インターネット天気予報とは

天気予報は、各地に設営された観測機器から、その地点の気象情報を集約することで、 別の地点の気象動向を予測するものである。
インターネット天気予報の場合でも同様で、 ネットワーク各所の観測機器(不正侵入検知装置、ファイアウォールなど)を設置し、
それらの観測情報を集約して、なんらかの判断を下すことになる。

インターネットでは、気象の変動(ワームの拡散など)が数時間で世界規模に達することも有れば、
数ヶ月後にまったく離れた地点に影響を与えることも有る。 これは、ワーム、ウィルスが利用する脆弱性が、
どれほど以前のものであるか、どのプラットフォームを対象としたものか、 対策パッチがどれほど適用されているか、
といった様々な要因により、その拡散規模、速度、経路が決ってくることであり、
ワーム、ウィルスによって全く異なる動向を示すためである。

このため、観測情報から予報を行うのは極めて困難であり、 現状では、増加傾向にある攻撃対象サービス、 攻撃元 IP
アドレスなどに対する警戒警報を発するのが主なサービスである。

今後、データの蓄積、予報手法の開発、観測地点の増加などにより、 「予報」情報を提供することが期待されている。

インターネット天気予報(定点観測)システム

一般に情報を公開しているインターネット天気予報(定点観測)システムについて以下に紹介する。

  • JPCERT/CC インターネット定点観測システム

    有限責任中間法人 JPCERT コーディネーションセンター(以下 JPCERT/CC)は、
    「コンピュータセキュリティに関わる事象(以下、インシデント)への対応」 などを目的として設立された組織である。

    同組織は、2003年12月10日、同年11月より運営している、インターネット定点観測システムの 観測結果の提供を開始した。
    情報の収集が始まったばかりということもあり、まだ解析といえるほどの情報は無く、
    各センサーで観測された時間辺りの不正なパケット数を平均化したグラフのみが提示されている。
    このグラフを時間軸に沿って比較することで、攻撃対象として要注意なサービスを知ることができる。

  • @police インターネット定点観測

    JPCERT/CC に先立って、 警察庁が運営する@policeでは、 2003年10月より、 インターネット定点観測情報を提供している。 こちらの情報源は、 「全国の警察施設に設置された不正侵入検知システム
    及びファイアウォールで検出したアクセス(件数)を集計したもの」となっている。 @police では、攻撃対象のポート番号だけでなく、
    ワーム、スキャン、といった攻撃手法別推移情報を提供している。
    また、重要と考えられる変化については、緊急レポートが発行されている。

  • Internet Storm Center

    世界的規模で不正侵入/アクセス情報を収集し、専門のアナリストにより分析された情報を発行している、 Internet Storm
    Center
    (以下ISC)がある。 ISC では、地域ごと及び世界的な攻撃対象ポート情報を提供している。
    本日(2003年12月22日)の情報として、epmap(135)、www(80)、ms-sql-m(1434)が増加傾向にあり、
    頻度数としても第一位から第三位にあることがわかる。

観測情報を利用する

管理するサイトで異常が検出された時、管理者に求められる行動の一つは、 その異常が深刻なものであるかどうかの判断である。
あるポートに対するアクセスが急増した場合、 それが攻撃であるのか、それとも偶然そのような状態になっているのかの判断は難しい。

その際の判断基準として、インターネット天気予報情報を利用することができる。 週ごと、日ごとの推移情報を参照することで、
管理サイトに発生している異常が、 サイトだけのものか他サイトでも発生しているのかの情報を得ることができる。
もし、他サイトでも同様の現象が観測できているのであれば、 発生している異常は大規模インターネット災害の予兆もしくは活動そのものであり、
監視を怠ることが出来無いという判断の根拠となりえる。

実際に、観測情報から大規模インターネット災害を未然に防止できたことがある。 2001年3月、
数時間のうちにポート53(DNS)へのプローブが世界的に急増していることが検知された。
アナリストグループは、このプローブが大規模な攻撃を意味するものであるとの判断を下し、 即刻、攻撃の対象とされている DNS
プログラムを更新することを求める 電子メールが世界中の管理者に向けて発信された。
この警告が効を奏し、大規模な感染を防止することができた (後に ISC BIND
の脆弱性を悪用する目的で作成されたワームの仕業であることが判明し Lion と命名された)。

朝の天気予報を習慣に

すでに述べたように、インターネット天気予報に特別な兆しが見られたら、 それは大規模災害の予兆である可能性が高く、
素早く緊急体制を敷くことが要求される。 日に一度(更新頻度によっては週に一度)はインターネット天気予報を覗いて、
異常がないかどうか確認することを習慣とすることをお勧めする。