NTT技術ジャーナル記事

   

「NTT技術ジャーナル」編集部が注目した
最新トピックや特集インタビュー記事などをご覧いただけます。

PDFダウンロード

テクニカルソリューション

パケットキャプチャデータを活用し外部からのアクセスを自動集計・見える化

インターネットを利用中に、「時々通信が遅くなる」もしくは「つながらなくなる」などの故障申告があります。原因の1つとして、外部からの不正アクセスにより、回線に余分な負荷がかかっている場合があります。このような状況を把握するためには、パケット解析が有効となりますが高度なIPスキルが必要となります。NTT東日本技術協力センタでは、パケットを簡易にキャプチャする装置を活用し、簡単なPC操作で不正アクセスによるセキュリティリスクを見える化するツールを開発しました。

開発の背景

故障修理の現場では、電話やPCが使用できなくなるなどのさまざまな故障申告に対応しています。その中で、フレッツ光などでインターネットをご利用中のお客さまから、「時々通信が遅くなる」「つながらなくなる」といった故障申告を受けることがあります。これらの事象の一要因として、悪意のあるユーザからのサイバー攻撃(多量のパケットを送りつけるなど)により、回線に負荷がかかり、インターネットなどの通信に支障をきたす場合があります。それらサイバー攻撃からPCを守るために通常のセキュリティ対策としては、セキュリティソフトを用います。しかし、それらのソフトは、既知のセキュリティリスクからPCを守ることはできますが、未知の攻撃などの状況を明示し、セキュリティリスクを示すことができませんでした。
これら悪意あるユーザからの不正アクセスによる回線の負荷増加などの脅威を明示するためには、IP区間に流れている全パケットから不正アクセスとなり得るパケットを抽出し通信内容を解析することが有効となります。そのためにはWiresharkなどのソフトウェアを用いて、高度なIPスキル保有者が解析を行う必要があり、解析自体にも時間を要していました。これら状況をかんがみ、より簡単に、より早く不正アクセスの脅威を明らかにするために、簡単なPC操作で不正アクセスによるセキュリティリスクを見える化するツール「不正アクセスカウンタ」の開発を行いました。

パケットキャプチャの簡易化

パケットデータを用いて不正アクセスによるリスクを明らかにするには、まずIPパケットをキャプチャする必要があります。パケットキャプチャを専用に行う装置も販売されていますが、値段が高価であったり、操作が複雑であったりと、すべての現地対応者が作業するには障壁がありました。これらの課題を解決するためには、技術協力センタで仕様検討した簡易パケットキャプチャ装置「トイキャプ*」が活用できます(1)。トイキャプの諸元を表1に示します。トイキャプは小型・軽量で廉価なパケットキャプチャ装置であり、電源ケーブルとLANケーブルをトイキャプに接続するだけで自動的にパケットキャプチャを開始します。操作が簡単なので短時間でパケットキャプチャの準備ができ、かつ小型であるため現地対応者が携行しやすいので、パケットキャプチャが可能な機会を逃すことなく設置することができます。

* トイキャプ:グリーン株式会社とNTT東日本技術協力センタ ネットインタフェース技術担当で共同制作した小型軽量の簡易パケットキャプチャ装置。

表1  トイキャプの諸元

「不正アクセスカウンタ」の機能と特徴

「不正アクセスカウンタ」では、トイキャプを用いてお客さま宅内でキャプチャしたIPパケットを読み込ませることによって、外部からのアクセスをカウントし、結果をCSVファイルの集計データとPDFファイルのレポートとして出力することができます。「不正アクセスカウンタ」の使用イメージを図に示します。「不正アクセスカウンタ」は、解析したいパケット群が格納されているディレクトリを指定するだけの簡単なPC操作で使用できます。
「不正アクセスカウンタ」は、読み込ませたすべてのパケットの中で外部からの接続要求パケット(TCP SYNなど)を抽出してカウントします。外部からのアクセスかどうかを判別する方法は、パケット送信元装置MAC(Media Access Control)アドレスのベンダコードを抽出して、そのベンダコードが宅内装置のMACアドレスベンダコードと一致するかどうかを判別し、一致しないパケットを外部からのパケットとして認識する仕組みとなっています。外部からのアクセスと認識されたパケットは、不正アクセスとなり得るリモートシェル接続やファイルサーバへの接続などのサービスごとにカウントされます。サービス種別の判別は、通信に使用するプロトコルおよびポート番号に基づいて実施されます。「不正アクセスカウンタ」の検出項目一覧を表2に示します。各検出項目のうち、代表的な項目のセキュリティリスクについて記載します。
(1) リモートシェル
LAN内端末にログイン可能で、遠隔操作されてしまうおそれがあります。その結果、踏み台とされて、他のシステムなどへのサイバー攻撃に利用されるおそれがあります。
(2) Windows共有サービスおよびファイルサーバ
LAN内端末のフォルダ内部が閲覧され、保存しているファイルを抜き取られてしまうおそれがあります。
(3) 短時間多量パケット
DoS(Denial of Service)攻撃を受けている可能性があり、多量のパケットを受信してしまうことで、通信容量や処理能力が飽和状態となり端末などが応答できなくなるおそれがあります。
(4) ポートスキャン
さまざまなサービスのポートへ接続要求を行うパケットを送信し、アクセスを許可しているポートがないかどうかを探索する行為で、外部の悪意あるユーザから、脆弱性などがないかを調査されている可能性があります。
他の項目についても、Webページ閲覧やメール送受信など一般的な利用では、外部からの接続要求が発生しないサービスです。

図 不正アクセスカウンタの使用イメージ

表2  不正アクセスカウンタの検出項目

今後の展開

トイキャプを用いてキャプチャしたパケットを「不正アクセスカウンタ」で解析することにより、不正アクセスによるセキュリティリスクの見える化を、短時間かつスキルレスで実現することができます。今後は、現地対応者が「不正アクセスカウンタ」を用いて、お客さまにとって安心・安全が実現できるセキュリティサービスを提案するなどの利用シーンを検討していきます。さらに、故障修理においてパケット解析を行っているノウハウを活かし、パケット解析を自動で行う新たなツールなども開発していきます。

問い合わせ先

NTT東日本
ネットワーク事業推進本部 サービス運営部
技術協力センタ ネットインタフェース技術担当
TEL 03-5480-3702
E-mail nif-ngn-ml@east.ntt.co.jp