不正なアクセスや攻撃が増え続けている昨今。実際にどのような攻撃がどこから来て、どこに向かっているのでしょうか。

今回は、そんな情報をリアルタイムで可視化できるサイバー攻撃可視化ツールをご紹介したいと思います。

NORSE IPViking

Norse社提供の可視化ツール「NORSE」

米国のセキュリティ会社Norseが提供している、サイバー攻撃の観測情報サイトです。(*2019年10月12日現在、サイトが見られなくなっています。。。)

このサイバー攻撃可視化ツールの情報源は、Norseが持つ様々なコンピュータ機器に搭載されるアプリケーションを再現する800万台以上のセンサーからの情報です。世界40カ国、150箇所で攻撃の情報を収集しています。

公開されるデータは閲覧性などの理由で全体の1%程度と言われており、システム全体としては1日に130TBものデータを収集し、解析しているそうです。

画像を見ると、ビームのようなものがある国から別の国に飛んでいるように見えます。このビームはサーバー攻撃を表しており、発射されたところが攻撃元、到達したところが攻撃先となっています。

画像下部に表示されいる「Attack Origins(攻撃元)」「Attack Type(攻撃の種類)」「Attack Targets(攻撃先)」「Live Attack(現状攻撃)」でサイバー攻撃の情報を得ることができます。

Norse社は世界中に40のデータセンターを設置しており、同時にハニーポットを設置しています。ハニーポットとはサイバー攻撃情報を収集するために設置された疑似コンピュータであり、Norse Attack Mapではこのハニーポットを対象に実行されるサイバー攻撃を可視化しています。

CYBERTHREAT REAL-TIME MAP

「CYBERTHREAT」カスペルスキーが運営するサイバー攻撃の可視化サイト

https://cybermap.kaspersky.com

ロシアのセキュリティソフト会社であるカスペルスキーが運営するサイバー攻撃の可視化サイトです。

CYBERTHREATはカスペルスキーが提供している様々なセキュリティ対策製品からの情報を収集し、サイバー攻撃を可視化するサービスです。

地球儀モードと世界地図モードの2種類があり、不謹慎ではありますが…見ていて飽きないくらい動きがかっこいいです。

このMAPは以下の8点の攻撃数を示しています。

OAS(On-Access Scan)

ファイルを開く/コピーする/実行する/保存するときにマルウェアが検知されたことを示しています。

ODS(On-Demand Scan)

ユーザー自身がファイルを選んでスキャンしたときに、マルウェアが検知されたことを示しています。

MAV (Mail Anti-Virus)

添付ファイル付きのメールを受信したときに、スキャンが実行されてマルウェアが検知されたことを示しています。

WAV

ウェブアンチウイルス機能は指定されたポートを監視しています。Webページを開くとき、またはファイルをダウンロードするときに、マルウェアが検知されたことを示しています。

IDS

侵入検知システムでネットワーク攻撃が検知されたことを示しています。

VUL

脆弱性スキャンでマルウェアが検知されたことを示しています。

KAS

Kaspersky Labのレピュテーションフィルタリング技術によって不審なメールトラフィックが検知されたことを示しています。

BAD

Kaspersky LabのDDoS Intelligenceシステム(Kaspersky DDoS Protectionの一部)によって検知・解析された、DDoS攻撃被害者およびボットネット指令サーバーのIPアドレスに関連する統計データを示しています。

Digital Attack Map

DigitalAttackMap
Googleが運営。DDoS(Distributed Denial Of Service)攻撃を可視化したもの

https://www.digitalattackmap.com/

検索エンジンで有名なGoogleが運営する、DDoS(Distributed Denial Of Service)攻撃というサイバー攻撃を可視化したものです。

DoS攻撃は、攻撃側と相手側の1対1で行われますが、DDoS攻撃とは特定のWebサイトに対し、複数のコンピュータから大量の処理負荷をかけ、機能停止状態に追い込むサイバー攻撃です。主に政治的やサービス妨害的に実行されることの多い攻撃です。

DDoS攻撃の防御が難しい点は、この複数台の攻撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。

ThreatCloud cyber attack map

ThreatCloudcyberattackmap
CheckPoint社が提供しているサイバー攻撃マップ

https://threatmap.checkpoint.com/

イスラエルに本社を置く、セキュリティソフトウェア会社のCheckPoint社が提供しているサイバー攻撃マップです。

リアルタイムの状況以外に、月間や週別の統計を使用して、上位の攻撃者とターゲットを歴史的に見ることができます。

まとめ

サイバー攻撃は国境がなく、世界中で発生しています。日本だけで事業展開している場合でも国内だけを見るのではなく海外からの攻撃もあることを認識したほうが良いと言えますし、現に国内企業が被害を受けるサイバー攻撃も海外のIPアドレスを起点したものが多く発生しています。

サイバー攻撃は物的な破損等が発生しないため、攻撃のイメージがしにくく、普段サイバーセキュリティ関連の業務をしている人などでないとボリュームや脅威の度合いを実感することは難しいかもしれません。

これらのツールを利用することでセキュリティ担当者以外にもサイバー攻撃の脅威を視覚的に伝えやすくなり、また、セキュリティ担当者にとっても世界の攻撃の状況や傾向の把握に役立ちます。