抄録
本解説は,近年高度化するIoT機器などへのサイバー攻撃に対し,ダークネット観測とハニーポット技術を用いた分析の重要性を示すものである.特に,IoT機器は5GやCPS(サイバーフィジカルシステム),医療・自動車分野など社会基盤に深く組み込まれ,攻撃対象の拡大と脆弱性の増加が深刻化している.従来のIDS(侵入検知システム)では捉えきれない攻撃挙動を把握するため,未使用IPアドレスへの通信を観測するダークネット(シンクホール)と,攻撃者を誘引して挙動を記録するハニーポットが有効となることを紹介する.大規模ダークネット観測システム「NICTER」は,年間数千億パケットを解析し,IoT機器を狙うスキャンやDDoSバックスキャッタなど多様な攻撃を可視化している.Mirai(IoTマルウェア)の大規模感染や特定ルーターの脆弱性把握など,実際の攻撃検知・分析にも活用され,関連組織へのアラート提供やNOTICEによる感染機器削減にも貢献している.
一方,X-POTはインターネット全域のスキャン結果を基にIoT機器の応答を動的に模倣する次世代ハニーポットであり,多様なポート・機器を狙う攻撃の捕捉に優れる.多数のマルウェアサンプルや攻撃手法の特定に成功し,MiraiやGafgytなどIoTマルウェアの挙動解明にも寄与している.さらに,観測結果を脅威インテリジェンスとして共有する仕組みも重要であり,例えばNICTER WebやISACを通じた情報共有は,業界横断的な防御力向上に不可欠である.AIを用いた攻撃予測や分析の必要性も高まっており,能動的サイバー防衛の基盤として期待される.
総じて,単一組織だけでは攻撃全体像を把握できず,ダークネット・ハニーポット・脅威インテリジェンスを組み合わせた多角的な観測と分析,およびそれらの共有が,IoT時代のセキュリティ確保に重要であることを示す.
https://ror.org/016bgq349 
