日本專家警示： IoT設備成網路攻擊新目標（下）

網路攻擊日漸頻發，手段也更加高明，對此是否存在有效的措施？就此問題，我們對互聯網應急中心 （NICTER, Network Incident analysis Center for Tactical Emergency Response） 項目相關的信息通信研究機構網路安全研究機構網路安全研究室高級研究工程師久保正樹、以及 NICTER 操作員島村隼平進行了採訪。

久保正樹（右）和島村隼平。圖片中間的屏幕上方顯示著日本實時監測到的來自世界各地IP地址發送的 「惡意或非法可疑通信」（拍攝於信息通信安全研究機構網路安全實驗室）。

―NICTER項目監測重點是一個被稱為暗網的遍布全球的IP地址監測網。原本暗網指的是什麼？

IP地址是分配給連接到互聯網的設備的唯一號碼，在全球範圍內共有近45億個IP地址。最初它由互聯網的開發者美國國防部管理，再分配給每個國家，每個國家在國內重新分配。目前是由國際組織互聯網編號分配機構 （IANA，Internet Assigned Numbers Authority） 負責管理，IANA下各國設立各自的管理機構。日本設立了日本網路信息中心 （JPNIC），由該機構對IP地址進行再分配。實際上，這是一個金字塔型管理系統，JPNIC和最終用戶之間存在指定運營商和互聯網服務提供商。為金字塔結構中的每個組織分配的IP地址並不一定全部分配給用戶。但是，世界上存在許多有編號卻沒有用戶的IP地址。使用這樣的IP地址單方面發送出的通信都可以被視為惡意或有非法可疑的通信。

通過與為用戶分配IP地址的指定運營商和互聯網服務提供商合作，在沒有用戶的IP地址上設置感測器，可以全天候監控它們通信，這個網路便是暗網。除日本之外其他各國的IP地址也包含在內，因此它可以監測到全球範圍的惡意或非法通信。暗網IP地址的數量雖然只是全球IP地址數量的一部分，但仍可以掌握總體趨勢動態。

NICTER 項目數據顯示，IP地址數量2005年為1.6萬，逐年增加，2017年達到約30萬；監測到的年通信（數據包）數量從2005年的3.1億增長到2017年的1504億，相當於平均1個IP地址從1.9萬增加到約56萬。在日本，由於通信隱私受到保護，所以只能看到發給自己的通信。因此，在正常通信中很難區分合法與惡意信息。但是，由於暗網會接收未經使用的IP地址單方通信，因此沒有必要區分它是自動通信還是惡意通信、合法還是惡意信息。通過暗網監測，可以掌握互聯網上各種信息傳播的實際情況。

——開始使用暗網來探索網路攻擊應對措施的契機是什麼？

大約在2003年，網路病毒大規模肆虐，一種名為Blaster的病毒感染了全球800萬台電腦。如果不知道病毒擴散到何種程度就無法採取措施，我們的危機感越來越強。沒有檢測手段的話病毒擴散程度就無法掌握，於是我們開始考慮使用暗網是否可行。在日本這種工作通常由官方研究機構來承擔，因此信息通訊研究機構負責起該項目。在美國，除密歇根大學等非常積極外，私人安全機構也十分關注網路攻擊相關通信的傳輸情況，經常像天氣預報一樣在網上發布消息。

——能否稍微詳細說明一下網路攻擊是什麼？攻擊目標是？暗網為何能對其進行監測呢？

網路攻擊中有一種高級目標型攻擊，侵入公司內部進行破壞。與此不同，這種像感染電腦病毒一樣在網上擴散的攻擊適用於暗網監測。為了找到多個感染目標，尋找宿主的通信也會經常流入暗網。

2016年，一個名為Mirai的惡意軟體在全球範圍內造成了巨大破壞，僅我們監測到的通信數就高達每天24000個，全球範圍將達到幾十萬至100萬左右。被Mirai這樣的惡意軟體感染的路由器會變為攻擊者繼續引發感染。路由器被感染後，病毒的傳播者就可以看到經由該路由器的通信內容，掌握與之相連的用戶的使用情況，進而操縱被感染的路由器，控制這些用戶再攻擊他處。黑客們就這樣蓄意破壞普通人穩定的上網環境。

——請問這些人製造並傳播Mirai這類惡意軟體有何利益可圖呢？沒有經濟利益，是想造成大規模恐慌然後收手嗎？

攻擊者還是有利可圖的。其實有各種各樣的利益，甚至今後會產生一些目前還不為人知的利益。現在還出現了一種包辦業務，有人專門幫他人攻擊指定企業致其伺服器癱瘓。去年12月，製造 Mirai 的兩名美國年輕人被判有罪。這兩人研究了有漏洞的物聯網終端並將其感染，通過這些終端向攻擊對象同時發送大量數據，致使眾多企業伺服器崩潰。他們成立了一個公司，向遭受 Mirai 攻擊的企業提供抵禦攻擊的服務，銷售保護設備的技術，以此牟利，就好比點了火再去賣滅火器賺錢。

——暗網監測作為抵禦網路攻擊措施的重要性我們已有所了解了，那麼今後在哪些方面還需要強化措施呢？目前的30萬IP地址是否充足？此外，有沒有普通人必須留心注意的事項呢？

比起增加IP地址，更重要的是建立覆蓋全球的監測網路，並擴大與國外組織的合作。不能對外公開與哪些國外組織展開合作，在哪些沒有用戶的IP地址上安裝了感測器，否則可能會成為攻擊目標，但強化與國外組織的合作意義重大。例如，曾經有天突然從巴西湧入大量網路攻擊相關通信，雖然僅從通信情況就能看出其走勢，但無法得知其目標是什麼類型的物聯網設備。由於沒有拿到巴西的感染設備，為了尋找對策，與巴西組織的合作就變得至關重要。中國也有專門致力於暗網監測的安全公司並且對外銷售對策報告書，如能與這樣的公司實現信息共享對雙方都將大有裨益。

在人類世界即使大範圍爆發病毒性疾病，也並非每個人都會感染致病性病毒。同樣，聯網的設備多種多樣，即使網路攻擊的目標是物聯網設備，一般情況下也只是其中特定的設備會受到感染，不過一旦所有設備都遭到感染將會造成巨大的威脅。今後用戶多的設備很可能會成為攻擊目標，總之可以預測，近兩年瞄準物聯網設備的網路攻擊將會持續增加。家中有物聯網設備的用戶，最重要的是購買產品時，最好選擇發生問題後可以迅速應對的廠家，風險猶存，以防後患。

文 小岩井忠道（JST 客觀日本編輯部）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！