我が国におけるインターネット治安情勢について - 警察庁

平成 16 年 3 月 26 日
警察庁技術対策課
我が国におけるインターネット治安情勢について
1 はじめに
今般、インターネットは社会生活において不可
欠な存在となりつつある。インターネットにはウ
ィルスやワーム、不正アクセスといった様々なリ
スクが存在しており、これらリスクを小さくする
ために情報セキュリティ対策が重要な社会的課題
となってきている。ゆえに、インターネット上で
起こっている事象について的確に把握するととも
に、適切な対処を行っていく必要がある。
警察庁技術対策課では、現在、全国の警察機関
のインターネット接続点(57 か所)において、侵
入検知装置(Intrusion Detection System:IDS)
や定点観測ポイントを設置し、インターネット上
で発生する様々な事象について調査・分析を行っ
ている。
平成 15 年におけるインターネット上で発生し
た事象に関して侵入検知装置のアラート情報や定
点観測ポイントのログを基に分析、
検討を行った。
2 アラート検知に見るサイバー攻撃の特徴
平成 15 年における外部ネットに起因するアラ
ートの総検知件数は約 398,000 件、検知ホスト数
は約 94,000 件であり、発信元の国や地域は 176
か国(発信元不明を含む)に及んでいる。
図 2.1 に平成 15 年中に検知した国/地域別の累
積検知件数を示す。図 2.1 に示すように全世界か
ら何らかの攻撃が行われていることがわかる。特
に日本を含む東アジア地域、ヨーロッパ地域、北
アメリカ地域からの攻撃が顕著となっている。
2.1 発信元 IP アドレスによる分析
(1) 国/地域別の検知状況
平成 15 年中に検知されたアラートの発信元 IP アド
レスに基づいて国別に分類した上位 10 か国のアラ
ート検知比率を図 2.2 に示す。
-1-
検知したアラート件数が最も多い国はアメリカ合衆
国であり、全体の約 34%を占めている。次いで中華
人民共和国の約 15%、大韓民国の約 7%の順となっ
ており、日本国内からのアラートの検知件数は約 4%
程度に留まっている。
: 各国/地域
: アメリカ合衆国及びカナダの各州
図 2.1 平成 15 年中における国/地域別の累積検知件数
チェコ共和国では検知したアラートの内、ウイ
ンドウサイズ 55808 の TCP パケットが約 95%を
占めており、分散型ポートスキャナー
「Stumbler」やワーム「Randex.C」などによる
影響が考えられ、その送信元 IP アドレスは詐称
されている可能性が高いと推察される。
21.40%
33.63%
1.54%
2.19%
2.64%
2.80%
2.89%
4.28%
6.55%
アメリカ合衆国
オランダ王国
ブラジル連邦共和国
オーストラリア
6.77%
中華人民共和国
日本
チェコ共和国
その他
15.31%
大韓民国
イギリス
カナダ
図 2.2 上位10か国のアラート検知比率
(2) ホスト数の検知状況
平成 15 年中に検知されたアラートの発信元 IP アド
レスに基づいて国別に分類した上位 10 か国のホスト
比率を図 2.3 に示す。
27.86%
41.16%
2.16%
2.35%
2.38%
2.54%
3.42%
3.88%
4.51%
4.70%
5.05%
アメリカ合衆国
中華人民共和国
日本
イギリス
大韓民国
カナダ
オーストラリア
ドイツ連邦共和国
フランス共和国
ブラジル連邦共和国
その他
図 2.3 上位10か国のホスト比率
アラート検知比率と同様にアメリカ合衆国が約 41%
と最も多く、次いで中華人民共和国の約 5%の順とな
っている。
アラートの検知比率では 5 位であった日本はホスト
比率では 3 位となっている。また、アラートの検知比
率で上位であったオランダ王国(NL)やチェコ共和
国は 18 位及び 20 位となっており、小数のホスト
から多くの攻撃を行っていたことがうかがえる。
2.2 アラート種別による分析
(1) アラート検知の推移状況
平成 15 年中に検知したアラート種別の推移状
況を図 2.4 に示す。
平成 15 年にインターネットにおいて社会的影
響の大きかった事案の1つに 1 月に発生した SQL
Slammer ワームが挙げられる。ワーム発生後には
沈静化の傾向にあったが、2 月下旬に再び活動が
活発となり 12 月においては 1 日当たり約 700 件
前後で推移しており一向に沈静化の気配はない。
図 2.4 中のワーム(Worm)系のアラートの推移状
況はこの SQL Slammer ワームのみの検知件数で
ある。
3 月には、アメリカ合衆国やイギリスの各サイ
トに対してイラク戦争に反対する旨の Web ペー
ジ改ざん事件が発生している。日本国内において
も同様の Web ページ改ざん事件が数件発生して
いる。
4 月からポートスキャン(Scan)系のアラートが
-2-
増加してきている。これはオランダ王国の特定ド
メインからの TCP1080 ポートへのスキャンが主
な原因である。
この特定ドメインからのポートスキャンはプ
ロキシサーバで使用されるポート(80、3128、
6588、8080 等)に対してインターネット中をス
キャンしており、多くの HTTP プロキシソフトウ
ェ ア の 脆 弱 性 ( CERT/CC Vulnerability Note
VU#150227)を悪用して、スパムメールの送信を
行っていた。この特定ドメインとスパム業者との
関わりがイギリスの記者によって明らかにされた
ことを受け、7 月 1 日付で上位プロバイダからサ
ービスを打ち切られたことを最後に検知されなく
なった。
7 月には Web 改ざんコンテスト「The Defacers
Challenge(TDC)」が行われた。この Web 改ざん
コンテストに伴い国内においても不正アクセスが
増加する恐れがあり、警戒を強化していたが国内
の被害は数件程度に留まった。このコンテスト開
始直前には中華人民共和国の特定サイトから定点
観測ポイントの 1 ホストに対して全ポートスキャ
ンが行われている。
図 2.4
平成 15 年におけるアラート種別の推移状況
8 月には「RPC インターフェイスのバッファ オーバ
ー ラ ン に よ り コ ー ド が 実 行 さ れ る (823980)
(MS03-026)」の脆弱性を悪用した Blaster ワーム及
び Blaster ワームの亜種である Welchia ワームが
発生した。
これらワームは侵入検知装置では検知できなか
ったものの、定点観測によるトラフィックの急増
によりその把握を行ってきた。Welchia ワームに
関しては ICMP パケットの急増をいち早く検知し
注意喚起を行っている。
こ れ ら ワ ー ム の 発 生 後 、 Blaster ワ ー ム の
TCP135 ポートへの攻撃や Welchia による ICMP
エコーが依然高い件数で推移していた。
55808 の TCP パケットである。
(2) アラート種別の検知状況
平成 15 年中に検知されたアラート種別による
検知比率を図 2.5 に示す。
図 2.5 に示すように検知されたアラートの種別
には「Worm」系が約 53%、
「Scan」系に関して
も約 36%と上位2つのアラートで全体の約 90%
を占めている。
5.10%
4.04%
0.97%
0.14%
0.14%
36.29%
図 2.6
宛先ポートと発信元 IP
アドレスの累積検知件数
53.32%
Worm
Scan
BackDoor
ICMP
DNS
IIS
Others
2.3 アラート件数による主成分分析
前節で分析を行った、国/地域別及びアラート種
別のアラート件数を基に主成分分析により各国の
特徴に関して調査を行った。
図 2.5 アラート種別比率
この要因は、サイトに侵入するための準備段階の攻
撃に関連するアラートが中心となっており、サーバ等
への脆弱性を悪用した直接的な攻撃等は約 10%程
度に留まっている。これは、各接続点でのセキュリティ
を強固に設定しているために、一方的にパケットを送り
つけてくる SQL Slammer ワームやポートスキャン等の
準備行為のみであきらめてしまう攻撃者が多いためと
推察される。
(3) 宛先ポートと発信元 IP アドレス
図 2.6 に平成 15 年に検知したアラートの宛先
ポートと発信元 IP アドレス別の累積件数を示す。
X 軸は発信元 IP アドレス、Y 軸は宛先ポート番号
(TCP/UDP)、Z 軸は累積検知件数である。
発信元 IP アドレスでは、クラス A 第 1 オクテ
ットが 60 及び 80 付近、クラス C の第 1 オクテ
ットが 210 付近からの攻撃が、宛先ポートでは、
21 番、1080 番、1434 番、27374 番ポートへの攻
撃が顕著となっている。
また、52076 番ポートへのアクセスに関しては
他のポートと比較し多く存在するが、発信元 IP
ア ド レ ス がチ ェ コ共 和国 の ウ イ ンド ウ サイ ズ
-3-
(1) 主成分分析とは
主成分分析とは、相関関係にあるいくつかの要
因から複数の成分を抽出し、その背後に隠れてい
る総合力や特性などを求める方法である。主成分
分析では、
選択された 数個の変数からなる行列の
相関行列または分散共分散行列から、固有値、固
有ベクトルを求める。(1) ~ (2)
(2) 主成分の算出
表 2.1 に主成分分析を行った結果(固有値、固
有ベクトル及び寄与率(%))を示す。
主成分を抽出後、いくつの主成分を採用するか
判断する必要がある。主成分の採用の目安は固有
値が 1 以上で累積寄与率が 70%以上の水準を満
たしていなければならない。このため、本結果に
おいては第二成分までを採用することとする。
次に、各主成分の固有ベクトルに着目し採用し
た2つの主成分の持つ意味について考えてみる。
第 1 主成分は、全ての固有ベクトルの値がプラ
スであり、
「IIS」及び「Others」以外の固有ベク
トルがほぼ同じ値であることから、攻撃の活動の
度合いを表す指標と解釈できる。
表 2.1
固有値
Worm
固
Scan
有
BackDoor
ベ
ク ICMP
ト DNS
ル IIS
Others
寄与率
累積寄与率
主成分の抽出結果
主 成 分
第1成分 第2成分 第3成分 第4成分 第5成分 第6成分 第7成分
4.350
1.209
0.913
0.309
0.142
0.072
0.005
0.454
0.051
0.201
0.031 -0.639 -0.258
0.525
0.428 -0.214
0.060 -0.560
0.468 -0.484 -0.007
0.426 -0.318 -0.184 -0.199
0.056
0.776
0.195
0.409 -0.207 -0.056
0.802
0.351 -0.142 -0.002
0.451
0.206 -0.220 -0.039 -0.356 -0.009 -0.760
0.200
0.468
0.775
0.017
0.237
0.276 -0.093
0.138
0.739 -0.520 -0.026
0.252 -0.001
0.316
62.15% 17.28% 13.04%
4.41%
2.02%
1.03%
0.06%
62.15% 79.43% 92.46% 96.88% 98.90% 99.94% 100.00%
また、第 2 主成分に関しては固有ベクトルの値
にプラスとマイナスの符号が入り混じっており、
その符号と絶対値に着目してみる。まず、マイナ
スの項目の固有ベクトルには、「BackDoor」や
「 Scan 」、「 ICMP 」 の ア ラ ー ト で あ る 。
「BackDoor」は、バックドアを仕掛ける攻撃で
はなく、バックドアを仕掛けられたホストを探索
する行為であり、
「Scan」
、
「ICMP」などもポート
スキャンやホスト探索などの行為である。逆にプ
ラスの項目の固有ベクトルには、「Others」や
「DNS」
、
「IIS」のアラートがある。
「Others」の
固有ベクトルが 0.739 と高いのは、
「DoS」関連の
アラートが「Others」に含まれているためと推察
される。これらのアラートは脆弱性を悪用した直
接的な侵入行為であると考えられる。
したがって、第 2 主成分はプラスであれば脆弱
性を悪用した侵入行為を行っていることを、
また、
マイナスであればポートスキャンなどの侵入に対
する準備行為を行っていることを示す指標と解釈
できる。
表 2.2
(3) 各国の主成分得点
表 2.1の結果から第 1 主成分及び第 2 主成分に
おける各国/地域の基準化した主成分得点を算出
し、第 1 主成分の上位 10 か国及び第 2 主成分の
上位/下位 10 か国を表2.2 に示す。
第 1 主成分は攻撃の活動を示す指標であり、最
も活発な国はアメリカ合衆国、次いで中華人民共
和国の順となり、2.1 節の上位 10 か国のアラート検
知比率と同様の結果が得られている。
第 2 主成分は侵入に対する準備行為か実際の侵
入行為かの指標であり、ポートスキャン等の準備
行為が顕著な国にはアメリカ合衆国、大韓民国、
オランダ王国が上位となっており、TCP1080 ポ
ートに対するスキャンが多かったことが要因とし
て挙げられる。
また、実際の侵入行為が顕著な国は日本、オー
ストラリア、ポーランド共和国の順となっている。
これは、日本やオーストラリアなどではスキャン
系のアラートは少なくワーム関連のアラートが殆
どを占めているためである。
各国の主成分得点
第1主成分
上位10か国
上位10か国
国/地域名
国/地域名
ID 得点
アメリカ合衆国
US 11.434 日本
中華人民共和国
CN 5.147 オーストラリア
大韓民国
KR 2.071 ポーランド共和国
オランダ王国
NL 2.016 メキシコ合衆国
日本
JP 1.283 オーストリア共和国
イギリス
GB 0.806 マレーシア
ブラジル連邦共和国 BR 0.790 ノルウェー王国
チェコ共和国
CZ 0.696 ハンガリー共和国
カナダ
CA 0.554 ベトナム社会主義共和国
オーストラリア
AU 0.348 エルサルバドル共和国
-4-
第2主成分
ID
JP
AU
PL
MX
AT
MY
NO
HU
VN
SV
得点
0.983
0.294
0.280
0.256
0.237
0.198
0.196
0.195
0.191
0.191
下位10か国
国/地域名
得点
ID
アメリカ合衆国
US -10.231
大韓民国
KR -5.992
オランダ王国
NL -4.816
チェコ共和国
CZ -1.865
ラトビア共和国
LV -0.751
国名不明
?
-0.710
カナダ
CA -0.657
中華人民共和国 CN -0.557
イタリア共和国
IT -0.400
イギリス
GB -0.341
第一主成分と第二主成分の各得点の散布図を図
2.7に示す。
第2主成分
4
ブラジル連邦共和国
2
日本
第1主成分
0
-4
-2
0
2
-2
チェコ共和国
-4
4
6
8
10
12
中華人民共和国
イギリス
-6
ていたが、Blaster ワームの発生により 12 日は
9,220 件に急増した。その後、17 日までは緩やか
に減少傾向にあったが、18 日の Welchia ワーム
の発生により再び急増している。これは、Welchia
ワーム発生当時、いくつかの定点観測ポイントに
おいて ICMP に応答する設定であったため、
Welchia ワームに感染したホストからの TCP135
番ポートへのアクセスが増加したためである。
Blaster ワーム発生時の定点観測ポイントにお
けるポート別のアクセス状況を図 3.1 に、国/地域
別のアクセス状況を図 3.2 に示す。
オランダ王国
-8
大韓民国
-10
アメリカ合衆国
-12
図 2.7 第 1 主成分と第 2 主成分得点の散布図
図 2.7 に示すように、第 2 主成分がマイナス領
域に属する国や地域が顕著であり、前節で述べた
ようにホスト探索やポートスキャンなどの準備行
為であきらめてしまう攻撃者が多いためと推察さ
れる。
図 3.1
Blaster ワーム発生時のポート別アクセス状況
図 3.2
Blaster ワーム発生時の国/地域別アクセス状況
3 Blaster ワームと SQL Slammer ワーム
平成 15 年のインターネットにおける最大の事
案は、1 月に発生した SQL Slammer ワーム、8
月に発生した Blaster ワームの2つのワームが挙
げられる。これら2つのワームに関して時系列解
析を行った。
3.1 Blaster ワーム
(1) Blaster ワームの概要
Windows の Remote Procedure Call(RPC) を
使用する Distributed Component Object Model
(DCOM) インターフェイスの脆弱性(マイクロソ
フト社、
「RPC インターフェイスのバッファオー
バーランによりコードが実行される
(MS03-026)」
)を悪用した Blaster ワームが 8 月
12 日に発生し、また 18 日にも同脆弱性を悪用し
た Welchia ワームが発生し社会的にも大きな影響
を与えた。
脆弱性が発見される以前は、TCP135 ポートへ
のアクセス件数は 1 日当たり 30 件程度で推移し
-5-
(2) トレンドの抽出
常に変化を繰り返す時系列データにおいて増
加傾向にあるか逆に減少傾向にあるのかトレン
ドを的確に把握しておく必要がある。このトレ
ンドは把握する一つの手法に移動平均がある。
移動平均線により時系列データの不規則変動が
除去されトレンドや周期変動を抽出することが
できる。
時系列データのトレンドの抽出には単純移動
平均線や加重移動平均線などがあるが、タイム
ラグが小さく、小さなトレンドに迷わされない
という点で単純移動平均線より有効な指数平滑
移動平均線を用いる。指数平滑移動平均線の計
算式は次式で表される。(3) ~ (4)
y(t)
= y(t-l)
+ α( P
− y(t-l))
α:平滑化定数 α= 2 / ( n + 1) ;0 ≦ α ≦ 1
y(t):時間 t における平均
り、その後勾配が緩やかになってきておりワーム
の感染が抑えれてきていることが分かる。8 月 18
日 午前 11 時頃発生後には再びトレンドの傾きが
急になっている。これは、定点観測の幾つかの拠
点において ICMP に応答する設定になっていたた
めであり、Blaster ワームの亜種である Welchia
に感染したホストによるものと考えられる。
また、8 月 25 日以降、ホスト数が激減している
のは、これら拠点において行ったポリシー変更を
行った結果、Welchia ワームの影響を受けなくな
ったためと考えられる。
y(t-l):時間(t-1)における平均
P:時間 t における観測値
n:平均する期間
使用したデータは Blaster ワームに感染した端
末数の状況を把握するため、アクセス件数でなく
1 時間当たりの TCP135 番ポートへアクセスのあ
ったホスト数の時系列データによりトレンドの抽
出を行った。
(3) 時系列データの変動性
トレンドの把握とともにその事象がどの程度変
動しているか、変動性を客観的に把握する必要も
ある。ここでは、株式などで一般的に用いられて
い る 変 動 性 を 測 る 指 標 の 一 つ で あ る RSI
(Relative Strength Index)を適用して時系列デー
タの変動性の検討を行った。
RSI の指標値は、次式で表される。(5)
RSI(%)
= U / (U + D) × 100
450
400
件
数 350
U : 指定期間内における増加データの平均
D : 指定期間内における減少データの平均
300
250
200
150
RSI で得られた指標は、80%以上または 20%以
下を異常な増減である目安とされている。
Blaster ワーム発生
100
Welchia ワーム発生
50
図 3.3
12時間指数平滑移動平均
2003/9/9 18:00
2003/9/7 4:00
2003/9/8 11:00
2003/9/3 7:00
2003/9/5 21:00
2003/9/2 0:00
2003/9/4 14:00
2003/8/31 17:00
2003/8/29 3:00
2003/8/30 10:00
2003/8/25 6:00
2003/8/27 20:00
2003/8/26 13:00
2003/8/23 23:00
2003/8/21 9:00
2003/8/22 16:00
2003/8/20 2:00
2003/8/18 19:00
2003/8/16 5:00
2003/8/17 12:00
2003/8/14 22:00
2003/8/12 8:00
2003/8/11 1:00
ホスト数
2003/8/13 15:00
2003/8/9 18:00
2003/8/7 4:00
2003/8/8 11:00
2003/8/3 7:00
2003/8/5 21:00
2003/8/2 0:00
2003/8/4 14:00
0
100 %
90 80 70
R
60 S
50 I
40
450
400
350
1週間指数平滑移動平均
300
件
数 250
200
Blaster ワーム発生前後のトレンド
150
30
100
-6-
10
0
ホスト数
図 3.4
RSI
Blaster ワーム発生前後における RSI 値
2003/9/3 9:00
2003/9/1 20:00
2003/8/31 7:00
2003/8/28 5:00
2003/8/29 18:00
2003/8/25 3:00
2003/8/26 16:00
2003/8/22 1:00
2003/8/23 14:00
2003/8/20 12:00
2003/8/18 23:00
2003/8/17 10:00
2003/8/14 8:00
2003/8/15 21:00
2003/8/11 6:00
2003/8/12 19:00
2003/8/8 4:00
2003/8/9 17:00
2003/8/5 2:00
2003/8/6 15:00
2003/8/2 0:00
0
2003/8/3 13:00
ここでは短期的なトレンドには 12 区間(12 時
間)を、長期的なトレンドには 168 区間(1 週間)
を期間として指数平滑移動平均線を求めた。図
3.3 にその結果を示す。
図 3.3 に示すように、短期的トレンドの場合、
時系列データに即応しすぎてしまい多少判断しづ
らい結果であった。しかし、長期的トレンドの場
合では、移動平均線が直線的になりその傾向を把
握しやすい結果となった。
Blaster ワーム発生直後の長期的トレンドの勾
配は急となっており多くのホストが感染しつつあ
20
50
この RSI を用いて Blaster ワーム発生前後の感染
したホスト変動性について分析を行ってみた。なお、
指定期間を 12 区間(12 時間)として計算を行い、そ
の結果を図 3.4 に示す
図 3.4 に示すように RSI 値が 80%を超えている
個所は 7 月 28 日に Bugtraq に攻撃コードが投稿
され警戒していた 8 月 5 日の 4 時から 5 時、
Blaster ワームが発生した 8 月 3 日の 2 時から 13
時と Welchia ワームが発生した 8 月 18 日の 17
時から 18 時と 22 時の 4 か所あり、それぞれ通常
ではない異常なトラフィックの増加であると判断
できる。
警察庁では、上記トラフィックが急増した 8 月
5 日に「TCP135 番ポートに対するアクセスの急増に
ついて」、8 月 12 日に「Windows の脆弱性を利用した
ワームの蔓延について」及び 8 月 18 日に「ICMP トラ
フィックを急増させたワームについて」を警察庁セキ
ュ リ テ ィ ポ ー タ ル サ イ ト @police
(http://www.cyberpolice.go.jp)に掲載し広く注意
喚起を行っている。
3.2 SQL Slammer ワーム
(1) SQL Slammer ワームの概要
平成 15 年 1 月に発生した SQL Slammer ワーム
は 、 Microsoft SQL サ ー バ の 持 つ 脆 弱 性 (SQL
Server 2000 解決サービスのバッファのオーバーラ
ン に よ り 、 コ ー ド が 実 行 さ れ る (323875)
(MS02-039))を悪用して感染し、感染後はランダムに
ホストを選択し同様の脆弱性を持つホストへと拡散し
ていく。このワーム発生時には、多くのホストが一度に
感染したため、トラフィックの急増により通信に支障を
きたしたことは記憶に新しい。
SQL Slammer ワーム発生後の推移状況を図
3.5 に示す。
ワーム発生後には一時的に沈静化の傾向にあっ
たが、2 月下旬に再び活動が活発となり 12 月にお
いては 1 日当たり約 700 件前後で推移している。
日本国内においても発生後、1 日あたりのアラー
ト件数で約 40 件、検知ホスト数で約 14 ホスト前
後とほぼ一定数で推移しており沈静化の気配はな
い。
また、平成 15 年に検知した発信元 IP アドレス
を基に国別の検知比率及び国別のホスト比率を図
3.6、図 3.7 に示す。
20.55%
33.92%
1.71%
1.86%
1.96%
2.00%
2.55%
3.55%
4.24%
6.49%
21.17%
アメリカ合衆国
ブラジル連邦共和国
カナダ
フランス共和国
図 3.6
中華人民共和国
イギリス
香港
その他
日本
オーストラリア
スウェーデン王国
国別アラート件数比率
28.08%
42.61%
2.04%
2.13%
2.39%
2.50%
2.96%
3.31%3.90%
アメリカ合衆国
中華人民共和国
フランス共和国
スペイン
4.98%
5.09%
イギリス
カナダ
ブラジル連邦共和国
その他
日本
オーストラリア
ドイツ連邦共和国
1,400
アラート件数
ホスト数
1,200
図 3.7
1,000
800
600
400
2003/12/31
2003/12/3
2003/12/17
2003/11/5
2003/11/19
2003/10/8
2003/10/22
2003/9/24
2003/9/10
2003/8/27
2003/8/13
2003/7/30
2003/7/2
2003/7/16
2003/6/4
2003/6/18
2003/5/7
2003/5/21
2003/4/9
2003/4/23
2003/3/26
2003/3/12
2003/2/26
2003/2/12
2003/1/29
0
2003/1/1
200
2003/1/15
件
数
国別ホスト比率
図 3.5 SQL-Slammer ワームの推移状況
-7-
国別の検知比率ではアメリカ合衆国が約 34%と
最も多く、次いで中華人民共和国の約 21%、日本
の約 6%の順となっている。国別のホスト比率に
おいてもアメリカ合衆国が約 43%と最も多く、ホ
スト数が少なく検知数が多い中華人民共和国では、
感染したホストが長期間に渡り適切な処置がなさ
れていないためと推察される。
(2) 時系列モデル
SQL Slammer ワームの時系列解析に際し、10
月 1 日から 12 月 21 日までの侵入検知装置で検出
した 1 日当たりのホスト数(発信元 IP アドレス)
を標本データとして時系列モデルを作成し、12 月
22 日以降の検知ホスト数の予測を行った。
時系列モデルにはデータが定常時系列の場合に
用いられる、自己回帰モデル(AR(p)モデル)、移動平
均モデル(MA(q)モデル)や自己回帰移動平均モデ
ル(ARMA(p,q)モデル)があり、次式で表される。(6)
非定常時系列モデルにおいては、差分や季節差
分を取ることによって非定常時系列から定常時系列
に変換を行い、前者の3モデルに当てはめて分析を
行うことになる。
時系列モデルの作成に当たっては、図 3.8 に示す
順序に沿って作業を進めていくことになる。
同 定
標本自己相関、標本偏自己相関等を用いる
推 定
Yule-Walker法、最尤法等を用いる
残差自己相関、Ljung-Box統計量等を用いる
診 断
AR(p)モデル
y(t) = μ + Φ1y(t-1) + Φ2y(t-2) + ・・・ +Φpy(t-p) + ut
診断パス
y(t-1), y(t-2),・・・・, y(t-p) : 時間(t-1), (t-2),・・・・, (t-p)
No
Yes
における観測値
予 測
μ,Φ1 ,Φ2 ,・・・, Φp : パラメータ定数
(出典元:山本 拓「経済の時系列分析」)
ut : 時間 t における撹乱項(ホワイトノイズ)
図 3.8 Box-Jenkins による時系列モデルの作成手順
MA(q)モデル
y(t) = μ + ut ‐ θ1ut-1 ‐ θ2ut-2 - ・・・ ‐ θput-p
(ホワイトノイズ)
μ, θ1 , θ2 ,・・・, θp : パラメータ定数
ARMA(p,q)モデル
y(t) = μ + Φ1y(t-1) + Φ2y(t-2) + ・・・ +Φpy(t-p)
+ ut ‐ θ1ut-1 ‐ θ2ut-2 - ・・・ ‐ θput-p
AR モデルは現在の自分を過去の自分の加重和
として表すもので、その影響大きさΦは時間に依
存せず異時点間の自分に一定の規則性に従った係
わり合いを持ったモデルであり、また、MA モデ
ルは現在の自分を過去の撹乱(ホワイトノイズ)
の加重和として表すもので、同様にその影響力θ
も時間に依存しておらず異時点間の自分に対して
一定の規則性が生じるモデルである。ARMA モデ
ルは、AR モデル及び MA モデルを同時に含むモ
デルである。
一方、データが非定常時系列の場合には自己回
帰和分移動平均モデル(ARIMA(p,d,q)モデル)や季
節変動を考慮した季節性自己回帰和分移動平均モ
デル(SARIMA(p,d,q)モデル)などが用いられてい
る。
-8-
図 3.5 に示すようにアラート件数と同様にホス
ト数もトレンドを持ち非定常時系列である。
また、
大きな季節変動が見受けられないないことから自
己回帰和分移動平均モデル(ARIMA(p,d,q)モデル)
を用いて分析を行った。
非定常時系列では、まず定常時系列に変換する
必要がある。このため与えられた時系列データの
1次階差( d = 1)を取ることによりトレンドを除
去し定常時系列への変換を行った。
その結果を図 3.9 に示す。
100
80
60
40
20
0
-20
-40
-60
-80
03/10/1
03/10/3
03/10/5
03/10/7
03/10/9
03/10/11
03/10/13
03/10/15
03/10/17
03/10/19
03/10/21
03/10/23
03/10/25
03/10/27
03/10/29
03/10/31
03/11/2
03/11/4
03/11/6
03/11/8
03/11/10
03/11/12
03/11/14
03/11/16
03/11/18
03/11/20
03/11/22
03/11/24
03/11/26
03/11/28
03/11/30
03/12/2
03/12/4
03/12/6
03/12/8
03/12/10
03/12/12
03/12/14
03/12/16
03/12/18
03/12/20
ut , ut-1・・・・, ut-p: 時間 t,(t-1), ,・・・・, (t-p)における撹乱項
図 3.9 ホスト数の 1 次階差
次に、与えられた 1 次階差データから自己相関
及び偏自己相関を使用してモデルの p,q を同定す
る必要がある。この1次階差データに対する自己
相関及び偏自己相関を図 3.10 に示す。
図 3.10 に示すように自己相関は 1 次(-0.277)、5
次(-0.238)が有意水準 5%で有意であり、偏自己相
関は 1 次(-0.277)、2 次(-0.260)、5 次(-0.258)が有
意水準 5%で有意となっている。
VAR00001
以上のことからこのモデルには AR 部分及び
MA 部分が含まれていることが予想され、幾つか
の低次の ARMA モデルを作成し検討を行った。
各モデルの推定では、最小二乗法を用いて各係
数の算出を行い、モデルの診断には推定結果より
算出した残差の自己相関について Ljung-Box 検
定を行った。
Ljung-Box 検定は、次の仮説が成立するかどう
かを調べる検定方法である。
1.0
仮説 H0 : ρ(1) = ρ(2) = ρ(3) = ・・・・ = ρ(m) = 0
.5
ρ(1) ,ρ(2),ρ(3)・・・・,ρ(m)は自己相関係数
0.0
ACF
また、Ljung-Box 検定量 Q は次式で表される(7)。
有意水準5%
信頼限界
-.5
係数
-1.0
1
3
2
5
7
4
6
9
8
11
10
13
12
15
14
ラグ値
変容: 差分 (1)
この検定量は自由度(m – p – q)のχ2 分布に
従うことから、
(1) 自己相関
VAR00001
1.0
Q < χ2m-p-q,0.05
.5
となる時に、仮説 H0 が棄却されなければ良い
ことになる。
その結果を表 3.2 に示す。
0.0
有意水準5%
偏
信頼限界
-.5
係数
F
C
A
-1.0
1
3
2
5
4
7
6
9
8
11
10
13
12
15
14
表 3.2
Ljung-Box 検定量と AIC 値
ラグ値
変容: 差分 (1)
(2) 偏自己相関
図 3.10 階差データの自己相関と偏自己相関
また、各モデルの自己相関及び偏自己相関には
表 3.1 に示すような特徴がある。
表 3.1
自己相関
偏自己相関
幾何級数的減衰
ある次数以降切断
MA(q)モデル
ある次数以降切断
幾何級数的減衰
ARMA(p,q)モデル 幾何級数的減衰
情報量基準
AIC
6.732
6.759
6.779
6.759
6.779
6.721
表 3.2 に 示 す Ljung-Box 検 定 量 (Q) は 、
Ljung-Box 検定において、各モデルについても
残差に系列相関が無いという帰無仮説は有意水
準 5%で棄却されなかったため、いずれのモデル
においても妥当性を有している。
また、情報量基準 AIC(Akaike’s Information
Criterion)を用いて算出した値が最小なモデル
は ARIMA(2,1,3) モ デ ル と な り 、 下 記 の
各モデルの自己相関と偏自己相関の特徴
AR(p)モデル
ARIMA モデル Ljung-Box検定量
p
d
q
Q15
1
1
1
15.585
1
1
2
18.836
1
1
3
17.704
2
1
1
19.736
2
1
2
16.014
2
1
3
13.122
幾何級数的減衰
-9-
ARIMA(2,1,3)モデルを最適モデルとして選択
した。
本平均に収束していくことが分かっており(6)、本
モデルによる長期予測では 350 件付近に収束する。
4 おわりに
Y(t) = 2.9624 - 1.0074Y(t-1) - 0.6747Y(t-2)
-Ut + 0.6298U(t-1) - 0.0327U(t-2) - 0.6911U(t-3)
選択した ARIMA(2,1,3)モデルを用いて予測を
行った結果を図 3.11 に示す。
500
観測値
450
予測値
95%信頼区間
今回、検討を行ったような統計情報や定点観測
の 1 時間単位の状況、各種セキュリティ情報など
[email protected]
(http://www.cyberpolice.go.jp)に適宜掲載して
いるので、今後のセキュリティ対策を実施するう
えの資料の一つとして活用していただきたい。
400
350
参考文献
300
件
250
数
(1) 山口 和範 「よくわかる統計解析の基本と仕
組み」秀和システム(2003.4)
(2)「やさしい金融エンジニアリング講座 イールドカ
ーブ」http://www.telerate.co.jp/market
200
150
100
50
図 3.11
/lecture/yield/yield01.html
03/12/31
03/12/29
03/12/27
03/12/25
03/12/23
03/12/21
03/12/19
03/12/17
03/12/15
03/12/13
03/12/11
03/12/9
03/12/7
03/12/5
03/12/3
03/12/1
0
(3)「移動平均線」http://www.soumasa.com/kikaku
ARIMA(2,1,3)モデルによる予測
/semina/ma1.htm
(4)「MACD」 http://www.toyokeizai.co.jp/data
/chartcd/chart26.html
図 3.11 に示すように、1 期先から 3 期先におい
ては観測値に近い値が得られているが、4 期先以
降ではかなりのずれが生じている。しかし 95%信
頼区間を考慮するならば、予測は概ねあてはまっ
ていると考えられる。
また、予測期間が長くなるにつれ推定期間の標
(5)「RSI」 http://www.toyokeizai.co.jp/data/chartcd
/weekly_chart/10rsi.html
(6) 山本 拓 「経済の時系列分析」創文社(1988.2)
(7) 石村 貞夫,ステファニー・リヒャルト 「Excel でやさしく
学ぶ時系列」 東京図書(2002.2)
- 10 -