![[レポート]緊急避難所向け Azazel システム:Raspberry Pi 上で迅速に展開可能なポータブル SOC/NOC - CODE BLUE 2025 #codeblue_jp #codeblue_2025](https://images.ctfassets.net/ct0aopd36mqt/53aEHmXFPPsgSRlZMgwigR/9168fdbe38f267c90cd54b19df1680be/000_codeblue_2025.jpg?w=3840&fm=webp)
[レポート]緊急避難所向け Azazel システム:Raspberry Pi 上で迅速に展開可能なポータブル SOC/NOC - CODE BLUE 2025 #codeblue_jp #codeblue_2025
あしざわです。
本記事はCODE BLUE 2025で行われた以下のセッションのレポートです。
セッション情報
During war or disasters, temporary evacuation shelters and volunteer field hospitals become the softest cyber targets. Yet they still need Wi-Fi for MyNumber identity checks, EMR exchange and supply tracking, while lacking SOC staff, stable power or bandwidth. We present Azazel System, an open-source "Cyber Scapegoat Gateway" on a single Raspberry Pi 5 that boots a full SOC/NOC—Suricata IDS/IPS, OpenCanary decoys, Vector log pipeline, Mattermost alerts—within 15 minutes. We share architecture, field tests (30 s detection, 12 % compromise rate, 13 W), and the legal model that lets volunteers run it under Japan's new Active Cyber Defense rules. Takeaways: ① build & image the device, ② tune latency-injection to slow attackers, ③ integrate with 00000JAPAN or LEO-satellite links. Live demo and open-source image provided.
Speakers: 杉田 誠 Makoto Sugita
レポート
概要
- 災害や戦争の現場で使うことを想定
- アザゼルパイ = アザゼルシステムを搭載したラズベリーパイ
- 1つの答えとしての提案
- 攻撃に対して無力では終わらないことを意識
アジェンダ
- なぜ避難所や医療拠点を守る必要があるのか
- アザゼルシステムのコンセプト・アーキテクチャ
- デモ
- 機能
- 実際に避難所に持ち込むためのロードマップ、法的意識
- 核となるメッセージ
なぜ避難所や医療拠点を守る必要があるのか
- 近い将来起きる可能性のある災害
- 南海トラフなど
- 避難所や医療システムが逼迫する
- 台湾有事
- 日本を含む周辺地域の物流に影響が出る
- どちらも多くの避難民が生まれる
- 避難所の通信を守ることに焦点
- 南海トラフなど
- 大規模災害のインフラ
- 生き残ったシステムに通信が集中する
- 既存の災害研究で発覚しているリスク
- 災害時はネットワークそのものが壊れる
- 災害時に誰が守られていないのか
- 避難所では無防備なWiFiへの接続を強いられる
- 救う側も同じ回線に接続する
- 攻撃者にとっては狙いやすい
- 避難所に偽のアクセスポイントを設置する
- 偽の食料配布情報をSMSで送信する
- これらは被災者にとって重大な脅威となる
- ウクライナの事例
- 支援団体やNGOがマルウェア攻撃やジャミング攻撃を受けた
- 2025年にはロシア系の攻撃者グループが「Evilginx」を使って20以上のNGOの認証情報を盗み出した記録がある(セッション内で言及)
- 支援拠点は攻撃対象にならないという性善説の前提はすでに崩れている
アザゼルシステムのコンセプト・アーキテクチャ
- コンセプト
- 「敵を戦場に拘束する」という日本の戦術思想を前提に組んだもの
- ただ防ぐだけではなく、戦場に引き留め、行動を制限し、味方が反撃を準備するための時間を稼ぐ
- 防御側が主導権を持ち続ける
- 「後の先」の考え方
- 見た目は後手に回っているが、敵の動きを制御することで優位に立っている状態
- アザゼルシステム = サイバースケープゴートゲートウェイ
- アーキテクチャ
- 通常の避難所
- 避難民もスタッフも同じWiFi APを共有している
- ゲートウェイの防御レイヤーがない
- 偽のAPやMan-in-the-Middleがあっても検知・防御できない
- アザゼルシステムを組み込んだ構成
- 避難所WiFiと医療機関の間にアザゼルパイを配置
- 攻撃者のトラフィックはアザゼルシステムに吸い寄せられ、デコイ・遅延・待機制御を仕掛けられる
- 通常の避難所
- 詳細アーキテクチャ
- 通信経路:避難所LAN → アザゼルパイ → インターネット
- Detection &Deception
- Suricata IDS/IPS
- OpenCanary デコイ
- Control & Delay
- 遅延、ブロッキング、ロックダウンなどの複数のモードを用意
- 医療や重要な通信は優先的に通過させる
- Mattermostへの通知
- Intelligence & Scoring
- Suricataなどで検知したものをスコアリング、モードを引き上げる
- Operations & Visibility
- モードの手動変更や状態の確認
デモ
- 起動から準備まで
- 90秒で実施完了、実際は1分で終わる
- 実際の被災地ではどれくらいで完了できるのかが非常に重要
- 検知からデコイまで
- 全体の流れ
- SSHブルートフォース攻撃を受ける
- アザゼルシステムがハンドリング
- Opencanaryに転送され、トラフィックコントロールする
- デモ画面の様子
- Suricataログは常時流れている
- 攻撃時、アザゼルパイのPythonがOpencanaryにログを流す
- 攻撃が止まるとOpencanaryのログが止まる
- Suricataのアラートは別途通知される
- ログは将来的にSIEMで分析可能
- 全体の流れ
機能
- 本日の機能
- Suricata、OpencanaryのアラートをローカルLLMで分析
- スコアリング結果に応じてモードを変更
- Mattermostの通知内容の変更
- 将来的な機能
- QRコードログインによるセーフポータルの実装
- AIによるQoSのトリアージ:誰がどの役割なのかを判断するためのポリシー案をAIが提案
- 本当の利用者の立場に立った機能の実装
実装に向けたロードマップ、法制度や倫理面対策
- 現在は開発段階、ラボ環境でのプロトタイプ
- 攻撃は防げる状態
- 次
- 机上演習:避難所を想定した環境でのテスト
- 小規模の避難所での検証
- 複数の避難所での検証、テスト
- 小規模自治体との協力・連携
- 国はこういった対策を積極的に進めていくが、予算の限られた自治体にこそ役立てたい
- 法制度や倫理面
- 防御のみを実装、ハックバックはやらない
- 運用者との合意の透明性
- ロギングの最小化:メタデータや統計情報のみを
- 有事のみの実行:平時では実行しない
核となるメッセージ
- Protect:避難者や通信そのもの、守る対象はサーバーや機密情報ではない
- Delay:攻撃者の時間と自由をコントロールすること、攻撃をゼロにするのではない
- 防御を時間の戦いと捉え直す
- Sustain:どれだけ攻撃されても最低限必要なネットワークを切らさない、止めない
- 予算はあまりかからない、必要なのはRaspberry Pi 5のみ
- 助けて欲しいこと
- ラボや机上演習でテストしてほしい
- 協力者を募りたい:実際に避難所や医療現場のパイロットの関心がある人
- 設計そのものに対するフィードバック:セキュリティ、リーガル、人道支援の観点
感想
何よりも予算が限られた小規模避難所、医療施設のためというアザゼルシステムの思想が素晴らしいと思いました。
南海トラフや台湾有事などニュースでよく聞く目下の脅威に対して、組織ではなく個人として開発や登壇活動を積極的にされている点に心動かされました。
アザゼルシステムの構成も、小規模なSOC/NOCのアーキテクチャとして参考になりそうです。
私も分野は異なりますがセキュリティの活動、頑張っていこうと思いました!
