IIJmio meeting 23 DNSフィルタリングをなぜ行うのか
•
4 likes•25,359 views
IIjmio meeting 23発表資料 http://techlog.iij.ad.jp/archives/2562
Recommended
More Related Content
What's hot
What's hot (20)
Similar to IIJmio meeting 23 DNSフィルタリングをなぜ行うのか
Similar to IIJmio meeting 23 DNSフィルタリングをなぜ行うのか (20)
More from techlog (Internet Initiative Japan Inc.)
More from techlog (Internet Initiative Japan Inc.) (20)
IIJmio meeting 23 DNSフィルタリングをなぜ行うのか
- 1. 1© Internet Initiative Japan Inc. なぜDNSフィルタリングを行うのか IIJmio meeting 23 株式会社インターネットイニシアティブ 堂前清隆 (doumae@iij.ad.jp) https://twitter.com/IIJ_doumae https://www.facebook.com/kdoumae
- 3. 3 本日取り扱う内容 • 本日取り扱う「DNSフィルタリング」は、2019年7月1日 より開始予定※の、「セキュリティ対策のためのDNSフィ ルタリング」です • ※IIJmio各サーサービスでの開始予定日 • IIJの他のサービスでは開始日が異なります • 以下の「フィルタリング」は、本日取り扱いません • 一部言及はあります • 児童ポルノ対策のためのDNSフィルタリング • 著作権保護のためのDNSフィルタリング (海賊版サイトブロッキング) • 青少年保護のためのWebフィルタリング • 海賊版サイトブロッキングと通信の秘密については、 2018年7月のIIJmio meeting 20で取り上げています • http://techlog.iij.ad.jp/contents/iijmio-meeting
- 4. 4 IIJmioでのDNSフィルタリングの進捗について • 今回IIJが導入を予定しているDNSフィルタリングは、 セキュリティ対策が目的です • 著作権保護目的、海賊版サイト対策ではありません • IIJmioでの開始は2019年7月1日を予定しています • 現時点で、まだ開始していません • 利用者の皆様への事前告知を進めています • 3/1にIIJmio Web掲載開始 • 同時にメールでの案内も開始 • https://www.iijmio.jp/info/iij/1551402001-11890.html • このセッションでは、IIJが考える「DNSフィルタリング」 の必要性について、ご説明いたします
- 7. 7 サービス妨害攻撃とは? サービス妨害攻撃 (DoS攻撃) • コンピュータ(例: Webサーバ)に対して、大量の通信を送り つけることで、正常な動作を妨害すること • 恐喝 • 「金を払わないとお前のサーバを攻撃するぞ」 • 主義主張 • 「お前のことが気に食わないからサーバ止めてやる」 • いたずら・愉快犯 • 「俺TUEEEEE」 大量の通信一般の利用者 悪者 大量の通信で負荷が高くなり 正常に応答できない サーバ
- 8. 8 インターネット上のDoS攻撃の状況 インターネット上では日常的にDoS攻撃が発生しています。 IIJのSOC (セキュリティオペレー ションセンター)では、インターネッ ト上の攻撃動向を毎月レポートして います。 wizSafe Security Signal 2019年2月 観測レポート https://wizsafe.iij.ad.jp/2019/03/610/ 右のグラフは比較的平穏な時期。 IIJの設備で対応した攻撃のみ。 それでも月間400件以上の攻撃を 検知し、対応しています。
- 9. 9 DDoS攻撃 DDoS攻撃(分散型DoS攻撃)と呼ばれるタイプの大規模攻撃が 増えています 素朴な攻撃 (DoS攻撃) 悪者が自分で攻撃ツール (プログラム)を動かす 高度な攻撃 (DDoS攻撃) 悪者が多数のコンピュータを 経由して攻撃を行う リフレクション攻撃やbotnetの利用 悪者 悪者 攻撃の規模は そこそこ 攻撃者が特定 されるので 防ぎやすい 攻撃が大規模化 することも あちこちから攻 撃が来るので 防ぎにくい
- 10. 10 DDoSとbotnet 特に最近問題になっているのは、botnetを使ったDDoS攻撃 • botnet (ぼっとねっと) • ロボット(bot)のように操作される機器のネットワーク(net) • 「マルウェア」(不正ソフトウェア)によって、機器が操られます • 規模が大きいものでは、数万台~数十万台の機器が攻撃に使われ ることも • botnetに使われるのは、一般家庭やオフィスにある機器 1. 悪者がインターネット上の機器にマルウェア を感染させbot化する 2. 大量のbotを操作し、ターゲットを一斉に攻撃する ターゲットのサーバ 家庭や会社にある機器 悪者
- 11. 11 なぜbotnetが使われるのか • 攻撃を大規模化させやすい • botnetに使われるのは、無関係な人が設置した機器 • たくさんの機器を集めれば、大規模な攻撃が可能 • 悪者が身元を隠しやすい • 実際に攻撃しているのは、無関係な人が設置した機器 • 攻撃をたどっても真犯人にたどり着けない botnet 構築者 マルウェアを駆使して多数 の機器をbot化する botnet 利用者 botnetを借り受けて、 脅迫行為や示威行為を行う アンダーグラウンドでは分業・ビジネス化も…… botnet提供 botnet利用料の支払い
- 12. 12 DDoS攻撃による被害の例 様々なサイトが被害に遭っています • 政府・自治体 • ネット通販 • SNSやblogサービス • オンラインゲーム • 株・FX・仮想通貨取引所 大きな経済損失が出ています。 : https://jp.finalfantasyxiv.com/lodestone/news/detail/60713eb72c1afa8b2500135ed5c414cac33c2ca6
- 13. 13 DoS攻撃への対抗策
- 15. 15 影響緩和策のデメリット • CDN • 大量の通信が発生すると費用が高額になる • DDoS攻撃分の通信には課金しないCDNもありますが、 その分のコストは利用者全体で負担していることになります • DDoS防御サービス • 機器が高い • 一般的なファイアウオールとは異なる機器、価格が高い • 設備が大規模になる • 防御機器を設置する場所に強力なネットワークが必要 DDoS防御機器 この部分のネットワークが貧弱だと、 攻撃だけでネットワークが埋まってしまう
- 16. 16 DDoS対策ビジネス CDN・DDoS防御サービスがビジネスになっているのは事実 • IIJでもCDN・DDoS防御サービスを提供しています • お客様(サーバ設置者)から費用をいただいています • 現時点では現実的に必要なものだと考えています IIJ DDoSプロテクションサービスではテラビットクラスのDDoS攻撃に対応可能な基盤を整備しています
- 19. 19 botnetに使われるような機器が悪い • botnetに使われる機器がなければ • 攻撃自体が小規模になる • 悪者が身元を隠しにくくなる • そもそもbotnetはどうやって作られるのか? botnetに使われるような機器が 大量に放置されているのが問題ではないか?
- 20. 20 脆弱性スキャン活動 世の中には多数の脆弱(ぜいじゃく)な機器があります。 • 欠陥(セキュリティホール)がある機器 • 出荷時からパスワードが変更されていない機器 • 出荷時、同じ機種すべてで同じパスワードが設定されている • 不十分な設定の機器 • 正しく設定すれば安全に使えるが、設定が不十分なために 隙ができている • botnet構築者はこのような機器を探しています • 脆弱な機器が見つかると、その機器にbotnetとして動作さ せるためのプログラム(マルウェアの一種)を送り込みます
- 21. 21 botnetが利用する機器 • botnetは家庭にある様々な機器を利用します。 • 意外な機器が、botnetに利用されることが増えてきました。 パソコン ブロードバン ドルータ • 内部でLinuxなどの汎用OSが動いていることが多く、比較的高度なプログラムが動かせます。 • セキュリティ対策が意識されることが少なく、脆弱な機器が脆弱なまま放置されがちです。 • 常時電源が入っており、一度bot化すると、継続的に悪用される可能性が高いです。 スマートフォン プリンタ NAS TV レコーダー ネットワーク カメラ センサー リモコン いわゆる「IoT機器」は、インターネットにつながっていることが忘れられがち…
- 22. 22 Mirai botとその亜種 Mirai botはIoT機器を主なターゲットにしたbotプログラム (2016年8月に発見される) https://sect.iij.ad.jp/d/2017/12/074702.html IIJでは観測より、Miraiとその亜種が 2017年11月に日本でも急増していた と推測しています。 10月に400台 → 11月に4万台 (全世界で30万台クラス) ※感染活動を観測したユニークIPアドレスから推計 botnetは短期間で急速に巨大化することがあります 感染機能 Mirai bot内に感染対象を探す機能を内蔵。 bot内にありがちなパスワードの一覧を持って おり、指定範囲のIPアドレスをスキャンして 侵入を試みる。侵入に成功すると、対象にマ ルウェアを送り込みbot化する。 攻撃機能 Mirai botに感染すると、botnet構築者からの 指令待ちの状態となる。 botnet構築者がインターネット経由で指令す ると、攻撃活動を開始。
- 23. 23 Mirai 亜種 大規模感染事例 ロジテックブランドのブロードバンドルーターに大量感染 https://internet.watch.impress.co.jp/docs/news/1097777.html 対象機器は2009年8月~2016年2月に 販売された11機種 合計92万台出荷。 該当機種は、2012年に脆弱性が発覚。 以降、ロジテック・ISP・ ICT-ISAC ・ JPCERT/CC ・NISC・IPA・NICT・警察 などが継続的に対策に当たっているもの の、未だに根絶できていない! https://www.keishicho.metro.tokyo.jp/smph/kurashi/cyber/security/lo gitec_wirelesslan.html
- 24. 24 ロジテック!? 破壊したはずでは…… これまでの経緯 (INTERNET Watchより) 2012.05.16 脆弱性発表 ロジテックの無線LANルーター「LAN-W300N/R」など3製品に脆弱性 (2012.05.17) https://internet.watch.impress.co.jp/docs/news/533501.html 対象となるのは、2009年に発売したIEEE 802.11n/b/g準拠の無線LANルーター「LAN-W300N/R」、簡易包装版の 「LAN-W300N/RS」、同ルーターとUSB無線LANアダプターとのセット製品「LAN-W300N/RU2」。 ロジテック、無線ルーター3製品の脆弱性修正ファームウェア、すでに攻撃も (2015.05.25) https://internet.watch.impress.co.jp/docs/news/535514.html JPCERT/CCコーディネーションセンター(JPCERT/CC)によると、この脆弱性を使用した攻撃活動が行われてい ることを確認しており、ISP接続情報が外部から取得される被害が発生している可能性もあるとしている。 2013.08.20 再度注意喚起 OCN認証ID・パスワード流出、ロジテック製ルーターの脆弱性を突かれた可能性 (2013.08.20) https://internet.watch.impress.co.jp/docs/news/611788.html なお、NTT Comによるセキュリティ調査は、インターネット側から簡易な通信コマンドをブロードバンドルー ターに送信し、その応答から脆弱性の有無を確認するもの。会員のインターネット通信に負荷をかけたり、ブロード バンドルーターにログインすることはないとしている。調査期間は8月20日から10月31日までで、一般財団法人日本 データ通信協会のテレコム・アイザック推進会議(Telecom-ISAC Japan)と協力して実施する。会員が利用してい る宅内機器の脆弱性を調査して、該当する会員に個別に対策を求める取り組みは、ISPとしては国内で初めてだとい う。 2015.06.02 再度注意喚起 警視庁、ロジテックの古い無線LANルーターを狙った攻撃を確認、該当製品ユーザーはアップデートを (2015.06.02) https://internet.watch.impress.co.jp/docs/news/705047.html 2017.12.19 Miraiによる脆弱性活用 Mirai亜種が国内の最大2万4000ホストに感染、ロジテック製Wi-Fiルーターの脆弱性を悪用 (2017.12.19) https://internet.watch.impress.co.jp/docs/news/1097777.html
- 25. 25 一度流通してしまった機器を対策するのは極めて大変 • ロジテックも頑張っています • 無償アップデートを用意しています • ISPも頑張っています • ロジテック製品を使っていると思われるお客様に、電話で連絡し て対策を依頼しています • でも、未だに脆弱な機器が残っています…… • あくまでお客様がご自身で購入した機器なので、お客様自身に対 応いただく必要があります • 脆弱性情報、アップデート情報を追いかけていただきたい • しかし、セキュリティに関心がない普通の方にはハードルが高い セキュリティ? 間に合ってます うちにそんな 機械ありません 俺は困って ない! ファームウェア アップデート? なにそれ?
- 27. 27 botに対して先手を打つために 「NOTICEプロジェクト」 • インターネットをスキャンして「脆弱な機器」を探し、 所有者に注意喚起するプロジェクト • 「脆弱な機器を探すこと」自体が不正アクセス禁止法 に抵触する可能性があったため、法律を改正し、国の 機関(NICT)が限定的に行う業務についてのみ、違法行 為から除外 https://www.nict.go.jp/press/2019/02/01-1.html NOTICE開始前より、インター ネット上では、Mirai botに限ら ず、脆弱な機器を探すためのス キャンが吹き荒れています。 これらの多くは、悪者による攻 撃準備の活動だと思われます。 (悪者は法律を無視してスキャン を行っています)
- 28. 28 そもそも脆弱な機器を販売するのが悪いのでは? • IoT機器のセキュリティ基準が検討されています • 利用開始時にパスワードを強制変更させる • 自動アップデート機能を盛り込む http://www.soumu.go.jp/menu_news/s-news/01kiban05_02000172.html 技術基準 適合認定制度 端末設備等規則等の一部改正について ーIoTの普及に対応した電気通信設備の技術基準等に関する制度整備ー
- 29. 29 しかし、状況は予断を許しません • 最近の傾向 • 海外メーカーが日本市場で直接販売 • Amazonや海外通販サイトの日本語対応 • ハードウェアスタートアップの流行 • クラウドファンディングによる販売 • ノウハウ・体力が無い事業者がハードウェアビジネスに参入 • 大量に製品が出回った後に、脆弱性が発覚。 しかしメーカーが撤退(倒産)しているという可能性もある 基準に沿った製品がつくれる? 何かあったときに対応できる?
- 30. 30 botnetの不活性化
- 31. 31 botnetの仕組みのおさらい 1. 悪者がインターネット上の機器にマルウェアを感染させ bot化する 2. 大量のbotを操作し、ターゲットを一斉に攻撃する 多くの場合、悪者はbotを制御するために、C&Cサーバ (Command and Controlサーバ) を設置します 悪者 C&Cサーバ botは常にC&Cと通信しており 悪者からの指令を待ち受けている 大量のbotの管理と、命令の中継を行う
- 32. 32 C&Cサーバがbotnetのキモ • C&Cサーバを潰せばbotnetを無効化できるのでは? (botnetのtakedown) 1. C&Cサーバを止める・押収する 2. C&Cサーバとの通信を阻害する 悪者 C&Cからの指令がなければ、 潜伏状態のままになるbotが多い C&Cサーバ 1.止める 2.通信阻害
- 33. 33 botnet takedown • C&Cサーバ自体を撤去・押収する試みも行われています • FBIなどの法執行機関とセキュリティ会社の協力 • 非常に大がかりな活動となる • botnet側も対策をとるようになりました • 複数のC&Cサーバを用意する • P2PタイプのC&Cサーバ を利用する、など https://www.antiphishing.jp/news/pdf/apcseminar2013microsoft.pdf
- 34. 34 DNSフィルタリングによるC&Cとの通信阻害 • botがC&Cサーバと通信する手順 1. botがC&CサーバのIPアドレスを確認 2. ISPのDNSサーバが、C&CサーバのIPアドレスを応答 3. botがC&Cサーバと通信を開始 4. 攻撃活動 ISPのDNSサーバ DNS Rootサーバ .comのDNSサーバ example.comのDNSサーバ C&Cサーバ commander.example.com IPアドレス xxx.xxx.xx.xx C&Cサーバは どこにある? (IPアドレス) C&Cサーバの IPアドレスは xxx.xxx.xx.xx 2 1 3 4 1~3は通常のインターネット利用 でも使われる手順。(Webの閲覧など)
- 35. 35 DNSフィルタリングによるC&Cとの通信阻害 • DNSフィルタリングが動作する場合 1. botがC&CサーバのIPアドレスを確認 2. ISPのDNSサーバが、偽の応答を返す 3. botはC&Cサーバと通信できない → 潜伏状態のまま ISPのDNSサーバ DNS Rootサーバ .comのDNSサーバ example.comのDNSサーバ C&Cサーバは どこにある? (IPアドレス) C&Cサーバの IPアドレスは ZZZ.ZZZ.ZZ.Z 2 1 3 C&Cサーバ commander.example.com IPアドレス xxx.xxx.xx.xx
- 37. 37 DNSフィルタリングの対象 DNSは、Web閲覧やアプリの動作でも使われています。 • DNSフィルタリングの対象は、特定のC&Cサーバのみ • その他のホスト名は対象外です Q. DNSフィルタリングでWebやアプリの利用に影響が出るの? A. 影響がでないようにします ※児童ポルノサイトについては後述 IIJが設置している センサーの情報 セキュリティ機器のログ (ファイアウォールなど) ※許可を得たもののみ IIJのアナリストが確保した マルウェアを分析した結果 ※いわゆる「ビッグデータ」 アナリストが検討 • botnetの動向 • 副作用 フィルタリング対象 決定
- 44. 44 電気通信事業者と通信の秘密 • 電気通信事業者には通信の秘密を守る義務があります。 • 一方、電気通信事業を営む上で、通信の秘密に触れざるを 得ないこともあります。 • 違法性阻却事由(いほうせいそきゃくじゆう)に該当すれば、 通信の秘密を侵害していても違法(犯罪)ではありません。 IIJmio meeting 20より • 正当業務行為 • パケットのルーティング • 機器増設検討のための統計データの収集 • 正当防衛 • DoS攻撃への対処 • 緊急避難 • 児童ポルノサイトのブロッキング など
- 45. 45 違法性阻却事由 特定の立場の独断で「違法性阻却事由」と解釈していいわけ ではありません。 • 児童ポルノブロッキングの実施は、2008年~2011年にか けて、様々な立場の意見を集約し、合意形成を行いました IIJmio meeting 20より 一方、2018年に盛り上がった「海 賊版対策のためのDNSブロッキン グ」は、十分な議論が行われない まま、一部の立場の人たちが導入 を進めようとしていたため紛糾。
- 46. 46 サイバー攻撃に対するガイドラインの作成 これまで10年以上議論を積み重ねてきました インターネットの安定的な運用に関する 協議会 (ISP業界団体) 2007年5月 電気通信事業者におけるサイバー攻撃等への対 処と通信の秘密に関するガイドライン (第1版) 2011年3月 電気通信事業者におけるサイバー攻撃等への対 処と通信の秘密に関するガイドライン (第2版) 2018年11月 電気通信事業者におけるサイバー攻撃等への対 処と通信の秘密に関するガイドライン (第5版) 2014年3月 電気通信事業におけるサイバー攻撃への適正な 対処の在り方に関する研究会第一次とりまとめ 電気通信事業におけるサイバー攻撃への 適正な対処の在り方に関する研究会 (総務省・有識者・消費者団体・ISP) 2015年11月 電気通信事業者におけるサイバー攻撃等への対 処と通信の秘密に関するガイドライン (第4版) 2014年7月 電気通信事業者におけるサイバー攻撃等への対 処と通信の秘密に関するガイドライン (第3版)2015年9月 電気通信事業におけるサイバー攻撃への適正な 対処の在り方に関する研究会第二次とりまとめ 2018年9月 電気通信事業におけるサイバー攻撃への適正な 対処の在り方に関する研究会第三次とりまとめ
- 47. 47 DNSフィルタによるC&Cサーバとの通信の阻害 「電気通信事業におけるサイバー攻撃への適正な対処の在り 方に関する研究会第二次とりまとめ」の中で、C&Cサーバと の通信の阻害にも言及されています • マルウェアがもたらす被害について • C&Cサーバとの通信阻害がどのような効果をもたらすか • 通信の秘密との兼ね合いをどう整理するか http://www.soumu.go.jp/main_content/000376396.pdf IIJでも、このとりまとめ、 およびガイドラインに 沿ってDNSフィルタリング を実施する予定です。
- 49. 49 まとめ:なぜIIJはDNSフィルタリングを行うのか • 現在のインターネットは物騒です • DDoS攻撃が日常的に飛び交っています • DDoS攻撃を防ぐだけでなく、攻撃を発生させない方向へ • botnet対策は攻撃を発生させないために重要 • 様々な手法でbotnet対策が進められています • 脆弱な機器の調査や、セキュリティ基準の策定など • botnetの不活性化のために、DNSフィルタリングが有効 • 無関心な方への対策として「オプトアウト」が必要 • 行政や有識者を交えて長年議論を積み重ねてきました • 法律やガイドラインが整い、実施の運びとなりました