IIJ Technical WEEK 2012 Day3 #iij_tw2012
-
IIJ_doumae
- 6116
- 0
- 4
- 6
-
- いいね!6
堂前@IIJ
@IIJ_doumae
不正アクセス禁止法改正の骨子。悪用目的で他人の識別子を不正取得すること、他人の識別子を保管することを禁止。識別子の入力を不正に供給する行為の禁止(フィッシング対策)。民間のセキュリティ事業者との情報交換。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:54:17
堂前@IIJ
@IIJ_doumae
情報共有で成果を上げた成功事例。DCWG。DNS Changer対策のWG。マルウェアは同定されすでに駆除可能に。犯行グループも逮捕。感染者(被害を受けた人)への援助。ここまできれいにカタをついた件ははじめて。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:56:32
まつもとりー / Ryosuke Matsumoto
@matsumotory
不正アクセスに悪用する目的で、他人のIDやパスワードを不正な手段で取得したり、保管したりする行為が、不正アクセス禁止法改正で禁止されている。また、警察から民間の事業者団体などへの情報提供など援助の義務の条文も追加。 #iij_tw2012
2012-11-16 13:57:06
堂前@IIJ
@IIJ_doumae
Operation Ghost Click。アンチウイルスベンダ(特にトレンドマイクロ)、FBI(各国の捜査機関)、DCWG(大学や研究機関、事業者の混成部隊)の活躍。さらにそこに協力した事業者たち。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:58:57
堂前@IIJ
@IIJ_doumae
DNS Changer概要: 感染PCが参照するDNSサーバを勝手に書き換えてトラフィックを不正に誘導する。最盛期で400万台が感染したと言われている。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 13:59:51
堂前@IIJ
@IIJ_doumae
2005年、アンチウイルスベンダによる検出。2006年、トレンドマイクロが犯人グループを把握。2008年、テイクダウンの努力。このときは完全に追い詰められず。昨年についに犯人グループの検挙に成功。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:01:05
まつもとりー / Ryosuke Matsumoto
@matsumotory
DNS Changerって2005年くらいからの話だったのか。2011年に犯行グループを逮捕しているけど、まだ逃亡中のロシア人もいるのね。DNS Changerの犯行の仕組みはシンプルで、感染したPCのDNSを犯行グループが用意したDNSに向ける方法 #iij_tw2012
2012-11-16 14:02:03
堂前@IIJ
@IIJ_doumae
DNS Changerの挙動。OSの設定を勝手に書き換える。簡単な方法なので一般的なコマンドで感染を確認できるが、普通の人はあまり設定を見ないので気づかない。いつの間にかアクセスが不正なサーバに誘導される。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:03:35
堂前@IIJ
@IIJ_doumae
偽物の広告に差し替えられる。広告業界に金銭的な被害が出ていた。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:04:23
まつもとりー / Ryosuke Matsumoto
@matsumotory
自分の検証サーバでもresolve.confやhostsに怪しいエントリを数千書いてるし、結構簡単なんだろうな。DNS Changer。偽DNSエントリは1万4千で、検索とか広告サイトのエントリが多数。#iij_tw2012
2012-11-16 14:05:12
堂前@IIJ
@IIJ_doumae
犯人グループの逮捕。エストニアの企業グループが中心。会社組織の犯行。実行していたのはサラリーマンだった。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:05:54
堂前@IIJ
@IIJ_doumae
逮捕の瞬間にサーバが押収されている。これはトラフィック誘導用のDNSサーバ。これを停止すると、DNS Changer感染者がインターネットを利用できなくなる。これに対応するためFBIが代替のサーバを構築した。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:06:53
まつもとりー / Ryosuke Matsumoto
@matsumotory
DNS Changerの犯行グループを捕まえて、FBIが偽DNS環境を改修した時に、当時感染しているであろう55万台はInternetを使えなくなると予想されたが、ISCによって感染者対象のDNS参照サーバを稼働させてそれを防いだ。#iij_tw2012
2012-11-16 14:07:32
堂前@IIJ
@IIJ_doumae
代替のサーバで時間を稼いでいる間に感染者に適切な設定に戻すように連絡。回復の支援を行った。4月9日に代替サーバ停止。被害を受ける人をかなり減らすことができた。日本でも関連団体から注意喚起や対応が行われた。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:08:37
堂前@IIJ
@IIJ_doumae
DCWGやJPNICのWebにアクセスすると感染の有無がわかるような仕組みの導入。GoogleやFacebookにアクセスした際にも警告が表示されるようになっていた。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:09:48
まつもとりー / Ryosuke Matsumoto
@matsumotory
DNS Changerに感染している恐れがあれば、Googleで検索したりFacebookでログインしたときに警告が出るので、それで気づけるかも。今でも世界で20万台程完成しているというデータがある。#iij_tw2012
2012-11-16 14:10:29
堂前@IIJ
@IIJ_doumae
国内の対策。代替DNSサーバが停止されたときにクレームが出る可能性があったので対応することに。ISPがDCWGから情報提供を受け、個別に連絡するなどして救済を試みた。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:11:17
まつもとりー / Ryosuke Matsumoto
@matsumotory
DNS Changerの日本国内の感染者数は2012年7月9日時点で5522 #iij_tw2012
2012-11-16 14:11:54
堂前@IIJ
@IIJ_doumae
この事件の対策の全体像をイメージできた人がいたからこそ、ここまでうまく幕引きができた。トレンドマイクロ、FBIの人。それぞれの立場の人が立場を超えて協力している。法執行機関がわざわざ代替DNSサーバを用意するなど #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:12:50
堂前@IIJ
@IIJ_doumae
この協力体制を動かすためには、立場の違う機関の間でどう情報を受け渡すかが重要だったと考えている。DCWGが、必要な人に必要なタイミングで情報を供給できたと言うことが大きい。その背景になる信頼醸成も。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:15:27
Yasuhiro Morishita
@OrangeMorishita
ちなみに「当たり」=FBIが提供していたキャッシュDNSサーバーのIPアドレスブロック #iij_tw2012
2012-11-16 14:18:12
まつもとりー / Ryosuke Matsumoto
@matsumotory
「DNS Changerを幕引きにもってこれたのは、対策の全体像をイメージできる人がいて、それらがそれぞれの立場以上の事を手弁当でやったこと、後は適切に得られる情報を共有したり開示したりする事ができたからだと思われる。」群衆の叡智だけじゃダメだろうね。 #iij_tw2012
2012-11-16 14:18:49
堂前@IIJ
@IIJ_doumae
世間での情報共有の事例(1)ピッキング対策の件で、警察と錠前業界間の情報共有。(2)感染症の情報共有。感染者が見つかった場合情報を共有することが法律で義務づけられている。情報を集約・公表するフローが決まっている。 #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:19:12
堂前@IIJ
@IIJ_doumae
IT業界での情報共有は法的な裏付けがない。必要があるので行ってきた。今後そのような枠組みを整備してゆく必要があるのではないだろうか? #iij_tw2012 http://t.co/p3V6q3dq
2012-11-16 14:19:55