IIJ Technical WEEK 2013 3日目 #iij_tw2013

堂前@IIJ @IIJ_doumae

水飲み場型攻撃。攻撃対象になる機関からのアクセスが行われたときだけ、感染行動をとるようなもの。広く感染活動をするわけではないので見つけにくい。実際に効果があるかどうかはともかくとして、そういう手法もある。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

DDoS。100Gbps〜300Gbpsを越えるような「無駄な通信」による攻撃が行われるケースでも。IIJでも4Gbpsクラス(ピーク時10Gbps)を越える攻撃を観測し、ハンドリングした。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

毎年9/18に中国から攻撃が来る…が、今年は攻撃がなかったように見える。。小規模な改竄はあった。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

詳しく見ると瞬間的に4Gbpsクラスのトラフィックが観測されたりもしている。これから、攻撃を行う気がなかった訳ではなく、効果的な攻撃ができなかっただけではないかと推測している。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

3.20韓国で発生したサイバーテロ。社内のPCをアップデートするための仕組みを乗っ取り、マルウェアを拡散させた。破壊活動(HDD破壊)も伴った。MBR書き換え、rm -rf / をマルウェアが実行した。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

これはテロ行為。明確にターゲット企業の活動を止めようとしたという意思が感じられる。これこそサイバーテロと言えるかもしれない。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

ホームルータのセキュリティ。インターネットでは「誰が悪い」と非難することが難しい事件が起こることがしばしばあるが、これもその一つ。「家庭のネットワーク」が問題になってきている。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

今までは「インターネットを使う」ために家庭内ネットワークがあったが、今は白物家電なども家庭内ネットワークを利用している。リモコン系の家電がインターネット系の技術を使っていることも。攻撃に利用されうる可能性。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

一つの例。韓国製インターネットTV。ビデオチャットの機能があるが、このカメラをインターネットからONにできる脆弱性が。家庭内が盗撮されてしまうという問題。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

家庭内インターネットのコアにあるのは、家電量販店で販売している無線LANルータ。これらはエンドユーザさんがそれぞれ購入されている。選択基準は見た目がよいから、など。事業者はどんなルータが設置か把握していない。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

家庭ネットワークの肝になっているこれらの装置が外部から侵入された場合、どのようなリスクがあるのか考えてみてほしい。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

ブラジル・EUの例。特定のミドルウェアを使った複数の製品の脆弱性。インターネットから侵入されて、参照用DNSサーバが勝手に書き換えられる。ブラジルでは最大450万台が書き換えられたという話。一昨年。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

参照DNSサーバが書き換えられて、偽のサイトに誘導された。銀行口座が乗っ取られるマルウェアが感染させられるなどの被害に発展。ブロードバンドルータの設定が書き換えられており、パソコンを見てもわからない。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

国内でも特定の製品で似たような事件があった。ルータ管理のための初期ID/PWが固定。初期状態でインターネットからアクセス可能。購入後そのまま使うと外部から簡単に攻撃可能。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

メーカー自身も気づいていてマニュアルには「設定を変更してから使うように」と記載。しかし、多くの利用者はつながりさえすればそういう部分には意識を向けない。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

機器内に設定情報(接続ID・パスワード)が平文で残っていて画面に表示される。侵入されるとこの情報が抜き取られる。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

ISPグループでも2012年3月に認識。5月に注意喚起。メーカーの修正ファームは9月にリリース。2013年8月に再度注意喚起。しかし、今でも50万台程度が古いファームウェアのまま残っている。 #iij_tw2013 http://t.co/RRBdP8Dr1V

Mamoru Saito @msaitotypeR

あれ？ 僕50万台といいました？ 報道に出たのは 30万台でした @IIJ_doumae ISPグループでも2012年3月に認識。（略）しかし、今でも50万台程度が古いファームウェアのまま残っている。 #iij_tw2013 http://t.co/UVWsxauCQF

堂前@IIJ @IIJ_doumae

.@msaitotypeR 申し訳ありません。聞き間違いor typoかと。訂正Tweetを行います。 @IIJ_doumae #iij_tw2013 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

訂正:齋藤の発表についてのTweetで「国内で古いファームウェアのまま残っているルータが50万台」と書きましたが、「30万台」の誤りです。訂正対象→ https://t.co/dVkU68ECYj #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

被害。勝手にVoIPサービスを契約されて、国際電話をかけられる。国際電話の電話代は国外の電話会社と折半なので、それを狙ったのだろう。別の事件の踏み台にされることも。家庭用機器は記録が残らないので追跡不可能。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

Internet Census2012。2013/03に公開された匿名の論文。世界中の装置42万台の装置を勝手に利用して、インターネット全体を調査。世界中に2000万台の脆弱な機器があると主張。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

libUPnPの脆弱性。様々な機器で汎用的に利用される「ライブラリ」に脆弱性があった。乱暴な言い方だが、この1年間に自宅のルータをアップデートしていない場合、この脆弱性が残っている可能性もある。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

UPnPに反応する機器…国内270万台世界では2800万台。このなかのどれだけの機器が脆弱性を持っているのかは不明だが、潜在的にはその規模感の問題である。 #iij_tw2013 http://t.co/RRBdP8Dr1V

堂前@IIJ @IIJ_doumae

DNSに関する問題。世界には正当な理由で大きなRR(リソースレコード)を持つドメインがある。80byteの問い合わせに80Kbyteで答えるものとか。そういったサーバを悪用して行う攻撃がある。 #iij_tw2013 http://t.co/RRBdP8Dr1V