Telecom-ISAC Japanにおける情報通信事業者間のセキュリティ対応連携について
7
0
0
全文
(2) 第9回 コンピュータ犯罪に関する白浜シンポジウム REPORT 一致団結・連携して事に当たろうという合い言葉に実践 的な変化を遂げました。 最近のテレコムアイザックジャパンの具体的な活動とい うことで、2003年から2005年にかけての話を少ししておき ます。最後の3番目のアイテムの中で、2005年あたりの話 をしようと思っています。 2003年は、ワームブラスターの時代でした。ブラスター とその亜種が、夏休みの頃に立て続けに出てきまして、 結構大変だった記憶がございますが、そういったものが 出てきたときに、お互いの状況や情報を交換するというこ とをしておりました。2003年から2004年にかけては、少し 様子が変わってきております。さきほどのリチャードクラー クの話で言うならば、第2世代ということでゾンビPC、ボット ネット、大規模DDoS攻撃的なことが目立ち始めました。 2004年の8月に、北京でアジアカップサッカーがございま した。リアルの世界の中で日本のチームがどんどん勝ち あがっていくにつれて上海や北京でいろんなことが起き ました。それにリンクしているかどうかというのは皆さんの ご判断にお任せいたしますが、準決勝の手前頃になって くると攻撃がきたということがございました。大量にトラフィ ックがくるというような状態ですので、何とかしないと電気 通信事業者が「ISPの設備がもたない」という話もありまし た。2004年には、みんなでアジアカップの様子を気にし ながら「こうなりそうだ」とか「何か来そうだ」とやりとり記憶 がございます。2005年、まだ第三世代にはなっていない と思いますが、フィッシングの話が事例としてありました。 ファーミングの話もこれから被害が出てくると思いますが、 私たち現場レベルでいえば、DDoS攻撃系の話の方がま だ多いです。 皆さん記憶の新しいところでは、5月の連休前の話題 があると思います。サイバーフォースを通じていろいろと マスコミにも出たと思いますが、「特定のいくつかのサイト が中国から攻撃を受けている。レスポンスが遅い」という 話がございました。これもきっかけはいろいろとあると思い ますが、リアルの世界で起きていることが、バーチャルの 中に持ち込まれるものと思っています。おかげさまでこの ところ毎週末、テレコムアイザックジャパンの会員でISP事 業者の方々と連絡を取り合っていうようなことをやっており ます。5月の連休中には、またいろいろと盛り上がるかと 思ったのですが、関係各位のご尽力もあったようで、まっ たく攻撃がなかったとはいいませんけども連休直前に比 べると静かだったというような状況を体験しています。 テレコムアイザックジャパンというのは、会員制で成り立 っております。日本電気、NTTコミュニケーション ズ、 NIFTY、日本テレコム、パワードコム、IIJ、KDDI、ソフトバ ンクBB、そして松下電器。ベンダー系という意味で日立、 沖電気、横河電機による会員で構成されています。この 他にアライアンスメンバーというのがございまして、例えば セキュリティベンダーのラック等が入っています。また、オ. ブザーバーとして情報通信事業の主務官庁である総務 省、そして独立行政法人の情報通信研究機構が参加し ています。 テレコムアイザックジャパンには大きなくくりとして3つの 内部組織があります。1つは総会です。会員が1社につき 1名の委員を出していてテレコムアイザックジャパンの活 動方針などを総意で決める最高意思決定のための組織 です。つぎはステアリングコミッティです。総会の決定のも と、各種業務を行うために必要な意思決定、戦術的決定 を行い、業務遂行レベルでの意思決定スピードを上げる ための組織です。それから私が所属する企画調整部で す。ここが会社で言えば経営企画室や総務部にあたると ころです。常設的な組織で、組織運営全般に携わります。 それからあと、システム運用ということで、IT的な部分、そ れから技術的な部分等をやっています。セキュリティに取 り組むいろいろな組織が国内にありますので、それらとも 連携しながら事業者の団体として一致団結して、わが国 のセキュリティ概念とセキュリティを守っていこうとして活 動しています。 設立目的、活動指針等 テレコムアイザックジャパンの設立目的、活動指針等を 資料で配布しておりますが、時間のこともあるので設立目 的は今は細かくご説明いたしません。ただここで言ってお きたいのは、会員間の相互連携を行っていること、会員 制でやっていること、それと情報共有を行っていることで す。 2002年にテレコムアイザックジャパンを作ったとき、情 報共有といいながら、やはり(会員は)競合他社なので情 報共有は非常にしにくいということも事実ですし、そうかと 言って情報共有以外のやりようがあるのだろうかと考えま した。しかも、セキュリティに関する情報共有と言ったとき、 JPCERT/CCなどのすぐれた先行組織がたくさんの脆弱 性情報を流す活動をしていたので、そういった方々より更 にいち早く情報をキャッチすることは出来ないのではない か・そもそも無理ではないかという話がいろいろありました。 ですが、会員への提供サービスとして他になかなかいい もの思い浮かびませんでした。そのたため、設立当初は、 お手本としてのアメリカのアイザック同様、情報共有をメイ ンにしていました。しかし、この2年間の活動を通じて、情 報共有よりは、相互連携して脅威に一致団結してあたる 活動にウェイトを置くようになっています。 このあと会員間でどう連携しているのかを順々にしてい きますが、何をやるにせよ「難しい」ということです。企画 調整部の私としましては、会員の方々に、あるいは会員 にするときに必ずお話しているのが「活動の指針」というこ とです。 要するに健全なコンペティションをするために、通信事 業者は自分だけよければいいというのではなく、持ちつ 80.
(3) 第9回 コンピュータ犯罪に関する白浜シンポジウム REPORT 持たれつの部分があって、必要なところではコラボレーシ ョンしましょうということで「健全なCompetitionは、高邁な Collaborationから」を合言葉で活動に取り組んでいる状 況です。 インシデント対応プロセスからみたT-ISAC-Jの立ち位置 2番目のお話の、インシデントコーディネーションあるい はインシデントリスポンスです。アイザックの組織運営の 中でどういう考え方で、どのようなコーディネーションのプ ロセスを設計していくかという話をします。 インシデント対応のプロセスから見てアイザックはどこ にいるのだ、プロセスにおいて他の先行組織の立ち位置 の違いはどこだという問いに答えながら、テレコムアイザッ クジャパンならではのユニークな立ち位置を探し、テレコ ムアイザックジャパンのコアコンピダンスを確立したいと思 っています。 インシデント対応のプロセスの全体像ですが、イメージ としては、いきなりワームやウィルスが発生したり、あるい はインシデントがいきなり発生したりするものではなく、事 前に予兆というものがあります。具体的に言うと脆弱性の 発見、その脆弱性の特定・分析、そして脆弱性の公開、 情報の公開があって対策法も公開され、Exploit Codeが 出て、ワームが出始めるということです。 実際にワームがでてきそうだとなると、次の話として、発 生を検知し、うまくいけば蔓延をある程度のところで抑え 込みながら、クロージングしたいわけです。セオリーから 言いますと、ワーム等が出た後、インシデントが発生し始 めて、それがだんだん蔓延して、それをトラブルシューテ ィングするなかで、蔓延を終息・回復していくという流れに なります。 この過程の中で我々はどんなところにいるのか。基本 的にISPというのは攻撃・防御の最前線だと思っておりま す。ISPの中には、インターネットバックボーンを運用して いる事業者もいます。会社、あるいはビジネスユースの企 業に対して、イニシアチブを確保していることもあります。 あるいはエンドユーザーに対してのイニシアチブを確保 しているということもあります。その意味でいうとバックボー ンの話にもタッチできます。エッジ側にいる各企業のウェ ブサイトあるいは各エンドユーザーも見えるという立ち位 置にいると思っています。インターネットのエンドツーエン ドにいる意味でいうと、ISPは攻撃・防御の最前線にいると 思っております。このような攻撃・防御の最前線にいる会 員の方あるいはISPの支援をするために、テレコムアイザ ックとして何か貢献していきたいと考えているわけです。 基本的には、テレコムアイザック立ち位置、軸足としては、 発生後のネットワークの防衛・対処の部分だと思っていま す。トラフィック制御でバックボーンへの攻撃を回避する ネットワーク網運用の立場として、あるいはIPSユーザー への顧客満足度向上の一環として、ユーザーに対策ソフ 81. トの緊急配布などの形で接触できると考えております。こ れがISPならではの出番の部分だと思うのです。もちろん これを軸足にしてここだけで他のことをやらないと言って いるわけではありませんが、やはり他の機関連携をして、 例えばJPCERT/CCが得意とする部分についてはそこか ら情報等をいただくとか、そういうようなことをやっていくの が筋だろうと思います。テレコムアイザックジャパンといっ ておりますが、まだまだ非常に脆弱な組織でございまして、 これからのところもありますので、まずは自分たちの立ち 位置、軸足をしっかりさせたうえで、その軸足を補強する 意味で、すでにやっておられるところと、コラボしていくこ とが必要かなと思います。 インシデントコーディネーションのプロセスのなかで、テ レコムアイザックジャパンが必要なのかどうなのか、出番 があるのかどうなのか、2年間ずっと悩んでいるところで、 この見解が正しいのかどうかわかりませんが、今のひとつ の到達点だと思っています。 たとえば、ウルトラマンの科学捜査隊も、サンダーバー ドの国際救助隊も出番がなければしょうがないわけで、出 番があるからこそ存在するあるわけです。では、テレコム アイザックジャパンが、出番があるのかどうかということで すが、2年間やった結果で言うならば、「出番はある」と確 信しております。しかし、出番があると言っても、その出方 や出番の判断が非常に難しいのではないかという悩みを 抱えております。 出番とか出方のあり方に関する判断基準ですが、これ は今までの実践対応の中で勉強しております。なぜ勉強 中なのかといいますと、お手本がないと思っているからで す。たとえばテレコムアイザックの元祖のアメリカのアイザ ックは、基本的には、脆弱性情報あるいはインシデント情 報を共有するということだけで、それ以上の手を打つとい うことは、特にしてないと伺っております。ほかのテレコム アイザックと言えば、例えば韓国にもテレコムアイザックが あります。ここも韓国内のインターネットの安全確保を指 向する点では、テレコムアイザックジャパンと同じようなコ ンセプトでやっていますが、体制が違っております。体制 が違っていると言うのは、かなり前ですが、WindowsのNS の脆弱性をつかれて、かつてkrドメインが、インターネット の世界では消えたことがあります。それをきっかけにして、 法律ができ、その法律のもとで強制的に、トップダウンに テレコムアイザック、かなりの力を持って動いていると聞い ています。 こうしてみると日本の今の我々がおかれた環境では、 アメリカや韓国は我々のお手本とは言い難く、ということ で、なかなか世界でお手本になるものがないので非常に 苦労しています。むしろ日本版のアイザックのやり方を世 界のお手本にしようと思いながら、日々努力をしている次 第です。.
(4) 第9回 コンピュータ犯罪に関する白浜シンポジウム REPORT 導出過程の考え方 さて、出番の考え方ですが、出てくるタイミングが難し いということです。なぜかというと軽々しく出動してはいけ ないし、できないということがあると思っています。出番を 間違えると、例えば自由競争を阻害するというような話が あります。あるいはセキュリティベンダーもいらっしゃるの で、民業の圧迫という話もあります。一方、会員を護送船 団的に保護していいのかという議論もあります。このシン ポジウムのメインテーマであります「匿名性」の問題もあり ます。コンプライアンス、通信の秘密、電気通信事業法と の絡み、それから顧客情報の漏洩とか、個人情報の漏洩 等の重たい話がたくさん出てくるわけです。極端な言い 方をすると頼みもしないのに出てきて、というようなことも ありえるということです。ということで、サンダーバードの国 際救助隊の出番は、やはり相当難しいと思っています。 ここら辺になれば我々が出動できる、このときまではまだ 出動できないとことを考えて、会員との間で出動の目安を 共有しなくてはならないと思っています。 出動の目安を考えるにあたって、厳しいのは、テレコム アイザックジャパンという組織がISP事業者、会員のインシ デント収集能力に頼るしかないという現実です。会員各 社がISP事業を行うのに整えているリソース陣容はテレコ ムアイザックジャパンの企画調整部、システム運用部と比 べものになりません。また、我々がインシデント対応のた めに、会員企業以上に技術的なもの、秀でたものを持っ ているかというと、必ずそうではありません。テレコムアイ ザックジャパンは基本的には会員ISPにお願いする以外 に対策実施の打ち手を持っていないわけです。そういう 意味で言うと、軽々しく出動できないだけなく、出動しても 役に立たずで終わることのあると思っています。 次は、出方の考え方で話します。その出方は対処の内 容によりいろいろあると思っています。コンプライアンスの 観点とか、通信の秘密の関連等の話もありますので、出 方にも制約があると思っています。これまでの取り組みの 中の出方を少し整理します。 先ほどよりお話しましたように、活動には情報共有と相 互連携があると思っています。情報共有にもパターンが あります。 たとえば、テレコムアイザックジャパンから、会員各社に 対して一方向的に通知する場合です。通知するといって も、そのなかで、同一情報を外部には公開せず、しかし 会員には平等に発信する場合、ニーズの原則に従って 会員のうち必要なところにピンポイントに通知する場合、 それから不特定多数に対してWebやマスコミを使って公 開するということです。相互連携をしていくなかでもいろ いろな情報共有のやり方があります。ワーキンググループ を作って、特定の目的に対して集中的に対応していく方 法があります。DDoS攻撃に対処する時の情報共有は複 雑でした。アイザック組織と会員、会員相互のやり取りが. 多数発生しかつ、絶えまない状況フィードバックも行った ことがありました。 ということでいろいろと出方と出番の組み合わせがある と思います。軽々しく出てはいけないし、なかなか簡単に 出番が見つからないのが状況だと思います。 セキュリティ対策行動の導出過程のフロー化 私はいくつかの観点でその出方・出番のタイミングを計 るプロセスを作っていかないといけないと思っております。 インシデントコーディネーションやインシデントレスポンス にあたっての対策行動はこの方針に沿って導出して行く のが、望ましい姿だと思っています。個人的な仮説です が、出方・出番のタイミングを図るにあたって5つの観点が あるようにおもっています。 (1)高度な信頼関係の構築位置 アイザックに出てきている方々は会社の代表として来 ていますが、 その方々は、アイザック組織として情報共有あるいは 足並みをそろえてこういうふうにやりましょうと決めたことを 会社に持ち帰っていただいて、最終的には会社の中で 組織に対して合意実現のための交渉をしてもらうことにな りますが、会社の立場・方針・利害の違いもあるため、ア イザックで決定した事項について組織合意が難しい場合 もありえます。会社の合意が得られなければ、会員企業 連携は破綻します。つまり、会員各社はアイザックの決定 事項に対して合意することを前提にして議論しているの で、参加者は相互にその期待を裏切らないと思われてい なければいけません。相当高度な信頼関係を構築できて いなければやっていけません。ここに至るのはなかなか 難しく時間がかかる話だとは思いますが、やはり、文書で の組織間のやり取りというよりは、最後は顔を見て話して 相互理解するということが、泥臭い話しかもしれませんが、 現実です。ただ顔を見せ合うことで、ある程度のパワーが 出るのであるならば、それでも良いと思います。 アイザックとしては、信頼関係にあるメンバーが各社に 持ち帰って社内調整するとき、調整の苦労を軽減できる よう、どのような説得材料を持たせることができるかを考え ます。以下はその話だと思って下さい。 (2)会員に対するガバナンスコントロール これも非常に悩みどころです。最終的には我々は、どう いう権限で会員にお願いするのか、命令できるのか、指 揮命令権はあるのか、平たく言えば「何の根拠で、ISP事 業者にものを言うのだ。」ということです。しかし、有事が いったん起きた場合には、一致団結して高邁なコラボレ ーションで行きましょうという意味で、ガバナンスコントロー ルをしていきたいわけでこのところが悩みです。 (3)支援根拠の確立 これは先ほど「出番」のところで言いましたが、頼みもし 82.
(5) 第9回 コンピュータ犯罪に関する白浜シンポジウム REPORT ないのにとか、あるいは民業圧迫とか、法的な問題等々 に対しては、相当な注意をはらっているので、支援根拠 の確立が必要になります。つまり、1社で手に負えている ときには、手を出すわけにはいかないと思っております。 1社で手に負えなくなって、「助けてくれ、国際救助隊」と 言ってもらって、初めて出動だろうと思っております。「出 動にあたっての批判・リスクを避けるために、わが国の」と いう観点での支援根拠をもつということです。. これを支援根拠の確立・確保の一例として紹介させてい ただきます。2つ目は、実はDDoS攻撃を受けて、それが なかなか止まらず、実は去年にお話をいただいているの ですが、今も月のうち3分の2ぐらいWebが止まっていると いうことです。3番目です。そのDDoS攻撃にたまりかねて、 URLは変更して使っていました。具体的に、wwwなんとか を、www2なんとかというURLに変更しています。これで攻 撃が回避できると思っていましたところ、相手側はwwwに もwww2にも攻撃をしてきてなかなか解決できないというこ とです。この攻撃にもだいぶ慣れましたけども、防御の経 験を1つ1つ積み重ねていく中でいろいろなことを考えて いかなくてはいけないと思っています。 まず、1番目のところ、どんなことが起きたのからお話い たします。 ある時、ある会員のISPが運用する設備側のDNSで負 荷が急速に上がりました。状況をみると通常のトラフィック の6倍が殺到していました。設備的にはある程度の負荷 に対する余裕を持っていますが、いきなりこれだけのトラ ヒックがバンと来きたことに事業者としてはうろたえたとい うか困った状況になりました。この事態を回避するために 設備を急きょ調達して増強した会員事業者もいました。 急激な負荷を受けた会員事業者は原因をいろいろ調 べました。その結果、どうやらワームらしいということ、その ワームはある特定サイトにアクセスしようとしていこと、その サイトではワームからの一斉アクセスを回避するために、 自分側のDNSからAレコードを削除していたことなどがわ かりました。この時点ではまだ「何のワームなのか」はわか りませんでしたが、たった一つのウェブサイトに対する DNSクエリで事業者の通信設備が倒れそうになったこと だけは明らかでした。 サイト側のDNSのAレコード削除がどうして通信設備を 倒しかねない事態になったのか?その理由はこうでした。 サイト側は自分のサイトを守るためにAレコードを削除し たのですが、そうすると当然ISP側のほうに対してはAレコ ードを引きに行った結果のトラフィックが戻ってきます。 「そんなレコードないよ」となるわけです。このワームの場 合、名前解決ができるまで無限にAレコードをDNSに問い 合わせる作りになっていました。そのため、ワームが広が るにつれてDNS問い合わせが累積的に急増して、冒頭 のアクセス爆発に至りました。 先ほどのページの第1行目にあった「DNSのA レコード を削除する際の注意点」はテレコムアイザックジャパンの HPでサイト管理者に対して広報したものであると同時に、 支援要請を受けるための根拠確立も意図して出しまし た。 つぎは、この告知をみた会員やエンドユーザーが対処 の申告をしてきた時の、ISP事業者としての技術的対処方 法についてご紹介します。要は、このDNSリクエストが来 たときに限り、トラヒックをあるところに全部吸い込んでしま. (4)支援と根拠の確立の確保 これは、フォレンジクスではございませんが、「支援の 要請を受けました。」という事実を確保しておくことです。 支援要請は被害者の申告が基本になりますが、我々は 活動を通じて直接ビジネスをしているわけではありません ので、例えば企業のような1エンドユーザーから「助けてく れ」と直接言われても対応するわけにはいかないだろうと 思います。やはり会員を経由して「攻撃されているのだが 当社一社で手におえない」という支援要請をうけて初め て行動できると思います。 では、会員から受けた支援要請の全てに応じることが できるでしょうか?会員が連携して対処するにはそれだ け、正当化された、かつ強い根拠が必要に思います。根 拠としては、エンドユーザーが被害を受けているという程 度ではなく、ISP事業者がサービス運用する通信設備に 障害が発生し、安全・安定な運用ができないなど、ある意 味で我々の行為を正当化できる理由が必要です。我々 の行為を正当化でするために、どのような理由や証拠を 集めておくべきか、日頃から考えて、ルール化しておくこ とが必要だと思っています。 (5)技術的な話とマネージメントの話のセット 先ほどの話で言うと出方の問題だと思います。我々とし てはいろいろな選択肢を持ちたいと思っておりますが、セ キュリティに関する技術革新は早く、我々がこういう手を 打つと、誰かがそれを回避するようなことを考える、イタチ ごっこになります。そういう意味で対処技術の導入とか、 その定着するということも大切ですし、そして新たな状況 が起きたときには、それにキャッチアップしていくようなこ とをしていかなければなりません。絶え間ない技術進歩 のなかで、自分たちがどういうカードを引くかということを 考えていかなくてはならないと思っております。 大規模DDoS攻撃対応事例の紹介 ここからは、テレコムアイザックジャパンの対応事例の 紹介として、DDoS攻撃の防御の実例をお話したいと思い ます。内部事情の話はなかなか出せませんが、とりあえ ずこの事例に関連した公開情報を時系列的に列挙しま す。これに沿ってお話を進めます。また、先程来お話して きた、支援根拠の確立・確保の例をこの公開情報と関連 づけて説明しようと思います。 1番目の、DNSのAコードを削除する際の注意ですが、 83.
(6) 第9回 コンピュータ犯罪に関する白浜シンポジウム REPORT うという仕組みを検討しました。試してみるとこれでいけそ うだなという話しになったのですが、実はこのワーム、一 つのISPの利用者から出ているだけではなく、多数のISP 利用者から出ていました。ということは、自分のところから 出てくるのを一生懸命吸い込んでも他のISPのところから どんどん来るので、最悪の場合、吸い込みきれないリスク がありました。自分のところで設定を変えて一生懸命吸い 込んでも、やっぱりどうしようもないということです。 どうしようもないというのは、他のISPも連携しないといけ ないということなので、ここで初めてテレコムアイザックとし て出番がきました。あるISP会員からテレコムアイザック会 員に呼びかけをしてほしいと連絡がありまして、皆さんに 相談し各社に持ち帰っていただき、社内調整した結果 「よしやろう」ということで各社一斉に対策を実行する連携 状況に到達しました。一社でも手に負えなくなったという ような中で、いろんなことを積み重ねた結果として、いよい よ出動かなという状況に至ったわけです。 会員連携の調整をすると一方で、ワームの特定をアラ イアンスメンバー等の協力を得ながら進めました。最初は 何のワームかよくわからなかったのですが、どうやらアン チニーというワームだということでだんだんその素性がわ かってきました。アンチニーというのは毎月第一月曜日、 あるいはゾロ目の日、7月7日とか4月4日に攻撃を行うの が特徴だというようなことがわかりはじめてきました。この 解析結果をもとに、攻撃発生予定日前に一斉に段取りし て、当日はみんなでブラックホールにトラヒックを吸い込 むことを行いました。その結果、それまでは悲鳴をあげて いた運用設備が救われたと聞いております。ですが、こ のサイトはまだ依然としてアクセスできない状況であるの で、このサイトを助ける手段を検討する話に移ります。当 然、我々としても、今後こういうDDoS攻撃は頻繁に起きる だろうという意識がありますので、実態を解明していこう、 この攻撃からサイトを救うための技術的検討にアイザック として取り組んでいる次第です。 テレコムアイザック内で取り組むぞということですので、 会員にその実施方策を相談しました。「このサーバーを 救うためには、どうすればいいのだろう」ということで、「とり あえず現状どれだけのトラヒックがこのサイトに来ているの か実測してみよう」という話になりました。 方法としては、図にあるようにかなり太い回線を用意し 攻撃トラヒックを受けるだけ受けられるようにして、そのトラ ヒックに耐えられるルーターやスイッチを用意し、サーバ ーもダミーサーバーを用意しました。このようなサイトを用 意するとなると費用が馬鹿になりませんが、このころにな るとこの攻撃を通じてアイザック会員の間にある種の連帯 感、一体感が生まれていて、持ち寄れるリソースを持ち寄 って実測用のサイトを構築しました。例えば、ギガクラスの 回線の現物支給とか、機器設置のために空きスペースを 貸すとか、検証用で余っていたスイッチを期間限定で貸. すなどです。そして攻撃日には合図を待って会員がワー ムから受けたトラヒックをブラックホールに捨てるのではな く、そこに向けて一斉転送しました。 で、どうだったか。この図がその時の測定結果です。瞬 間的に700MbpsぐらいのDoS攻撃があって、設備的には だいぶ余裕を持たせたつもりですが、その設備もぶっ倒 れそうになるぐらいでした。通常700MBpsのトラフィックを 一般ユーザーあるいは、小規模な企業が受けたときには、 簡単に秒殺できると思いますが、このような規模のDos攻 撃が、いともたやすくインターネットの世界で起きるという ことです。テレコムアイザックジャパンではいろいろこうい う事象を直接観測し、分析をしています。 ゾンビPC等を利用したDDoS攻撃 アイザックの会員の方々、あるいはパートナーアライア ンスの方々と話していると、最近ゾンビPCが多く話題にな ります。これはDDoSの攻撃ツールとして恐いなというのが 皆さんの共通の感想なので、ここですこしご紹介しておき ます。昨日のアメリカの国家安全省の方が、アンダーグラ ウンドサイトでゾンビPCを時間貸しするサイトがあると言っ ておられました。ユーザーのつなぎっぱなしでセキュリテ ィ対策がされずに放置されたPCが乗っ取られて、ゾンビ 化しております。今までのDDoS攻撃パターンでいうなら ば、少数のIPドレスから大量のパケットを出しているので、 特定もしやすく、ひとつつぶせば攻撃がかなり減るので 扱いやすかったのですが、ボットネットは様子がちがって います。3000台とか5000台のPCがのっとられゾンビ化し てそれをボットネットに組み込みます。ボットネットでは DDoS攻撃開始のコマンドをボットネット配下のPCに出せ ば、ゾンビPCが一斉にDDoSを開始する仕組みになって います。これまでとちがいやっかいなのは、4桁相当のIP アドレスから攻撃がくること、一台のPCの出す攻撃パケッ トは非常に少なく、目立たないようになっていること、でも それが攻撃目標に集中したときに、800メガという大きな 攻撃になります。これまでと違い、攻撃元をつぶしにくい 状況なので、かなり手強い訳です。あるいはこのゾンビ PCとボットネットを使ってフィッシングの大量メールを分散 して投げることなど、いろんな悪用ができると思います。 アイザックを運営側の立場で言うと、ゾンビPC、ボットネ ットに対して何か考えなくてはいけないと思っております。 単純な情報共有は「こういう事象がおきました。皆さんに お伝えします。おしまい。」だと思います。実際にインター ネットの世界で起きていることを、事実を伝えるということ は非常に大事だとは思いますが、インターネットのリスク を減らしたいという本来の目的を達成するためには、単 純な情報共有だけではなく、もう少し高度な仕組みの構 築が必要だと考えています。すなわち、アイザックと会員 間、会員相互、会員とISPサービス利用者との間で、それ ぞれフィードバックグループをもち、実施した対策の効果 84.
(7) 第9回 コンピュータ犯罪に関する白浜シンポジウム REPORT を測定・評価して次の打ち手につなげるような仕組みの 構築を目指したいと思います。このフィードバックグルー プを法的にも、世論的にも満足するような形で構築するこ とは非常に難しい問題だとは思いますけども、ここがある 意味、日本流のアイザックのやり方ではないかなと思って います。 例えば今の事例で言いますと、攻撃がきているという 中で、その攻撃がゾンビPCといわれるところにあるとして ときに、そのゾンビPCをどういう形で叩き潰していくのでし ょうか。もちろん、確信犯的にやっているのと、そうではな く、知らない間に乗っ取られてやっていたというのとは、 全然違う話になるわけですが、いずれにしても対策のた めのゾンビPCへのアプローチをどうするのか、という話が あると思っています。 情報を一方通行的に出すだけであとは自然に任せて 直るまで待つやり方は限界で、一社で手に負えない脅威 が日常的に発生している現状では、自然任せ、あなた任 せではなく、何かうまく還元するような形に考えていかな いといけないと思っています。. い大規模なサーバー攻撃が結構身近にあります。そもそ も「テレコムアイザックジャパン、何?」という話とともに、 「要らないのでは?」という話があると思うのですが、今の ような実例があって、実践的にやっていることを考えると、 やはり、テレコムアイザックジャパンのような仕組みは必要 で出番があると思っております。 ただ、今日お話しましたように、テレコムアイザックの出 番・出方というのは、けっこう難しいと思っています。その 難しさについて、とりあえず悩みながらもやってみましたと いうものをご紹介いたしました。この資料を作って提出す る直前に、ファイナルファンタジーのオンラインのゲーム サーバーがDoS攻撃を喰って、倒れたというような話が分 かっています。面白半分でやっているうちはいいでしょう が、これは会員制でオンラインゲームをやっているわけで すし、金銭的な被害ももちろん直結する事態になってき ているという訳です。そのぶんDDoS攻撃も、巧妙かつ複 雑になってきていて、その例としてゾンビPC、ボットネット をご紹介しました。これらうまく対抗していくためには、こう いうテレコム事業社間の連携が、不可欠ではないかと思 っています。 ちょっと時間が超過しましたが、私からの話これで終わ らせていただきます。 ありがとうございました。. まとめ 本日はテレコムのアイザックジャパンの概要をご紹介 致しました。テレコムアイザックジャパンの今の活動の実 例をお話いたしましたが、ISP事業社1社では手に負えな. 85.
(8)
関連したドキュメント
海外旅行事業につきましては、各国に発出していた感染症危険情報レベルの引き下げが行われ、日本における
問題集については P28 をご参照ください。 (P28 以外は発行されておりませんので、ご了承く ださい。)
ユーザ情報を 入力してくだ さい。必要に 応じて複数(2 つ目)のメー ルアドレスが 登録できます。.
今回の SSLRT において、1 日目の授業を受けた受講者が日常生活でゲートキーパーの役割を実
対象期間を越えて行われる同一事業についても申請することができます。た
アメリカの FATCA の制度を受けてヨーロッパ5ヵ国が,その対応につ いてアメリカと合意したことを契機として, OECD
一︑意見の自由は︑公務員に保障される︒ ントを受けたことまたはそれを拒絶したこと
ユーザ情報を 入力してくだ さい。必要に 応じて複数(2 つ目)のメー ルアドレスが 登録できます。.
