Comments
Description
Transcript
インターネットサービスにおけるセキュリティ
概要 • 本講演の内容 • 通信事業者がインターネットサービスを提供する上で 必要となるセキュリティ対策について解説 インターネットサービスにおけるセキュリティ 新世代ネットワーク・ワークショップ • 取り扱うトピック • インターネットサービス事業におけるセキュリティ対 策の基本方針 • DoS/DDoS攻撃対策 • ボット、ボットネットワーク対策 • 迷惑メール対策 2009年8月10日 KDDI研究所 三宅 優 1 2 セキュリティ対策の目的 • ネットワークの保護 • インターネットサービスを提供するために利用されるネッ トワーク機器やサーバーにより提供されるサービスを、攻 撃等の悪意ある行為により停止してしまうことを防ぐ。 インターネットサービス事業における セキュリティ対策の基本方針 3 • お客様(利用者)の快適なネットワーク利用確保 • 各種のネットワーク攻撃やセキュリティ上の危険性によ り、ネットワーク利用に障害となる事項が発生する可能性 がある場合、その影響を抑える。 4 セキュリティ対策の範囲 • 法律上の制約 • 日本国憲法第21条第2項 • 検閲は、これをしてはならない。通信の秘密は、これを侵してはなら ない。 • 電気通信事業法第4条第1項 • 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。 DoS/DDoS攻撃 • 監視可能な条件 • 法的に認められた場合 • 犯罪捜査 • 正当防衛 • サーバーやネットワーク機器等を狙ったDoS攻撃の防御 • 正当業務行為 • 従量課金、サービスの安定運用のための • ユーザーが合意した場合 • 迷惑メールフィルタ、URLフィルタリングサービス 5 6 34 DoS/DDoS攻撃による影響 • 通信路の帯域占有による通常通信のスループット低下 • DoS/DDoS攻撃対応のガイドライン • 電気通信事業者における大量通信等への対処と通信の秘密に 関するガイドライン(2007年5月30日) • 策定団体 • 社団法人日本インターネットプロバイダー協会 • 社団法人電気通信事業者協会 • 社団法人テレコムサービス協会 • 社団法人日本ケーブルテレビ連盟 • 目的 • 大量通信等のネットワークに対する攻撃に対して、通信の秘密の保護 限られた通信路の伝送容量の多くを攻撃パケットが占めることにより、他 の通信へ影響が発生する。 • 通信機器への影響 • ルータ等の通信機器の処理能力を超えるパケットの到着により、処理に遅 れが生じたり、機器が停止する可能性がある。 • 基本サービスの停止 • インターネット接続を提供する上で必要となる基本的なサービス (DNS、電子メール、Webアクセス)が停止することにより、大規模な 障害が発生する。 • 7 に最大限配慮しながら電気通信サービスの円滑な提供の確保に資す る。 電気通信事業者が大量通信等を識別しその通信の遮断などの対処を実 施するにあたって、電気通信事業法等の関係法令に留意し適法に実施 するための参考資料として策定。 8 KDDIにおけるDoS/DDoS攻撃検知システム 1. バックボーン回線のルータからトラフィック情報を収集 2. トラフィック情報を解析 ボット、ボットネットワーク サイバークリーンセンター(CCC)の活動 3. 異常な挙動をDoS攻撃として検知 9 10 ボットとは?(CCCの定義) ボットネットワークの脅威 • ボットウイルスとは、コンピュータを悪用することを目的に 作られた悪性プログラムで、コンピュータに感染すると、イ ンターネットを通じて悪意を持った攻撃者(以下「攻撃者」 という)が、コンピュータを外部から遠隔操作できるように なる。 • ボット ウイルスに感染したコンピュータは、攻撃者が用意した指令サーバな どに自動的に接続され、数十∼数百万台のボット ウイルス感染コンピュータ を従えた「ボットネットワーク」と言われる巨大ネットワークを形成する。 • 感染すると、この攻撃者が感染させたコンピュータを操り 「迷惑メールの大量配信」、「特定サイトの攻撃」等の迷惑 行為をはじめ、感染したコンピュータ内の情報を盗み出す 「スパイ活動」など深刻な被害をもたらす。 • この操られる動作が、ロボット(Robot)に似ているところ から、ボット(BOT)ウイルスと呼ばれてる。 12 11 35 ボットの感染経路 • ボットの特徴 感染していることに気づきにくい 経路1:ネットワーク型 感染したとしても従来のウイルス/ワームに比べて目に見える特別な症状 が現れないことが多く、感染前との差異を感じることなくコンピュータを 使用できるなど、ユーザに感染を気づかせない特徴を持っている。 • 経路2:メール添付型 • 経路3:Web閲覧 • 自動で機能追加をする 自分自身を自動的にアップデートする機能を使って、新しい機能を追加し たり自身の不具合を修正することができる。また、アップデートの周期は 短かく(数週間程度と言われている)、この点も発見しにくさにつながっ ている。 種類が多い ボット ウイルスのソースコードやボットウイルスを簡単に作成するツー ルがインターネット上に公開されているため、ひとつのボットウイルスを 元にした数多くの亜種が作成されている。これらの亜種の多さが、ウイル ス対策ソフトによるボット ウイルスの駆除を困難にしている。 経路4:Web誘導型 犯罪目的 • 今までのウイルス作成者は愉快犯が多かったのに対し、ボットウイルス作 成者の場合は、ボットネットを時間単位で迷惑メールの配信会社に貸し出 したり、盗み出した個人情報を販売するなど、犯罪に利用し利益を得るこ とを目的としている。 経路5:外部記憶媒体型 13 14 感染後の動作 • 迷惑メールの送信 • DoS攻撃 • ネットワーク感染活動 • ネットワークスキャン活動 • 自分自身のバージョンアップ サイバークリーンセンター(CCC) サイバークリーンセンターとは(https://www.ccc.go.jp/ccc/index.html) インターネットにおける脅威となっているボット特徴を解析し、ユーザのPC からボットを駆除するために必要な情報をユーザに提供 ISP(インターネットサービスプロバイダ)の協力によって、ボットに感染し ているユーザに対し、ボットの駆除や再感染防止を促す 注意喚起の流れ (CCCホームページ より引用) や指令サーバの変更 • スパイ活動 15 16 サイバークリーンセンター(CCC)の活動実績 サイバークリーンセンター(CCC)での収集検体数 • 2009/01/01∼2009/03/31での一日単位の収集検体数の推移 Detectable: 市販のウイルス対策ソフトで検出できた検体 Undetectable: 市販のウイルス対策ソフトで検出できなかった検体 市販のウイルス対策ソフトで検出できないものが10%程度存在する。 17 18 36 世界のマルウェア感染率(Microsoft調べ) • 世界各地の感染率(2008年後半) • 悪意のあるソフトウェアの削除ツールを1,000回実行するごと検出した 感染コンピューターの台数を表す 迷惑メール (spam mail) 19 20 迷惑メール(スパムメール) • スパムメールとは • 別の呼び方 • • 迷惑メールの動向 アドレスの入手 ランダムに作成、懸賞サイト等に登録されたアドレス、Webサイトに掲 載されたアドレス、ウイルスを使ってメールソフトのアドレス帳から 事前に許可していない広告メール等を無差別・大量に送信されるメール アドレスを販売する業者が存在(30万件/5万円?) • UCE (Unsolicited Commercial Email):勝手に送られてくる広告 メール • UBE (Unsolicited Bulk Email):勝手に送られてくる大量メール 内容 • 広告(出会い系、アダルトサイト、バイアグラ等の薬、学位の販売、オン ラインカジノ、等) • • • 株の情報(株価操作) • ウイルス配布 送信源 以前:業者がブロードバンド回線を契約してサーバーを設置し、連続して メールを送信(送信元のブロックが容易) 現在:ボットネットワーク経由で送信(送信元のブロックが困難) 全メールに占める迷惑メールの割合(Symantec調べ) 架空請求詐欺 フィッシングサイトへの誘導 21 22 迷惑メール送信国 日本の迷惑メール状況 • 迷惑メール送信国における日本の順位(総務省の資料より) 2006年頃から相対的に順位が落ちている。 出典:Trend Micro 23 24 37 日本の迷惑メール対策(1) • OP25B (Outbound Port 25 Blocking) • 日本の迷惑メール対策(2) • ISPに接続された端末から直接のメール送信を禁止 送信ドメイン認証 • メールを送信するサーバの情報をDNSサーバ上で公開し、送信された メールのドメイン名とDNSサーバのSPFレコードとの整合性を受信サー バ側で確認することで、そのメールが正当なメールサーバから送信された ものかを認証する技術。 • 携帯電話で各社が導入済み。 • メーリングリストがうまく動かないことがある。 DNS 11.jp KVMXRNPC OXMSXL AF;D:TXUC [email protected] 1 2 22.jp :5TXUC 25 • • • • 受信者の同意の下に大量広告メールを送る必要あり 携帯不正利用防止法 • • 罰則強化 • 一時に多数の者に対する「特定電子メールの送信の適正化等に関する法 律」違反のメール送信その他の電子メール送受信上の支障を生じさせるお それのある大量送信行為を行い利用停止措置を受けた加入者の情報を、携 帯電話事業者およびPHS事業者間で交換 インターネット電話で無差別に電話をかける行為。同一会社間のインター ネット電話が無料であることから、電話代を必要としない。 • スピム (SPIM = SPam over Instant Messenger) • 掲示板スパム • スプログ(Splog) • • 携帯電話の契約時の厳格化(身分証明書等が必要) 携帯事業者間での迷惑メール送信者の情報交換 スピット (SPIT = SPam over Internet Telephony) • 特定電子メールの送信の適正化等に関する法律(総務省) • • TXUC メール以外へのスパム(迷惑)行為 • 特定商取引法(経済産業省) [email protected] 26 日本の迷惑メール対策(3) 法律 5<TXUCCQT KV7EJ :3 CAF;D:8IH>5 A57@67J?9G4 • Chat等で突然広告を流したり、会話の邪魔をする。 掲示板に対して、広告やメッセージを無差別に書き込む。 検索エンジンの最適化やアフィリエイトによる広告収入を得る、不正サイ トへの誘導を目的として、内容に意味がないブログを作る。2008年のニ フティの調査によると日本のブログの約4割がスプログである。 • コメントスパム • トラックバックスパム • • ブログのコメント欄に、広告やメッセージを無差別に書き込む。 ブログに、内容と関係ない広告などのトラックバックを送信し、読者を自 分のブログに誘導する。 27 28 まとめ • 通信事業者におけるセキュリティ監視 • 「通信の秘密」を守りつつ、サービス提供に障害となる攻 撃対策を実施 • 省庁、事業者間連携により、攻撃による影響を軽減 まとめ • インターネットのセキュリティ確保の問題点 • ネットワークの制御情報もユーザのデータも同じ形式のパ ケットが利用され、ユーザのデータを転送するパケットに も制御情報が含まれる。 • ネットワークでの認証が不十分で、攻撃者の特定と攻撃の フィルタリングが容易でない。 29 30 38