重 要 インフラセキュリティセミナー Telecom-ISAC Japanの 最 近 の 取 組 について 2007.2.14 Telecom-ISAC Japan 企 画 調 整 部 部 長 有 村 浩 一
Telecom-ISAC Japanとは Telecom-ISAC Japanは 2002 年 7 月 に7つの 国 内 主 要 ISP 事 業 者 による 会 員 制 任 意 団 体 として 発 足 T-ISAC-Jは 日 本 で 最 初 のISAC T-ISAC-Jは 会 員 の 情 報 通 信 サービス 重 要 インフラをイン シデントから 守 り またサービスの 安 定 運 用 ために 会 員 連 携 のもと 速 やかな 対 処 活 動 を 行 う 場 を 提 供 することを 目 指 す 参 考 ISAC (Information Sharing and Analysis Center)とは 発 祥 地 はアメリカ(1998 年 ) 米 国 クリントン 政 権 の 国 家 の 重 要 な 情 報 ネットワークを 防 護 する 政 策 によって 重 要 インフラを 構 成 する 民 間 の 各 業 種 において 設 置 が 促 されたのが 始 まり 13の 民 間 業 種 にISACが 発 足 ( 金 融 電 力 運 輸 通 信 等 ) 1
組 織 構 成 (2007.1 現 在 ) ( 財 ) 日 本 データ 通 信 協 会 ステアリング コミッティ 承 認 企 画 調 整 部 管 理 Working-Group 実 行 Working-Group 会 長 : 日 本 電 気 副 会 長 : NTTコミュニケーションズ 構 成 会 社 :ニフティ ソフトバンクテレコム IIJ KDDI 日 立 製 作 所 松 下 電 器 産 業 沖 電 気 工 業 ソフトバンクBB 横 河 電 機 松 下 電 工 NTTナビスペース 東 日 本 電 信 電 話 株 式 会 社 西 日 本 電 信 電 話 株 式 会 社 エヌ ティ ティ ビジュアル 通 信 日 本 電 信 電 話 株 式 会 社 委 員 長 : NTTコミュニケーションズ 副 委 員 長 :KDDI 構 成 会 社 : 横 河 電 機 日 立 製 作 所 ニフティ IIJ ソフトバンクBB 日 本 電 気 17 社 4 社 システム 運 用 部 アライアンスメンバー 管 理 Working-Group 実 行 Working-Group オブザーバー T-ISAC T-ISAC-J ISAC-J 会 員 に 求 められる められる 活 動 参 加 姿 勢 Our Our security security depends depends on on your your security を security を 信 じ win-winの じ win-winの 関 係 構 築 に 貢 献 する する 意 図 をもつこと をもつこと 1 1 事 業 者 では では 手 に 負 えない えない 大 規 模 な 脅 威 に 一 致 団 結 して して 対 処 すること すること 連 携 活 動 情 報 共 有 はWorking はWorking groupを groupを 核 におこなう におこなう ラック インテック ネットコア トレンドマイクロ インターネットセキュリティシス テムズ 総 務 省 独 立 行 政 法 人 情 報 通 信 研 究 機 構 ( 社 ) 電 気 通 信 事 業 者 協 会 ( 社 )テレコムサービス 協 会 ( 社 ) 日 本 インターネットプロ バイダー 協 会 2
T-ISAC-Jの の 機 能 のイメージ ISPユーザ 一 般 のイン ターネット 利 用 者 (6) 広 報 セミナー (5)WG 活 動 会 員 企 業 オブザーバー (4)ポータルサイトなど 基 本 情 報 組 織 紹 介 News セミナー 情 報 DDoS 攻 撃 対 応 ブラックホールIP 共 同 設 定 攻 撃 状 況 調 査 対 策 トライアル BGP 経 路 情 報 監 視 経 路 情 報 解 析 ツール 障 害 情 報 ボット Antinny 対 策 検 体 収 集 感 染 傾 向 分 析 駆 除 ツール 調 査 対 策 結 果 CCC 運 営 Malware 感 染 者 へ の 個 別 オーダー メード 的 な 注 意 喚 起 緊 急 情 報 交 換 (2)センター 運 用 オペレーション センター BGP 経 路 情 報 監 視 センター Cyber Clean Center 企 画 調 整 部 (1) 情 報 収 集 分 析 共 有 対 策 連 携 (3) 外 部 機 関 連 携 NiCT JPNIC JPCERT/CC JPCERT/CC (0) 0)T-ISAC-J 組 織 運 営 基 盤 整 備 5つの 5つの 機 能 で 構 成 1 情 報 収 集 2 分 析 3 共 有 4 対 策 連 携 5( 5( 対 外 的 な) な) 告 知 啓 発 モニタリング 用 データ BGP 経 路 情 報 Malware 系 データ イベント 情 報 インシデント 情 報 会 員 ISP ネット ワーク 会 員 国 内 外 関 連 情 報 サイト 政 府 関 係 機 関 3
BGP 経 路 情 報 共 有 WGの 活 動 紹 介 WG 設 置 目 的 ISPが 行 う 経 路 情 報 運 用 において 発 生 する 脅 威 ( 例 BGP 経 路 情 報 ハイ ジャック)に 会 員 が 連 携 して 対 処 するための 活 動 を 行 う 目 的 実 現 手 段 T-ISAC-Jの 会 員 ISP( 現 状 7 会 員 )が 経 路 情 報 を 持 ち 寄 り 共 有 することで 複 数 拠 点 監 視 型 の 経 路 情 報 集 約 ポイント(looking glass)を 構 築 し 運 用 する 1. 集 約 情 報 を 活 用 した 問 題 点 の 早 期 分 析 を 目 指 す 2. 誤 った 経 路 情 報 を 出 すISPの 早 期 特 定 手 段 を 開 発 する 3. 経 路 情 報 の 早 期 復 旧 方 法 を 確 立 する AS100 AS300 AS500 AS600 Looking glassシステム 画 面 ASXXXX looking glass AS200 AS400 目 標 日 本 のBGP 経 路 情 報 の 集 約 ポイントとしたい! 4
BGP 経 路 情 報 ハイジャック ハイジャックがもたらすリスク 通 信 の 不 達 フィッシングサイトへの 巧 妙 な 誘 導 など 出 典 総 務 省 次 世 代 IPインフラ 研 究 会 第 2 次 報 告 書 より 5
経 路 奉 行 (T-ISAC-Jのlooking glass)の 仕 組 み そもそも なぜ 経 路 ハイジャックが 起 こるのか どこかで 誰 かが 不 正 経 路 の 広 報 を 許 してる 将 来 的 には 不 正 経 路 が 広 報 できない 技 術 (sobgp, sbgp )の 普 及 ( 実 装 を 変 えるのには 時 間 がかかるけれど ) そこで とりあえず 目 の 前 にある 問 題 ( 現 状 )を 見 る 不 正 経 路 ってどのぐらい 流 れてるのか?など JPNIC AS AS AS JPIRR 正 しい 経 路 リスト Check! ebgp BGP UPDATE BGP UPDATEと 手 元 の 設 定 リストを 比 較 異 常 を 検 知 するとアラートを メールで 投 げる 正 しい 経 路 リストを 手 入 力 Alert! 6
経 路 奉 行 が 検 知 したアラート 状 況 2006 年 JPIRRを 参 照 開 始 7 月 8 月 9 月 10 月 11 月 12 月 bogon 6 127 9 12 12 14 誤 検 出 18 38 10 65 7 6 その 他 1 3 7 29 bogon( 駄 目 ) 経 路 誤 検 知 プライベートブロックやその 他 bogon 経 路 考 えられる 原 因 実 験 環 境 からの 漏 洩 typo 設 定 ミス 悪 用 のための 一 時 的 な 広 報 か? ほとんどが 特 殊 経 路 制 御 (マルチ プルオリジン パンチングホール など) 確 認 後 に 設 定 追 加 設 定 を 正 しく 維 持 すれば 減 らせる JPIRR 参 照 開 始 後 誤 検 出 が 減 少 7
経 路 奉 行 が 検 知 したアラート(その 他 編 ) その 他 ( 不 正 経 路 として 検 知 して 然 るべき 経 路 ) 他 のASが 何 か 広 報 してる 今 のところ 設 定 ミスか 原 因 不 明 直 したと 連 絡 がある or 勝 手 に 直 ってる PNIのpoint-to-pointアドレスの 漏 洩?typo? 設 定 ミス? 事 例 1: 2006 年 11 月 韓 国 方 面 から 細 かい 経 路 でorigin ASが 異 なる 経 路 生 成 元 に 連 絡 がとれず 経 由 ASの 協 力 を 得 て 解 決 経 由 ASでの 経 路 フィルタを 実 施 しつつ 生 成 元 に 連 絡 して 経 路 広 報 を 停 止 影 響 時 間 は16 時 間 ぐらい 事 例 2: 2006 年 11 月 インドネシア 方 面 から prefix 長 は 同 じでorigin ASが 異 なる 経 路 該 当 経 路 は 直 ぐに 削 除 された 影 響 時 間 は5 分 ぐらい 事 例 3: 2006 年 12 月 日 本 方 面 から 細 かい 経 路 でorigin ASが 異 なる 経 路 広 報 元 に 連 絡 対 応 してもらった 影 響 時 間 は23 分 ぐらい 事 例 4:この2ヶ 月 で3 件 経 路 奉 行 参 加 以 外 のJPIRR Maintainerから 検 知 ハイジャックなのか 誤 検 知 なのかは 不 明 8
経 路 奉 行 システム 改 善 課 題 1. 経 路 情 報 の 収 集 量 を 増 やす 収 集 ASを 増 やす 大 きなネットワークの 場 合 には 多 くの 拠 点 から 経 路 情 報 を 集 める 検 知 システムへの 経 路 情 報 の 到 達 性 を 改 善 2. 経 路 の 判 別 方 法 の 改 善 判 別 に 使 用 する 属 性 (パス 属 性 状 態 変 化 など)を 増 やす 3. 通 知 方 法 の 工 夫 など 9
ボットネット 実 態 調 査 1. 感 染 状 況 の 調 査 (2005 年 3 月 ~5 月 に 調 査 ) 日 本 のISPユーザの 2~2.5% がボットプログラムに 感 染 して いることが 判 明 (およそ40 万 ~60 万 台 の 感 染 PCが 存 在 ) おとりに 一 日 約 80 種 類 のボット 検 体 がひっかかる そのうち 70 種 類 は 未 知 な 検 体 2.マイボット 飼 育 攻 撃 能 力 調 査 試 験 環 境 下 でボットネットを 構 築 ノートPC1 台 でもインターネット 上 で200Mbps 以 上 だせるこ とが 判 明 PCからの 情 報 漏 洩 巧 妙 なスパム 他 多 機 能 を 満 載 仮 にこれら 全 てのPCをサイバー 攻 撃 に 同 時 に 悪 用 すれば 世 界 中 のインターネットを 破 壊 することすら 可 能 10
ボット 対 策 プロジェクトスタート! http://www.nikkei.co.jp/news/keizai/20061128at3s2700m27112006.html サイバークリーンセンター(CCC)の 設 置 運 営 による ボット 駆 除 に 向 けた 地 道 な 取 り 組 みを 行 う 11
ボット 感 染 者 対 策 ワークフロー 3 啓 発 メール プロバイダ 2 感 染 IPリスト ボット 感 染 PC!! おとり PC 分 析 1 検 体 攻 撃 情 報 収 集 4 アクセス 5 対 策 情 報 対 策 サイト 2 駆 除 ツール 作 成 CCC 6 検 体 対 策 情 報 感 染 ユーザからの アクセス 状 況 等 を 管 理 する 実 際 の 感 染 者 に 対 し 注 意 喚 起 するとともに 確 実 に 対 策 情 報 を 届 け オーダーメイド 治 療 を 実 施 12
サイバークリーンセンター 運 営 体 制 2006.12.12スタート BIGLOBE DION Hi-ho IIJ @nifty OCN ODN Yahoo BB トレンドマイクロ シマンテック ソースネクスト トレンドマイクロ マイクロソフト マカフィー 13
サイバークリーンセンター 専 用 ポータルサイト 一 般 ユーザ 向 け 啓 発 サイト ボット 感 染 者 向 け 対 策 サイト https://www.ccc.go.jp/ 14
対 策 完 了 連 絡 ボット 感 染 者 向 け 対 策 サイト 15
注 意 喚 起 実 施 状 況 注 意 喚 起 実 施 ハニーポット 取 れ 高 IPアドレス 数 (ユニーク 数 ) 検 体 数 (Hashユニーク 数 ) 1 TOPページ 注 意 喚 起 対 象 者 の 反 応 2 ツールDL 3 Win UP 4 結 果 報 告 アンケート 回 答 テスト 実 施 2006.12.15 約 100 約 300 30% 26% 12% 17% 2007.1.25 約 600 約 350+α 24% 20% 8% 13% 参 考 Antinny 対 応 約 12000 39% 36% 23% 34% 本 格 実 施 (2007.2~) 約 1000/ 日 約 600/ 日???? アンケート 結 果 比 較 ( 駆 除 結 果 ) 第 1 回 第 2 回 駆 除 成 功 57% 72% 駆 除 失 敗 0% 5% 検 出 しない 43% 23% アンケート 結 果 比 較 ( 駆 除 ソフト) 第 1 回 第 2 回 AV 導 入 済 み 29% 50% AV 導 入 なし 71% 50% AV 期 限 切 0% 0% 考 察 1 駆 除 精 度 の 向 上 考 察 2 対 策 完 了 報 告 データの 信 頼 性 16
整 理 学 : T-ISAC-Jの 取 組 事 項 1. 通 信 実 態 ( 問 題 )の の 可 視 化 と 対 策 の 試 行 対 策 情 報 等 の 試 行 結 果 を 情 報 共 有 する 欲 しい 情 報 は 自 分 で 見 つけないと 手 に 入 らない 経 路 奉 行 ( 会 員 ISPから 提 供 されるBGP 経 路 情 報 を 蓄 積 共 有 する Looking glassシステム) による システム) によるBGP 経 路 情 報 の 監 視 ハニーポット 運 用 を 通 じたボット 感 染 実 態 調 査 2.T-ISAC ISAC-Jの の 名 前 による 警 鐘 や 啓 発 Antinny 感 染 ユーザへの 注 意 喚 起 3. 汚 れたインターネットを 浄 化 するための 試 行 Antinny 等 のウィルス 対 策 の 試 行 サイバークリーンセンターによるMalware 感 染 者 へのオーダーメード 治 療 適 法 性 を 確 保 したトライアルの 展 開 ( 例 DDoS 攻 撃 対 応 ) T-ISAC T-ISAC-J ISAC-J 会 員 に 求 められる められる 活 動 参 加 姿 勢 Our Our security security depends depends on on your your security を security を 信 じ win-winの じ win-winの 関 係 構 築 に 貢 献 する する 意 図 をもつこと をもつこと 1 1 事 業 者 では では 手 に 負 えない えない 大 規 模 な 脅 威 に 一 致 団 結 して して 対 処 すること すること 連 携 活 動 情 報 共 有 はWorking はWorking groupを groupを 核 におこなう におこなう 17