DNS 運 用 の「 見 抜 く」を 探 る
iw2016-lunch-L3-01
iw2016-lunch-L3-01
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>DNS</strong> <strong>運</strong> <strong>用</strong> <strong>の「</strong> <strong>見</strong> <strong>抜</strong> <strong>く」を</strong> <strong>探</strong> <strong>る</strong><br />
~インシデント 事 例 の 紹 介 と 必 要 な 要 素 ・ 項 目 ~<br />
ランチのおともに<strong>DNS</strong><br />
2016 年 12 月 1 日<br />
Internet Week 2016 ランチセミナー<br />
株 式 会 社 日 本 レジストリサービス(JPRS)<br />
森 下 泰 宏 ・ 尾 崎 勝 義<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 1
講 師 自 己 紹 介<br />
• 森 下 泰 宏 (もりした やすひろ)<br />
– 日 本 レジストリサービス(JPRS) 広 報 宣 伝 室<br />
– 主 な 業 務 内 容 : 技 術 広 報 担 当 として、ドメイン 名 ・<strong>DNS</strong>に 関 す<strong>る</strong><br />
技 術 情 報 の 広 報 全 般 を 担 当<br />
– 一 言 :ランチセミナーは 今 年 で10 年 目 を 迎 えました!<br />
• 尾 崎 勝 義 (おざき かつよし)<br />
– 日 本 レジストリサービス(JPRS) システム 部<br />
– 主 な 業 務 内 容 :ドメイン 名 登 録 システムの 開 発 ・ <strong>運</strong> <strong>用</strong> 、<br />
JPRSサーバー 証 明 書 発 行 サービスの <strong>運</strong> <strong>用</strong> ・ 保 守 全 般 を 担 当<br />
– 一 言 :X.509のフォーマットについて 勉 強 中 です!<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 2
本 日 の 内 容<br />
1. <strong>運</strong> <strong>用</strong> におけ<strong>る</strong> 二 つ<strong>の「</strong> <strong>見</strong> <strong>抜</strong> く」<br />
– <strong>DNS</strong>におけ<strong>る</strong> <strong>運</strong> <strong>用</strong> の 重 要 性<br />
– <strong>運</strong> <strong>用</strong> におけ<strong>る</strong> 二 つの 視 点 ~「これまで」と「これから」<br />
2. 2016 年 中 に 発 生 した<strong>DNS</strong> 関 連 のインシデント 事 例 から<br />
– APNICの 逆 引 き<strong>DNS</strong>ゾーンにおけ<strong>る</strong><strong>DNS</strong>SEC 障 害<br />
– <strong>DNS</strong>のQNAMEを 通 信 手 段 として 利 <strong>用</strong> す<strong>る</strong>マルウェア<br />
– 権 威 <strong>DNS</strong>サーバーを 標 的 としたDDoS 攻 撃<br />
3. 二 つ<strong>の「</strong> <strong>見</strong> <strong>抜</strong> く」のために 必 要 なこと<br />
本 日 は1.と3.を 森 下 が、2.を 尾 崎 が 担 当 します<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 3
1. <strong>運</strong> <strong>用</strong> におけ<strong>る</strong> 二 つ<strong>の「</strong> <strong>見</strong> <strong>抜</strong> く」<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 4
<strong>DNS</strong>におけ<strong>る</strong> <strong>運</strong> <strong>用</strong> の 重 要 性<br />
• 1987 年 に 標 準 化 された 仕 様 を、 改 良 を 加 えながら 現 在 も 継 続 使 <strong>用</strong><br />
– インターネットサービスとしては 電 子 メールと 並 び、 最 古 のものの 一 つ<br />
– 仕 様 ・ 実 装 を「 <strong>運</strong> <strong>用</strong> でカバー」す<strong>る</strong> 状 況 が 多 い<br />
• <strong>運</strong> <strong>用</strong> できないものは、 決 してデプロイ( 普 及 )しない<br />
– 多 くの <strong>運</strong> <strong>用</strong> 者 は、 大 きな 変 化 を 望 まない<br />
– 既 存 のサービスを 止 めずに、 新 しい 技 術 を 導 入 ・ <strong>運</strong> <strong>用</strong> す<strong>る</strong> 必 要 があ<strong>る</strong><br />
• <strong>DNS</strong>SECの 導 入 には20 年 かかった<br />
• そして、 一 度 デプロイしたものは 大 きな 影 響 力 を 持 つ<br />
– みんながそれに 頼 <strong>る</strong>ようになり、 簡 単 には 捨 てられなくな<strong>る</strong><br />
– サービスを 安 定 、かつ 安 全 に 動 かし 続 け<strong>る</strong> 必 要 性 が 高 ま<strong>る</strong><br />
<strong>DNS</strong>では、 安 定 <strong>運</strong> <strong>用</strong> の 継 続 が 特 に 重 要<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 5
<strong>運</strong> <strong>用</strong> におけ<strong>る</strong> 二 つの 視 点<br />
~「これまで」と「これから」~<br />
• Internet Week 2016 全 体 のテーマ: <strong>見</strong> <strong>抜</strong> く 力 を!<br />
今 年 のテーマは「 <strong>見</strong> <strong>抜</strong> く 力 を!」です。 課 題 が 発 生 した 時 に、その 課 題 の 本 質 を 的 確 に 捉 え、 どう<br />
いう 対 応 が 適 切 なのかを 判 断 でき<strong>る</strong> 土 壌 をIWが 提 供 していきたい、 という 気 持 ちを 込 めています。<br />
• 「 <strong>見</strong> <strong>抜</strong> く 力 」のための 二 つの 視 点<br />
– 過 去 の 問 題 の 本 質 を 捉 え、 適 切 に 判 断 ・ 対 応 す<strong>る</strong>ことに 生 かす<br />
– 現 在 起 こりつつあ<strong>る</strong>・ 将 来 起 こりう<strong>る</strong> 変 化 の 状 況 ・ 予 兆 を 捉 え、<br />
適 切 に 判 断 ・ 対 応 す<strong>る</strong><br />
⇒ 「これまで」と「これから」<br />
より 引 <strong>用</strong><br />
よりよい <strong>運</strong> <strong>用</strong> の 実 現 のためには、これら 双 方 が 共 に 重 要<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 6
以 降 の 内 容 について<br />
• 2016 年 中 に 発 生 した<strong>DNS</strong> 関 連 のインシデント 事 例 から<br />
– 2016 年 中 に 発 生 したいくつかの<strong>DNS</strong> 関 連 のインシデント 事 例 を 振<br />
り 返 り、 以 下 の 点 に 注 目 す<strong>る</strong> 形 で「 <strong>見</strong> <strong>抜</strong> く」ポイントを <strong>探</strong> っていく<br />
• 何 がまずかったのか、 何 をどうすべきだったのか<br />
• 今 後 、 何 をどうすべきなのか<br />
• 二 つ<strong>の「</strong> <strong>見</strong> <strong>抜</strong> く」のために 必 要 なこと<br />
– 紹 介 したインシデント 事 例 や 現 在 のインターネットの 状 況 を 踏 まえ<br />
つつ、よりよい<strong>DNS</strong> <strong>運</strong> <strong>用</strong> のために 必 要 な 要 素 ・ 項 目 を <strong>探</strong> っていく<br />
• 「これまで」を 踏 まえた「これから」に 必 要 なこと<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 7
2. 2016 年 中 に 発 生 した<br />
<strong>DNS</strong> 関 連 のインシデント 事 例 から<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 8
事 例 1:APNICにおけ<strong>る</strong> 逆 引 き<strong>DNS</strong>SECエラー<br />
• 2016 年 3 月 15 日 から16 日 にかけ、APNICが 管 理 す<strong>る</strong> 以 下 の<br />
<strong>DNS</strong> 逆 引 きゾーンにおいて、<strong>DNS</strong>SEC 検 証 エラーが 発 生<br />
– すべてのIPv4 逆 引 きゾーン(49ゾーン)<br />
– IPv6 逆 引 きゾーン(0.4.2.ip6.arpa)<br />
• APNICがインシデントレポートを3 月 17 日 に 公 開<br />
Service announcement: 15 March 2016 | APNIC<br />
<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 9
障 害 の 状 況<br />
• <strong>運</strong> <strong>用</strong> ミスにより、APNICが 不 正 なDSレコードをIANAに 誤 登 録<br />
– IANAが 管 理 す<strong>る</strong>in-addr.arpa / ip6.arpaゾーンのDSレコードと、<br />
APNICが 管 理 す<strong>る</strong><strong>DNS</strong> 逆 引 きゾーンの<strong>DNS</strong>KEYレコード(KSK)との 間<br />
に 不 整 合 が 発 生<br />
• 本 来 のDSレコードに 切 り 戻 し、DSのTTL 値 (1 日 ) 経 過 後 に 復 旧<br />
IANAシステム<br />
1 <strong>運</strong> <strong>用</strong> ミスにより<br />
不 正 なDSを 誤 登 録<br />
DS<br />
2 権 威 <strong>DNS</strong>サーバーに<br />
DSを 設 定<br />
DS<br />
in-addr.arpaゾーン<br />
権 威 <strong>DNS</strong>サーバー<br />
(IANA 管 理 )<br />
3 不 整 合 が 発 生<br />
APNICシステム<br />
DS<br />
<strong>DNS</strong>KEY<br />
1.in-addr.arpaゾーンなど<br />
権 威 <strong>DNS</strong>サーバー<br />
(APNIC 管 理 )<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 10
本 件 のポイント<br />
• インシデントレポートより 引 <strong>用</strong><br />
Our monitoring system currently checks the <strong>DNS</strong>SEC validation from our <strong>DNS</strong><br />
distribution servers. This check runs every 15 minutes, and APNIC can verify<br />
that the monitoring system was running for the duration of this outage.<br />
Unfortunately, the check did not report any failure due to the fact that the<br />
resolver used cached responses.<br />
– 15 分 ごとに<strong>DNS</strong>SEC 検 証 チェックの 監 視 を 実 施 していた<br />
– しかし、キャッシュされた 応 答 をチェックしていたため、<br />
障 害 として 検 知 されなかった<br />
• 外 部 のMLへの 障 害 報 告 により 障 害 を 認 識<br />
検 証 方 法 のレビューが 不 適 切 であったため、 不 具 合 を <strong>見</strong> <strong>抜</strong> けなかった<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 11
APNICで 実 施 された 再 発 防 止 策<br />
• APNICにおけ<strong>る</strong> <strong>運</strong> <strong>用</strong> 体 制 の 改 善<br />
– 更 新 時 におけ<strong>る</strong> 内 部 プロセスの 改 善 とレビュー 体 制 の 強 化<br />
– 監 視 システムの 改 修<br />
– システムに 対 す<strong>る</strong> 外 部 監 査 の 実 施<br />
• DPS(<strong>DNS</strong>SEC Practice Statement)の 公 開 (2016 年 6 月 )<br />
APNIC <strong>DNS</strong>SEC Policy and Practice Statement<br />
<br />
– DPS:<strong>DNS</strong>SECの <strong>運</strong> <strong>用</strong> 者 が、 自 身 が <strong>運</strong> <strong>用</strong> す<strong>る</strong>サービスの 安 全 性 や<br />
<strong>運</strong> <strong>用</strong> の 考 え 方 、 方 式 、 関 連 す<strong>る</strong> 操 作 手 順 などについて 記 述 した 文 書<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 12
事 例 2:<strong>DNS</strong>のQNAMEを 通 信 手 段 として<br />
利 <strong>用</strong> す<strong>る</strong>マルウェア<br />
• 従 来 の 手 法 :<strong>DNS</strong>のデータ(RDATA)を 通 信 に 利 <strong>用</strong><br />
– <strong>DNS</strong>トンネリング(<strong>DNS</strong> tunneling)と 呼 ばれてい<strong>る</strong><br />
• 最 近 、<strong>DNS</strong>クエリのQNAMEを 通 信 に 利 <strong>用</strong> す<strong>る</strong>マルウェアが、<br />
相 次 いで 報 告 された<br />
– QNAME: 問 い 合 わせの 名 前 情 報 (ドメイン 名 )<br />
• 本 日 紹 介 す<strong>る</strong> 事 例 ( 注 意 喚 起 2 件 )<br />
遠 隔 操 作 ウイルスの 制 御 に<strong>DNS</strong>プロトコルを 使 <strong>用</strong> す<strong>る</strong> 事 案 への 注 意 喚 起<br />
( 株 式 会 社 ラック、2016 年 2 月 1 日 )<br />
<br />
MULTIGRAIN – Point of Sale Attackers Make an Unhealthy Addition to the Pantry<br />
( 米 国 FireEye 社 、2016 年 4 月 19 日 )<br />
<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 13
1Botと 指 令 サーバー 間 の 通 信<br />
• 株 式 会 社 ラックの 注 意 喚 起 より 引 <strong>用</strong><br />
サブドメイン 名 (abcde)は 標 的 を 特 定 す<strong>る</strong> 文 字 列 か 作 戦 名 を 表 してい<strong>る</strong>と 推 察 され、 当 社 にて 解 析 し<br />
たマルウェアが 使 <strong>用</strong> してい<strong>る</strong>ドメインには、 他 に4つのサブドメインが 存 在 す<strong>る</strong>ことが 確 認 されています。<br />
したがって、 同 じマルウェアは、 複 数 の 他 の 組 織 にも 使 <strong>用</strong> されてい<strong>る</strong> 可 能 性 があります。<br />
( 中 略 )<br />
実 際 の<strong>DNS</strong>リクエストでは、10 秒 程 度 の 短 い 時 間 の 間 に、 指 令 サーバとの 通 信 と 考 えられ<strong>る</strong><strong>DNS</strong>クエ<br />
リを 送 信 しています。FQDNのホスト 名 部 分 には、 暗 号 化 されてい<strong>る</strong>と 考 えられ<strong>る</strong>30 文 字 以 上 の 文 字<br />
列 が 埋 め 込 まれています。<br />
• <strong>DNS</strong>クエリのQNAMEを、Botと 指 令 サーバー 間 の 通 信 に 利 <strong>用</strong><br />
..example.jp<br />
指 令 サーバーとの 通 信 データ? 標 的 名 or 作 戦 名 ? 攻 撃 者 の 制 御 下 にあ<strong>る</strong>ドメイン 名<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 14
2クレジットカード 情 報 の <strong>抜</strong> き 取 り<br />
• MULTIGRAIN:WindowsベースのPOS 端 末 に 感 染 、<strong>DNS</strong>ク<br />
エリでクレジットカード 情 報 の <strong>抜</strong> き 取 りを 図 <strong>る</strong>マルウェア<br />
– POS 端 末 を 狙 うマルウェア「NewPosThings」の 変 種<br />
• <strong>DNS</strong>クエリのQNAMEを、カード 情 報 の <strong>抜</strong> き 取 りに 利 <strong>用</strong><br />
– POS 端 末 への 感 染 ( 侵 入 成 功 )も、<strong>DNS</strong>クエリで 攻 撃 者 に 伝 達<br />
侵 入 成 功 :install..example.jp<br />
POS 端 末 の 名 前 ・MACアドレスなどから 生 成 したID<br />
攻 撃 者 の 制 御 下 にあ<strong>る</strong>ドメイン 名<br />
<strong>抜</strong> き 取 り:log..example.jp<br />
カード 番 号 ・ 有 効 期 限 ・セキュリティコードを<br />
1024bit RSA 公 開 鍵 で 暗 号 化 した 後 、Base32エンコード<br />
攻 撃 者 の 制 御 下 にあ<strong>る</strong>ドメイン 名<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 15
QNAMEが 通 信 に 利 <strong>用</strong> され<strong>る</strong> 背 景<br />
• 攻 撃 者 にとってメリットがあ<strong>る</strong><br />
– <strong>DNS</strong>クエリログが 取 られていないことが 多 い<br />
– 外 部 に 対 す<strong>る</strong><strong>DNS</strong>クエリがフィルターされていないことが 多 い<br />
– 使 うドメイン 名 を 頻 繁 に 変 更 して、フィルターの 回 避 を 図 れ<strong>る</strong><br />
– 標 的 にインターネット 到 達 性 がなくても、 情 報 を <strong>抜</strong> き 取 れ<strong>る</strong><br />
• MULTIGRAINの 場 合 はPOS 端 末<br />
• フルリゾルバー(キャッシュ<strong>DNS</strong>サーバー)が 外 部 に 名 前 解 決 した 時 点 で<br />
情 報 が 漏 えいす<strong>る</strong><br />
• 対 策 なしでは、 感 染 や 機 密 情 報 の <strong>抜</strong> き 取 りを 検 出 できない<br />
それらを「 <strong>見</strong> <strong>抜</strong> く」ための 材 料 集 めと 仕 組 み 作 りが 必 要<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 16
提 案 されてい<strong>る</strong> 対 策<br />
• <strong>DNS</strong>クエリログの 取 得 と 保 存 ・ 内 容 の 調 査<br />
– ログを 取 らないと、 被 害 に 遭 ったことをそもそも 知 <strong>る</strong>ことができない<br />
– 何 かあった 際 、さかのぼって 調 査 でき<strong>る</strong>ように 備 えておくためにも 重 要<br />
– 不 審 なQNAMEの 例<br />
• ランダムな 文 字 列 のラベルを 含 むQNAME、 長 いラベルを 含 むQNAMEなど<br />
• エンタープライズネットワークにおけ<strong>る</strong>OP53Bの 適 <strong>用</strong><br />
– 組 織 が 提 供 してい<strong>る</strong>リゾルバー 以 外 の 利 <strong>用</strong> を 制 限<br />
– US-CERTが 推 奨 :<br />
Alert (TA15-240A) Controlling Outbound <strong>DNS</strong> Access<br />
<br />
• いわゆ<strong>る</strong><strong>DNS</strong>ファイアーウォールの 導 入 検 討<br />
– いくつかのベンダーからソリューションが 発 表 ・ 提 供 されてい<strong>る</strong><br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 17
事 例 3: 権 威 <strong>DNS</strong>サーバーを 標 的 とした<br />
DDoS 攻 撃<br />
• 最 近 の 状 況<br />
– ルートサーバーに 対 す<strong>る</strong>DDoS 攻 撃 (2016 年 6 月 )<br />
• 古 典 的 なSYN flood 攻 撃 が <strong>用</strong> いられた<br />
– 国 内 組 織 ・サービスに 対 す<strong>る</strong>DDoS 攻 撃 (2016 年 8~9 月 )<br />
• Webサーバーに 加 え、 権 威 <strong>DNS</strong>サーバーも 攻 撃 対 象 となった<br />
– 米 国 Dyn 社 のサービスインフラに 対 す<strong>る</strong>DDoS 攻 撃 (2016 年 10 月 )<br />
• マネージド<strong>DNS</strong>サービスに 対 す<strong>る</strong> 大 規 模 な 攻 撃<br />
• 大 量 のIoTデバイスが 悪 <strong>用</strong> された(Miraiを <strong>用</strong> いたBotnetによ<strong>る</strong> 攻 撃 )<br />
権 威 <strong>DNS</strong>サーバーを 標 的 としたDDoS 攻 撃 事 例 の 報 告 が 相 次 いでい<strong>る</strong><br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 18
最 近 のDDoS 攻 撃 の 特 徴 (1/2)<br />
• 送 信 元 IPアドレスを 偽 装 した 攻 撃<br />
– 従 来 はこれが 主 流 であった( 現 在 も 主 流 )<br />
• 各 種 リフレクター 攻 撃 (<strong>DNS</strong>、NTP、SNMP、SSDPなど)<br />
• <strong>DNS</strong> 水 責 め(ランダムサブドメイン) 攻 撃<br />
– 偽 装 の 必 要 はないが、 送 信 元 IPアドレスを 偽 装 す<strong>る</strong> 事 例 が 多 い<br />
• SYN flood 攻 撃 ( 古 典 的 な 攻 撃 手 法 だが 根 本 的 対 策 は 困 難 )<br />
• 送 信 元 IPアドレスを 偽 装 しない 攻 撃<br />
– 最 近 ( 再 び)、 <strong>見</strong> られ<strong>る</strong>ようになってきた<br />
• Miraiを <strong>用</strong> いたBotnetによ<strong>る</strong> 攻 撃<br />
– 複 数 の 攻 撃 手 法 を 組 み 合 わせて 利 <strong>用</strong><br />
– 直 接 攻 撃 で 十 分 & 踏 み 台 だから 足 がついてもいいという 割 り 切 り?<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 19
最 近 のDDoS 攻 撃 の 特 徴 (2/2)<br />
• 攻 撃 規 模 の 飛 躍 的 な 増 大<br />
– Dynに 対 す<strong>る</strong>DDoS 攻 撃 では、 最 大 1.2Tbpsを 観 測 したと 言 われてい<strong>る</strong><br />
• 攻 撃 手 法 <strong>の「</strong> 巧 妙 化 」<br />
– 「 複 数 の 手 法 を 組 み 合 わせた、 複 雑 かつ 高 度 な 攻 撃 」が 恒 常 化<br />
• Dynの 分 析 レポート(2016 年 10 月 26 日 公 開 )<br />
The Friday October 21, 2016 attack has been analyzed as a complex &<br />
sophisticated attack, using maliciously targeted, masked TCP and UDP traffic<br />
over port 53.<br />
Dyn Analysis Summary Of Friday October 21 Attack<br />
より 引 <strong>用</strong><br />
– 2016 年 8~9 月 の 国 内 のDDoS 攻 撃 でも、 複 数 の 手 法 の 使 <strong>用</strong> が 報 告 されてい<strong>る</strong><br />
• 攻 撃 ツールの 進 化 と 利 <strong>用</strong> の 容 易 さから、 手 軽 な 攻 撃 が 流 行<br />
– 他 人 のツールを 利 <strong>用</strong> す<strong>る</strong>だけで「 複 雑 かつ 高 度 な 攻 撃 」が 可 能 な 時 代 に<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 20
でき<strong>る</strong>ことはあ<strong>る</strong>のか?<br />
• 「1.2Tbps」をまともに 食 らったら 非 常 に 厳 しい<br />
– 最 後 は「 物 量 ( 資 源 投 入 ) 作 戦 」になりがち<br />
• 例 :IP Anycastやサーバーの 分 散 化 などによ<strong>る</strong>、 大 規 模 なスケールアウト<br />
• さまざまなサービスプロバイダーがソリューションを 発 表 ・ 提 供 してい<strong>る</strong><br />
• しかし、それ 以 前 にでき<strong>る</strong>ことは 色 々あ<strong>る</strong><br />
– 起 こりう<strong>る</strong>ことを <strong>見</strong> <strong>抜</strong> き、 備 え<strong>る</strong><br />
• 攻 撃 の 効 果 軽 減<br />
• 情 報 提 供 <strong>用</strong> チャンネルの 確 保 ( 特 にサービス 提 供 者 )<br />
– 起 こりつつあ<strong>る</strong>ことを <strong>見</strong> <strong>抜</strong> き、 早 期 に 対 策 す<strong>る</strong><br />
• 攻 撃 の 検 知 ・ 緩 和<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 21
対 策 : 攻 撃 の 効 果 軽 減<br />
• サービスダウンした 際 の 被 害 を 最 小 限 に 留 め<strong>る</strong>ための 備 え<br />
• 対 策 1: 複 数 の<strong>DNS</strong>プロバイダーを 利 <strong>用</strong> す<strong>る</strong>(サービスの 冗 長 化 )<br />
– データの 管 理 において 注 意 が 必 要 ( 下 記 資 料 のp.29~36に 詳 細 な 解 説 あり)<br />
参 考 :<strong>DNS</strong>にまつわ<strong>る</strong>セキュリティのあれこれ(IIJ 島 村 充 氏 )<br />
<br />
• 対 策 2:TTL 値 を 無 <strong>用</strong> に 短 くす<strong>る</strong>のを 避 け<strong>る</strong><br />
– 特 に、NSやネームサーバーホスト 名 のA/AAAAのTTL 値 に 注 意<br />
• ゾーンファイルの$TTLの 設 定 値 が 本 来 短 くすべきではない、NSレコードやネームサーバー<br />
ホスト 名 のA/AAAAレコードにも 設 定 され<strong>る</strong>ことに 注 意<br />
• NSやネームサーバーホスト 名 のA/AAAAには、 長 い(1 日 以 上 )TTL 値 を 別 途 設 定 すべき<br />
– 参 考 :Dynの 障 害 後 、twitter.com/AのTTL 値 が300→1800に 変 更 された<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 22
対 策 : 情 報 提 供 <strong>用</strong> チャンネルの 確 保<br />
• サービスやWebサイトがダウンしてい<strong>る</strong> 間 も 利 <strong>用</strong> 可 能 な、<br />
情 報 提 供 <strong>用</strong> のチャンネルを 別 途 確 保 す<strong>る</strong><br />
– 顧 客 や 組 織 内 外 の 関 係 者 に、 障 害 状 況 や 対 応 状 況 を 伝 達<br />
• 自 身 の 障 害 のため、アナウンスを 読 んでもらえない 状 況 を 回 避 す<strong>る</strong><br />
• <strong>運</strong> <strong>用</strong> 事 例<br />
– Dynではサービス 状 況 提 供 <strong>用</strong> サイト「dynstatus.com」を、<br />
自 社 のインフラに 依 存 しない 形 で 以 前 から <strong>運</strong> <strong>用</strong><br />
• 10 月 の 障 害 の 際 に、Webと 電 子 メールによ<strong>る</strong> 緊 急 の 情 報 提 供 を 実 施<br />
– Twitterなど、 外 部 のサービスの 利 <strong>用</strong><br />
• 2016 年 8~9 月 の 障 害 の 際 、さくらインターネットや 技 術 評 論 社 が 実 施<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 23
対 策 : 攻 撃 の 検 知 ・ 緩 和<br />
• 攻 撃 の 検 知<br />
– 権 威 <strong>DNS</strong>サーバーにおけ<strong>る</strong>トリガーの 例<br />
• 未 <strong>見</strong> かつ 複 数 のIPアドレスから、 多 数 の<strong>DNS</strong>クエリが 到 達 す<strong>る</strong><br />
• 同 一 IPアドレスから、 同 内 容 の<strong>DNS</strong>クエリが 頻 繁 に 到 達 す<strong>る</strong><br />
– かつ、リソースレコードのTTL 値 よりも 明 らかに 短 い<br />
⇒ 適 切 な 攻 撃 検 知 と、 適 切 なフィルタリングの 組 み 合 わせが 有 効<br />
• 今 日 の<strong>DNS</strong> DAYの 話 題 の 一 つ(データを <strong>見</strong> て 対 策 を 考 え<strong>る</strong>)<br />
• 攻 撃 の 緩 和<br />
– ネットワーク・サーバーにおけ<strong>る</strong> 緩 和 策 の 例<br />
• 上 流 ISPとの 連 携<br />
• 権 威 <strong>DNS</strong>サーバーの 複 数 ネットワーク・サービスへの 配 置<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 24
3. 二 つ<strong>の「</strong> <strong>見</strong> <strong>抜</strong> く」のために 必 要 なこと<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 25
1 気 付 き<br />
• 普 段 と 何 か 違 う、 何 か 様 子 がおかしい、など<br />
– Webブラウザーの 表 示 、システムの 反 応 、<strong>DNS</strong>の 応 答 、etc.<br />
• 何 だか 重 い、という 感 覚 が 障 害 発 <strong>見</strong> のきっかけにな<strong>る</strong> 場 合 が 多 い<br />
• 「 気 付 き」はシステムやネットワークの 状 況 などに 限 らない<br />
– こんな 気 付 きも…<br />
• 従 来 は 頻 繁 に 更 新 されていたWebサイトが、 突 然 更 新 されなくな<strong>る</strong><br />
• Twitterのタイムラインがざわついてい<strong>る</strong><br />
• 事 例 :2016 年 3 月 のAPNICの 逆 引 き<strong>DNS</strong>SECエラー<br />
– 申 請 を 受 け 付 けたIANAが 異 常 に 気 付 くべきだったのかもしれない<br />
• 50ゾーン 分 のDS 更 新 申 請 をいつもと 違 う 時 期 に 受 け 取 った、はず<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 26
2 状 況 把 握<br />
• 普 段 の 状 況 を 把 握 していないと、<br />
普 段 と 違 うということを 把 握 できない<br />
• 状 況 を 適 切 に 把 握 す<strong>る</strong>ためには、 普 段 からの 蓄 積 が 重 要<br />
– 知 <strong>る</strong>( 気 付 く)ための 仕 組 み 作 り<br />
• トラフィックの 異 常 な 変 化 や 異 常 なクエリの 検 出 、アラートの 伝 達<br />
• 各 種 ログの 取 得 ・ 分 析<br />
• 複 数 のコミュニティへの 注 意 喚 起 ( 情 報 発 信 者 におけ<strong>る</strong> 活 動 例 )<br />
– 普 段 の 積 み 重 ねと 有 事 に 対 す<strong>る</strong> 備 え<br />
• <strong>見</strong> <strong>抜</strong> くための 感 覚 の 向 上<br />
• 有 事 を 想 定 したシステム 設 計 ・ 設 定 の 実 施<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 27
3 仕 組 み 作 り<br />
• 知 <strong>る</strong>( 気 付 く)ための 仕 組 み 作 り<br />
– インシデントによ<strong>る</strong> 被 害 を 防 げなかったとしても、<br />
被 害 を 小 さくできたり、 再 発 を 防 止 できたりす<strong>る</strong> 場 合 があ<strong>る</strong><br />
– 予 防 ・ 早 期 発 <strong>見</strong> ・ 早 期 対 応 にもつなげ<strong>る</strong><br />
• 適 切 、かつ 機 能 す<strong>る</strong>( <strong>見</strong> <strong>抜</strong> け<strong>る</strong>) 仕 組 み 作 りが 必 要<br />
– 事 例 :2016 年 3 月 のAPNICの 逆 引 き<strong>DNS</strong>SECエラー<br />
• 仕 組 みは 稼 動 していたが、 <strong>見</strong> <strong>る</strong> 場 所 ・ 方 法 が 適 切 でなかった<br />
– 事 例 :<strong>DNS</strong>のQNAMEを 通 信 に 利 <strong>用</strong> す<strong>る</strong>マルウェア<br />
• 新 たな 攻 撃 手 法 に 対 応 す<strong>る</strong>ための 仕 組 み 作 り<br />
– <strong>DNS</strong>クエリログの 取 得 と 保 存 、OP53B、<strong>DNS</strong>ファイアーウォール、etc.<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 28
4 普 段 の 積 み 重 ねと 備 え<br />
• <strong>見</strong> <strong>抜</strong> くための 感 覚 ( 直 感 )の 向 上 を 図 <strong>る</strong> 例<br />
– 毎 日 触 <strong>る</strong>(サーバー、システム、ネットワーク、etc.)<br />
– 普 段 のトラフィックパターンや 傾 向 の 把 握<br />
– <strong>運</strong> <strong>用</strong> 対 象 の 技 術 仕 様 ( 仕 組 み)や 動 作 の 勉 強<br />
• 有 事 を 想 定 したシステム 設 計 ・ 設 定 の 例<br />
– 複 数 の<strong>DNS</strong>プロバイダーの 利 <strong>用</strong><br />
– 短 いTTL 値 の 回 避<br />
– 対 外 的 なリレーションや 連 絡 網 の 確 保<br />
• 参 考 事 例 : 東 日 本 大 震 災 発 生 時 の 行 動 (p.5に 当 日 の 行 動 記 録 あり)<br />
日 本 のインターネットは 本 当 にロバストだったのか~ 国 内 編 ~(NTTコム 吉 田 友 哉 氏 )<br />
<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 29
5 周 囲 や 社 会 の 理 解<br />
• 日 常 の 積 み 重 ねや 備 えは、 得 てして 適 切 に 評 価 されない<br />
「しっかり <strong>運</strong> <strong>用</strong> していても、 普 段 は 頑 張 りを 認 められづらい」<br />
「 障 害 を 起 こすと 大 変 怒 られ<strong>る</strong>」<br />
• こうした 取 り 組 みが、 周 囲 や 社 会 に 理 解 され<strong>る</strong>ことが 重 要<br />
– 経 営 者 ・ 上 司 によ<strong>る</strong>、 組 織 としての 理 解<br />
– 組 織 内 ・ 組 織 外 に 対 す<strong>る</strong> 啓 発 活 動<br />
– 技 術 者 全 体 の 社 会 的 プレゼンスの 向 上<br />
(IIJ 島 村 充 氏 の 発 表 資 料 ( 前 出 )より 引 <strong>用</strong> )<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 30
おわりに<br />
• 本 パートで 取 り 上 げた 五 つの 項 目<br />
1 気 付 き 2 状 況 把 握 3 仕 組 み 作 り<br />
4 普 段 の 積 み 重 ねと 備 え 5 周 囲 や 社 会 の 理 解<br />
• <strong>DNS</strong> <strong>運</strong> <strong>用</strong> <strong>の「</strong> <strong>見</strong> <strong>抜</strong> く」は、 何 気 ない 日 常 の 中 にあ<strong>る</strong><br />
– サービスを 安 定 、かつ 安 全 に 動 かし 続 け<strong>る</strong>ための 継 続 的 な 活 動<br />
• そして、その 取 り 組 みが 内 外 で 正 しく 理 解 され<strong>る</strong>ことも 重 要<br />
• というわけで 日 々の <strong>運</strong> <strong>用</strong> と「 <strong>見</strong> <strong>抜</strong> く」の 両 立 は 大 変 だけど…<br />
<strong>DNS</strong>をよりよく、 楽 しく 支 えていくため、<br />
みんなで 力 を 合 わせてがんばっていきましょう<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 31
That’s it!<br />
Copyright © 2016 株 式 会 社 日 本 レジストリサービス 32