Document

Download Report

Transcript Document 

KDDI技術懇談会
2015年2月5日(木)
ネットワーク セキュリティの
山積する課題
早稲田大学 基幹理工学部
情報理工学科
後藤滋樹
1
1.自称「セキュリティ文化人」
情報セキュリティ文化賞(2014.3.5) 受賞理由
早稲田大学教授として長年にわたりネットワークの不正利用
対策や新しい応用技術の探求等にかかる教育研究活動に
取り組まれる一方、
日本ネットワークインフォメーションセンター理事長としてコン
ピュータネットワークの円滑な利用のための研究および方針
策定等を通じたネットワークコミュニティの健全な発展に尽力
され、
また、情報セキュリティ政策会議 技術戦略専門委員会委員
長としてわが国の情報セキュリティ分野における技術開発戦
略やロードマップの検討等に多大な貢献をされていること。
.
2
早稲田大学における
教育研究(学生の活躍)
MWS Cup 2014 総合準優勝
MWS Cup 2013 総合優勝
MWS Cup 2013 FFRI特別賞
「GOTO Love and 初代森研」(早稲田大学)
MWS Cup 2012 総合優勝
「Team GOTO Love」チーム(早稲田大学)
MWS Cup 2011 不戦敗
MWS Cup 2010 芸術部門優勝
Team GOTO Love (早稲田大学)
3
JPNIC
JPCERT/CCとの協力、JPRSとの協力
ネットワーク インフォーメーション センター
1800
2800
「インターネット白書2013-2014」発行のお知らせ
「インターネット白書ARCHIVES」公開のお知らせ
Coming soon! 「インターネット白書2015 」
インターネット歴史年表(セキュリティ分野あり)
www.nic.ad.jp
4
情報セキュリティ政策会議
技術戦略専門委員会
http://www.nisc.go.jp/conference/seisaku/strategy/
• 最近の話題:
サイバー攻撃の検知・防御能力の向上
社会システム等を防護するためのセキュリティ技術
産業活性化・新サービスにおけるセキュリティ
頼まれて後藤が委員になる
佐々木良一委員長が補佐官となる
後藤が委員長となる
2015年1月9日(金)
サイバーセキュリティ戦略本部
研究開発戦略専門調査会
5
2.高校生からの質問
• 早稲田大学を見学(研修旅行)に来た高校生
質問「ネットワーク本来の能力を失うことなく、サイバー
攻撃を防ぐことはできるのですか?」
• 三鷹市 市民大学 科学コース
ゲスト講演依頼「ネット社会とセキュリティ」
特にセキュリティに比重をおいてご講演ください
• ITコミュニケーション活用促進戦略会議 (2014.5)
薬の対面販売の議論が中心であったが、セキュリティに
関する発言が多発
報道されている個々の事件は、専門家から見れば特に驚くような
手口ではないとしても社会全体に不安を招いている
6
3.攻撃者に有利,防衛側は不利
• 弱点を探すためにスキャンをする
• 対象の脆弱性を詳しく調べることができる
現実世界で空巣狙いが家の周りを探ると目立つ
• ネットワークでは堂々と行動し、簡単に逃げる
• 巧妙に他人を仲介させる(踏み台)
他人のパソコンを遠隔操作する
7
4.攻撃者は逃げる
• 昔のARPAnetでも事件が起きた
犯人は簡単に分かる(1988 Morrisのworm)
ARPAnetでは逃げることができない
• ARPAnetの利用者は大学、あるいは連邦政府と
取引のある大企業の従業員
【逸話】 スタンフォード大学で階段の踊り場に端
末を設置して叱られた話
• 現在の攻撃者はIPアドレスを移動し、ドメイン名
を次々に切り替える
ブラックリストの効果が限定される
8
攻撃者が使用するIPアドレスの分布
Hilbert Curve
http://en.wikipedia.org/wiki/File:Hilbert_curve.svg
• Skewed IP addresses
– Hilbert curve
■blue: benign
■red: malicious
– ExOctet Method by D. Chiba
The IP address is an important
parameter to tell if the URL is
malicious or benign.
© D. Chiba
9
攻撃者のドメイン名は登録後の日が浅い
• “Whois” information
• When a domain name is
registered?
• Malicious domain names are
new.
• parameter
W = dn – d
(dn: the current date、d: date of the registration)
CDF: Cumulative Distribution Function
How many years past after the registration?
Red: malicious, Blue: benign
© Daiki Chiba, Waseda Univ.
10
攻撃者のドメイン名は長い
CCDF: Complementary Cumulative Distribution
Function
Red: malicious, Blue: benign
• Length of the FQDN
character string
• Malicious FQDN is long.
• parameter
L = (length of FQDN string)
• Example:
www.waseda.jp (L=13)
9d2c76904ddcb022c5e1bb604
b9b037g.example.com (L=44)
Length of FQDN character string
11
ドメイン名が不自然(エントロピー)
• Entropy of FQDN character string
CCDF (Complementary Cumulative Distribution Function)
Malicious domain names are
Entropy of a malicious FQDN is large.
composed randomly.
Red: malicious, Blue: benign
• Parameter: FQDN X  {x1 , x2 ,, xn }
p(xi ) = probability of xi
n
E   p ( xi ) log p ( xi )
i 1
Entropy of FQDN character strings
• Example:
www.waseda.jp (E=2.78)
9d2c76904ddcb022c5e1b
b604b9b037g.example.co
m (E=4.18)
12
ドメイン名が不自然(2文字の連鎖)
Top 30 n-gram (n=2)
frequency of occurrences
Red: malicious, Blue: benign
• n-gram (n=2) of FQDN strings
• Malicious and benign FQDNs
• parameter
{g-0, … , gk, … , gz9}
(gk: n-gram文字列 k の出現頻度)
frequency
• 2-character strings
→ which has one numeral or
one symbol.
• Example: a1-a2.example.com
→ a1, 1-, -a, a2, 2., .e, e., .c
13
5.アクセスしただけで感染
• Webサイトにアクセスしただけで悪意のあるソ
フトウェア(マルウェア)に感染する
有名企業のWebサイトも被害者
• Webサイトの全体が改竄されるのではなく、
他のサイトへの転送(redirect)が仕組まれる
• この自動転送を見付けるのが結構難しい
Gumblar:
 学生サークルのWebサイトが改竄された例
 大学のITセンターは「改ざん検査サービス」を実施
14
Drive-by-Download Attack の仕組み
利用者が知らないうちに redirectされる
Landing site
Vulnerable
browsers
& plugins
Redirect
Hopping site
…
…
Exploit site
Malware site
© Daiki Chiba, Waseda Univ.
15
解析する方法(各種)
• Analyze communication data by three tests
URL test
Referrer test
Host test
Check URLs and
Location field in
HTTP response
Check
Referrer field in
HTTP request
Check Host
(IP address and
Domain name)
behavior in
a Session
© Y. Takata
16
Host test で丹念に通信を調べる
Associate redirections based on appeared Host
Server 1 (IP:x.x.x.x, test.com)
1:15.4
1:17.0
1:18.1
10:13.6
The Host means a Server
Server 2 (IP:y.y.y.y, hoge.co.jp) IP address and domain name
1:19.1
1:20.4
1:24.4
D
DNS
D
S
S
D
D
S
S
S
3-way
(SYN)
S
G
G
S
S
G
G
G
GET
G
H
H
G
G
H
H
H
HTTP
H
G
G
H
H
G
G
F
FIN
RST
G
H
H
G
G
H
H
H
G
G
H
H
G
G
G
H
H
G
G
H
H
H
H
H
Session from an Entrance
Web site
Session from an Entrance
Web site (Identify Referrer
test and URL test)
Sessions from not an
entrance Web site (cannot
identify by Referrer test
and URL test)
Session identified by Host
test (Only near session
started SYN)
Not the Same Redirection
F
←Start
F
F
Session
APAN Network Research Workshop
F
F
F
F
End→
17
提案手法が有効である
 URL Test
 GET requests for URLs in a HTTP data and a Location field
 Referrer Test
 A GET request for the URL set in the Referrer field
 Host Test
e.g. A result of obfuscating a program
alert(“Hello, World!!”);
 Associate redirections based on a Host
(IP address and Domain name)
Table. Tests to acquire malicious distribution URLs
Date
Total of malicious URLs
March 8th
March 9th
202
205
URL Test
12 (5.9%)
10 (4.9%)
Referrer Test
13 (6.4%)
13 (6.3%)
Host Test
March 11th
158
単にURLを見張る、ある
10 (6.3%) いはreferrerをチェック
するだけでは見逃す
6 (3.8%)
177 (87.6%) 182 (88.8%) 142 (89.9%)
© Y. Takada
18
6.サーバは入口を開いている
• インターネットのサーバは、要求があれば、
とりあえず受付けようとする
現実世界でいえば空巣が家の玄関まで入る
• ネットワークを妨害(DoS)するのは簡単
botを使い他人のパソコンを利用して分散DoS
切手を貼らない
友
人
の
住
所
(
宛
名
は
空
欄
)
筆者が小学生の頃の
イタズラ
19
DNS Amp Attack の手口
The Internet
DNS authoritative server
・Send a DNS query
about a large size RR
・Source IP address=IPt
IPt is a fake address
Attacker ≠ IPt
Some RR covers
a large packet size.
Response
DNS cache servers
Target = IPt
問
問
DNS cache servers
問 問
問
回答
回答
問
DNS cache servers
後藤・外山
インターネット工学
コロナ社, 2007.
A small DNS query is amplified
to large reply packets.
20
7.大学は攻撃され,攻撃する
• 学生の間でトロイの木馬が蔓延
• DNS amp attack, NTP amp attack
• ssh総当たり攻撃を受けるのは日常茶飯事
• その一方で…
• PlanetLab の早稲田ノードから米国のデータ
センターのポートスキャンが行われた(MITの
スライス)
• 非常勤の先生のPCが踏み台に使われた
学生(と先生)の意識を高める必要がある
21
大学の入口で見張る
© Akihiro Shimoda
 使われていない筈のIPアドレスを観測
 Darknet (例:NICTER)に比べて少しだけ反応する
 学会で報告されている攻撃例の約半数を確認
Analyzers
emulated
response
DarkPots
System
list of unused-IPs
Forwarder
Vacancy checker
mirroring
The Internet
22
Gateway Router
(ACLs deployed)
Enterprise / Campus
Network
8.どこでも「人材」「人財」
[1] 九州大学
サイバーセキュリティを全入学者の必修科目(西日本新聞)
http://www.nishinippon.co.jp/nnp/national/article/137051
[2] 北陸先端大学 NECの寄附講座(NECの発表)
http://jpn.nec.com/press/201411/20141117_01.html
[3] 東京電機大学「高度人材養成のための社会人学び直し
大学院プログラム」(文部科学省)
http://www.mext.go.jp/component/a_menu/education/detail
/__icsFiles/afieldfile/2014/10/23/1352877_11.pdf
[4] 早稲田大学におけるNTTの寄附講座(日経新聞)
http://www.nikkei.com/article/DGXLZO79116720R31C14A0TJ
1000/
23
セキュリティ教育の課題と効果
• セキュリティへの関心の高まり
• セキュリティの理解のためには、情報通信の広範な
知識が必修: マシン語、オペレーティングシステム、
データベース、ネットワーク、ブラウザ、サーバ、アプ
リケーション(アプリ)…
• 敷居が高いが、教育的でもある
• 現在のセキュリティ人材は約26・5万人。約16万人
は技術が不十分、さらに約8万人不足(読売新聞)
http://www.yomiuri.co.jp/job/news/20150125OYT8T50014.html
24
Android application package
Android application (.apk)
Manifest file (AndroidManifest.xml)
Application programs (classes.dex)
Application resources
25
マニフェストファイルだけを検査
Correct detection (%) Incorrect detection (%)
Benign samples
91.4
8.6
Malware samples
87.5
12.5
Total
90.0
10.0
• Correct detection : correct detection to the total number
• Incorrect detection : incorrect detection to the total number
26
精度の改善のためには、さらにアドウェアの分析が必要
9.運用者にも見えないトラヒック
• 以前のネットワーク運用
異常な現象は機器の故障、回線の障害
• 現在のネットワーク運用
セキュリティの観点での疑い
• スマートフォン利用者はアプリをダウンロード
プロトコルはHTTPだが、暗号化が進む
• 暗号化された通信の種別を推測する技術
27
10.DNSは手掛かりを与えるか
• 善玉も悪玉もDNSを使う
• 通信の「露払い」としてDNSで名前解決
(name resolution) が行われる筈だが…
• DNSのレコードはキャッシュされる
 キャッシュサーバ (← 教科書通り)
 クライアントのOS
 クライアントのブラウザ
• CNAMEによる別名 (alias)がある
www.waseda.ac.jp.
www.waseda.jp.
1800 IN CNAME redirect.web.waseda.ac.jp.
147 IN CNAME wnw3wj.cloudapp.net.
28
ドメイン名とIPアドレス
ドメイン名 A.com
IPアドレス1.x.x.x
ドメイン名 B.com
IPアドレス2.y.y.y
ドメイン名 C.com
IPアドレス3.z.z.z
ドメイン名 D.com
1対1の関係ではない
29
11.国際協力が不可欠
• ミサイルとサイバー攻撃は訓練が必要
近距離の方が遠距離よりも成功率が高い
ウィルスは近くのネットワークに拡散する
• 日本を攻撃してくる某国内でも被害甚大
その国でデータを収集して欲しい
人材育成にも協力(特に指導者の拡充)
• JPCERTはAPCERTをリードしている
APCERTのセッションのあるAPRICOT国際会議
30
拒絶服務攻撃 (DoS attack)の例
http://www.cnnic.cn/gywm/xwzx/xwzxtzgg/201308/t20130825_41322.htm
公告 2013年08月25日 10:34来源: 作者:
[ 字号:大 中 小 ]
打印
8月25日凌晨零时许,国家域名解析节点受到拒绝服务攻击,经我中心处置,
至2时许,服务恢复正常,我中心于凌晨3时许通过官方微博对用户发布了通报。
凌晨4时许,国家域名解析节点再次受到有史以来最大规模的拒绝服务攻击。部
分网站解析受到影响,导致访问缓慢或中断。
从发生攻击至发布公告之时,我中心与国家有关部门一直在积极努力处置。
截止目前,攻击仍在持续,国家域名解析服务已逐步恢复。
目前,工业和信息化部已启动“域名系统安全专项应急预案”,进一步保障
国家域名的解析服务。我中心对受到影响的用户表示歉意,对发动网络攻击影响
互联网稳定的行为表示谴责。我中心将继续与国家各相关部门协同,持续提升服
务能力。
事件的最新情况,我们将及时通过官方发布渠道向公众予以告知。
31
次回は福岡で開催
32