IIJ Technical WEEK 2015 メモ

メモ

2015年セキュリティ動向
http://www.iij.ad.jp/company/development/tech/techweek/pdf/151112_1.pdf

■DDOS攻撃
・過去に使っていたが、現在使用されていないIPv4のアドレスを利用して攻撃に使われている事例が何件もある。
・DrDOS攻撃が非常に大きくなっている。
　DrDOS攻撃：一般家庭のルータを踏み台にして小さいパケットをたくさん生成して攻撃する事例が増えている。
　メーカーやプロバイダのISPの対応で国内としては減少したが国外では非常に多く利用されている。
　攻撃先は様々。
　利用されている国は、アメリカ、中国、ブラジルが比較的多め。
・DD4BC
　昨年、DOS攻撃によってサービスを停止させて脅迫を行う。身代金として匿名性の高いbitcoinを利用。
　攻撃は10G～40Gbps規模。
　模倣犯が増えている。
・protonmail事件
　100Gbpsを超えるDDOS攻撃。
　身代金を請求し支払ったが解決しなかった。金で解決しない事件が増えていることがわかる。

■PUA
・マイナンバー制度に合わせた個人情報保護法の改正
　5000件条項の廃止。
　慎重なパーソナルデータの利用が求められる。
　第三者機関の監査を推奨。
　パーソナルデータのデータを推奨する一方で厳格な対応が求められる。
・Ingress等位置情報を利用するサービスで営業社員の位置情報が送信されて会社情報がゲーム会社に送信されるようなケースが多くなり、こうしを分けるのが難しくなっている。
・PUA：本アプリと別にアプリを一緒にインストールされたり、設定が変更される。
　これを利用して攻撃する例も増えている。
・PCにプリインストールされた第三者(PC販売メーカーではない)ソフトウェアに脆弱性が出るパターンがあった。
・PUAはウイルス対策ソフトで削除されない。
　ユーザーが承認してインストールしている。
　開発者が意図して入れているためメーカーの責任でインストールされている。
・PUAを利用した攻撃に関しては、セキュリティの専門家が発見するよりも利用者が不便さを感じて発見されるケースが多数ある。
　個人ブログ等で不便さや批判をセキュリティの専門家が見て、調べる流れとなっており、情報がセキュリティ会社や団体に来ないことが問題。

■標的型攻撃
・正規のキャンペーンに紛れての標的型攻撃が行われている。
・今年は特に医療分野での攻撃が多かった。
　年金機構への攻撃もこの系列の可能性あり。
・標的型攻撃には対策ガイドラインや教育がなされているが事件は増える一方。

■新技術
・VDIを利用して、インターフェース、OS、ハードを切り離す。
　対策や調査開始のスピードアップが期待できる。
・SDNを導入する。
　ネットワークの監視、攻撃の対策をすべてコントローラに集中させることができる。
・機械学習の導入。
　ネットワークのパケットをすべてとらえてマルウェアの発生予兆をとらえる。
　また、ユーザの行動も覚えさせることで普段と違うパケットを見つけることで攻撃予兆をとらえる。


Hardening Projectから学ぶインシデント対応の勘所
http://www.iij.ad.jp/company/development/tech/techweek/pdf/151112_2.pdf
■イベント内容
・Hardening Project：防御に特化した実践的なセキュリティの競技イベント
　守ることと回復が中心で、元々は技術のみだったがマネジメントや顧客とのコミュニケーションも対象となった。
　参加者は学生からインフラ、開発者、管理職、ITに関係ない人もいる。
　1か月前にチームが発表されてチームビルディングから開始となる。
　架空のECサイトを守る。攻撃者は運営。
　必要に応じて、メーカーやベンダーからの情報収集する技術も問われる。
・1日目：hardning：8時間耐久演習
　2日目：softning:フィードバック等の演習
　その他：WASNight：参加者、不参加者、運営の懇親会。まったくの別日程で行い、関係を深めてもらう。

■イベントから学んだこと
・セキュリティインシデント対応は準備がすべて。(セキュリティだけではないかもしれないが)
　準備していないものは基本的にできない。
・準備
　堅牢化した結果、自分たちも何もできない構成になっていたりする。
　安易に設定変更したり、止めてはいけない。
　セキュリティサービスを過信して疑わない対応することはいけない。
　攻撃者が悪であることは間違いないが、システムの管理・運営者として攻撃者に責任転嫁してはいけない。
　「脆弱性のあるサイトはいやだ」はユーザの本音。脆弱性のあるサイトで買い物をしたいくないはず、そのためサービスを止めることはあり。

■他の国内イベント
・国内には演習や訓練が行えるイベントが少ないことが悩み。
・mini harding project ：有志が始めた初心者向け演習。

■その他
・標的型攻撃があった場合whoisに記載されている情報元に連絡が来る。(メールが多い？)
　警察やセキュリティベンダー等が標的型攻撃者で利用されているサーバ等のパケットを監視している。