DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Transcript

1. Yutaka FUJIWARA
   2019/04/23
   #ssmjp 2019/04
   DNS BOM-BA-YE!!
   〜 DNS[をで]止め(ろ|るな)!〜
   

   View Slide

2. #ssmjp 2019/04
   2019/04/23
   2
   自己紹介
   藤原 豊
   ü 元DNS運用者
   ü 2000〜2010 ISPのDNS(キャッシュ・権威)運用等
   ü 2010〜 情報セキュリティのお仕事
   • ICT-ISACでの活動
   • 本業はビールを飲むこと(年間200種類以上)
   

   View Slide

3. #ssmjp 2019/04
   2019/04/23
   3
   今日のテーマ、4つ
   ü DNSを止めるな！
   ü DNSで止めるな！
   ü DNSで止めろ！
   ü DNSを止めろ！
   つまり、DNS[をで]止め(ろ|るな)！
   

   View Slide

4. #ssmjp 2019/04
   2019/04/23
   4
   DNSを止めるな!
   Ø ISPのDNS(キャッシュ・権威)
   ü 停止==電気通信事故
   • 電気通信事業法
   • 第二十八条 電気通信事業者は、第八条第二項の規定により電気
   通信業務の一部を停止したとき、又は電気通信業務に関し通信の
   秘密の漏えいその他総務省令で定める重大な事故が生じたときは、
   その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告
   しなければならない。
   • 「2時間以上かつ3万人以上」== 重大事故
   ü 1時間58分で復旧しがち
   ü そんなことをしてると判断基準が厳しく変更されがち
   

   View Slide

5. #ssmjp 2019/04
   2019/04/23
   5
   DNSを止めるな!
   Ø BINDを止めるな！
   • 頻繁に(突然に)公表されるBINDの脆弱性
   • 脆弱性が出るタイミングを予測する試み(2016年頃)
   InternetWeek2016 DNSOPS.JP BoF
   https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf
   

   View Slide

6. #ssmjp 2019/04
   2019/04/23
   6
   DNSを止めるな!
   Ø BINDを止めるな！
   • 脆弱性が公開されるシグナル(予兆、虫の知らせ)を掴む
   • 「心の準備」が出来る…
   

   View Slide

7. #ssmjp 2019/04
   2019/04/23
   7
   DNSを止めるな!
   Ø BINDを止めるな！
   • パッチリリースの手順(プロトコル)を理解する
   • 「特定ディレクトリ」のタイムスタンプ更新→大体5日後に公開
   

   View Slide

8. #ssmjp 2019/04
   2019/04/23
   8
   DNSを止めるな!
   ん!?
   

   View Slide

9. #ssmjp 2019/04
   2019/04/23
   9
   DNSを止めるな!
   Ø Shodanでまだ見ぬBINDを探せ!
   ü 現行バージョン
   Ø 9.11.6, 9.12.4, 9.13.7
   ü Patchが出るとしたら、多分こんな感じ↓ 多分…
   Ø 9.11.6-P1, 9.12.4-P1, 9.13.7-P1, 9.11.6-S1
   

   View Slide

10. #ssmjp 2019/04
    2019/04/23
    10
    DNSを止めるな!
    • ( ꒪⌓꒪)…ｵｯ、ｵｩ
    • 先行リリースされたBIND適用済みDNSキャッシュが存在…
    • 当該キャッシュをリゾルバとして参照するオープンリゾルバ…
    

    View Slide

11. #ssmjp 2019/04
    2019/04/23
    11
    DNS[をで]止め(ろ|るな)！
    ü DNSを止めるな！
    ü DNSで止めるな！
    ü DNSで止めろ！
    ü DNSを止めろ！
    

    View Slide

12. #ssmjp 2019/04
    2019/04/23
    12
    DNSで止めるな！
    Ø 海賊版サイトブロッキング
    

    View Slide

13. #ssmjp 2019/04
    2019/04/23
    13
    DNSで止めるな！
    Ø 海賊版サイトブロッキング
    Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議
    ü 「インターネット上の海賊版サイトに対する緊急対策」
    ü 「DNSで(漫画村を)止めろ」
    Ø 緊急避難として…?
    ü 危難の存在、補充性、法益権衡(緊急避難の3要件)
    ü 危難は存在するとして、補充・権衡が微妙な…
    ü 「本件は緊急避難には当たらない」(2018/3/29 法務省刑事局)
    • つまり海賊版サイトをDNSで止めることは違法
    ( ꒪⌓꒪)…
    「刑事訴追の恐れがあるためブロッキングは差し控えたい」
    

    View Slide

14. #ssmjp 2019/04
    2019/04/23
    14
    DNS[をで]止め(ろ|るな)！
    ü DNSを止めるな！
    ü DNSで止めるな！
    ü DNSで止めろ！
    ü DNSを止めろ！
    

    View Slide

15. #ssmjp 2019/04
    2019/04/23
    15
    DNSで止めろ！
    Ø 児童ポルノブロッキング
    

    View Slide

16. #ssmjp 2019/04
    2019/04/23
    16
    DNSで止めろ！
    Ø 経緯
    Ø 「民間の自主的な取り組み」として実施
    

    View Slide

17. #ssmjp 2019/04
    2019/04/23
    17
    DNSで止めろ！
    Ø 児童ポルノブロッキング
    ü 緊急避難
    • 危難の存在 被害児童が存在
    • 補充性 一旦流通→回収不可→ブロッキングやむなし
    • 法益権衡 被害児童の人権・生命を鑑みれば…
    ü 被害者は児童、自ら訴訟などできない…
    ü 背景に児童の貧困問題・家庭の問題等もあると聞く…
    ü 緊急避難的措置を取らないと取り返しの付かないことに…
    Ø 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の
    上でDNSブロッキングを実施
    

    View Slide

18. #ssmjp 2019/04
    2019/04/23
    18
    DNSで止めろ！
    Ø DNSによるマルウェアフィルタリング
    Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解
    決を遮断
    Ø 攻撃を未然に防ぐ
    Ø 感染拡大を抑える
    「IIJmio meeting 23 DNSフィルタリングをなぜ行うのか」より
    https://www.slideshare.net/IIJ_techlog/iijmio-meeting-23-dns
    

    View Slide

19. #ssmjp 2019/04
    2019/04/23
    19
    DNSで止めろ！
    Ø ブロッキングとフィルタリング
    Ø 通信事業者における用語の使い分け
    ü ブロッキング
    利用者の同意を得ずに、通信を監視し、特定の通信を電気通信設備
    にて遮断すること
    例:児童ポルノブロッキング
    ü フィルタリング
    利用者の同意を得て、特定の通信を電気通信設備にて遮断すること
    例:迷惑メール、青少年フィルタリング、マルウェア対策
    

    View Slide

20. #ssmjp 2019/04
    2019/04/23
    20
    DNSで止めろ！
    Ø 同意とは…
    ü 個別かつ明確な同意
    • 厳格に遮断サイトを限定、都度同意を取って遮断
    ü 約款による包括同意
    • 一般的、類型的に見て通常の利用者による許諾が想定できるもの
    ü みなし同意的な何か
    • デフォルトON
    • 迷惑メールフィルタ等
    • 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会
    第二次提言(総務省 H22.5)」
    「ユーザー側で設定の変更ができること」
    「フィルタリングサービスの利用の有無に関わらず、他のサービスの提供条件は同一であること」
    「フィルタリングサービスの内容が明確に限定されていること」
    「アンケート調査等によって、通常の利用者であればサービスの提供に同意することが推定されること」
    「利用者に対して事前に十分な説明をすること」
    

    View Slide

21. #ssmjp 2019/04
    2019/04/23
    21
    DNSで止めろ！(家庭編)
    我が⼦
    Youtubeでゲーム動画
    (マインクラフト等)を
    ⾒過ぎ!
    テレビ
    某社製の某BRAVIA
    Youtubeが観られる…
    当該機能は無効に出来ない
    他の機能を使う都合、ネッ
    ト切断不可…
    DNS設定は変更可能…
    家庭内DNSキャッシュ
    (BIND)
    Youtubeの名前
    解決をしない
    Youtube
    ブロッキング
    Ø 某社製某BRAVIAのYoutube閲覧機能
    Ø 子供がゲーム動画を見過ぎる問題
    Ø テレビの名前解決をひねって問題解決…
    Ø 息子よ、Youtubeが観たかったらこの制限(父親)を越えてゆけ！
    

    View Slide

22. #ssmjp 2019/04
    2019/04/23
    22
    DNS[をで]止め(ろ|るな)！
    ü DNSを止めるな！
    ü DNSで止めるな！
    ü DNSで止めろ！
    ü DNSを止めろ！
    

    View Slide

23. #ssmjp 2019/04
    2019/04/23
    23
    DNSを止めろ！
    Ø ところで…
    ü ISP以外のDNSキャッシュの利用した場合…
    ü 例) 8.8.8.8
    ü DNSフィルタリング、ブロッキングが効かない
    

    View Slide

24. #ssmjp 2019/04
    2019/04/23
    24
    DNSを止めろ！
    Ø OP53B（Outbound Port 53 Blocking）
    JPRS用語辞典｜OP53B（Outbound Port 53 Blocking）
    https://jprs.jp/glossary/index.php?ID=0215
    

    View Slide

25. #ssmjp 2019/04
    2019/04/23
    25
    DNSを止めろ！
    Ø NIST SP800-81-2
    Secure Domain Name System (DNS) Deployment Guide
    ü Checklist item 39
    ü Enterprise firewalls should consider restricting outbound DNS traffic
    to only the enterprise’s designated recursive resolvers.
    (企業のファイアウォールは、外向きのDNSトラフィックを指定さ
    れたリゾルバだけに制限することを考慮すべき)
    →制限した上で、DNSクエリをDNSBLやIPSで監視する
    

    View Slide

26. #ssmjp 2019/04
    2019/04/23
    26
    今日お話したこと…
    ü DNSを止めるな！
    ü DNSで止めるな！
    ü DNSで止めろ！
    ü DNSを止めろ！
    DNS[をで]止め(ろ|るな)！
    

    View Slide