Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Yu F
April 23, 2019
810

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Yu F

April 23, 2019
Tweet

Transcript

  1. #ssmjp 2019/04 2019/04/23 2 自己紹介 藤原 豊 ü 元DNS運用者 ü

    2000〜2010 ISPのDNS(キャッシュ・権威)運用等 ü 2010〜 情報セキュリティのお仕事 • ICT-ISACでの活動 • 本業はビールを飲むこと(年間200種類以上)
  2. #ssmjp 2019/04 2019/04/23 3 今日のテーマ、4つ ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! つまり、DNS[をで]止め(ろ|るな)!
  3. #ssmjp 2019/04 2019/04/23 4 DNSを止めるな! Ø ISPのDNS(キャッシュ・権威) ü 停止==電気通信事故 •

    電気通信事業法 • 第二十八条 電気通信事業者は、第八条第二項の規定により電気 通信業務の一部を停止したとき、又は電気通信業務に関し通信の 秘密の漏えいその他総務省令で定める重大な事故が生じたときは、 その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告 しなければならない。 • 「2時間以上かつ3万人以上」== 重大事故 ü 1時間58分で復旧しがち ü そんなことをしてると判断基準が厳しく変更されがち
  4. #ssmjp 2019/04 2019/04/23 5 DNSを止めるな! Ø BINDを止めるな! • 頻繁に(突然に)公表されるBINDの脆弱性 •

    脆弱性が出るタイミングを予測する試み(2016年頃) InternetWeek2016 DNSOPS.JP BoF https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf
  5. #ssmjp 2019/04 2019/04/23 9 DNSを止めるな! Ø Shodanでまだ見ぬBINDを探せ! ü 現行バージョン Ø

    9.11.6, 9.12.4, 9.13.7 ü Patchが出るとしたら、多分こんな感じ↓ 多分… Ø 9.11.6-P1, 9.12.4-P1, 9.13.7-P1, 9.11.6-S1
  6. #ssmjp 2019/04 2019/04/23 13 DNSで止めるな! Ø 海賊版サイトブロッキング Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議

    ü 「インターネット上の海賊版サイトに対する緊急対策」 ü 「DNSで(漫画村を)止めろ」 Ø 緊急避難として…? ü 危難の存在、補充性、法益権衡(緊急避難の3要件) ü 危難は存在するとして、補充・権衡が微妙な… ü 「本件は緊急避難には当たらない」(2018/3/29 法務省刑事局) • つまり海賊版サイトをDNSで止めることは違法 ( ꒪⌓꒪)… 「刑事訴追の恐れがあるためブロッキングは差し控えたい」
  7. #ssmjp 2019/04 2019/04/23 17 DNSで止めろ! Ø 児童ポルノブロッキング ü 緊急避難 •

    危難の存在 被害児童が存在 • 補充性 一旦流通→回収不可→ブロッキングやむなし • 法益権衡 被害児童の人権・生命を鑑みれば… ü 被害者は児童、自ら訴訟などできない… ü 背景に児童の貧困問題・家庭の問題等もあると聞く… ü 緊急避難的措置を取らないと取り返しの付かないことに… Ø 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の 上でDNSブロッキングを実施
  8. #ssmjp 2019/04 2019/04/23 18 DNSで止めろ! Ø DNSによるマルウェアフィルタリング Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解 決を遮断

    Ø 攻撃を未然に防ぐ Ø 感染拡大を抑える 「IIJmio meeting 23 DNSフィルタリングをなぜ行うのか」より https://www.slideshare.net/IIJ_techlog/iijmio-meeting-23-dns
  9. #ssmjp 2019/04 2019/04/23 19 DNSで止めろ! Ø ブロッキングとフィルタリング Ø 通信事業者における用語の使い分け ü

    ブロッキング 利用者の同意を得ずに、通信を監視し、特定の通信を電気通信設備 にて遮断すること 例:児童ポルノブロッキング ü フィルタリング 利用者の同意を得て、特定の通信を電気通信設備にて遮断すること 例:迷惑メール、青少年フィルタリング、マルウェア対策
  10. #ssmjp 2019/04 2019/04/23 20 DNSで止めろ! Ø 同意とは… ü 個別かつ明確な同意 •

    厳格に遮断サイトを限定、都度同意を取って遮断 ü 約款による包括同意 • 一般的、類型的に見て通常の利用者による許諾が想定できるもの ü みなし同意的な何か • デフォルトON • 迷惑メールフィルタ等 • 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言(総務省 H22.5)」 「ユーザー側で設定の変更ができること」 「フィルタリングサービスの利用の有無に関わらず、他のサービスの提供条件は同一であること」 「フィルタリングサービスの内容が明確に限定されていること」 「アンケート調査等によって、通常の利用者であればサービスの提供に同意することが推定されること」 「利用者に対して事前に十分な説明をすること」
  11. #ssmjp 2019/04 2019/04/23 21 DNSで止めろ!(家庭編) 我が⼦ Youtubeでゲーム動画 (マインクラフト等)を ⾒過ぎ! テレビ

    某社製の某BRAVIA Youtubeが観られる… 当該機能は無効に出来ない 他の機能を使う都合、ネッ ト切断不可… DNS設定は変更可能… 家庭内DNSキャッシュ (BIND) Youtubeの名前 解決をしない Youtube ブロッキング Ø 某社製某BRAVIAのYoutube閲覧機能 Ø 子供がゲーム動画を見過ぎる問題 Ø テレビの名前解決をひねって問題解決… Ø 息子よ、Youtubeが観たかったらこの制限(父親)を越えてゆけ!
  12. #ssmjp 2019/04 2019/04/23 24 DNSを止めろ! Ø OP53B(Outbound Port 53 Blocking)

    JPRS用語辞典|OP53B(Outbound Port 53 Blocking) https://jprs.jp/glossary/index.php?ID=0215
  13. #ssmjp 2019/04 2019/04/23 25 DNSを止めろ! Ø NIST SP800-81-2 Secure Domain

    Name System (DNS) Deployment Guide ü Checklist item 39 ü Enterprise firewalls should consider restricting outbound DNS traffic to only the enterprise’s designated recursive resolvers. (企業のファイアウォールは、外向きのDNSトラフィックを指定さ れたリゾルバだけに制限することを考慮すべき) →制限した上で、DNSクエリをDNSBLやIPSで監視する
  14. #ssmjp 2019/04 2019/04/23 26 今日お話したこと… ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! DNS[をで]止め(ろ|るな)!