DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

C0707a5634ab5d0b38eb13d0939a1b0b?s=47 Yu F
April 23, 2019
1
370

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

C0707a5634ab5d0b38eb13d0939a1b0b?s=128

Yu F

April 23, 2019
Tweet

Want more?

C0707a5634ab5d0b38eb13d0939a1b0b?s=48 fj
0
18
C0707a5634ab5d0b38eb13d0939a1b0b?s=48 fj
0
8
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
12
610
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
2
310
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
0
210
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
8
400
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
7
240
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
3
320
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
4
620
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
1
180
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
4
260
Ef32e0b1ac5082450dc8c1fca3a26b5c?s=48 cherdarchuk
63
250k

Transcript

  1. 1.

    Yutaka FUJIWARA 2019/04/23 #ssmjp 2019/04 DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

  2. 2.

    #ssmjp 2019/04 2019/04/23 2 自己紹介 藤原 豊 ü 元DNS運用者 ü

    2000〜2010 ISPのDNS(キャッシュ・権威)運用等 ü 2010〜 情報セキュリティのお仕事 • ICT-ISACでの活動 • 本業はビールを飲むこと(年間200種類以上)
  3. 3.

    #ssmjp 2019/04 2019/04/23 3 今日のテーマ、4つ ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! つまり、DNS[をで]止め(ろ|るな)!
  4. 4.

    #ssmjp 2019/04 2019/04/23 4 DNSを止めるな! Ø ISPのDNS(キャッシュ・権威) ü 停止==電気通信事故 •

    電気通信事業法 • 第二十八条 電気通信事業者は、第八条第二項の規定により電気 通信業務の一部を停止したとき、又は電気通信業務に関し通信の 秘密の漏えいその他総務省令で定める重大な事故が生じたときは、 その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告 しなければならない。 • 「2時間以上かつ3万人以上」== 重大事故 ü 1時間58分で復旧しがち ü そんなことをしてると判断基準が厳しく変更されがち
  5. 5.

    #ssmjp 2019/04 2019/04/23 5 DNSを止めるな! Ø BINDを止めるな! • 頻繁に(突然に)公表されるBINDの脆弱性 •

    脆弱性が出るタイミングを予測する試み(2016年頃) InternetWeek2016 DNSOPS.JP BoF https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf
  6. 6.

    #ssmjp 2019/04 2019/04/23 6 DNSを止めるな! Ø BINDを止めるな! • 脆弱性が公開されるシグナル(予兆、虫の知らせ)を掴む •

    「心の準備」が出来る…
  7. 7.

    #ssmjp 2019/04 2019/04/23 7 DNSを止めるな! Ø BINDを止めるな! • パッチリリースの手順(プロトコル)を理解する •

    「特定ディレクトリ」のタイムスタンプ更新→大体5日後に公開
  8. 8.

    #ssmjp 2019/04 2019/04/23 8 DNSを止めるな! ん!?

  9. 9.

    #ssmjp 2019/04 2019/04/23 9 DNSを止めるな! Ø Shodanでまだ見ぬBINDを探せ! ü 現行バージョン Ø

    9.11.6, 9.12.4, 9.13.7 ü Patchが出るとしたら、多分こんな感じ↓ 多分… Ø 9.11.6-P1, 9.12.4-P1, 9.13.7-P1, 9.11.6-S1
  10. 10.

    #ssmjp 2019/04 2019/04/23 10 DNSを止めるな! • ( ꒪⌓꒪)…オッ、オゥ • 先行リリースされたBIND適用済みDNSキャッシュが存在…

    • 当該キャッシュをリゾルバとして参照するオープンリゾルバ…
  11. 11.

    #ssmjp 2019/04 2019/04/23 11 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!
  12. 12.

    #ssmjp 2019/04 2019/04/23 12 DNSで止めるな! Ø 海賊版サイトブロッキング

  13. 13.

    #ssmjp 2019/04 2019/04/23 13 DNSで止めるな! Ø 海賊版サイトブロッキング Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議

    ü 「インターネット上の海賊版サイトに対する緊急対策」 ü 「DNSで(漫画村を)止めろ」 Ø 緊急避難として…? ü 危難の存在、補充性、法益権衡(緊急避難の3要件) ü 危難は存在するとして、補充・権衡が微妙な… ü 「本件は緊急避難には当たらない」(2018/3/29 法務省刑事局) • つまり海賊版サイトをDNSで止めることは違法 ( ꒪⌓꒪)… 「刑事訴追の恐れがあるためブロッキングは差し控えたい」
  14. 14.

    #ssmjp 2019/04 2019/04/23 14 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!
  15. 15.

    #ssmjp 2019/04 2019/04/23 15 DNSで止めろ! Ø 児童ポルノブロッキング

  16. 16.

    #ssmjp 2019/04 2019/04/23 16 DNSで止めろ! Ø 経緯 Ø 「民間の自主的な取り組み」として実施

  17. 17.

    #ssmjp 2019/04 2019/04/23 17 DNSで止めろ! Ø 児童ポルノブロッキング ü 緊急避難 •

    危難の存在 被害児童が存在 • 補充性 一旦流通→回収不可→ブロッキングやむなし • 法益権衡 被害児童の人権・生命を鑑みれば… ü 被害者は児童、自ら訴訟などできない… ü 背景に児童の貧困問題・家庭の問題等もあると聞く… ü 緊急避難的措置を取らないと取り返しの付かないことに… Ø 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の 上でDNSブロッキングを実施
  18. 18.

    #ssmjp 2019/04 2019/04/23 18 DNSで止めろ! Ø DNSによるマルウェアフィルタリング Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解 決を遮断

    Ø 攻撃を未然に防ぐ Ø 感染拡大を抑える 「IIJmio meeting 23 DNSフィルタリングをなぜ行うのか」より https://www.slideshare.net/IIJ_techlog/iijmio-meeting-23-dns
  19. 19.

    #ssmjp 2019/04 2019/04/23 19 DNSで止めろ! Ø ブロッキングとフィルタリング Ø 通信事業者における用語の使い分け ü

    ブロッキング 利用者の同意を得ずに、通信を監視し、特定の通信を電気通信設備 にて遮断すること 例:児童ポルノブロッキング ü フィルタリング 利用者の同意を得て、特定の通信を電気通信設備にて遮断すること 例:迷惑メール、青少年フィルタリング、マルウェア対策
  20. 20.

    #ssmjp 2019/04 2019/04/23 20 DNSで止めろ! Ø 同意とは… ü 個別かつ明確な同意 •

    厳格に遮断サイトを限定、都度同意を取って遮断 ü 約款による包括同意 • 一般的、類型的に見て通常の利用者による許諾が想定できるもの ü みなし同意的な何か • デフォルトON • 迷惑メールフィルタ等 • 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言(総務省 H22.5)」 「ユーザー側で設定の変更ができること」 「フィルタリングサービスの利用の有無に関わらず、他のサービスの提供条件は同一であること」 「フィルタリングサービスの内容が明確に限定されていること」 「アンケート調査等によって、通常の利用者であればサービスの提供に同意することが推定されること」 「利用者に対して事前に十分な説明をすること」
  21. 21.

    #ssmjp 2019/04 2019/04/23 21 DNSで止めろ!(家庭編) 我が⼦ Youtubeでゲーム動画 (マインクラフト等)を ⾒過ぎ! テレビ

    某社製の某BRAVIA Youtubeが観られる… 当該機能は無効に出来ない 他の機能を使う都合、ネッ ト切断不可… DNS設定は変更可能… 家庭内DNSキャッシュ (BIND) Youtubeの名前 解決をしない Youtube ブロッキング Ø 某社製某BRAVIAのYoutube閲覧機能 Ø 子供がゲーム動画を見過ぎる問題 Ø テレビの名前解決をひねって問題解決… Ø 息子よ、Youtubeが観たかったらこの制限(父親)を越えてゆけ!
  22. 22.

    #ssmjp 2019/04 2019/04/23 22 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!
  23. 23.

    #ssmjp 2019/04 2019/04/23 23 DNSを止めろ! Ø ところで… ü ISP以外のDNSキャッシュの利用した場合… ü

    例) 8.8.8.8 ü DNSフィルタリング、ブロッキングが効かない
  24. 24.

    #ssmjp 2019/04 2019/04/23 24 DNSを止めろ! Ø OP53B(Outbound Port 53 Blocking)

    JPRS用語辞典|OP53B(Outbound Port 53 Blocking) https://jprs.jp/glossary/index.php?ID=0215
  25. 25.

    #ssmjp 2019/04 2019/04/23 25 DNSを止めろ! Ø NIST SP800-81-2 Secure Domain

    Name System (DNS) Deployment Guide ü Checklist item 39 ü Enterprise firewalls should consider restricting outbound DNS traffic to only the enterprise’s designated recursive resolvers. (企業のファイアウォールは、外向きのDNSトラフィックを指定さ れたリゾルバだけに制限することを考慮すべき) →制限した上で、DNSクエリをDNSBLやIPSで監視する
  26. 26.

    #ssmjp 2019/04 2019/04/23 26 今日お話したこと… ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! DNS[をで]止め(ろ|るな)!