DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Yutaka FUJIWARA 2019/04/23 #ssmjp 2019/04 DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

#ssmjp 2019/04 2019/04/23 2 自己紹介藤原豊 ü 元DNS運用者 ü
2000〜2010 ISPのDNS(キャッシュ・権威)運用等 ü 2010〜情報セキュリティのお仕事 • ICT-ISACでの活動 • 本業はビールを飲むこと(年間200種類以上)

#ssmjp 2019/04 2019/04/23 3 今日のテーマ、4つ ü DNSを止めるな！ ü DNSで止めるな！ ü
DNSで止めろ！ ü DNSを止めろ！つまり、DNS[をで]止め(ろ|るな)！

#ssmjp 2019/04 2019/04/23 4 DNSを止めるな! Ø ISPのDNS(キャッシュ・権威) ü 停止==電気通信事故 •
電気通信事業法 • 第二十八条電気通信事業者は、第八条第二項の規定により電気通信業務の一部を停止したとき、又は電気通信業務に関し通信の秘密の漏えいその他総務省令で定める重大な事故が生じたときは、その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告しなければならない。 • 「2時間以上かつ3万人以上」== 重大事故 ü 1時間58分で復旧しがち ü そんなことをしてると判断基準が厳しく変更されがち

#ssmjp 2019/04 2019/04/23 5 DNSを止めるな! Ø BINDを止めるな！ • 頻繁に(突然に)公表されるBINDの脆弱性 •
脆弱性が出るタイミングを予測する試み(2016年頃) InternetWeek2016 DNSOPS.JP BoF https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf

#ssmjp 2019/04 2019/04/23 6 DNSを止めるな! Ø BINDを止めるな！ • 脆弱性が公開されるシグナル(予兆、虫の知らせ)を掴む •
「心の準備」が出来る…

#ssmjp 2019/04 2019/04/23 7 DNSを止めるな! Ø BINDを止めるな！ • パッチリリースの手順(プロトコル)を理解する •
「特定ディレクトリ」のタイムスタンプ更新→大体5日後に公開

#ssmjp 2019/04 2019/04/23 8 DNSを止めるな! ん!?

#ssmjp 2019/04 2019/04/23 9 DNSを止めるな! Ø Shodanでまだ見ぬBINDを探せ! ü 現行バージョン Ø
9.11.6, 9.12.4, 9.13.7 ü Patchが出るとしたら、多分こんな感じ↓ 多分… Ø 9.11.6-P1, 9.12.4-P1, 9.13.7-P1, 9.11.6-S1

#ssmjp 2019/04 2019/04/23 10 DNSを止めるな! • ( ꒪⌓꒪)…ｵｯ、ｵｩ • 先行リリースされたBIND適用済みDNSキャッシュが存在…
• 当該キャッシュをリゾルバとして参照するオープンリゾルバ…

#ssmjp 2019/04 2019/04/23 11 DNS[をで]止め(ろ|るな)！ ü DNSを止めるな！ ü DNSで止めるな！ ü
DNSで止めろ！ ü DNSを止めろ！

#ssmjp 2019/04 2019/04/23 12 DNSで止めるな！ Ø 海賊版サイトブロッキング

#ssmjp 2019/04 2019/04/23 13 DNSで止めるな！ Ø 海賊版サイトブロッキング Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議
ü 「インターネット上の海賊版サイトに対する緊急対策」 ü 「DNSで(漫画村を)止めろ」 Ø 緊急避難として…? ü 危難の存在、補充性、法益権衡(緊急避難の3要件) ü 危難は存在するとして、補充・権衡が微妙な… ü 「本件は緊急避難には当たらない」(2018/3/29 法務省刑事局) • つまり海賊版サイトをDNSで止めることは違法 ( ꒪⌓꒪)… 「刑事訴追の恐れがあるためブロッキングは差し控えたい」

#ssmjp 2019/04 2019/04/23 15 DNSで止めろ！ Ø 児童ポルノブロッキング

#ssmjp 2019/04 2019/04/23 16 DNSで止めろ！ Ø 経緯 Ø 「民間の自主的な取り組み」として実施

#ssmjp 2019/04 2019/04/23 17 DNSで止めろ！ Ø 児童ポルノブロッキング ü 緊急避難 •
危難の存在被害児童が存在 • 補充性一旦流通→回収不可→ブロッキングやむなし • 法益権衡被害児童の人権・生命を鑑みれば… ü 被害者は児童、自ら訴訟などできない… ü 背景に児童の貧困問題・家庭の問題等もあると聞く… ü 緊急避難的措置を取らないと取り返しの付かないことに… Ø 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の上でDNSブロッキングを実施

#ssmjp 2019/04 2019/04/23 18 DNSで止めろ！ Ø DNSによるマルウェアフィルタリング Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解決を遮断
Ø 攻撃を未然に防ぐ Ø 感染拡大を抑える「IIJmio meeting 23 DNSフィルタリングをなぜ行うのか」より https://www.slideshare.net/IIJ_techlog/iijmio-meeting-23-dns

#ssmjp 2019/04 2019/04/23 19 DNSで止めろ！ Ø ブロッキングとフィルタリング Ø 通信事業者における用語の使い分け ü
ブロッキング利用者の同意を得ずに、通信を監視し、特定の通信を電気通信設備にて遮断すること例:児童ポルノブロッキング ü フィルタリング利用者の同意を得て、特定の通信を電気通信設備にて遮断すること例:迷惑メール、青少年フィルタリング、マルウェア対策

#ssmjp 2019/04 2019/04/23 20 DNSで止めろ！ Ø 同意とは… ü 個別かつ明確な同意 •
厳格に遮断サイトを限定、都度同意を取って遮断 ü 約款による包括同意 • 一般的、類型的に見て通常の利用者による許諾が想定できるもの ü みなし同意的な何か • デフォルトON • 迷惑メールフィルタ等 • 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言(総務省 H22.5)」「ユーザー側で設定の変更ができること」「フィルタリングサービスの利用の有無に関わらず、他のサービスの提供条件は同一であること」「フィルタリングサービスの内容が明確に限定されていること」「アンケート調査等によって、通常の利用者であればサービスの提供に同意することが推定されること」「利用者に対して事前に十分な説明をすること」

#ssmjp 2019/04 2019/04/23 21 DNSで止めろ！(家庭編) 我が⼦ Youtubeでゲーム動画 (マインクラフト等)を⾒過ぎ! テレビ
某社製の某BRAVIA Youtubeが観られる… 当該機能は無効に出来ない他の機能を使う都合、ネット切断不可… DNS設定は変更可能… 家庭内DNSキャッシュ (BIND) Youtubeの名前解決をしない Youtube ブロッキング Ø 某社製某BRAVIAのYoutube閲覧機能 Ø 子供がゲーム動画を見過ぎる問題 Ø テレビの名前解決をひねって問題解決… Ø 息子よ、Youtubeが観たかったらこの制限(父親)を越えてゆけ！

#ssmjp 2019/04 2019/04/23 23 DNSを止めろ！ Ø ところで… ü ISP以外のDNSキャッシュの利用した場合… ü
例) 8.8.8.8 ü DNSフィルタリング、ブロッキングが効かない

#ssmjp 2019/04 2019/04/23 24 DNSを止めろ！ Ø OP53B（Outbound Port 53 Blocking）
JPRS用語辞典｜OP53B（Outbound Port 53 Blocking） https://jprs.jp/glossary/index.php?ID=0215

#ssmjp 2019/04 2019/04/23 25 DNSを止めろ！ Ø NIST SP800-81-2 Secure Domain
Name System (DNS) Deployment Guide ü Checklist item 39 ü Enterprise firewalls should consider restricting outbound DNS traffic to only the enterprise’s designated recursive resolvers. (企業のファイアウォールは、外向きのDNSトラフィックを指定されたリゾルバだけに制限することを考慮すべき) →制限した上で、DNSクエリをDNSBLやIPSで監視する

#ssmjp 2019/04 2019/04/23 26 今日お話したこと… ü DNSを止めるな！ ü DNSで止めるな！ ü
DNSで止めろ！ ü DNSを止めろ！ DNS[をで]止め(ろ|るな)！

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

Yu F

More Decks by Yu F

Featured

Transcript

Yutaka FUJIWARA 2019/04/23 #ssmjp 2019/04 DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

#ssmjp 2019/04 2019/04/23 2 自己紹介藤原豊 ü 元DNS運用者 ü

#ssmjp 2019/04 2019/04/23 3 今日のテーマ、4つ ü DNSを止めるな！ ü DNSで止めるな！ ü

#ssmjp 2019/04 2019/04/23 4 DNSを止めるな! Ø ISPのDNS(キャッシュ・権威) ü 停止==電気通信事故 •

#ssmjp 2019/04 2019/04/23 5 DNSを止めるな! Ø BINDを止めるな！ • 頻繁に(突然に)公表されるBINDの脆弱性 •

#ssmjp 2019/04 2019/04/23 6 DNSを止めるな! Ø BINDを止めるな！ • 脆弱性が公開されるシグナル(予兆、虫の知らせ)を掴む •

#ssmjp 2019/04 2019/04/23 7 DNSを止めるな! Ø BINDを止めるな！ • パッチリリースの手順(プロトコル)を理解する •

#ssmjp 2019/04 2019/04/23 8 DNSを止めるな! ん!?

#ssmjp 2019/04 2019/04/23 9 DNSを止めるな! Ø Shodanでまだ見ぬBINDを探せ! ü 現行バージョン Ø

#ssmjp 2019/04 2019/04/23 10 DNSを止めるな! • ( ꒪⌓꒪)…ｵｯ、ｵｩ • 先行リリースされたBIND適用済みDNSキャッシュが存在…

#ssmjp 2019/04 2019/04/23 11 DNS[をで]止め(ろ|るな)！ ü DNSを止めるな！ ü DNSで止めるな！ ü

#ssmjp 2019/04 2019/04/23 12 DNSで止めるな！ Ø 海賊版サイトブロッキング

#ssmjp 2019/04 2019/04/23 13 DNSで止めるな！ Ø 海賊版サイトブロッキング Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議

#ssmjp 2019/04 2019/04/23 14 DNS[をで]止め(ろ|るな)！ ü DNSを止めるな！ ü DNSで止めるな！ ü

#ssmjp 2019/04 2019/04/23 15 DNSで止めろ！ Ø 児童ポルノブロッキング

#ssmjp 2019/04 2019/04/23 16 DNSで止めろ！ Ø 経緯 Ø 「民間の自主的な取り組み」として実施

#ssmjp 2019/04 2019/04/23 17 DNSで止めろ！ Ø 児童ポルノブロッキング ü 緊急避難 •

#ssmjp 2019/04 2019/04/23 18 DNSで止めろ！ Ø DNSによるマルウェアフィルタリング Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解決を遮断

#ssmjp 2019/04 2019/04/23 19 DNSで止めろ！ Ø ブロッキングとフィルタリング Ø 通信事業者における用語の使い分け ü

#ssmjp 2019/04 2019/04/23 20 DNSで止めろ！ Ø 同意とは… ü 個別かつ明確な同意 •

#ssmjp 2019/04 2019/04/23 21 DNSで止めろ！(家庭編) 我が⼦ Youtubeでゲーム動画 (マインクラフト等)を⾒過ぎ! テレビ

#ssmjp 2019/04 2019/04/23 22 DNS[をで]止め(ろ|るな)！ ü DNSを止めるな！ ü DNSで止めるな！ ü

#ssmjp 2019/04 2019/04/23 23 DNSを止めろ！ Ø ところで… ü ISP以外のDNSキャッシュの利用した場合… ü

#ssmjp 2019/04 2019/04/23 24 DNSを止めろ！ Ø OP53B（Outbound Port 53 Blocking）

#ssmjp 2019/04 2019/04/23 25 DNSを止めろ！ Ø NIST SP800-81-2 Secure Domain

#ssmjp 2019/04 2019/04/23 26 今日お話したこと… ü DNSを止めるな！ ü DNSで止めるな！ ü