DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

C0707a5634ab5d0b38eb13d0939a1b0b?s=47 Yu F
April 23, 2019
1
380

DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

C0707a5634ab5d0b38eb13d0939a1b0b?s=128

Yu F

April 23, 2019
Tweet

More Decks by Yu F

See All by Yu F
C0707a5634ab5d0b38eb13d0939a1b0b?s=48 fj
0
25
C0707a5634ab5d0b38eb13d0939a1b0b?s=48 fj
0
11

Featured

See All Featured
D36d2c1821af9249b69ff7f5ed60529b?s=48 tammielis
236
23k
24fc194843a71f10949be18d5a692682?s=48 gr2m
82
11k
5b9fe87ec1faa67a4599782930f45ec9?s=48 sstephenson
144
12k
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
29
3.2k
0fe2973fa8d27d96547e43322341183a?s=48 swwweet
205
6.7k
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
23
3.7k
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
257
24k
E6c6e133e74c3b83f04d2861deaa1c20?s=48 searls
202
35k
11c84dff30266b907714802088852677?s=48 jasonvnalue
80
7.9k
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
219
110k
E43f8dfd01057f8304f5f8fb9a294d7d?s=48 jeffersonlam
325
15k
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
281
46k

Transcript

  1. Yutaka FUJIWARA 2019/04/23 #ssmjp 2019/04 DNS BOM-BA-YE!! 〜 DNS[をで]止め(ろ|るな)!〜

  2. #ssmjp 2019/04 2019/04/23 2 自己紹介 藤原 豊 ü 元DNS運用者 ü

    2000〜2010 ISPのDNS(キャッシュ・権威)運用等 ü 2010〜 情報セキュリティのお仕事 • ICT-ISACでの活動 • 本業はビールを飲むこと(年間200種類以上)

  3. #ssmjp 2019/04 2019/04/23 3 今日のテーマ、4つ ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! つまり、DNS[をで]止め(ろ|るな)!

  4. #ssmjp 2019/04 2019/04/23 4 DNSを止めるな! Ø ISPのDNS(キャッシュ・権威) ü 停止==電気通信事故 •

    電気通信事業法 • 第二十八条 電気通信事業者は、第八条第二項の規定により電気 通信業務の一部を停止したとき、又は電気通信業務に関し通信の 秘密の漏えいその他総務省令で定める重大な事故が生じたときは、 その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告 しなければならない。 • 「2時間以上かつ3万人以上」== 重大事故 ü 1時間58分で復旧しがち ü そんなことをしてると判断基準が厳しく変更されがち

  5. #ssmjp 2019/04 2019/04/23 5 DNSを止めるな! Ø BINDを止めるな! • 頻繁に(突然に)公表されるBINDの脆弱性 •

    脆弱性が出るタイミングを予測する試み(2016年頃) InternetWeek2016 DNSOPS.JP BoF https://dnsops.jp/bof/20161201/IW2016DNSOPS_BoF_yfujiwara.pdf

  6. #ssmjp 2019/04 2019/04/23 6 DNSを止めるな! Ø BINDを止めるな! • 脆弱性が公開されるシグナル(予兆、虫の知らせ)を掴む •

    「心の準備」が出来る…

  7. #ssmjp 2019/04 2019/04/23 7 DNSを止めるな! Ø BINDを止めるな! • パッチリリースの手順(プロトコル)を理解する •

    「特定ディレクトリ」のタイムスタンプ更新→大体5日後に公開

  8. #ssmjp 2019/04 2019/04/23 8 DNSを止めるな! ん!?

  9. #ssmjp 2019/04 2019/04/23 9 DNSを止めるな! Ø Shodanでまだ見ぬBINDを探せ! ü 現行バージョン Ø

    9.11.6, 9.12.4, 9.13.7 ü Patchが出るとしたら、多分こんな感じ↓ 多分… Ø 9.11.6-P1, 9.12.4-P1, 9.13.7-P1, 9.11.6-S1

  10. #ssmjp 2019/04 2019/04/23 10 DNSを止めるな! • ( ꒪⌓꒪)…オッ、オゥ • 先行リリースされたBIND適用済みDNSキャッシュが存在…

    • 当該キャッシュをリゾルバとして参照するオープンリゾルバ…

  11. #ssmjp 2019/04 2019/04/23 11 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!

  12. #ssmjp 2019/04 2019/04/23 12 DNSで止めるな! Ø 海賊版サイトブロッキング

  13. #ssmjp 2019/04 2019/04/23 13 DNSで止めるな! Ø 海賊版サイトブロッキング Ø 2018/4/13 知的財産戦略本部・犯罪対策閣僚会議

    ü 「インターネット上の海賊版サイトに対する緊急対策」 ü 「DNSで(漫画村を)止めろ」 Ø 緊急避難として…? ü 危難の存在、補充性、法益権衡(緊急避難の3要件) ü 危難は存在するとして、補充・権衡が微妙な… ü 「本件は緊急避難には当たらない」(2018/3/29 法務省刑事局) • つまり海賊版サイトをDNSで止めることは違法 ( ꒪⌓꒪)… 「刑事訴追の恐れがあるためブロッキングは差し控えたい」

  14. #ssmjp 2019/04 2019/04/23 14 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!

  15. #ssmjp 2019/04 2019/04/23 15 DNSで止めろ! Ø 児童ポルノブロッキング

  16. #ssmjp 2019/04 2019/04/23 16 DNSで止めろ! Ø 経緯 Ø 「民間の自主的な取り組み」として実施

  17. #ssmjp 2019/04 2019/04/23 17 DNSで止めろ! Ø 児童ポルノブロッキング ü 緊急避難 •

    危難の存在 被害児童が存在 • 補充性 一旦流通→回収不可→ブロッキングやむなし • 法益権衡 被害児童の人権・生命を鑑みれば… ü 被害者は児童、自ら訴訟などできない… ü 背景に児童の貧困問題・家庭の問題等もあると聞く… ü 緊急避難的措置を取らないと取り返しの付かないことに… Ø 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の 上でDNSブロッキングを実施

  18. #ssmjp 2019/04 2019/04/23 18 DNSで止めろ! Ø DNSによるマルウェアフィルタリング Ø マルウェア感染端末に攻撃指示を配信するC2サーバの名前解 決を遮断

    Ø 攻撃を未然に防ぐ Ø 感染拡大を抑える 「IIJmio meeting 23 DNSフィルタリングをなぜ行うのか」より https://www.slideshare.net/IIJ_techlog/iijmio-meeting-23-dns

  19. #ssmjp 2019/04 2019/04/23 19 DNSで止めろ! Ø ブロッキングとフィルタリング Ø 通信事業者における用語の使い分け ü

    ブロッキング 利用者の同意を得ずに、通信を監視し、特定の通信を電気通信設備 にて遮断すること 例:児童ポルノブロッキング ü フィルタリング 利用者の同意を得て、特定の通信を電気通信設備にて遮断すること 例:迷惑メール、青少年フィルタリング、マルウェア対策

  20. #ssmjp 2019/04 2019/04/23 20 DNSで止めろ! Ø 同意とは… ü 個別かつ明確な同意 •

    厳格に遮断サイトを限定、都度同意を取って遮断 ü 約款による包括同意 • 一般的、類型的に見て通常の利用者による許諾が想定できるもの ü みなし同意的な何か • デフォルトON • 迷惑メールフィルタ等 • 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言(総務省 H22.5)」 「ユーザー側で設定の変更ができること」 「フィルタリングサービスの利用の有無に関わらず、他のサービスの提供条件は同一であること」 「フィルタリングサービスの内容が明確に限定されていること」 「アンケート調査等によって、通常の利用者であればサービスの提供に同意することが推定されること」 「利用者に対して事前に十分な説明をすること」

  21. #ssmjp 2019/04 2019/04/23 21 DNSで止めろ!(家庭編) 我が⼦ Youtubeでゲーム動画 (マインクラフト等)を ⾒過ぎ! テレビ

    某社製の某BRAVIA Youtubeが観られる… 当該機能は無効に出来ない 他の機能を使う都合、ネッ ト切断不可… DNS設定は変更可能… 家庭内DNSキャッシュ (BIND) Youtubeの名前 解決をしない Youtube ブロッキング Ø 某社製某BRAVIAのYoutube閲覧機能 Ø 子供がゲーム動画を見過ぎる問題 Ø テレビの名前解決をひねって問題解決… Ø 息子よ、Youtubeが観たかったらこの制限(父親)を越えてゆけ!

  22. #ssmjp 2019/04 2019/04/23 22 DNS[をで]止め(ろ|るな)! ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ!

  23. #ssmjp 2019/04 2019/04/23 23 DNSを止めろ! Ø ところで… ü ISP以外のDNSキャッシュの利用した場合… ü

    例) 8.8.8.8 ü DNSフィルタリング、ブロッキングが効かない

  24. #ssmjp 2019/04 2019/04/23 24 DNSを止めろ! Ø OP53B(Outbound Port 53 Blocking)

    JPRS用語辞典|OP53B(Outbound Port 53 Blocking) https://jprs.jp/glossary/index.php?ID=0215

  25. #ssmjp 2019/04 2019/04/23 25 DNSを止めろ! Ø NIST SP800-81-2 Secure Domain

    Name System (DNS) Deployment Guide ü Checklist item 39 ü Enterprise firewalls should consider restricting outbound DNS traffic to only the enterprise’s designated recursive resolvers. (企業のファイアウォールは、外向きのDNSトラフィックを指定さ れたリゾルバだけに制限することを考慮すべき) →制限した上で、DNSクエリをDNSBLやIPSで監視する

  26. #ssmjp 2019/04 2019/04/23 26 今日お話したこと… ü DNSを止めるな! ü DNSで止めるな! ü

    DNSで止めろ! ü DNSを止めろ! DNS[をで]止め(ろ|るな)!