元ネットワーク屋だからこそ見えるサイバー脅威のセカイ / The Cyber Threat Landscape through Ex-Network Engineer's Eye

Transcript

1. © NTT Communications Corporation All Rights Reserved.
   元ネットワーク屋だからこそ⾒える
   サイバー脅威のセカイ
   2022年11⽉21⽇
   NTTコミュニケーションズ株式会社
   NTT Com Open TechLunch #3
   

   View Slide

2. © NTT Communications Corporation All Rights Reserved. 2
   NTT Com Open TechLunch #3
   “セキュリティ”の仕事は
   どんなイメージですか︖
   

   View Slide

3. © NTT Communications Corporation All Rights Reserved. 3
   NTT Com Open TechLunch #3
   

   View Slide

4. © NTT Communications Corporation All Rights Reserved. 4
   NTT Com Open TechLunch #3 Photo by Shinji Abe - CYBER No.004 / CC BY 4.0
   独⾃の専⾨技能が必要
   とは限らないという話
   

   View Slide

5. © NTT Communications Corporation All Rights Reserved. 5
   NTT Com Open TechLunch #3
   ⾃⼰紹介
   

   View Slide

6. © NTT Communications Corporation All Rights Reserved. 6
   NTT Com Open TechLunch #3
   $whoami
   Atsushi KANDA / 神⽥ 敦
   c
   経歴
   2007年 NTTコミュニケーションズ⼊社
   • 閉域ネットワークサービスのオペレータ
   • ISP/企業インターネット接続周りのシステム設計・運⽤
   2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ
   • インターネット上のスキャン活動の観測
   • マルウェア解析に基づくドメインブラックリストの⽣成
   2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学
   • ⼈⽣2度⽬の修⼠
   2020年 NA4Secプロジェクトを⽴ち上げ
   • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す
   興味分野 ネットワークセキュリティ、脅威インテリジェンス
   

   View Slide

7. © NTT Communications Corporation All Rights Reserved. 7
   NTT Com Open TechLunch #3
   $whoami
   Atsushi KANDA / 神⽥ 敦
   c
   経歴
   2007年 NTTコミュニケーションズ⼊社
   • 閉域ネットワークサービスのオペレータ
   • ISP/企業インターネット接続周りのシステム設計・運⽤
   2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ
   • インターネット上のスキャン活動の観測
   • マルウェア解析に基づくドメインブラックリストの⽣成
   2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学
   • ⼈⽣2度⽬の修⼠
   2020年 NA4Secプロジェクトを⽴ち上げ
   • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す
   興味分野 ネットワークセキュリティ、脅威インテリジェンス
   

   View Slide

8. © NTT Communications Corporation All Rights Reserved. 8
   NTT Com Open TechLunch #3
   ネットワークエンジニア時代
   マルチホーミング運⽤フルアウトソーシング（IPオペレーション）サービス
   https://www.ntt.com/business/services/management/operations-management/ipop.html
   

   View Slide

9. © NTT Communications Corporation All Rights Reserved. 9
   NTT Com Open TechLunch #3
   ネットワークエンジニア時代
   トラフィック制御 遠隔監視
   トラブル対応
   ユーザ
   コミュニケーション
   

   View Slide

10. © NTT Communications Corporation All Rights Reserved. 10
    NTT Com Open TechLunch #3
    $whoami
    Atsushi KANDA / 神⽥ 敦
    c
    経歴
    2007年 NTTコミュニケーションズ⼊社
    • 閉域ネットワークサービスのオペレータ
    • ISP/企業インターネット接続周りのシステム設計・運⽤
    2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ
    • インターネット上のスキャン活動の観測
    • マルウェア解析に基づくドメインブラックリストの⽣成
    2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学
    • ⼈⽣2度⽬の修⼠
    2020年 NA4Secプロジェクトを⽴ち上げ
    • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す
    興味分野 ネットワークセキュリティ、脅威インテリジェンス
    

    View Slide

11. © NTT Communications Corporation All Rights Reserved. 11
    NTT Com Open TechLunch #3
    $whoami
    Atsushi KANDA / 神⽥ 敦
    c
    経歴
    2007年 NTTコミュニケーションズ⼊社
    • 閉域ネットワークサービスのオペレータ
    • ISP/企業インターネット接続周りのシステム設計・運⽤
    2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ
    • インターネット上のスキャン活動の観測
    • マルウェア解析に基づくドメインブラックリストの⽣成
    2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学
    • ⼈⽣2度⽬の修⼠
    2020年 NA4Secプロジェクトを⽴ち上げ
    • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す
    興味分野 ネットワークセキュリティ、脅威インテリジェンス
    

    View Slide

12. © NTT Communications Corporation All Rights Reserved. 12
    NTT Com Open TechLunch #3
    $whoami
    Atsushi KANDA / 神⽥ 敦
    c
    経歴
    2007年 NTTコミュニケーションズ⼊社
    • 閉域ネットワークサービスのオペレータ
    • ISP/企業インターネット接続周りのシステム設計・運⽤
    2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ
    • インターネット上のスキャン活動の観測
    • マルウェア解析に基づくドメインブラックリストの⽣成
    2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学
    • ⼈⽣2度⽬の修⼠
    2020年 NA4Secプロジェクトを⽴ち上げ
    • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す
    興味分野 ネットワークセキュリティ、脅威インテリジェンス
    

    View Slide

13. © NTT Communications Corporation All Rights Reserved. 13
    NTT Com Open TechLunch #3
    元ネットワーク屋から⾒たサイバー脅威のセカイ
    〜 インターネットスキャンのセカイ 〜
    

    View Slide

14. © NTT Communications Corporation All Rights Reserved. 14
    NTT Com Open TechLunch #3
    ●.172.226.141 16%
    ●.169.125.251 11%
    ●.82.138.44 10%
    ●.117.25.90 10%
    ●.251.255.69 10%
    ●.9.63.139 10%
    ●.178.148.19 10%
    other 23%
    ICMP
    N＝1,021
    低対話型ハニーポット1ホストで収集
    （2019/11/3 – 2019/11/9）
    とある⼀週間のping元
    

    View Slide

15. © NTT Communications Corporation All Rights Reserved. 15
    NTT Com Open TechLunch #3
    Who is ●.172.226.141?
    何はなくとも初⼿はASと逆引きの確認（ネットワークオペレータの発想）
    • AS: San Diego Supercomputer Center
    • 逆引きドメイン名: spectator.caida.org
    http://www.caida.org/projects/ioda/probe-info.xml
    (2019年当時)
    

    View Slide

16. © NTT Communications Corporation All Rights Reserved. 16
    NTT Com Open TechLunch #3
    研究機関 16%
    ●.169.125.251 11%
    ●.82.138.44 10%
    ●.117.25.90 10%
    ●.251.255.69 10%
    ●.9.63.139 10%
    ●.178.148.19 10%
    other 23%
    ICMP
    N＝1,021
    低対話型ハニーポット1ホストで収集
    （2019/11/3 – 2019/11/9）
    とある⼀週間のping元
    

    View Slide

17. © NTT Communications Corporation All Rights Reserved. 17
    NTT Com Open TechLunch #3
    研究機関 16%
    研究機関 11%
    研究機関 10%
    研究機関 10%
    研究機関 10%
    研究機関 10%
    研究機関 10%
    other 23%
    ICMP
    N＝1,021
    低対話型ハニーポット1ホストで収集
    （2019/11/3 – 2019/11/9）
    とある⼀週間のping元
    ※ ここにも研究機関が
    ⼊っているかも
    

    View Slide

18. © NTT Communications Corporation All Rights Reserved. 18
    NTT Com Open TechLunch #3
    ●.231.16.190 41%
    ●.231.33.238 35%
    ●.231.9.134 12%
    その他 12%
    SSH
    N＝39,478
    低対話型ハニーポット1ホストで収集
    （2019/11/3 – 2019/11/9）
    とある⼀週間のSSHアクセス元
    

    View Slide

19. © NTT Communications Corporation All Rights Reserved. 19
    NTT Com Open TechLunch #3
    dynamic-ip-adsl.viettel.vn 41%
    dynamic-ip-adsl.viettel.vn 35%
    dynamic-ip-adsl.viettel.vn 12%
    その他 12%
    SSH
    N＝39,478
    低対話型ハニーポット1ホストで収集
    （2019/11/3 – 2019/11/9）
    とある⼀週間のSSHアクセス元
    ※ Shodanにて確認
    AS7552
    AS7552
    AS7552
    

    View Slide

20. © NTT Communications Corporation All Rights Reserved. 20
    NTT Com Open TechLunch #3
    元ネットワーク屋から⾒たサイバー脅威のセカイ
    〜 マルウェアインフラのセカイ 〜
    

    View Slide

21. © NTT Communications Corporation All Rights Reserved. 21
    NTT Com Open TechLunch #3
    とあるマルウェアNanoCoreの通信先1
    2.kingx[.]info
    • ネームサーバ（NSレコード/SOAレコード）:
    ns1.honeybot[.]us
    • honeybot[.]usの登録者︓
    セキュリティベンダ（Security Scorecard）
    ※ 現在は伏せられているが、かつてはWhoisにも明記していた
    実は無害化（シンクホール化）されている
    https://www.virustotal.com/gui/domain/2.kingx.info
    (2022/11/21時点)
    

    View Slide

22. © NTT Communications Corporation All Rights Reserved. 22
    NTT Com Open TechLunch #3
    とあるマルウェアNanoCoreの通信先2
    dontreachme1.ddns[.]net
    ※ 実はこれもシンクホール化されている
    • 名前解決後のIPアドレス（Aレコード）:
    ●.218.135.117
    • IPアドレスの逆引き（PTRレコード）:
    ●-218-135-117[.]sinkhole.shadowserver.org
    ⾮営利セキュリティ組織によるシンクホール
    https://www.virustotal.com/gui/domain/dontreachme1.ddns.net
    (2022/11/21時点)
    

    View Slide

23. © NTT Communications Corporation All Rights Reserved. 23
    NTT Com Open TechLunch #3
    とあるマルウェアUrsnifの通信先
    biesbetiop[.]com
    ※ 実はこれも(ry
    • SPFレコード（TXTレコード）:
    v=spf1 include:_incspfcheck.mailspike.net ?all
    ※ MailSpikeはセキュリティサービス
    • _incspfcheck.mailspike.net のSPFレコード :
    v=spf1 exists:_h.%{h}._l.%{l}._o.%{o}._i.%{i}.spfcheck.mailspike.net ?all
    マクロをふんだんに使ってマルウェア感染者の情報を収集している
    https://www.virustotal.com/gui/domain/biesbetiop.com
    (2022/11/21時点)
    

    View Slide

24. © NTT Communications Corporation All Rights Reserved. 24
    NTT Com Open TechLunch #3
    元ネットワーク屋から⾒たサイバー脅威のセカイ
    〜 番外編 〜
    

    View Slide

25. © NTT Communications Corporation All Rights Reserved. 25
    NTT Com Open TechLunch #3
    その他、こんな場⾯で役に⽴つ（役に⽴った）
    “パケットの気持ち”になれる
    • 通信ログやアラートメッセージの断⽚的な情報からアプリケーションの流れが想像できる
    → インシデントレスポンスに有利
    ネットワークの状態をイメージできる
    • 構成情報が少ない環境でもネットワーク構成を把握できる
    （把握するのに有効な⽅法を知っている）
    • 設定やルーティングテーブルの状態から想定されたルーティングが分かる
    • FWポリシーと組み合わせて、本来通したいところ/通ってほしくないところが分かる
    → ペンテストやインシデントレスポンスに有利
    

    View Slide

26. © NTT Communications Corporation All Rights Reserved. 26
    NTT Com Open TechLunch #3
    ネットワークエンジニアとしての知識・経験は
    （脅威の）解像度を上げるのに役に⽴つ
    

    View Slide

27. © NTT Communications Corporation All Rights Reserved. 27
    NTT Com Open TechLunch #3
    セキュリティ屋になって感じる視点の違い
    

    View Slide

28. © NTT Communications Corporation All Rights Reserved. 28
    NTT Com Open TechLunch #3
    Know Normal, Find Evil
    セキュリティ＝積極的に異常系に思いを巡らせる仕事
    • 過失、バグ、悪意を持った⼈間
    • あるべき正常な姿を知らなければ、異常な状態は分からない
    ネットワークの“正常”を⾼い解像度で捉えるには
    ネットワークエンジニアのスキルセットは有⽤
    （クラウドエンジニア、ソフトウェアエンジニア、etcも然り）
    

    View Slide

29. © NTT Communications Corporation All Rights Reserved. 29
    NTT Com Open TechLunch #3
    攻撃者⽬線
    あらゆるサイバーリスクに対して万全に備えることは不可能
    • より起こる可能性の⾼い/影響の⼤きいリスクに優先的に対処することが肝要
    → 攻撃者の気持ちになる
    例えば、今⽇取り上げたテクニックを攻撃者視点で使うと、、、
    • 逆引き（IP→ドメイン）を使って重要サーバを発⾒
    • TXTレコードは宝の⼭（になるかも︖）
    

    View Slide

30. © NTT Communications Corporation All Rights Reserved. 30
    NTT Com Open TechLunch #3 Photo by Shinji Abe - CYBER No.004 / CC BY 4.0
    【結論】
    ○○エンジニアスキル × 視点転換（攻撃者視点）
    ↓
    （その道の）セキュリティプロフェッショナル
    

    View Slide

31. © NTT Communications Corporation All Rights Reserved. 31
    NTT Com Open TechLunch #3
    More Tech Topics
    

    View Slide

32. © NTT Communications Corporation All Rights Reserved. 32
    NTT Com Open TechLunch #3
    NTT Com Engineersʼ Blog
    https://engineers.ntt.com/
    セキュリティ系の記事も多数投稿
    

    View Slide

33. © NTT Communications Corporation All Rights Reserved. 33
    NTT Com Open TechLunch #3
    少しでもNTT Comに興味を持った⽅へ
    

    View Slide

34. © NTT Communications Corporation All Rights Reserved. 34
    NTT Com Open TechLunch #3
    スカウト採⽤（社会⼈採⽤）
    ⼀緒に働いてくれる仲間を絶賛募集中です︕
    ジョブ型採⽤︓https://hrmos.co/pages/nttcom0033
    ʢ೥݄ݱࡏʣ
    • αΠόʔηΩϡϦςΟΤϯδχΞ 0GGFOTJWFTFDVSJUZϓϩμΫτ։ൃ ʗٕज़։ൃʗ3FE5FBNJOH
    
    • 5ISFBU*OUFMMJHFODF"OBMZTUڴҖΠϯςϦδΣϯεΞφϦετ
    • 5ISFBU*OUFMMJHFODF&OHJOFFSڴҖΠϯςϦδΣϯεΤϯδχΞ
    • εϚʔτϑΝΫτϦʔਪਐࣨ *505౷߹ηΩϡϦςΟɿηΩϡϦςΟΤϯδχΞ
    ͳͲͳͲ
    ωοτϫʔΫΤϯδχΞɺιϑτ΢ΣΞΤϯδχΞɺαʔόΤϯδχΞɺσʔλαΠΤϯςΟετͳͲ
    ͦͷଞʹ΋ଟ਺
    

    View Slide

35. © NTT Communications Corporation All Rights Reserved. 35
    NTT Com Open TechLunch #3
    Thank You!
    

    View Slide