SecAd Ad data drivin’ network security CODE BLUE 2023 Honahuku

Ad data drivin’ network security..?

Background : network watch technology • ネットワーク管理者やISP、その他団体などはネッ トワークの監視のために監視システムを導入するこ とがある • 近年のネットワークでは暗号化が進み、平文のトラ フィックは少なくなっている • URL等の監視に使う情報も暗号化されている[1] CyberTAMAGO / SecAd 3 図1, JPCERT/CCのポートアクセス先ポート別グラフ[2] 図2, KDDI-SOCでの広域モニタリングシステム[3]

Background : watch technology example (1) • SSL/TLSの場合、アクセスしたサイトのホスト名を SNIから取得可能[3] • URL内のパス等の情報は暗号化されている[3] CyberTAMAGO / SecAd 4 図3, RFC2818[3]

Background : watch technology example (2) • Deep Packet Inspectionでパケットのペイ ロードを検査する手法も提案されている[4] • ペイロードを検査するためにSSL Interception等の 中間者検査を行う手法もある • SSL Interceptionによる新たなセキュリティリスクも 考えられる[５] CyberTAMAGO / SecAd 5 図4, SSL Interceptionのフローチャート[5]

Background : Secure protocol example (1) • セキュアなプロトコルの例としてDoH(DNS over HTTPS)やQUICなどプロトコルの登場 • encrypted SNI(ESNI)[6][7] ではSNIもマスクさ れる • 監視できる通信がさらに減少する懸念 CyberTAMAGO / SecAd 6 図5, ESNIの議論ステータス[7]

課題と目的 • 暗号化された通信にて悪意のあるトラフィックや サイトを検出することは難しい • コンピューターやスマートフォンにエージェントを 導入することなく攻撃を防ぎたい • コンピューターリテラシーなどユーザーに頼らな い形でもリスクの検出を行いたい CyberTAMAGO / SecAd 7

NIDSによる攻撃検知(1) • 山田ら[8]は従来のNIDSとして以下の3つを 挙げている 1. 暗号化された通信を復号して監視する方式 2. 暗号化された通信を復号せずに監視する方式 3. 暗号化されていないWeb通信に対する攻撃検知 CyberTAMAGO / SecAd 8

NIDSによる攻撃検知(2) • 山田ら[8]は、「1. 暗号化された通信を復号せずに監視 する方式」を応用したHTTPヘッダの変数を予測する方 式を提案している • この手法ではHTTPヘッダの変数そのものを知ることは出来な い。 • リクエストされるURLを識別できないため検知精度が低下する CyberTAMAGO / SecAd 9 図6, 山田らの提案した方式の予測フロー[8]

NIDSの課題 • NIDSはCode InjectionやBuffer overflowといったアプリケーションに対する 攻撃と、ポートスキャン等の攻撃調査トラフィッ クを検出する事ができる • しかしCredential-based attacksや Social Engineering(フィッシング等)に対し ての防衛は難しい CyberTAMAGO / SecAd 10

解決手法の提案 (1) • 広告業界が持つ広告ネットワークや分析・解析 手法をネットワークセキュリティへ活用する • ネットワークセキュリティで必要となるユーザー 行動予測やリアルタイムリスク評価をAd Exchangeや広告オークションのデータを元に 行う CyberTAMAGO / SecAd 11

解決手法の提案 (フローチャート) CyberTAMAGO / SecAd 12 図7, 提案する監視システムのフローチャート

実装方法 • 広告系データをもとにネットワーク上のホストに 対して攻撃が行われているかを確認する • ミニマムな広告ネットワークと媒体を作成し、 ユーザーとしてアクセスする • 可能であれば、広告事業者からデータを取得す る CyberTAMAGO / SecAd 13

SecAdの特徴(1) • 端末へのインストールを必要としない • ISPや上位ネットワークシステムからユーザーへの 通知を行う • 有害サイト閲覧前に警告を表示 • サイト情報の更新を自動化し、検出から対応ま でが早い • ユーザーのアクセスをトリガーに判断 CyberTAMAGO / SecAd 14

SecAdの特徴(2) • ユーザーのリテラシーに依存しない • (2人目以降のアクセスなら)ページ表示前に警告を 表示可能 • ドメインだけでなくURLのpathまで取れる • 広告ネットワークはimpression計測のために pashや広告枠情報を把握している CyberTAMAGO / SecAd 15

懸念・課題点 • プライバシーと関連法案対応 • 個人情報の保護に関する法律 • GDPR (EU一般データ保護規則) • 1人目のユーザーに対しての保護が出来ない • 誰かがアクセスしたサイトに対して判断を行い、そ れを以降のアクセスに反映するため • 広告技術が用いられていないページに対してア プローチできない • 既存の手法との組み合わせを検討 CyberTAMAGO / SecAd 16

解決手法の提案 (フローチャート) CyberTAMAGO / SecAd 17 図7, 提案する監視システムのフローチャート

懸念・課題点 • プライバシーと関連法案対応 • 個人情報の保護に関する法律 • GDPR (EU一般データ保護規則) • 1人目のユーザーに対しての保護が出来ない • 誰かがアクセスしたサイトに対して判断を行い、 それを以降のアクセスに反映するため • 広告技術が用いられていないページに対してア プローチできない • 既存の手法との組み合わせを検討 CyberTAMAGO / SecAd 18

参考文献 [1]Eric Rescorla, 「HTTP Over TLS」, 2000年5月, RFC2818, Internet Engineering Task Force (IETF) [2]一般社団法人JPCERTコーディネーションセンター, 「TSUBAME(インターネット定点観測システム)」, 2023年04月11日更新, https://www.jpcert.or.jp/tsubame/, 2023年10月17日閲覧 [3]竹森, 三宅, 田中, 「ネットワーク間プロファイル比較による攻撃異常検知」, 2005年03月22日, 情報 処理学会研究報告コンピュータセキュリティ（CSEC） [4]Merve ÇELEBİ, Alper ÖZBİLEN, Uraz YAVANOĞLU, 「A comprehensive survey on deep packet inspection for advanced network traffic analysis: issues and challenges」, 2023年01月15日, Niğde Ömer Halisdemir Üniversitesi Mühendislik Bilimleri Dergisi [5]Zakir Durumericら, 「The Security Impact of HTTPS Interception」, 2017年02月27 日, NDSS Symposium 2017 [6]Achiel van der Mandeleら, 「Encrypted Client Hello - the last puzzle piece to privacy」, 2023年09月29日, https://blog.cloudflare.com/announcing-encrypted- client-hello/, 2023年10月17日閲覧 [7]Eric Rescorlaら, 「TLS Encrypted Client Hello」, 2023年10月09日, https://datatracker.ietf.org/doc/draft-ietf-tls-esni/, Internet Engineering Task Force (IETF), 2023年10月17日閲覧 [8]山田ら, 「SSL/TLS で暗号化されたWeb 通信に対する侵入検知システム」, 2008年03月15日, 情報 処理学会論文誌 CyberTAMAGO / SecAd 19