すずきひろのぶ hironobu@h2np.net インターネット・セキュリティの現状 すずきひろのぶ hironobu@h2np.net 本プレゼンテーションは2002年3月20日に大阪で講演したものをベースにしています
本日の内容 インターネット・セキュリティを話す上でのいくつかの定義と知識の準備 インパクトからみたリスク分類とケーススタディ 日本のネットワークに特有なリスク ハイリスクな状況を予想してみる
インシデントとは? 準備 コンピュータやネットワークのセキュリティに関して、それらを危うくする事象(RFC2350) Lost of confidentiality of information Compromise of integrity of information Denial of service Misuse of service, systems or information Damage of systems
セキュリティ侵害とは? 準備 侵入 (Intrusion) 利用妨害 (Denial of Service Attack) 中継・踏み台 (System Abuse) 破壊 (Vandalism)
インパクトからみたリスク分類 インターネットのインフラストラクチャーに対し、どれだけのリスクがあるか考えてみよう。 独立した4つのリスク・マトリクスを考えてみる 伝搬 認知 経路 システム
リスク・マトリクス RISK
伝搬 ↑↓可動性 ←→対象 自律的 広域ターゲット 局所的ターゲット 他動的
認知 ↑↓動作 ←→攻撃元 不可視的 トレース不可 トレース可 可視的
経路 ↑↓プラットホーム ←→伝搬パス メジャー マルチパス シングルパス マイナー
システム ↑↓障害復旧 ←→利用 不能 クリティカル ホビー 容易
ケーススタディ マニュアルによるインシデント(M) ツールキットによるセキュリティ侵害(Tk) トロイの木馬によるセキュリティ侵害(Tr) 伝搬 認知 経路 システム M M Tr Tr Tk Tk M Tk M Tk Tr Tr
ケーススタディ Nimda, CodeRed,Sadmind/IIS Internet Worm (88) Ramen tool kit (01) 伝搬 認知 経路 システム Nimda Nimda CodeRed Nimda CodeRed CodeRed CodeRed S/IIS S/IIS Nimda S/IIS S/IIS
日本のISP特有のリスク 日本は世界的にみてもバンド幅の大きい部類に入る いくつかの日本のISPは勘違いしている 政府の対応 経済規模が大きいから当然ではある いくつかの日本のISPは勘違いしている IPパケットのハンドリングに関して考え違いしている 政府の対応 あまりよく分かっていない(日本だけではなく、どこの国も実はよくわかっていない) 韓国は強い政府主導型であり企業などへの影響力は大きいが、一般ユーザ・家庭ユーザに関しては無力である
不正なIPパケットが通過 Cyberabuse.orgによるsumrf amplifiersの調査結果 OCN (NTT), ODN (日本テレコム), DION (KDDI)が上位に現れている 企業バックグランドが第一種通信事業者である なぜにinterlink? 2ちゃんねるへのSYN_FLOOD攻撃 ありがちな経過、でも背景には大きな問題が…
Cyberabuse.org
2ちゃんねる SYN_FLOOD攻撃をうける 攻撃ツールはソースIPアドレスを偽造していたようだ ありがちな攻撃 Ongoingでの対処が手間取り長期間影響が出ていたため経過観察ができた 攻撃ツールはソースIPアドレスを偽造していたようだ ありがちなツール 問題は偽造したIPパケットが本当に届いて効果的だったように見えることである
日本のインターネットはISPそのものがリスク要因 まともにIPパケットの管理をしていないところがある これは日本のインターネット全体に取ってのリスク要因 影響は日本以外にも及ぶ 何故、きちんと管理できるところと出来ないところがあるのか? その差はどうして?
想定されるワーストケース
本日のまとめ インパクトからみたリスクを分類の提案 4つの独立したリスク・マトリクスの考察 さらに日本のISP特有な問題を指摘 これらの条件で最悪のケースを考えてみる これらは独立した問題なので、1つ1つ問題を解決し、リスクを軽減する必要がある