サイバーセキュリティ勉強会2017 in 塩尻

日時：2017年2月11日(土曜日)

会場：塩尻インキュベーションプラザ

Twitterハッシュタグ #shiojiri-oss ©2017 Shinichiro Ohhara

大原 慎一郎 ohhara@shiojiri.com

（有）トラストネットワークス

長野県塩尻市 塩尻インキュベーションプラザ１０８号室

IPAセキュリティプレゼンター SPREADサポーター

自己紹介

http://www.facebook.com/shiojiriosslabo

©2017 Shinichiro Ohhara

https://www.facebook.com/ShinshuOSS/

アジェンダ

• 今回のイベントについて

• 世界的なサイバーセキュリティ事情

• IoTのセキュリティ問題

• Mirai(マルウェア)

• 安易なパスワード問題

• 分散型サービス運用妨害(DDoS)攻撃

• サイバー攻撃に加担しない為に出来る事

©2017 Shinichiro Ohhara

今回のイベントについて

• ２月１日～３月１８日は 「サイバーセキュリティ月間」 http://www.nisc.go.jp/security-site/month/

• 今年のキャッチフレーズ 「#サイバーセキュリティは全員参加！」

• 年齢や立場、組織を問わずに最新のセキュリティ事情について学んで啓蒙しましょう！

©2017 Shinichiro Ohhara

今回のイベントについて

• 前回塩尻では2016年3月16日にイベント開催 https://atnd.org/events/75701/

©2017 Shinichiro Ohhara

世界的なサイバーセキュリティ事情

• 2016年アメリカ大統領選のサイバー攻撃

多種多様なサイバー攻撃が行われた

不正侵入により膨大なメールが流出 http://www.huffingtonpost.jp/2017/01/06/putin_n_14014350.html

• IoTの利用増加に伴う新たな脅威

ジャーナリストのブログへのサイバー攻撃

著名サイトが複数大規模に接続不能

通信業者のWiFiルータ機器が多数故障

©2017 Shinichiro Ohhara

世界的なサイバーセキュリティ事情

• ジャーナリストのブログへのサイバー攻撃 2016年9月ブライアン・クレブス氏のブログ

“Krebs on Security”に対して（最大620Gbps？)のDDoS攻撃

DDoS対策サービスのAkamaiも対応出来ずに辞退し最終的にGoogle Project Shieldにて復旧

気に入らない相手の言論の自由を奪う事が安易に出来てしまう

Akamaiが匙をなげるまでの2週間 https://the01.jp/p0003340/

©2017 Shinichiro Ohhara

世界的なサイバーセキュリティ事情

• 2016 Dyn サイバー攻撃

2016年10月21日、DNSサービスプロバイダーのDynに対して(最大1.2Tbps？)のDDoS攻撃

利用していた複数の著名サイトが接続不能 Amazon,Twitter,GitHub,Visa,PlayStationNetwork 他多数

IoTマルウェア(Mirai)に感染した数十万の機器

ネットワーク接続カメラ、家庭ゲートウェイ機器などが感染

https://en.wikipedia.org/wiki/2016_Dyn_cyberattack

©2017 Shinichiro Ohhara

IoTのセキュリティ問題

• 情報セキュリティ10大脅威 2017 https://www.ipa.go.jp/security/vuln/10threats2017.html IPA(独立行政法人情報処理推進機構) 2017年1月31日 発表

• IoT機器のセキュリティに注目

• 脆弱性のある大量のIoT機器の問題

• 初期パスワード問題

• IoTマルウェア（Mirai他）の感染が拡散

• 多種多様なサイバー攻撃に悪用される

©2017 Shinichiro Ohhara

Mirai(マルウェア)

• Linuxが動作するコンピューターをボット化

• 遠距離操作して大規模攻撃を構成する大量のIoTボットネットワークに組み込まれる

• 作者： Anna-senpai(ニックネーム)

• ソースコードが公開され亜種や模倣犯も拡散

• telnet,sshなどのリモート接続から初期パスワードや安易なパスワードを使って侵入感染

©2017 Shinichiro Ohhara

Mirai(マルウェア)

• リモート接続のサービスポートを常時探索

• 標準のポート番号以外も標的

• 現在のポートスキャン状況を解説

NICTERWEB 2.0 http://www.nicter.jp/

• ネットワーク接続すると数分で感染

• 再起動すると消えるがパスワードを変更しないと再び感染する

©2017 Shinichiro Ohhara

安易なパスワード問題

• 製品の初期パスワードをそのまま利用

• 簡単に推測できるようなパスワード

• 2016年よく使われる危険なパスワード

パスワード管理アプリ「SplashData」 https://www.teamsid.com/worst-passwords-2016/

パスワード管理アプリ「keeper」 https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/

©2017 Shinichiro Ohhara

分散型サービス運用妨害(DDoS)攻撃

• 標的のサイトなどに複数個所から大量のデータを送信して正常なサービスを妨害

• 通信方法は正常なサービスと同一

• ファイヤーウォールでは防げない

• 送信元は乗っ取られてボット化した踏み台

• 数十万台以上の膨大な数

• 有償でDDoS攻撃を提供するサービスが存在

©2017 Shinichiro Ohhara

分散型サービス運用妨害(DDoS)攻撃

攻撃側 高校生のお小遣い程度から

VS

防御側 年間 数万米ドルから数十万米ドル

©2017 Shinichiro Ohhara

DNSとは何か

DNS(Domain Name System)

IPアドレスとドメイン名を相互変換する仕組み

www.example.com 10.2.3.4

正引き

逆引き

©2017 Shinichiro Ohhara

主にドメイン管理業者やユーザー企業が設置

主にISP(プロバイダー)側に設置、またはGoogle Public DNS(8.8.8.8)の様に公に設置

名前解決の仕組み

www.example.com 10.2.3.4

スタブリゾルバー フルリゾルバー

（キャッシュDNSサーバー） 権威DNSサーバー

©2017 Shinichiro Ohhara

DNSへのサイバー攻撃

ランダムDNSクエリー攻撃 ランダムサブドメイン攻撃

abcd12345. example. com

ランダムなサブドメイン名 攻撃対象ドメイン名

参照資料：https://jprs.jp/related-info/guide/021.pdf

キャッシュされていないドメイン名を大量に、上位の権威DNSサーバーへ問い合わせる事でキャッシュを無力化する

©2017 Shinichiro Ohhara

DNSへのサイバー攻撃 DNS水責め攻撃

オープンリゾルバー

権威DNSサーバー

攻撃者

攻撃命令

マルウェア感染のボットネット

キャッシュDNSサーバー

©2017 Shinichiro Ohhara

DNSへのサイバー攻撃

• 通常は普通に行けるサイトが…

DNSへのサイバー攻撃

• 異常に混雑して行けない…

サイバー攻撃に加担しない為に出来る事

• 初期パスワードを必ず変更

• 簡単に推測出来るパスワードを使用しない

• 製品ソフトを最新状態に更新

• 問題のある製品は使用しない

• 必要の無い場合はUPnP (ユニバーサルプラグアンドプレイ) 機能を無効化する

• 最新のセキュリティ情報に注意しましょう

©2017 Shinichiro Ohhara