wiliams the role of public private partnership ja · 2013-11-21 · classification: //dell...

Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 

ケーススタディにもとづいた私見と提言

Jeff Williams Director of Security Strategy

Dell SecureWorks- Counter Threat Unit

セキュリティにおける公共機関と私企業のパートナーシップ


ボットネット撲滅活動

Public

Private

Conficker

Citadel

WinFixer CoreFlood

Zbot/ZeuS

DNS Changer

Kelihos.A

Rustock Zotob

Bredolab

Waledac Mariposa

Kelihos.C

Kelihos.B BHEK

Bamital

Nitol


ボットネットの撲滅による利益  エコシステムの保護

 安全なオンライン活動  マルウェア、スパム、フィッシングの減少など

 犯罪者のコストを上昇   (オプション) インフラのフォレンジック解析によるスパイ活動の理解


原因の特定と検挙による利益   通常の捜査テクニックをサイバー犯罪に適用

  例 UCO, T3, 資金の流れ   目的: 犯罪行為の停止

  外国法執行機関とのパートナーシップの拡大につながる   内外のプライベートセクターとのパートナーシップおよび協調の拡大につながる

  パートナーシップの改善は実行可能な諜報活動と検挙につながる

  検挙自体が撲滅活動と抑止効果のより有効な手段   検挙がより他の犯罪者に対する実行可能な諜報活動につながる

  検挙されることはない、高い匿名性がある、という現在の認識を改められる

  低スキルの犯罪者に対する抑止効果


撲滅活動の技術的および法的手段   マルウェアのリバースエンジニアリング   指令制御インフラのアセスメント   マルウェアの能力のアセスメント   制御インフラの列挙   キーノードの捕獲   スパイ活動の分析   技術的および法的戦略の策定   法的文書の請求は非公開   裁判所による行動計画への同意   特定の第三者に対して行動を強制させる司法サポート

  DNSの変更   インフラの管理権   物件の押収し分析


執行行為についての考察   裁判地および主権問題

 軽減努力に直接的な影響   損失額による閾値   刑事共助条約 (MLAT)

 裁判に必要な証拠の提供   証拠や捜査状況などを、法執行機関同士が共有することによる時間の短縮

  犯罪者の引き渡し   国境を越えた協力関係   条約   法体系の違い

 現実に即した効果的な法律が必要


パブリック/プライベートパートナーシップの例  諜報情報の共有  ホスティング  シンクホール  ルーティングおよびDNSの変更  ドメインの事前登録  改善フェーズ  技術的な対抗策


Zotob   Farid Essebar、Achraf Bahloul (モロッコ国籍)と Atilla

Ekici (トルコ国籍)   技術的捜査によりソースコード内にハンドルネームを発見、そのハンドルネームが使用されたフォーラムから特定に至る

  連邦法執行機関が担当   法執行機関とのチャンネルを通じ、モロッコとトルコで捜査活動

  コンピュータ犯罪を罰する法律がなく、詐欺行為で訴追


Conficker   2008年11月に発生   特徴

  ドメイン生成アルゴリズム1   自動更新   RPC (MS08-067)を攻撃しリモートからのコード実行   ADMIN$共有の辞書攻撃   リムーバブルドライブでの自動実行機能   SHA 1 ハッシュおよびRC4により暗号化された通信チャンネル   システムの復元を無効化 (亜種C) 、Windows Update、アンチウイルスアップデート、Security Center、Windows Defenderおよび Windowsエラー報告を無効化

  Conficker Working Groupの設立   新戦術

  ドメイン生成アルゴリズム2   ピアツーピア   4096ビット RSA鍵とMD6ハッシュ


WinFixer   2005年に発生、偽アンチウイルスソフトウェアが同意なしにインストールされる

  2006年、カリフォルニアのサンタクララ郡で集団訴訟が提起 (2007年に訴訟取り下げ)

  広告を通じて拡散   2008年12月に米公正取引委員会が訴訟提起

  Innovative Marketingと当事者であるJames Reno、Sam Jain、Daniel Sundin、

  Marc D’Souzaと Kristy Rossに対し保全命令

  2012年に1億6300万ドルの罰金

  FBI Criminal case   スイスの銀行口座を差押え

  1480万ドル


Rustock   2005年から2011年に活動したメジャーなspamボットネット

 ブラックISPのMcColoとのピアリングを停止し、大きな打撃を与えた

  Microsoft、FireEyeとワシントン大学によって撲滅

 一時的に世界の spam流量が75％減少  その後、スパマーが他のボットネットに移行し、60％増加


Kelihos   複数の撲滅活動が実施されたが、効果は様々

  Microsoft   Kaspersky   Crowd Strike

  開始初期には関係先の特定に重点がおかれる   Andrey Sabelnikov (オリジナルの作者とされている)   Dominique Alexander Piatti   3700のサブドメインおよび氏名不詳の22人がボットネットの運用に関与

  その後、ボットネットオペレータはボットネットワークの再構築を余儀なくされる  撲滅活動が犯罪ビジネスのコストに


Bredolab   2010年10月25日に撲滅

 オランダのハイテク犯罪部隊が対応   FoxITが協力

 143サーバ (そのうち3台が C&C)  20万台以上が感染  すべての感染対象に通知

 アルメニアの法執行機関  Georgy Avanesovの逮捕  2012年に懲役4年の判決


Coreflood   2010年に作成されたトロイとボットネット  連邦政府、州政府機関、警察、防衛関連企業、銀行、大学、医療機関など、230万台以上に感染

  Dell SecureWorksとISC^2が協力、 FBIが担当  裁判所はFBI に対しそれ自身の機能であるアンインストールコマンドの実行を許可

  Microsoftと連携し、作戦の治療フェーズでCorefloodのシグネチャとともに「悪意のあるソフトウェアの削除ツール」をリリース


DNS Changer   2007年から2011年に活動

 約400万台に感染   Aleureonと同時に感染することが多い (Aleureonの一部とも?)

  ゴーストクリック作戦   FBI、司法省、米陸軍協会   Dell SecureWorksとISCが協力  エストニア国籍の6人とロシア国籍1人に逮捕状  エストニアの法執行機関が逮捕  サーバは押収され、警告と一時的に(健全な)DNSサービスを提供する目的で、 FBIがサーバを運用

 治療フェーズでは多くのISPが協力


Citadel  販売用犯罪キット  多くのサブボットネットが構築される   5億ドルが一般の銀行口座から奪われたと推定   2つの作戦が同時進行

 Microsoft、Dell SecureWorksなどが協力   1468サブボットネットを閉鎖

 FBI、Dell SecureWorksなどが協力  連携の欠如、守秘義務、リスク回避傾向、運用上のセキュリティ考慮事項などの課題が残った


長所: 法執行機関  適切な条件下では膨大なリソースを有する  法的支援 (例米司法省、連邦検察官)  強力な捜査能力  さらにデータ収集関連能力  海外の法執行機関との協力関係および確立された手順


弱点: 法執行機関  インターネットトラフィックの監視には様々なルールが適用される

 捜査活動には時間が必要で、場合によっては時間がかかりすぎて容疑者が活動対象を変えてしまうことも

 国による法体制の違いが協力の妨げとなり、個別案件の解決が困難もしくは不可能になることも

 犯罪者引き渡し条約がない場合があり、逮捕には特別な戦術や時間軸の調整が必要になることも


長所: 私企業  高度な専門家集団   ISPやホスティング業者などとの既存の協力関係が活動を円滑に

 撲滅活動そのものに注力することで迅速な行動につながる

 脅威の情報共有はすでに多くのケースで実施済み  セキュリティ業界は十分狭く、企業の横のつながりは強固


弱点: 私企業  被害者であることの証明能力  訴訟提起に関わる高額な費用  進行中の法執行機関による捜査の妨げるおそれがあり、結果的に事態の悪化を招く可能性

 専門的なスキルが必要なため、他の業務に影響


脅威諜報情報の共有  一組織による問題の解決は困難  脅威指標の共有方法についての制定中の標準

 STIX (Structured Threat Information Expression)/TAXII (Trusted Automated eXchange of Indicator Information)

 運用の複雑性と多層的脅威が不透明さを増す原因になる

 進行中の作戦について知らなくても、作戦に好影響を及ぼすことは可能


提唱されるモデル   「広範な協力が問題解決の近道に」   ターゲットリストのコーディネート   情報と兆候の共有   タイミングと後方支援

 迅速な対応による利益と包括的なアクションのバランス  技術的に重要ではない場合でも、関係者の特定につながる努力を

 関連する対象を同時並行で標的に  犯罪エコシステムのボトルネックを特定  犯罪インフラと犯罪に甘いビジネスを標的に

  パブリックおよびプライベートセクタ双方の協力が不可欠


おわりに   逮捕による利益   犯罪インフラの解体   ホスティング先およびレジストラと協力し、システム的な弱点の特定および改善  改善しない場合は監視下に  共犯関係にある場合はしかるべく対応 (例 Santrex、

CyberBunker)   感染システムに通知および駆除

 問題の脅威だけに対応せず、根本的な対応による他の脅威の可能性を排除するのが重要

  国を越えた法執行機関の協力体制の強化、必要に応じて条約の締結も

wiliams the role of public private partnership ja · 2013-11-21 · classification: //dell...

Documents