セキュリティにおける公共機関と 私企業のパートナーシップ ケーススタディにもとづいた私見と提言 Jeff Williams Director of Security Strategy Dell SecureWorks- Counter Threat Unit Classification: //Dell SecureWorks/Confidential - Limited External Distribution: ボットネット撲滅活動 Conficker WinFixer BHEK Zbot/ZeuS Kelihos.A Kelihos.B Rustock Zotob Citadel CoreFlood DNS Changer Bredolab Bamital Public Waledac Mariposa Kelihos.C Nitol Private Classification: //Dell SecureWorks/Confidential - Limited External Distribution: ボットネットの撲滅による利益 エコシステムの保護 安全なオンライン活動 マルウェア、スパム、フィッシングの減少など 犯罪者のコストを上昇 (オプション) インフラのフォレンジック解析によ るスパイ活動の理解 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 原因の特定と検挙による利益 通常の捜査テクニックをサイバー犯罪に適用 例 UCO, T3, 資金の流れ 目的: 犯罪行為の停止 外国法執行機関とのパートナーシップの拡大につながる 内外のプライベートセクターとのパートナーシップおよび 協調の拡大につながる パートナーシップの改善は実行可能な諜報活動と検挙につ ながる 検挙自体が撲滅活動と抑止効果のより有効な手段 検挙がより他の犯罪者に対する実行可能な諜報活動につな がる 検挙されることはない、高い匿名性がある、という現在の 認識を改められる 低スキルの犯罪者に対する抑止効果 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 撲滅活動の技術的および法的手段 マルウェアのリバースエンジニアリング 指令制御インフラのアセスメント マルウェアの能力のアセスメント 制御インフラの列挙 キーノードの捕獲 スパイ活動の分析 技術的および法的戦略の策定 法的文書の請求は非公開 裁判所による行動計画への同意 特定の第三者に対して行動を強制させる司法サポート DNSの変更 インフラの管理権 物件の押収し分析 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 執行行為についての考察 裁判地および主権問題 軽減努力に直接的な影響 損失額による閾値 刑事共助条約 (MLAT) 裁判に必要な証拠の提供 証拠や捜査状況などを、法執行機関同士が共有する ことによる時間の短縮 犯罪者の引き渡し 国境を越えた協力関係 条約 法体系の違い 現実に即した効果的な法律が必要 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: パブリック/プライベートパートナー シップの例 諜報情報の共有 ホスティング シンクホール ルーティングおよびDNSの変更 ドメインの事前登録 改善フェーズ 技術的な対抗策 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Zotob Farid Essebar、Achraf Bahloul (モロッコ国籍)と Atilla Ekici (トルコ国籍) 技術的捜査によりソースコード内にハンドルネームを発 見、そのハンドルネームが使用されたフォーラムから特 定に至る 連邦法執行機関が担当 法執行機関とのチャンネルを通じ、モロッコとトルコで 捜査活動 コンピュータ犯罪を罰する法律がなく、詐欺行為で訴追 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Conficker 2008年11月に発生 特徴 ドメイン生成アルゴリズム1 自動更新 RPC (MS08-067)を攻撃しリモートからのコード実行 ADMIN$共有の辞書攻撃 リムーバブルドライブでの自動実行機能 SHA 1 ハッシュおよびRC4により暗号化された通信チャンネル システムの復元を無効化 (亜種C) 、Windows Update、アンチウイルス アップデート、Security Center、Windows Defenderおよび Windowsエ ラー報告を無効化 Conficker Working Groupの設立 新戦術 ドメイン生成アルゴリズム2 ピアツーピア 4096ビット RSA鍵とMD6ハッシュ Classification: //Dell SecureWorks/Confidential - Limited External Distribution: WinFixer 2005年に発生、偽アンチウイルスソフトウェアが同意な しにインストールされる 2006年、カリフォルニアのサンタクララ郡で集団訴訟が 提起 (2007年に訴訟取り下げ) 広告を通じて拡散 2008年12月に米公正取引委員会が訴訟提起 Innovative Marketingと当事者であるJames Reno、Sam Jain、 Daniel Sundin、 Marc D’Souzaと Kristy Rossに対し保全命令 2012年に1億6300万ドルの 罰金 FBI Criminal case スイスの銀行口座を差押え 1480万ドル Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Rustock 2005年から2011年に活動したメジャーなspam ボットネット ブラックISPのMcColoとのピアリングを停止し、 大きな打撃を与えた Microsoft、FireEyeと ワシントン大学によって撲 滅 一時的に世界の spam流量が75%減少 その後、スパマーが他のボットネットに移行し、 60%増加 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Kelihos 複数の撲滅活動が実施されたが、効果は様々 Microsoft Kaspersky Crowd Strike 開始初期には関係先の特定に重点がおかれる Andrey Sabelnikov (オリジナルの作者とされている) Dominique Alexander Piatti 3700のサブドメインおよび氏名不詳の22人がボット ネットの運用に関与 その後、ボットネットオペレータはボットネット ワークの再構築を余儀なくされる 撲滅活動が犯罪ビジネスのコストに Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Bredolab 2010年10月25日に撲滅 オランダのハイテク犯罪部隊が対応 FoxITが協力 143サーバ (そのうち3台が C&C) 20万台以上が感染 すべての感染対象に通知 アルメニアの法執行機関 Georgy Avanesovの逮捕 2012年に懲役4年の判決 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Coreflood 2010年に作成されたトロイとボットネット 連邦政府、州政府機関、警察、防衛関連企業、銀 行、大学、医療機関など、230万台以上に感染 Dell SecureWorksとISC^2が協力、 FBIが担当 裁判所はFBI に対しそれ自身の機能であるアンイ ンストールコマンドの実行を許可 Microsoftと連携し、作戦の治療フェーズで Corefloodのシグネチャとともに「悪意のあるソ フトウェアの削除ツール」をリリース Classification: //Dell SecureWorks/Confidential - Limited External Distribution: DNS Changer 2007年から2011年に活動 約400万台に感染 Aleureonと同時に感染することが多い (Aleureonの一部 とも?) ゴーストクリック作戦 FBI、司法省、米陸軍協会 Dell SecureWorksとISCが協力 エストニア国籍の6人とロシア国籍1人に逮捕状 エストニアの法執行機関が逮捕 サーバは押収され、警告と一時的に(健全な)DNSサービ スを提供する目的で、 FBIがサーバを運用 治療フェーズでは多くのISPが協力 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: Citadel 販売用犯罪キット 多くのサブボットネットが構築される 5億ドルが一般の銀行口座から奪われたと推定 2つの作戦が同時進行 Microsoft、Dell SecureWorksなどが協力 1468サブボットネットを閉鎖 FBI、Dell SecureWorksなどが協力 連携の欠如、守秘義務、リスク回避傾向、運用上の セキュリティ考慮事項などの課題が残った Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 長所: 法執行機関 適切な条件下では膨大なリソースを有する 法的支援 (例 米司法省、連邦検察官) 強力な捜査能力 さらにデータ収集関連能力 海外の法執行機関との協力関係および確立された 手順 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 弱点: 法執行機関 インターネットトラフィックの監視には様々な ルールが適用される 捜査活動には時間が必要で、場合によっては時間 がかかりすぎて容疑者が活動対象を変えてしまう ことも 国による法体制の違いが協力の妨げとなり、個別 案件の解決が困難もしくは不可能になることも 犯罪者引き渡し条約がない場合があり、逮捕には 特別な戦術や時間軸の調整が必要になることも Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 長所: 私企業 高度な専門家集団 ISPやホスティング業者などとの既存の協力関係 が活動を円滑に 撲滅活動そのものに注力することで迅速な行動に つながる 脅威の情報共有はすでに多くのケースで実施済み セキュリティ業界は十分狭く、企業の横のつなが りは強固 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 弱点: 私企業 被害者であることの証明能力 訴訟提起に関わる高額な費用 進行中の法執行機関による捜査の妨げるおそれが あり、結果的に事態の悪化を招く可能性 専門的なスキルが必要なため、他の業務に影響 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 脅威諜報情報の共有 一組織による問題の解決は困難 脅威指標の共有方法についての制定中の標準 STIX (Structured Threat Information Expression)/TAXII (Trusted Automated eXchange of Indicator Information) 運用の複雑性と多層的脅威が不透明さを増す原因 になる 進行中の作戦について知らなくても、作戦に好影 響を及ぼすことは可能 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: 提唱されるモデル 「広範な協力が問題解決の近道に」 ターゲットリストのコーディネート 情報と兆候の共有 タイミングと後方支援 迅速な対応による利益と包括的なアクションのバランス 技術的に重要ではない場合でも、関係者の特定につなが る努力を 関連する対象を同時並行で標的に 犯罪エコシステムのボトルネックを特定 犯罪インフラと犯罪に甘いビジネスを標的に パブリックおよびプライベートセクタ双方の協力が 不可欠 Classification: //Dell SecureWorks/Confidential - Limited External Distribution: おわりに 逮捕による利益 犯罪インフラの解体 ホスティング先およびレジストラと協力し、システ ム的な弱点の特定および改善 改善しない場合は監視下に 共犯関係にある場合はしかるべく対応 (例 Santrex、 CyberBunker) 感染システムに通知および駆除 問題の脅威だけに対応せず、根本的な対応による他の脅 威の可能性を排除するのが重要 国を越えた法執行機関の協力体制の強化、必要に応 じて条約の締結も Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
© Copyright 2024 ExpyDoc
