1 / 23

セキュリティにおける公共機関と私企業の パートナーシップ

セキュリティにおける公共機関と私企業の パートナーシップ. ケーススタディにもとづいた私見と提言 Jeff Williams Director of Security Strategy Dell SecureWorks- Counter Threat Unit. ボットネット撲滅活動. Conficker. WinFixer. CoreFlood. Rustock. BHEK. Zotob. Zbot/ ZeuS. Kelihos.A. Kelihos.B. Citadel. DNS Changer. Bredolab. Bamital. Public.

marsha
Download Presentation

セキュリティにおける公共機関と私企業の パートナーシップ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. セキュリティにおける公共機関と私企業のパートナーシップセキュリティにおける公共機関と私企業のパートナーシップ ケーススタディにもとづいた私見と提言 Jeff WilliamsDirector of Security Strategy Dell SecureWorks- Counter Threat Unit

  2. ボットネット撲滅活動 Conficker WinFixer CoreFlood Rustock BHEK Zotob Zbot/ZeuS Kelihos.A Kelihos.B Citadel DNS Changer Bredolab Bamital Public Waledac Mariposa Kelihos.C Nitol Private

  3. ボットネットの撲滅による利益 • エコシステムの保護 • 安全なオンライン活動 • マルウェア、スパム、フィッシングの減少など • 犯罪者のコストを上昇 • (オプション) インフラのフォレンジック解析によるスパイ活動の理解

  4. 原因の特定と検挙による利益 • 通常の捜査テクニックをサイバー犯罪に適用 • 例 UCO, T3, 資金の流れ • 目的: 犯罪行為の停止 • 外国法執行機関とのパートナーシップの拡大につながる • 内外のプライベートセクターとのパートナーシップおよび協調の拡大につながる • パートナーシップの改善は実行可能な諜報活動と検挙につながる • 検挙自体が撲滅活動と抑止効果のより有効な手段 • 検挙がより他の犯罪者に対する実行可能な諜報活動につながる • 検挙されることはない、高い匿名性がある、という現在の認識を改められる • 低スキルの犯罪者に対する抑止効果

  5. 撲滅活動の技術的および法的手段 • マルウェアのリバースエンジニアリング • 指令制御インフラのアセスメント • マルウェアの能力のアセスメント • 制御インフラの列挙 • キーノードの捕獲 • スパイ活動の分析 • 技術的および法的戦略の策定 • 法的文書の請求は非公開 • 裁判所による行動計画への同意 • 特定の第三者に対して行動を強制させる司法サポート • DNSの変更 • インフラの管理権 • 物件の押収し分析

  6. 執行行為についての考察 • 裁判地および主権問題 • 軽減努力に直接的な影響 • 損失額による閾値 • 刑事共助条約 (MLAT) • 裁判に必要な証拠の提供 • 証拠や捜査状況などを、法執行機関同士が共有することによる時間の短縮 • 犯罪者の引き渡し • 国境を越えた協力関係 • 条約 • 法体系の違い • 現実に即した効果的な法律が必要

  7. パブリック/プライベートパートナーシップの例パブリック/プライベートパートナーシップの例 • 諜報情報の共有 • ホスティング • シンクホール • ルーティングおよびDNSの変更 • ドメインの事前登録 • 改善フェーズ • 技術的な対抗策

  8. Zotob • FaridEssebar、AchrafBahloul (モロッコ国籍)とAtillaEkici (トルコ国籍) • 技術的捜査によりソースコード内にハンドルネームを発見、そのハンドルネームが使用されたフォーラムから特定に至る • 連邦法執行機関が担当 • 法執行機関とのチャンネルを通じ、モロッコとトルコで捜査活動 • コンピュータ犯罪を罰する法律がなく、詐欺行為で訴追

  9. Conficker • 2008年11月に発生 • 特徴 • ドメイン生成アルゴリズム1 • 自動更新 • RPC (MS08-067)を攻撃しリモートからのコード実行 • ADMIN$共有の辞書攻撃 • リムーバブルドライブでの自動実行機能 • SHA 1 ハッシュおよびRC4により暗号化された通信チャンネル • システムの復元を無効化 (亜種C) 、Windows Update、アンチウイルスアップデート、Security Center、Windows DefenderおよびWindowsエラー報告を無効化 • Conficker Working Groupの設立 • 新戦術 • ドメイン生成アルゴリズム2 • ピアツーピア • 4096ビット RSA鍵とMD6ハッシュ

  10. WinFixer • 2005年に発生、偽アンチウイルスソフトウェアが同意なしにインストールされる • 2006年、カリフォルニアのサンタクララ郡で集団訴訟が提起 (2007年に訴訟取り下げ) • 広告を通じて拡散 • 2008年12月に米公正取引委員会が訴訟提起 • Innovative Marketingと当事者であるJames Reno、Sam Jain、Daniel Sundin、 • Marc D’SouzaとKristy Rossに対し保全命令 • 2012年に1億6300万ドルの罰金 • FBI Criminal case • スイスの銀行口座を差押え • 1480万ドル

  11. Rustock • 2005年から2011年に活動したメジャーなspamボットネット • ブラックISPのMcColoとのピアリングを停止し、大きな打撃を与えた • Microsoft、FireEyeとワシントン大学によって撲滅 • 一時的に世界の spam流量が75%減少 • その後、スパマーが他のボットネットに移行し、60%増加

  12. Kelihos • 複数の撲滅活動が実施されたが、効果は様々 • Microsoft • Kaspersky • Crowd Strike • 開始初期には関係先の特定に重点がおかれる • AndreySabelnikov (オリジナルの作者とされている) • Dominique Alexander Piatti • 3700のサブドメインおよび氏名不詳の22人がボットネットの運用に関与 • その後、ボットネットオペレータはボットネットワークの再構築を余儀なくされる • 撲滅活動が犯罪ビジネスのコストに

  13. Bredolab • 2010年10月25日に撲滅 • オランダのハイテク犯罪部隊が対応 • FoxITが協力 • 143サーバ (そのうち3台が C&C) • 20万台以上が感染 • すべての感染対象に通知 • アルメニアの法執行機関 • GeorgyAvanesovの逮捕 • 2012年に懲役4年の判決

  14. Coreflood • 2010年に作成されたトロイとボットネット • 連邦政府、州政府機関、警察、防衛関連企業、銀行、大学、医療機関など、230万台以上に感染 • Dell SecureWorksとISC^2が協力、FBIが担当 • 裁判所はFBI に対しそれ自身の機能であるアンインストールコマンドの実行を許可 • Microsoftと連携し、作戦の治療フェーズでCorefloodのシグネチャとともに「悪意のあるソフトウェアの削除ツール」をリリース

  15. DNS Changer • 2007年から2011年に活動 • 約400万台に感染 • Aleureonと同時に感染することが多い (Aleureonの一部とも?) • ゴーストクリック作戦 • FBI、司法省、米陸軍協会 • Dell SecureWorksとISCが協力 • エストニア国籍の6人とロシア国籍1人に逮捕状 • エストニアの法執行機関が逮捕 • サーバは押収され、警告と一時的に(健全な)DNSサービスを提供する目的で、 FBIがサーバを運用 • 治療フェーズでは多くのISPが協力

  16. Citadel • 販売用犯罪キット • 多くのサブボットネットが構築される • 5億ドルが一般の銀行口座から奪われたと推定 • 2つの作戦が同時進行 • Microsoft、Dell SecureWorksなどが協力 • 1468サブボットネットを閉鎖 • FBI、Dell SecureWorksなどが協力 • 連携の欠如、守秘義務、リスク回避傾向、運用上のセキュリティ考慮事項などの課題が残った

  17. 長所: 法執行機関 • 適切な条件下では膨大なリソースを有する • 法的支援 (例米司法省、連邦検察官) • 強力な捜査能力 • さらにデータ収集関連能力 • 海外の法執行機関との協力関係および確立された手順

  18. 弱点: 法執行機関 • インターネットトラフィックの監視には様々なルールが適用される • 捜査活動には時間が必要で、場合によっては時間がかかりすぎて容疑者が活動対象を変えてしまうことも • 国による法体制の違いが協力の妨げとなり、個別案件の解決が困難もしくは不可能になることも • 犯罪者引き渡し条約がない場合があり、逮捕には特別な戦術や時間軸の調整が必要になることも

  19. 長所: 私企業 • 高度な専門家集団 • ISPやホスティング業者などとの既存の協力関係が活動を円滑に • 撲滅活動そのものに注力することで迅速な行動につながる • 脅威の情報共有はすでに多くのケースで実施済み • セキュリティ業界は十分狭く、企業の横のつながりは強固

  20. 弱点: 私企業 • 被害者であることの証明能力 • 訴訟提起に関わる高額な費用 • 進行中の法執行機関による捜査の妨げるおそれがあり、結果的に事態の悪化を招く可能性 • 専門的なスキルが必要なため、他の業務に影響

  21. 脅威諜報情報の共有 • 一組織による問題の解決は困難 • 脅威指標の共有方法についての制定中の標準 • STIX(Structured Threat Information Expression)/TAXII (Trusted Automated eXchange of Indicator Information) • 運用の複雑性と多層的脅威が不透明さを増す原因になる • 進行中の作戦について知らなくても、作戦に好影響を及ぼすことは可能

  22. 提唱されるモデル • 「広範な協力が問題解決の近道に」 • ターゲットリストのコーディネート • 情報と兆候の共有 • タイミングと後方支援 • 迅速な対応による利益と包括的なアクションのバランス • 技術的に重要ではない場合でも、関係者の特定につながる努力を • 関連する対象を同時並行で標的に • 犯罪エコシステムのボトルネックを特定 • 犯罪インフラと犯罪に甘いビジネスを標的に • パブリックおよびプライベートセクタ双方の協力が不可欠

  23. おわりに • 逮捕による利益 • 犯罪インフラの解体 • ホスティング先およびレジストラと協力し、システム的な弱点の特定および改善 • 改善しない場合は監視下に • 共犯関係にある場合はしかるべく対応 (例Santrex、CyberBunker) • 感染システムに通知および駆除 • 問題の脅威だけに対応せず、根本的な対応による他の脅威の可能性を排除するのが重要 • 国を越えた法執行機関の協力体制の強化、必要に応じて条約の締結も

More Related