wiliams the role of public private partnership ja · 2013-11-21 · classification: //dell...
TRANSCRIPT
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
ケーススタディにもとづいた私見と提言
Jeff Williams Director of Security Strategy
Dell SecureWorks- Counter Threat Unit
セキュリティにおける公共機関と私企業のパートナーシップ
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
ボットネット撲滅活動
Public
Private
Conficker
Citadel
WinFixer CoreFlood
Zbot/ZeuS
DNS Changer
Kelihos.A
Rustock Zotob
Bredolab
Waledac Mariposa
Kelihos.C
Kelihos.B BHEK
Bamital
Nitol
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
ボットネットの撲滅による利益 エコシステムの保護
安全なオンライン活動 マルウェア、スパム、フィッシングの減少など
犯罪者のコストを上昇 (オプション) インフラのフォレンジック解析によるスパイ活動の理解
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
原因の特定と検挙による利益 通常の捜査テクニックをサイバー犯罪に適用
例 UCO, T3, 資金の流れ 目的: 犯罪行為の停止
外国法執行機関とのパートナーシップの拡大につながる 内外のプライベートセクターとのパートナーシップおよび協調の拡大につながる
パートナーシップの改善は実行可能な諜報活動と検挙につながる
検挙自体が撲滅活動と抑止効果のより有効な手段 検挙がより他の犯罪者に対する実行可能な諜報活動につながる
検挙されることはない、高い匿名性がある、という現在の認識を改められる
低スキルの犯罪者に対する抑止効果
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
撲滅活動の技術的および法的手段 マルウェアのリバースエンジニアリング 指令制御インフラのアセスメント マルウェアの能力のアセスメント 制御インフラの列挙 キーノードの捕獲 スパイ活動の分析 技術的および法的戦略の策定 法的文書の請求は非公開 裁判所による行動計画への同意 特定の第三者に対して行動を強制させる司法サポート
DNSの変更 インフラの管理権 物件の押収し分析
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
執行行為についての考察 裁判地および主権問題
軽減努力に直接的な影響 損失額による閾値 刑事共助条約 (MLAT)
裁判に必要な証拠の提供 証拠や捜査状況などを、法執行機関同士が共有することによる時間の短縮
犯罪者の引き渡し 国境を越えた協力関係 条約 法体系の違い
現実に即した効果的な法律が必要
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
パブリック/プライベートパートナーシップの例 諜報情報の共有 ホスティング シンクホール ルーティングおよびDNSの変更 ドメインの事前登録 改善フェーズ 技術的な対抗策
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Zotob Farid Essebar、Achraf Bahloul (モロッコ国籍)と Atilla
Ekici (トルコ国籍) 技術的捜査によりソースコード内にハンドルネームを発見、そのハンドルネームが使用されたフォーラムから特定に至る
連邦法執行機関が担当 法執行機関とのチャンネルを通じ、モロッコとトルコで捜査活動
コンピュータ犯罪を罰する法律がなく、詐欺行為で訴追
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Conficker 2008年11月に発生 特徴
ドメイン生成アルゴリズム1 自動更新 RPC (MS08-067)を攻撃しリモートからのコード実行 ADMIN$共有の辞書攻撃 リムーバブルドライブでの自動実行機能 SHA 1 ハッシュおよびRC4により暗号化された通信チャンネル システムの復元を無効化 (亜種C) 、Windows Update、アンチウイルスアップデート、Security Center、Windows Defenderおよび Windowsエラー報告を無効化
Conficker Working Groupの設立 新戦術
ドメイン生成アルゴリズム2 ピアツーピア 4096ビット RSA鍵とMD6ハッシュ
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
WinFixer 2005年に発生、偽アンチウイルスソフトウェアが同意なしにインストールされる
2006年、カリフォルニアのサンタクララ郡で集団訴訟が提起 (2007年に訴訟取り下げ)
広告を通じて拡散 2008年12月に米公正取引委員会が訴訟提起
Innovative Marketingと当事者であるJames Reno、Sam Jain、Daniel Sundin、
Marc D’Souzaと Kristy Rossに対し保全命令
2012年に1億6300万ドルの 罰金
FBI Criminal case スイスの銀行口座を差押え
1480万ドル
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Rustock 2005年から2011年に活動したメジャーなspamボットネット
ブラックISPのMcColoとのピアリングを停止し、大きな打撃を与えた
Microsoft、FireEyeと ワシントン大学によって撲滅
一時的に世界の spam流量が75%減少 その後、スパマーが他のボットネットに移行し、60%増加
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Kelihos 複数の撲滅活動が実施されたが、効果は様々
Microsoft Kaspersky Crowd Strike
開始初期には関係先の特定に重点がおかれる Andrey Sabelnikov (オリジナルの作者とされている) Dominique Alexander Piatti 3700のサブドメインおよび氏名不詳の22人がボットネットの運用に関与
その後、ボットネットオペレータはボットネットワークの再構築を余儀なくされる 撲滅活動が犯罪ビジネスのコストに
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Bredolab 2010年10月25日に撲滅
オランダのハイテク犯罪部隊が対応 FoxITが協力
143サーバ (そのうち3台が C&C) 20万台以上が感染 すべての感染対象に通知
アルメニアの法執行機関 Georgy Avanesovの逮捕 2012年に懲役4年の判決
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Coreflood 2010年に作成されたトロイとボットネット 連邦政府、州政府機関、警察、防衛関連企業、銀行、大学、医療機関など、230万台以上に感染
Dell SecureWorksとISC^2が協力、 FBIが担当 裁判所はFBI に対しそれ自身の機能であるアンインストールコマンドの実行を許可
Microsoftと連携し、作戦の治療フェーズでCorefloodのシグネチャとともに「悪意のあるソフトウェアの削除ツール」をリリース
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
DNS Changer 2007年から2011年に活動
約400万台に感染 Aleureonと同時に感染することが多い (Aleureonの一部とも?)
ゴーストクリック作戦 FBI、司法省、米陸軍協会 Dell SecureWorksとISCが協力 エストニア国籍の6人とロシア国籍1人に逮捕状 エストニアの法執行機関が逮捕 サーバは押収され、警告と一時的に(健全な)DNSサービスを提供する目的で、 FBIがサーバを運用
治療フェーズでは多くのISPが協力
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
Citadel 販売用犯罪キット 多くのサブボットネットが構築される 5億ドルが一般の銀行口座から奪われたと推定 2つの作戦が同時進行
Microsoft、Dell SecureWorksなどが協力 1468サブボットネットを閉鎖
FBI、Dell SecureWorksなどが協力 連携の欠如、守秘義務、リスク回避傾向、運用上のセキュリティ考慮事項などの課題が残った
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
長所: 法執行機関 適切な条件下では膨大なリソースを有する 法的支援 (例 米司法省、連邦検察官) 強力な捜査能力 さらにデータ収集関連能力 海外の法執行機関との協力関係および確立された手順
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
弱点: 法執行機関 インターネットトラフィックの監視には様々なルールが適用される
捜査活動には時間が必要で、場合によっては時間がかかりすぎて容疑者が活動対象を変えてしまうことも
国による法体制の違いが協力の妨げとなり、個別案件の解決が困難もしくは不可能になることも
犯罪者引き渡し条約がない場合があり、逮捕には特別な戦術や時間軸の調整が必要になることも
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
長所: 私企業 高度な専門家集団 ISPやホスティング業者などとの既存の協力関係が活動を円滑に
撲滅活動そのものに注力することで迅速な行動につながる
脅威の情報共有はすでに多くのケースで実施済み セキュリティ業界は十分狭く、企業の横のつながりは強固
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
弱点: 私企業 被害者であることの証明能力 訴訟提起に関わる高額な費用 進行中の法執行機関による捜査の妨げるおそれがあり、結果的に事態の悪化を招く可能性
専門的なスキルが必要なため、他の業務に影響
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
脅威諜報情報の共有 一組織による問題の解決は困難 脅威指標の共有方法についての制定中の標準
STIX (Structured Threat Information Expression)/TAXII (Trusted Automated eXchange of Indicator Information)
運用の複雑性と多層的脅威が不透明さを増す原因になる
進行中の作戦について知らなくても、作戦に好影響を及ぼすことは可能
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
提唱されるモデル 「広範な協力が問題解決の近道に」 ターゲットリストのコーディネート 情報と兆候の共有 タイミングと後方支援
迅速な対応による利益と包括的なアクションのバランス 技術的に重要ではない場合でも、関係者の特定につながる努力を
関連する対象を同時並行で標的に 犯罪エコシステムのボトルネックを特定 犯罪インフラと犯罪に甘いビジネスを標的に
パブリックおよびプライベートセクタ双方の協力が不可欠
-
Classification: //Dell SecureWorks/Confidential - Limited External Distribution:
おわりに 逮捕による利益 犯罪インフラの解体 ホスティング先およびレジストラと協力し、システム的な弱点の特定および改善 改善しない場合は監視下に 共犯関係にある場合はしかるべく対応 (例 Santrex、
CyberBunker) 感染システムに通知および駆除
問題の脅威だけに対応せず、根本的な対応による他の脅威の可能性を排除するのが重要
国を越えた法執行機関の協力体制の強化、必要に応じて条約の締結も