2019年5月11〜12日のtwitterセキュリティクラスタ

問題になっているIIJの DNSフィルタリングの件

本日ニュース記事が掲載されたため、改めてIIJ・IIJmioのDNSフィルタリングをご注目いただいているようです。
記事でも詳しく書いていただきましたが、当日の発表資料をこちらで公開してますので、是非ご一読下さい。
DNSフィルタリングをなぜ行うのか (IIJ 堂前)
techlog.iij.ad.jp/archives/2562#… twitter.com/news_mynavi_jp…

昨年「漫画村」などの海賊版サイト対策のためにDNSブロッキングを行う、という話が持ち上がったこともありましたので、そちらの話を覚えていらっしゃる方が多いと思います。ですが、IIJが行おうとしているのは、海賊版対策ではなく、DDoS攻撃(サイバー攻撃)対策です。(続く

現在のインターネット上でDDoS攻撃がどのような問題を引き起こしているのか、なぜ対策にDNSフィルタリングが必要なのか、適法性についてどう考えているのか。こういったことを発表でご説明いたしました。
techlog.iij.ad.jp/archives/2562#…
ご一読いただいて不明な点がありましたらご指摘承ります。

ちなみに、IIJが観測しているインターネット上の攻撃活動の動向は、IIJセキュリティオペレーションセンター(SOC)のブログでご紹介しています。こちらも併せてご覧いただければと思います。
wizsafe.iij.ad.jp

https://t.co/BQ86k7vaGq
とのことですが、Coinhiveをマルウェアだとみなしている人たち(ウイルス対策ベンダー)からすれば、coinhive. comは感染端末を遠隔操作するC&Cサーバと同然のものとして登録していますが、IIJがそのようにみなしていないということはどこで確認できるのでしょうか?

https://t.co/QPPJCZpLb3
ご紹介いただいたスライド「DNSフィルタリングをなぜ行うのか」を拝見しましたが、必要性と妥当性の説明がなされているだけで、何を検閲遮断するのかの基準についての説明が一切見当たりませんが、どこかにあるのでしょうか?

著作権対策だと認められないがセキュリティ対策なら当然認められるかのような口ぶりですが、そんな理屈で違法性阻却などされない。対象が公正に選別される基準と実施体制が整っていて初めて認められ得る。そのことがIIJほどの会社でさえ理解されず進められていることに驚愕。
twitter.com/IIJ_doumae/sta…

検閲の継続期間のルールすら決めずに強行するようだ。信じられない。
twitter.com/IIJ_doumae/sta…

iij.ad.jp/sec-statement/
を拝見したが、ここでも何を対象にするのかが全く説明されていない。なんでこんなことが許されているの?総務省は何やってたん?

リンク先のここも、「C&Cサーバ (*4)等」としか書いてない。その基準は一切明らかにされていない。*4の用語解説では「マルウェアを遠隔操作するために設置されるコンピュータ等の機器のこと」とあるので、coinhive. comも該当すると思う人には該当してしまう。「等」も不明。
iijmio.jp/guide/env/filt…

自称「よくあるご質問」を見たが、対象の該当基準に関する質問がない。その上「Q7. DNSフィルタリングされた理由を教えて…」に対して「理由については非開示となります」と答えており、およそ透明性がなく、公正性の確認が不可能であり、違法な通信検閲と言わざるを得ない。
iij.ad.jp/sec-statement/… pic.twitter.com/rcEbvKqv8H

「レピュテーション」の語が利用者に意味がわかるの?「よくあるご質問」に意味の説明がないし、「IIJのセキュリティに関する取り組み」の文書でも、「レピュテーションデータ(※2)」「(※2)IIJが生成するC&Cサーバの宛先の情報」となっていて、何ら説明になっていない。
iij.ad.jp/sec-statement/

ブロッキングと呼ばずにフィルタリングと別名で称しているところからして不誠実極まりない。DNSから抹消するのはいずれも同じ。サイトブロッキングに他ならない。呼び分けの根拠は?(フィルタリングは端末で行う手法を言う。)
twitter.com/IIJ_doumae/sta… pic.twitter.com/GjoxoAaOEY

違法な検閲である限り約款改訂による包括同意なんぞ無効だ。何を検閲するかの選定基準の規程すらない検閲に(いくらセキュリティ目的だからといって)利用者に推定的同意があるなどと到底言うことができない。
twitter.com/IIJ_doumae/sta…

その「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」とやらは、ブロッキング対象の選定基準の整備と公表など、公正性を担保し透明性を図ることを要求していないのですか?
twitter.com/IIJ_doumae/sta…

問題のガイドライン、「レピュテーションDB」をこんな信用性も公正性も担保できないずさんなものでOKとする態度なのか。信じられない。馬鹿なのか。端末側のセキュリティソフトでやるのはともかく、common carrierでこんなことをやったら通信の信頼が毀損されてしまうぞ。
jaipa.or.jp/other/mtcs/gui… pic.twitter.com/amXmlri9Al

「当該データベ ースが一定の正当性(目的の正当性、正確性、客観性等)を有するものである場合には、」と、正確性と客観性が求められているが、その基準が存在するのか、IIJがその基準を満たしているか、その判断を誰がするのか。何もない中で強行されようとしている。 pic.twitter.com/bOhS4QOBlA

IIJのDNSフィルタリングの件、『いつでも即座に』外せるのは絶対の必須条件として。どこをフィルタリングしてるのかを簡単に把握できないと、結局はフィルターを無効にする以外の選択肢はあり得なくなるんだよね…

IIJのDNSフィルタリング、フィルタリングだけじゃなくてログも分析するって言ってるのが一番気持ち悪いところ。どういう解析をするかも明確じゃないし一番問題でしょ。

“マルウェアサーバへの登録は、弊社でDNSサーバへのクエリログを分析することにより行います。”
iijmio.jp/info/iij/15514…

そういえばこれいきなりオプトアウトで実施なんだよな
しかも対象外にする為にはユーザで設定変更しなきゃならんとか意味不明だし
IIJ外でpublicDNS立てて勝手にやってほしい twitter.com/IIJ_doumae/sta…

@nyanko3dayo @sm_hn 知らないで繋がらないっていう人はいそう

IIJのDNSフィルタリング、デフォルト有効になってる オプトアウト手続き完了

ちょうど2ヶ月前だった。iijmioのDNSフィルタリングの件。普段ツィートしてないからこういう時見つけるの簡単‍♂️ twitter.com/oilmore/status…

効果が限定的でやるだけ無駄に近いけど、対策してますよってポーズを示してるだけって気はする。DNS以外でもIPアドレス解決する手段はいくらでもでっち上げられるわけで。 / “賛否両論のDNSフィルタリングは是か非か? – 「IIJmio meeting #23」が開催 (1) MVNO最大の充実…” htn.to/4o7GP2thoW

IIJのDNSフィルタリングの件、この分野に明るくないので是非を判断できる能力は無いけれど、開始数か月前にオプトアウトの方法も含めて丁寧に通知されてきたので、誠意という点ではユーザーとしては余り悪印象は無かったな。

少なくとも
(1)事前から通告されていた
(2)意図と方法が詳しく公開された(techlog.iij.ad.jp/archives/2562#…
(3)無効にする方法も示されている
ので、施策を行う態度としては間違ってないと考えている。
自分は(無駄に)SignalとかProtonMailとかに手を出すタイプだけど、説明に納得したし。

まぁ、当面は、「iijmioのDNSフィルタリングをオプトアウトしよう!」キャンペーンを実施するんだな。

まぁ、先ずやるべき事は、クラウド事業者とか回線事業者とかが全世界的に共同で、C&Cサーバや迷惑メール送信サーバの排除、或いは、情報の受付とそれに対する厳正な処理を行う様にする事だろうなぁ。自分たちの利益保護は棚に上げてユーザ側のDNSフィルタリングなんてダメだ。

とにかく、なんだかんだ理由を付けてでも、「iijmioはDNSフィルタリングをオプトアウトしないと使い物にならない!」と広めるしかなかろうな。

「DNSフィルタリングは“Evil“なのか?」

IIJほどの会社がDNSフィルタリングを検討せざるを得ない現状は…解る。

ならばこそ、しっかりと開示しないと!

・何をフィルタリングするのか?
・どうしたらフィルタリングされるのか?
・どうすれば解除されるのか?
news.mynavi.jp/article/201905…

なんの冗談かわからないけど、自社で DoT 、DoH 試験サービス始めたのはどういうことなんだろう。
DNS フィルタリングと表現を変えて DNS ブロッキングしたところで、PublicDNS で DoH 使われたら全くなんの意味も成さないと思うのですけど、それは自社の関知しないことだから問題ないと? twitter.com/IIJ_doumae/sta…

当に IIJ 自体が Public DNS サービスの試験を開始しているのだけど、”public DNSとして、IIJをご契約の方以外でもご利用いただ”けるのでフィルタリングはされない様子。しかし、「DNSフィルタリング解除のためだけに本サービスをご利用いただくことはおすすめいたしません。」と釘を刺されて…(ry twitter.com/nyanko3dayo/st…

※本サービスはDoT、DoHの技術検証のために提供されるβサービスです。DNSフィルタリング解除のためだけに本サービスをご利用いただくことはおすすめいたしません。
public.dns.iij.jp

IIJ・IIJmioの各サービスをご契約の方で、「マルウェア対策のためのDNSフィルタリング」の解除をご希望の方は、各サービスで用意しているオプトアウトの方法に従って設定を変更ください。
public.dns.iij.jp

しかし、よく考えてみたら”「マルウェア対策のためのDNSフィルタリング」”って言われても別に感染を防ぐ対処じゃないんだよね。
保菌環境の発症による影響の被害を生じないための措置であって…。

まだしも、通信事業者として不適切で正当ではない通信によって不要な通信量を生じないための措置、って訴えられたらそれはそれで通信事業の正当業務行為として議論できそうな気がするんだけど。

しかしまあ、2497がDNSフィルタリングで炎上しているけど、DDoSのトラヒックを捌くので大変なんだろうなーと少し同情…もっとも自社内をフィルタしたところで焼け石に…ってやつなのかな

中継をみたときは、「一般向けご説明」感だったなぁ。
そういえば.@EzoeRyou さんは納得してたんだっけ? twitter.com/HiromitsuTakag…

@bgnori 私の質問に対するIIJの回答。マルウェアの定義については私の感覚と一致している。ただし結局検閲は検閲でしかない。
ezoeryou.github.io/blog/article/2…

はあ?自らの定義も用意せず有限個の例を示して例が相手と合致したということをもって「互換性のある定義を持ち合わせているようだ。」ですって?どういう論理思考してるの?(本件の問題は定義を用意していない恣意的運用にある。)
twitter.com/EzoeRyou/statu…

その他に気になったことはこのあたり。

ダークウェブでトップのフィッシンググループに属しているメンバーがインタビューに答えてくれました。
twitter.com/Sh1ttyKids/sta…

とあるサイトを見たら、Set-Cookie: autologin_pass=deleted; というレスポンスヘッダが出ていた(Expiresヘッダは1年前)。ちょっと、ちょっと~ こんな気になることしないでくださいよ~w

alpine Dockerイメージの脆弱性(CVE-2019-5021)
1. 誰でもsuでrootログインできたのを修正&テストするコミットが入る
2. 1.のテストを簡略化した!というコミットが入る(が意味をなさないテストになってる)
3. 後のコミットで1.の修正が消されるが、2.のせいでテストが通ってしまい誰も気づかない

talosintelligence.com/vulnerability_…
パスワード無しのrootログインはデフォルトではできない、というのが仕様になったはずだったのに、その事実自体が忘れ去られていたっぽい

第0回 EMS 勉強会で登壇した内容をうpしました。L150~200 向けです。 slideshare.net/ssuserb60b4a/e… #jpemsug

ISP から「アドレスが尽きたので固定 IP アドレスの新規割り当てを停止します(神奈川エリア除く)」っていうメールが来てた。神奈川エリア以外一斉なのは,フレッツとの相互接続に県間通信使っているのかな。IPv4 アドレス枯渇がようやくエンドに響きはじめたニャンな。
kamome.or.jp/topics/2019/04…

第4回 脆弱性対応勉強会: ログ分析の初歩のハンズオン、を公開しました。
初歩ということで、まずはhttpdのログを見ていくことから始めます。
zeijyakuseitaioukenkyukai.connpass.com/event/131007/

TYPO3でコード実行の脆弱性が見つかったようでアップデート推奨です。
国内でも使われているようです。

『TYPO3 CMS is vulnerable to arbitrary code execution using PostScript.』

CVE-2019-11832
security.lauritz-holtmann.de/advisories/cve… pic.twitter.com/J8jUwAx5Rw

The founder of CTF for GIRLS will give a talk at the Black Hat USA 2019 Briefings, which is entitled as “Women in Security: Building a Female InfoSec Community in Korea, Japan, and Taiwan” with Suhee Kang from @POC_Crew and Hazel Yen from @hitcongirls ! @BlackHatEvents #BHUSA

最近の佐川フィッシング、sagawa-でも無くなってたのは(dl-*.topとか)、即座にappleっぽい名前の所にリダイレクトしてるからか。
「AppleIDについて」のリンクは動かないんですね。 pic.twitter.com/Vm7XxHif4c

日替わりですが、いきなりGoogle Play版の本日のFakeSpy側はこんなところです。iOS用は、キャリア決済狙いと思われるフィッシングで電話番号と認証コードを求めます。日本郵便版を用意せず佐川急便版の使い回しです(この図も使い回し)。 pic.twitter.com/erOcQofNyO

blog.livedoor.jp/blackwingcat/a…
ロシアハッカーグループ Fxmspが 情報を盗み出した、セキュリティソフト企業がほぼ確定?

お店のタブレットを意図的にハックできる動画、あれなんで公開するんでしょうか。
お店側に言って済む話では?公開しないことは我慢することですか?公開してあと知りませんってこと?実装する方は余計なロック機能追加することになるし、それで使い勝手変わらないですよね。

> 「サイバー犯罪者たちはダークウェブからオープンなウェブに移動を始め、SNSなどのネットワークで違法取引を開始している」とセキュリティ企業ZeroFoxのZack Allenは述べている。

これ

サイバー攻撃にミサイルで対抗:イスラエルはサイバー・ルビコン川を渡ったか|土屋大洋|
──サイバー攻撃に対して火力が直接的に初めて用いられた。他国の先例となるか?
newsweekjapan.jp/tsuchiya/2019/…
#サイバーセキュリティ #イスラエル #パレスチナ

閉鎖されたダークウェブの1つである、ウォールストリートマーケットは世界第2位の規模とされ、115万人を超える利用者を抱えていた。
運営元はこのサイトが「強固なセキュリティ」で守られているとしていたが、今回の摘発に至った経緯とは?
forbesjapan.com/articles/detai…

Anthem情報盗難事件で米司法省が中国人ハッカーを起訴 tcrn.ch/2LzBtTo

昔のPCにはなぜ「鍵穴」がつけられていたのか?
gigaz.in/2vUlvsg

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>