JPAAWG (Japan Anti-Abuse Working Group), profile picture
Uploaded byJPAAWG (Japan Anti-Abuse Working Group)
PDF, PPTX79 views

B2-4 DNS でいま起きていること

いうまでもなく DNS はインターネットの基盤の一つで、メールとの関わりも深い領域です。DNS を活用することで様々な対策が行えたり,DNS の利用形態も DoH、DoT などの技術により大きく変わる可能性があります。一方で攻撃の対象ともなりやすいため、DNS 自体の対策も必要です。本セッションでは,DNS に関わる様々な話題について議論していきます。 中井 尚子氏 一般社団法人 JPCERT コーディネーションセンター

Embed presentation

Download as PDF, PPTX
JPAAWG 3rd GM DNSでいま起きていること JPCERTコーディネーションセンター インシデントレスポンスグループ 中井尚子
Copyright ©2020 JPCERT/CC All rights reserved. JPCERT/CCとIRの紹介 JPCERT/CCとは JaPan Computer Emergency Response Team Coordination Center — コンピューターセキュリティインシデントへの対応、国内外にセンサーをおいた インターネット定点観測、ソフトウェアや情報システム・制御システム機器等の 脆弱性への対応などを通じ、セキュリティ向上を推進 — インシデント対応をはじめとする国際連携が必要なオペレーションや、情報連携に 関する国内の窓口となるCSIRT(窓口CSIRT) CSIRT: Computer Security Incident Response Team ※各国に同様の窓口となるCSIRTが存在する (米国のUS-CERT、CERT/CC、中国のCNCERT/CC, 韓国のKrCERT/CC 等) — 経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施 インシデントレスポンスグループ(IR)とは — 国内・国外のセキュリティインシデント報告の受領・分析 — 内容を理解し技術的な視点でコーディネーション 1
Copyright ©2020 JPCERT/CC All rights reserved. DNSとは Domain Name System(DNS) 名前解決をする仕組みでインターネット利用者をアクセ スしたいWebサーバーや他サービスに導く 2
Copyright ©2020 JPCERT/CC All rights reserved. いろいろと話題になるDNS 最近、DNSが話題になる(問題視される) 3 プライバシー侵害 • DNSクエリ・応答がプレーンテキストで送信 攻撃のプラットフォーム化 • ドメイン名やルート改ざんによる不正な名前解決 • 不正サイトへの誘導の手段
Copyright ©2020 JPCERT/CC All rights reserved. 現れた技術 DNSSEC QNAME minimization DoH/DoT 4
Copyright ©2020 JPCERT/CC All rights reserved. それぞれの役割範囲 5 (.) ルートサーバー jp. jpcert.or.jp. JSAC チェック jsac.jpcert.or.jp DoH/DoT QNAME minimization DNSSEC キャッシュサーバー (フルサービスリゾルバー) インターネット利用 者ブラウザー (スタブリゾルバー) Q jpcert.or.jp. NSは?
Copyright ©2020 JPCERT/CC All rights reserved. それぞれの役割 6 • DoH/DoT • QNAME minimization プライバシー保護 (機密性) • DNSSEC完全性の保証
Copyright ©2020 JPCERT/CC All rights reserved. DNSSECとは Domain Name System Security Extensionsの略称 —従来のDNSにセキュリティの機能を追加した拡張版 DNSSECによって、問い合せ側で応答パケットが改ざん されていない事が検証でき完全性が保証される 7
Copyright ©2020 JPCERT/CC All rights reserved. DNSSECの仕組み DNSSECを有効にするには次の2点が必要 — 署名(Signing) — 検証(Validation) 署名したDNS応答パケットをフルサービスリゾルバーが 検証をする DNSSECは署名・検証の実装、実施が出来て有効となる 仕組み 8
Copyright ©2020 JPCERT/CC All rights reserved. 署名(Signing) 署名の仕組みは、公開鍵暗号方式と電子署名が使われ、 応答パケットの完全性検証を可能にする 上位から信頼の連鎖によって公開鍵の正当性を担保する 9 レジストラ TLDレジストリ(JPRS) ルートDNS server DS jpcert.or.jp zsk -> ksk -> DS DS zsk -> ksk -> DS ルートDNSの公開鍵で署名 ドメイン名管理者
Copyright ©2020 JPCERT/CC All rights reserved. 検証はフルサービスリゾルバーやPublic DNSで実施 ネームサーバーからの応答パケットの完全性を検証しスタ ブリゾルバーに渡す 検証(Validation) 10 ドメイン名管理者 レジストラ TLDレジストリ (JPRS) ルートDNS server jpcert.or.jp インターネット利用 者(スタブリゾルバー) jpcert.or.jp を 閲覧したい 電子署名を検証 電子署名を検証 電子署名を検証 JPCERT/CC Webサーバー 全ルートDNSの公開鍵 フルサービスリゾルバー Public DNS
Copyright ©2020 JPCERT/CC All rights reserved. ハイプロファイルドメイン DNSSEC —国内政府機関関連ドメインにおいては、以下の省庁ドメイ ンでDNSSECが設定されていること確認 —総務省・法務省・外務省・財務省・厚生労働省 11
Copyright ©2020 JPCERT/CC All rights reserved.12 各省庁、その他 ドメイン DNSSEC 内閣府 cao.go.jp × 復興庁 reconstruction.go.jp × 総務省 soumu.go.jp 〇 法務省 moj.go.jp 〇 外務省 mofa.go.jp 〇 財務省 mof.go.jp 〇 文部科学省 mext.go.jp × 厚生労働省 mhlw.go.jp 〇 農林水産省 maff.go.jp × 経済産業省 meti.go.jp × 国土交通省 mlit.go.jp × 環境省 env.go.jp × 防衛省 mod.go.jp × 2020年11月時点
Copyright ©2020 JPCERT/CC All rights reserved. DNSSECによって変わる今後のDNSの在り方 13
Copyright ©2020 JPCERT/CC All rights reserved. 今後のDNS DNSSECという技術によってDNSの信頼性や完全性は担 保される —信頼性や完全性の検証が可能となることで、DNSを認証の 手段や他の機能に活かされる CAA(Certification Authority Authorization) DANE(DNS-Based Authentication of Named Entities) など 14
Copyright ©2020 JPCERT/CC All rights reserved.15 お問い合わせ、インシデント対応のご依頼は JPCERTコーディネーションセンター — Email:ew-info@jpcert.or.jp — https://www.jpcert.or.jp/ インシデント報告 — Email:info@jpcert.or.jp — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:icsr-ir@jpcert.or.jp — https://www.jpcert.or.jp/ics/ics-form.html 脆弱性に関するお問い合わせ — Email:vultures@jpcert.or.jp — https://jvn.jp/

More Related Content

PPTX
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
byFumitaka Takeuchi
 
PDF
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
byitforum-roundtable
 
PDF
政府機関における情報セキュリティ対策について
byitforum-roundtable
 
PPTX
最近の事例におけるサイバー攻撃の傾向と対策
byitforum-roundtable
 
PDF
IIJ Technical DAY 2019 ~ セキュリティ動向2019
byIIJ
 
PDF
Gartnerサミット ver1 0 20150713forprint
bysatoru koyama
 
PDF
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
PPT
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
byitforum-roundtable
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
byFumitaka Takeuchi
 
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
byitforum-roundtable
 
政府機関における情報セキュリティ対策について
byitforum-roundtable
 
最近の事例におけるサイバー攻撃の傾向と対策
byitforum-roundtable
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
byIIJ
 
Gartnerサミット ver1 0 20150713forprint
bysatoru koyama
 
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
byitforum-roundtable
 

What's hot

PPTX
A1-6 ドメイン乗っ取られた!!
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
byTomohiro Nakashima
 
PDF
セキュリティ動向2020
byIIJ
 
PPTX
20200214 the seminar of information security with sample answer
bySAKURUG co.
 
PDF
なぜ今 Windows 10 が必要なのか
byMPN Japan
 
PDF
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
byシスコシステムズ合同会社
 
PPTX
2013.03.18 JIPDEC S/MIME普及シンポジウム
byUEHARA, Tetsutaro
 
PPTX
20170723 インターネット安全教室(富良野)
byMasaru Ogura
 
PPTX
2013年の最新セキュリティ課題に組織的に対応するには?
byitforum-roundtable
 
A1-6 ドメイン乗っ取られた!!
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
byJPAAWG (Japan Anti-Abuse Working Group)
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
byTomohiro Nakashima
 
セキュリティ動向2020
byIIJ
 
20200214 the seminar of information security with sample answer
bySAKURUG co.
 
なぜ今 Windows 10 が必要なのか
byMPN Japan
 
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
byシスコシステムズ合同会社
 
2013.03.18 JIPDEC S/MIME普及シンポジウム
byUEHARA, Tetsutaro
 
20170723 インターネット安全教室(富良野)
byMasaru Ogura
 
2013年の最新セキュリティ課題に組織的に対応するには?
byitforum-roundtable
 

More from JPAAWG (Japan Anti-Abuse Working Group)

PDF
A1-5 リモートワーク時代のサイバーセキュリティ・サバイバル
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
B1-5 メール技術のいま
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-6 DMARC 対応とフィッシング対策としての効果 (フィッシング対策協議会 平塚氏 )
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
B2-3 スマホに対するフィッシングメールへの対策について (NTTドコモ 正見氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PPTX
A2-5 DMARC レポート送信 milter 紹介と最近の傾向
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-6 DMARC 対応とフィッシング対策としての効果 (楽天グループ株式会社 財津氏 )
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
B2-4 DNS でいま起きていること
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(フリービット 三浦氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-4 これから始めるBIMI ~メールにロゴを表示させるまでの長い道のり(継続中)~
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-3 JPAAWG セキュリティリサーチャーパネル(ソフォス 五十嵐氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
B2-5 あなたの組織をなりすましから保護するための技術を紹介(デジサート・ジャパン 林氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-3 Yahoo!メールにおけるなりすましメール対策 〜DMARC導入とブランドアイコン表示〜
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
B2-5 あなたの組織をなりすましから保護するための技術を紹介(TwoFive 桐原氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(IIJ 衣笠氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A1-2-Keynote/ 1. Email Authentication Standards
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(ヤフー 中村氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-5 リモートワーク時代のサイバーセキュリティ・サバイバル
byJPAAWG (Japan Anti-Abuse Working Group)
 
B1-5 メール技術のいま
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-6 DMARC 対応とフィッシング対策としての効果 (フィッシング対策協議会 平塚氏 )
byJPAAWG (Japan Anti-Abuse Working Group)
 
B2-3 スマホに対するフィッシングメールへの対策について (NTTドコモ 正見氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-5 DMARC レポート送信 milter 紹介と最近の傾向
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-6 DMARC 対応とフィッシング対策としての効果 (楽天グループ株式会社 財津氏 )
byJPAAWG (Japan Anti-Abuse Working Group)
 
B2-4 DNS でいま起きていること
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(フリービット 三浦氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-4 これから始めるBIMI ~メールにロゴを表示させるまでの長い道のり(継続中)~
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(QTnet 三小田氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-3 JPAAWG セキュリティリサーチャーパネル(ソフォス 五十嵐氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
B2-5 あなたの組織をなりすましから保護するための技術を紹介(デジサート・ジャパン 林氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-3 Yahoo!メールにおけるなりすましメール対策 〜DMARC導入とブランドアイコン表示〜
byJPAAWG (Japan Anti-Abuse Working Group)
 
B2-5 あなたの組織をなりすましから保護するための技術を紹介(TwoFive 桐原氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(IIJ 衣笠氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 
A1-2-Keynote/ 1. Email Authentication Standards
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-4 SubWG活動報告
byJPAAWG (Japan Anti-Abuse Working Group)
 
A2-6 現場発!メールサービスを支える運用者の集い 2021 秋(ヤフー 中村氏)
byJPAAWG (Japan Anti-Abuse Working Group)
 

B2-4 DNS でいま起きていること

  • 1.
  • 2.
    Copyright ©2020 JPCERT/CCAll rights reserved. JPCERT/CCとIRの紹介 JPCERT/CCとは JaPan Computer Emergency Response Team Coordination Center — コンピューターセキュリティインシデントへの対応、国内外にセンサーをおいた インターネット定点観測、ソフトウェアや情報システム・制御システム機器等の 脆弱性への対応などを通じ、セキュリティ向上を推進 — インシデント対応をはじめとする国際連携が必要なオペレーションや、情報連携に 関する国内の窓口となるCSIRT(窓口CSIRT) CSIRT: Computer Security Incident Response Team ※各国に同様の窓口となるCSIRTが存在する (米国のUS-CERT、CERT/CC、中国のCNCERT/CC, 韓国のKrCERT/CC 等) — 経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施 インシデントレスポンスグループ(IR)とは — 国内・国外のセキュリティインシデント報告の受領・分析 — 内容を理解し技術的な視点でコーディネーション 1
  • 3.
    Copyright ©2020 JPCERT/CCAll rights reserved. DNSとは Domain Name System(DNS) 名前解決をする仕組みでインターネット利用者をアクセ スしたいWebサーバーや他サービスに導く 2
  • 4.
    Copyright ©2020 JPCERT/CCAll rights reserved. いろいろと話題になるDNS 最近、DNSが話題になる(問題視される) 3 プライバシー侵害 • DNSクエリ・応答がプレーンテキストで送信 攻撃のプラットフォーム化 • ドメイン名やルート改ざんによる不正な名前解決 • 不正サイトへの誘導の手段
  • 5.
    Copyright ©2020 JPCERT/CCAll rights reserved. 現れた技術 DNSSEC QNAME minimization DoH/DoT 4
  • 6.
    Copyright ©2020 JPCERT/CCAll rights reserved. それぞれの役割範囲 5 (.) ルートサーバー jp. jpcert.or.jp. JSAC チェック jsac.jpcert.or.jp DoH/DoT QNAME minimization DNSSEC キャッシュサーバー (フルサービスリゾルバー) インターネット利用 者ブラウザー (スタブリゾルバー) Q jpcert.or.jp. NSは?
  • 7.
    Copyright ©2020 JPCERT/CCAll rights reserved. それぞれの役割 6 • DoH/DoT • QNAME minimization プライバシー保護 (機密性) • DNSSEC完全性の保証
  • 8.
    Copyright ©2020 JPCERT/CCAll rights reserved. DNSSECとは Domain Name System Security Extensionsの略称 —従来のDNSにセキュリティの機能を追加した拡張版 DNSSECによって、問い合せ側で応答パケットが改ざん されていない事が検証でき完全性が保証される 7
  • 9.
    Copyright ©2020 JPCERT/CCAll rights reserved. DNSSECの仕組み DNSSECを有効にするには次の2点が必要 — 署名(Signing) — 検証(Validation) 署名したDNS応答パケットをフルサービスリゾルバーが 検証をする DNSSECは署名・検証の実装、実施が出来て有効となる 仕組み 8
  • 10.
    Copyright ©2020 JPCERT/CCAll rights reserved. 署名(Signing) 署名の仕組みは、公開鍵暗号方式と電子署名が使われ、 応答パケットの完全性検証を可能にする 上位から信頼の連鎖によって公開鍵の正当性を担保する 9 レジストラ TLDレジストリ(JPRS) ルートDNS server DS jpcert.or.jp zsk -> ksk -> DS DS zsk -> ksk -> DS ルートDNSの公開鍵で署名 ドメイン名管理者
  • 11.
    Copyright ©2020 JPCERT/CCAll rights reserved. 検証はフルサービスリゾルバーやPublic DNSで実施 ネームサーバーからの応答パケットの完全性を検証しスタ ブリゾルバーに渡す 検証(Validation) 10 ドメイン名管理者 レジストラ TLDレジストリ (JPRS) ルートDNS server jpcert.or.jp インターネット利用 者(スタブリゾルバー) jpcert.or.jp を 閲覧したい 電子署名を検証 電子署名を検証 電子署名を検証 JPCERT/CC Webサーバー 全ルートDNSの公開鍵 フルサービスリゾルバー Public DNS
  • 12.
    Copyright ©2020 JPCERT/CCAll rights reserved. ハイプロファイルドメイン DNSSEC —国内政府機関関連ドメインにおいては、以下の省庁ドメイ ンでDNSSECが設定されていること確認 —総務省・法務省・外務省・財務省・厚生労働省 11
  • 13.
    Copyright ©2020 JPCERT/CCAll rights reserved.12 各省庁、その他 ドメイン DNSSEC 内閣府 cao.go.jp × 復興庁 reconstruction.go.jp × 総務省 soumu.go.jp 〇 法務省 moj.go.jp 〇 外務省 mofa.go.jp 〇 財務省 mof.go.jp 〇 文部科学省 mext.go.jp × 厚生労働省 mhlw.go.jp 〇 農林水産省 maff.go.jp × 経済産業省 meti.go.jp × 国土交通省 mlit.go.jp × 環境省 env.go.jp × 防衛省 mod.go.jp × 2020年11月時点
  • 14.
    Copyright ©2020 JPCERT/CCAll rights reserved. DNSSECによって変わる今後のDNSの在り方 13
  • 15.
    Copyright ©2020 JPCERT/CCAll rights reserved. 今後のDNS DNSSECという技術によってDNSの信頼性や完全性は担 保される —信頼性や完全性の検証が可能となることで、DNSを認証の 手段や他の機能に活かされる CAA(Certification Authority Authorization) DANE(DNS-Based Authentication of Named Entities) など 14
  • 16.
    Copyright ©2020 JPCERT/CCAll rights reserved.15 お問い合わせ、インシデント対応のご依頼は JPCERTコーディネーションセンター — Email:ew-info@jpcert.or.jp — https://www.jpcert.or.jp/ インシデント報告 — Email:info@jpcert.or.jp — https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 — Email:icsr-ir@jpcert.or.jp — https://www.jpcert.or.jp/ics/ics-form.html 脆弱性に関するお問い合わせ — Email:vultures@jpcert.or.jp — https://jvn.jp/