JPNIC News & Views vol.1177【臨時号】APRICOT 2014/APNIC 37カンファレンス報告 [第3弾] 技術動向報告

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    __
    /Ｐ▲        ◆ JPNIC News & Views vol.1177【臨時号】2014.3.19 ◆
  _/ＮＩＣ
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1177 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2014年2月18日(火)～28日にかけて、マレーシアのプタリン・ジャヤにて
APRICOT 2014/APNIC 37カンファレンスが開催されました。この会議のレポー
トを3回に分けて連載にてお届けしています。

連載の最後となる本号では、技術関連の動向をお届けします。

APRICOT 2014/APNIC 37カンファレンス報告の「全体報告」および「アドレス
ポリシー関連報告」については、それぞれ以下のURLからバックナンバーをご
覧ください。

□APRICOT 2014/APNIC 37カンファレンス報告
  [第1弾] 全体報告(vol.1175)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1175.html

  [第2弾] アドレスポリシー関連報告(vol.1176)
  http://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1176.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APRICOT 2014/APNIC 37カンファレンス報告 [第3弾] 技術動向報告
                                                   JPNIC 技術部 澁谷晃
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2014年2月18日(火)から2月28日(金)にわたり、APRICOT 2014/APNIC 37がプタ
リン・ジャヤで開催されました。本稿では、技術的な話題をお届けします。


■ UDPを利用した攻撃の傾向に関する話題(DNSとNTP)

昨年に開催されたAPRICOT 2013/APNIC 35では、DNSの仕組みを悪用した攻撃
についての動向(オープンリゾルバに関する話題)が、セッション中に報告さ
れていました(*1)。

本年のAPRICOT 2014/APNIC 37では、引き続きDNSを利用した攻撃についての
動向報告がされた他、DNSと同様にインターネットで広く使われているプロト
コルであるNTPを利用した攻撃について詳しく報告されていました。本稿では
このNTPに関する攻撃の話題を中心に取り上げます。


○NTPを利用した攻撃(APOPSでの発表)

APOPSは「The Asia Pacific OPeratorS forum」の略称で、環太平洋地域のイ
ンターネット運用者を対象とする、情報交換と交流のコミュニティです。
APOPSのPlenaryセッションは、毎回のAPNIC/APRICOTカンファレンスにおいて
開幕直後に設定されていて、年間の動向や注目すべきテクノロジーについて
共有と報告がなされます。

今回のAPOPSは、2014年2月24日(月)、25日(火)の2日間に開催されました。

APOPSのセッションの中で、APNICのGeoff Huston氏から、"NTP and Evil"と
いう演題で、NTPを利用した攻撃についての発表がありました。

最近のDDoS攻撃の傾向として、単純に攻撃パケットを対象に送りつけるので
はなく、UDPの性質を利用して攻撃を行うパターンが増えています。

UDPの特徴として、通信を行う二つのノード間で、コネクションを確立せずに
単純にパケットを送受信する点が挙げられます。TCPのようにコネクションを
確立するプロトコルと比べると高速に転送を行える点が利点となりますが、
通信パケットの偽装が比較的容易になります。例えば、送信元のIPアドレス
を、攻撃を行いたいIPアドレスに偽装して、任意のサーバーにパケットを送
信することにより、サーバーは偽装されたIPアドレスに応答を返すことが可
能となります。このように、攻撃対象のIPアドレスに直接パケットを送信す
るのではなく、別のサーバーを踏み台として反射させるように攻撃すること
をリフレクション攻撃と呼びます。

上記の攻撃の構造をDNSに適用した場合が、DNSリフクレション攻撃となりま
すが、今回の発表は、リフクレション攻撃が、DNS以外にもNTPにおいても発
生している問題が取り上げられました。

UDPを利用したリフクレション攻撃の条件として、該当のUDPを使ったサービ
スが下記にあてはまる場合に特に悪用されやすくなりますが、DNSのみならず
NTPにおいても悪用されやすい条件を満たしています。

  (1) 広く使われているサービスである
  (2) サーバーが普及している
  (3) サーバーの維持管理が不十分である
  (4) 特定のクライアントに限定されるのではなく、任意のクライアントが
      サーバーに問い合わせる構造になっている
  (5) サーバーの返す応答が、問い合わせのパケットサイズより大きくなる

NTPは時刻同期に使われるプロトコルです。上記の条件に照らすと、下記のよ
うにいずれも該当します。

  (1) 広く使われているサービスである
      → コンピュータの時計を同期させるために、広く使われているサービ
         スである

  (2) サーバーが普及している
      → NTPサーバーはインターネットに散在している

  (3) サーバーの維持管理が不十分である
      → NTPサーバーは設定投入後、維持管理の運用を失念しがちである

  (4) 特定のクライアントに限定されるのではなく、任意のクライアントが
      サーバーに問い合わせる構造になっている
      → 任意のクライアントへ応答を返すことはサービスの性質上必須では
         無いが、クライアントを制限しない設定になっている場合がよくあ
         る

  (5) サーバーの返す応答が、問い合わせのパケットサイズより大きくなる
      → 通常の時刻同期のパケットサイズはクライアント・サーバー間で対
         照的であり同じサイズだが、NTPの特定のコマンドを利用した場合
         にパケットサイズが増幅される場合がある。

上記(5)の増幅についてですが、NTPに関連するコマンド群の中で、悪用され
る場合が多いのが、monlistと呼ばれるコマンドです。これはNTPサーバーが
過去に応答したことのあるNTPクライアントのリストを取得するためのコマン
ドですが、1回の応答によりサーバーが返すことのできるリストの量が600行
と膨大となるため、一つの問い合わせパケットに対し200倍程度の増幅となる
場合があります。

対策として、NTPサーバーを運用している場合は、時刻同期の対象を必要なク
ライアントに限定することや、monlistの機能を無効にすることが挙げられま
した。また、通信経路に存在するネットワーク機器のフィルターに関しても、
必要なNTPサーバー・クライアントの間のみ許可されるよう適切に設定するこ
とも対策として挙げられました。詳細は公開されている資料よりご確認くだ
さい(*2)。


○NTPを利用した攻撃 (Lightning Talkでの発表)

NTPに関する攻撃については、日本のインターネット運用者コミュニティでも
関心を集めており、JANOGではNTP情報交換WG(NTP-talk WG)が2014年1月から
活動しています。

APRICOT 2014/APNIC 37のLightning Talkでは、NTTコミュニケーションズ株式
会社の西塚要氏から "Efforts Against NTP Reflection Attacks in JP"とい
う演題で、日本のコミュニティの取り組みが報告されました。発表では、NTP
攻撃の構造と対策について共有があった他、JANOGにてNTP-talk WGが発足し
たこと、2014年7月までの活動期間にてドキュメントなどの成果をアウトプッ
トする予定であることが報告されました。こちらの詳細も公開されている資料
より確認できます(*3)。


■ その他のセッション

上記のセッション以外にも、APRICOT 2014/APNIC 37カンファレンス報告 [第
1弾]全体報告(*4)で紹介したように今回のカンファレンスでは「他の組織と
の連携」が意識され、さまざまなセッションが開催されていました。セッショ
ンの概要を全体報告でも報告していますが、原発表のビデオとスライドが
APRICOT 2014/ APNIC 37のWeb(*5)に公開されていますので、興味のある方は
該当URLよりご参照ください。

  ・IPv6関連(Asia Pacific IPv6 Task Forceなど)

    APIPv6TF and IPv6 Readiness Measurement BOF
    http://conference.apnic.net/37/program#session/66295

  ・ルーティング関連(Peering Forum, Routing Securityなど）

     Peering Forum
     (session 1)http://conference.apnic.net/37/program#session/66263
     (session 2)http://conference.apnic.net/37/program#session/66267
     (session 3)http://conference.apnic.net/37/program#session/66271

     Routing Session
     http://conference.apnic.net/37/program#session/69172

  ・セキュリティ関連(APCERTなど)

     APCERT
     (session 1)http://conference.apnic.net/37/program#session/69049
     (session 2)http://conference.apnic.net/37/program#session/69053
     (session 3)http://conference.apnic.net/37/program#session/69057
     (session 4)http://conference.apnic.net/37/program#session/69061

     Security Session
     http://conference.apnic.net/37/program#session/69025

  ・ISOC NetOps Workshop
    (ルーティングセキュリティ、DNSSEC、IPv6の普及など
     ネットワーク運用に関するさまざまな話題)

    ISOC NetOps Workshop
    (session 1)http://conference.apnic.net/37/program#session/68428
    (session 2)http://conference.apnic.net/37/program#session/68453


■ 参照URL

(*1) APRICOT 2013/APNIC 35カンファレンス報告 [第2弾] 技術動向報告
     https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1071.html

(*2) Geoff Huston (APNIC) - "NTP and Evil" 資料 (PDF)
     https://conference.apnic.net/data/37/2014-02-25-ntpddos_1392941955.pdf

(*3) Kaname Nishizuka (NTT) - "Efforts Against NTP Reflection
     Attacks in JP" 資料 (PDF)
     https://conference.apnic.net/data/37/20140223-ntpwg-apricotlt_1393470156.pdf

(*4) APRICOT 2014/APNIC 37カンファレンス報告 [第1弾]
     https://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1175.html

(*5) APRICOT 2014/APNIC 37カンファレンスプログラム
     http://conference.apnic.net/37/program


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1177/c761c9b65438d062104bd0a0d1283570┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃→ http://feedback.nic.ad.jp/1177/f230121b55c6977c45d4830103b926fd┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
 JPNIC News & Views vol.1177 【臨時号】

 ＠ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 ＠ 問い合わせ先 jpnic-news@nic.ad.jp
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■     News & ViewsはRSS経由でも配信しています！    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  https://www.nic.ad.jp/
■■

Copyright(C), 2014 Japan Network Information Center
このページを評価してください
