前のエントリでは、原則2「意識・理解向上の原則」と原則3「連携強化の原則」をみてみました。
原則4は、 「積極的対応の原則」です。具体的には
攻撃に対する効果的な防御を強化する為に、ルーティングとシグナリングのセキュリティを向上させる。
です。
この原則の意味する課題は、そもそも、サイバー犯罪者の攻撃がインターネットのルーティング、名称付与、アドレス付けのシステムを悪用することによります。また、なりすましの攻撃もそれに関しています。
Dos攻撃は、その最たるもので、その結果は、プロバイダ、消費者、ブランドに悪影響を与えます。また、DNSシステムを悪用することもあります。
インターネット媒介者の積極的な役割という観点からみると、この部分の具体的な例は、興味深いです。コーリアテレコムは、GSMAのガイダンスに基づいて有害なSMSが探知されたら、ITシステムでブロックする仕組みを採用しています。PROXIMUSやBTグループも同様で、これらの実例が紹介されています。(これらについては、推奨事項5でみます)
この観点からの推奨事項1は、
現在のBGPピアリング関係を理解し、ピアと協力してBGPハイジャックをより良く特定し、効果的に対応できるようにする。
になります。ふぃるたりんぐ
ここで、BGPが出てきますが、これは、 Border Gateway Protocol (BGP)になります。具体的な説明は、こちらです。
BGPについては、BGPハイジャックが論じられています。説明はこちら。でもって、このようなハイジャック攻撃を特定して対応することが推奨されているわけです。
推奨事項2は
MANRSプロジェクトに参加し、MANRSの要件を実装することを強く検討してください。
ということになります。
MANRSについては、JPNICのこちらの解説をどうぞ。Youtubeの解説はこちら。この部分の解説は、こちら。
ISP がネットワークのエッジから来るトラフィックをフィルタリングすると(「イングレスフィルタリング」として知られています)、ソースアドレスがなりすまされるのが困難になります。BCP38(& 84)と呼ばれるインターネット標準は、これを実行する方法を説明しています。正しく実装されていれば、ネットワークがDDOS攻撃の影響を受けにくくなるわけではありませんが、ネットワーク上のマシンが他者に対するDDOS攻撃に利用されにくくなり、それによって、ネットワーク上の悪意のあるアクティビティの量が減少し、ネットワークとそれに関連するコストを減少させ、顧客により良いサービスを提供するために他の方法で再投資することができます。
という解説がなされています。
推奨事項3は、さらにBCP38についてです。
BCP38(または類似の)侵入フィルタリングを実装して、ある種のDDOSが容易に実行できないようにし、攻撃者にとってのインフラの価値を低下させる。
BCP38については、JPNICの記事があります。でもって、MANRSのサイトで、実装ガイドがあります。
推奨事項4は、DNSについてです。
DoS攻撃が可能なDNSなどのプロトコルへのアクセスや利用を適切に管理する。
です。DoS攻撃を実行するために悪用される可能性のあるプロトコルはDNSだけではないこと、ISPはDNSへのアクセスを制限する(他のコネクションレスプロトコルを消費者に提供したり、DNSサーバを「レート制限」したり)ことで、DoS攻撃でのDNSの使用を強化することもできることが論じられています。
推奨事項5は、GSMAのss7のフィルタリングなどについてです。
SS7のセキュリティ脆弱性に対する認識を高め、関連するソリューション(GSMA SS7フィルタリング標準など)を実装して、顧客をよりよく保護する。次世代のシグナリングがより安全になるようにする。
というのが推奨事項です。
SS7のガイドラインについては、GSMAは、これらのSS7の不正使用についての報告をなしています。ss7というのは、共通線信号No7とのことです。ちなみに、SMSのハブのアーキテクチャアのオープンな接続性のガイドラインは、これで、その7.4は、不正使用の探知が定義されています。
この報告書の中で引用されているのは、セキュリティモニタリングとファイウォールのガイドラインです。(ただし、メンバー限定です) なお、SS7には、ENISAのガイドラインがあります。
また、GSMAには、モバイルスパムの行動規範があります。
推奨事項6は、DNSSECです。
リゾルバでDNSSECの検証を有効にし、顧客が権限を持つゾーンにDNSSEC署名することを推奨します。
DNSSECについてのJPNICの説明です。
WEFの報告書は、あとは、結論と次のステップへと進みます。