(1) セッション1-1 ボットとの戦い　〜CCCを通じて見えてきたもの〜

CCCの中の人たちによるボット奮闘記のお話です。
スピーカーの方は、Telecom-ISAC Japanの則武さん、JPCERT/CCの村上さん、中津留さんです。
まずは則武さんよりCCCに関してのお話がありました。まず会場内に対して「CCCが何かわからない人いますか？」との問い。なんと0人。無言の圧力的なものは決してないはずだと思います。内容としては、CCCの活動目的、ボットの現状、CCCの活動後記。
最初にボットについてのお話がありましたが、ボットの怖いところとして感染者は被害者という側面だけでなく、加害者ともなってしまうという点をあげられていました。また、CCCセンターが把握している範囲ではありながらも、ボット感染者は2000万加入の中、約2〜2.5%ほど(40〜50万人)いるそうです。CCCの活動は対策が必要とされながらも、まとまった動きが求められることから民間だけでの対策では難しく、国主導による対策が必要となったことが背景としてあるそうです。ちなみにCCCとは別段そのような組織があるわけではなく、プロジェクトの呼称であり、官民の様々な組織が参加しているのが実態とのことです。
次にボット対策のアプローチについてのお話です。ボットの対策としては、ハーダーを捕まえる、C&Cサーバーをつぶす、ボット感染者を特定し注意喚起するの3つがあるそうですが、CCCでは最後の感染者への注意喚起をボット対策として行っているそうで、そのためにハニーポットを設置して、収集した情報をもとにISPと連携して感染者を特定し、BOT感染の事実と駆除手段を伝えるといった活動を行っているそうです。なお、ボット自体は2008年ぐらいから急に減ってきているそうで、2007年5月をピーク(CCC調査ベース)で現在は20分の1になっているそうです。結構効果がでているんですね。感染元としては台湾、アメリカ、中国が多く、また攻撃元は海外からの攻撃が半分で、やはり台湾、中国、ロシアといったところが多いみたいです。なお、MSが定期的に発信している情報によると他の海外諸国と比べ、日本はボット感染率はかなり低いようで、CCCの活動の成果として何らかの貢献が出来ているのではないかとのことでした。
このような成果をより上げていくためにやってこととしては、「ハニーポットが検知可能なエリアを広げる」「駆除ツールの改善」「対策サイトのコンテンツをわかりやすいように見直し。サポートを行える仕組みづくり」だそうです。これを見る限り、なかなか民間のビジネスとしてやるのは厳しいようにも思いました。
最後に課題としては、検知できているマルウェアの内、実際にハニーポットで収集できているものに差異がみられるそうで、これはワームのようなネットワーク感染型以外のものも増えてきていることがあるのではないかという点を課題としてあげられていました。

(2) セッション1-2 ボットとの戦い　〜駆除ツールから得られた知見と検体解析からみえてきたもの〜

次はJPCERT村上さん、中津留さんのお話です。CCCクリーナーというBOT駆除ツールのお話で、村上さんからはプログラム解析グループで行っている活動のお話、中津留さんからは検体解析のお話です。
まず村上さんのお話ですが、当初CCCクリーナーは駆除を最大の目的としていたそうですが、最近は利用者の環境情報も同意をいただいた上収集しているそうです。収集している情報はセキュリティパッチの適用状況やグローバルIPアドレス利用の有無などで月1万件ほどの集まるそうです。
そこで感染をしている人、していない人による違いを収集した情報から解析してみたそうで、感染者に一番多いのはWindows XPSP3、Windows2000も何人かいるみたいです。また、OSを選ばずServicePackが古いものになると感染率が高まる傾向にあるそうです。最近はワームの類が依然として増加傾向にあるそうで、Confickerも増えているそうです。OS別にみた場合は、XPだと4割近く、Vistaだと1割程度の人が感染しているそうで、XPの感染率に驚かされます。また、ボットに利用されてしまっている人の多くはグローバルアドレスを使ってネットに接続している人だそうで、ブロードバンドルーターの導入が有効ではないかとお話されていました。
次に中津留さんのお話で、変態バイナリアン検体解析のお話です。解析の流れとしては、「大量の検体を簡易分析」→「簡易分析結果の変化を敏感に察知し、詳細分析」→「分析結果から今後の予測を行い対策を検討」となるそうで、簡易解析はある程度自動化した同的解析システム(具体的なお話はなかったです)を使って調査をされているそうです。
マルウェアの配布オペレーションの動きについてのお話がありました。マルウェアによっては日替わりで配布することで検知を逃れようとするものがあったり、またSSLや独自プロトコルを使った通信の複雑化などにより、解析を困難とさせる状況になりつつあるそうです。
セキュリティパッチの適用やBBルータの利用を推奨しているが、感染経路の入り口もネットワークだけでなくUSB経由の感染など色々と増えているそうです。対策アプローチとしては、サイトの閉鎖コーディネーションもそうですが、根本的な対策としては金銭目的であるマルウェアの利用動機を何とかできないか考える必要があるとお話されていました。

質問

CCCは来年3月で終わってしまうが、今後はどういった活動になるのか。
　国のプロジェクトであるため、必ず期限があり、それゆえ活動自体は終了する予定である。ただ、このCCCを行うに当たって今まで関係してきた人と今後の対策を考えていきたい。
今までためてきた情報はどうやってみれる？
　CCCの試算はアーカイブとして残していくように関連団体を調整中で、残していく方向性で考えている。
　

(3) クラウドセキュリティの標準化最前線

次にJNSAの中尾さんによるクラウドセキュリティに関する標準化のお話です。この標準化とはITU-Tで行われているクラウドコンピューティングのフォーカスグループでの活動のお話で、まだ活動途中の段階であるため確定は来年の2月頃だそうです。
まず、何を持ってクラウドセキュリティというのか、という点で、NISTの中の人と話してみると、クラウドだからといって目新しいものはなく、脅威についても既存のものをひきづっていくのではないかと考えているそうです。（そりゃそうですね。）そのため、マルチテナントなどの考慮は必要としても、暗号化で解決できるのではという意見もあるみたいです。また、現実問題すでにサービスは始まってもいるので、サービス事業者に対していろんな要求を突き付けるのは現実的に考えても難しいのではないか、またタスクは沢山ありながらもクラウドの技術革新につながるものは現状はないのではないかというのが今の段階での議論の状況だそうです。
次に今年の6月に行われた会合の話で、FG(フォーカスグループ)の目的は実態調査、課題の見極め、通信事業者で行うべき対応の洗い出しを行うことだそうで、来年に方針としてどうするかを決定するそうです。この活動では5つの成果物を構成に対応する形で成果として出すことを考えているそうで、クラウドの分類、定義などをしたエコシステム、機能的なリファレンスアーキテクチャー、SDOs（標準化）の調査、クラウドセキュリティ脅威と要求事項の整理、インフラとネットワークとなるそうです。
各成果物のお話に入っていくのですが、まずITUではクラウドの分類として既存のIaaS,PaaS,SaaSだけでなく、ネットワークのクラウドであるNaaS、コミュニケーションのCaaS、そしてセキュリティのSaaSを分類しているそうです。また、災害時、超高負荷時などの様々なユースケースやモデルを想定した議論を行っているそうです。リファレンスアーキテクチャはシスコがすごい頑張って作っているそうですが、IDM、AC、AAA,Policyなどのセキュリティ機能モジュールを記載しているそうです。次にクラウドセキュリティですが、これはまず既存の他団体のレビュー(CSA、NIST、GICTFなど10数団体)を元に、クラウドの脅威や要求事項、課題をまとめているそうです。クラウドセキュリティの要求事項については、主に監査などの話があり、どのように信頼してもらうか、機密性を担保するかなどが盛り込まれるようです。
ITU-Tにおけるクラウドセキュリティの課題案としては、セキュリティに関する管理、監査を確実にするために、ガイドライン、クライテリア、SLAのひな形に係る規格、BCP、セキュリティプライバシー確保、アカウント/IDの管理、ネットワーク監視、インシデントに関する技術
といったものが上がっているそうです。これら成果物については、２月に中国で会合を予定しており、そこで大よその内容が固まるとのことです。
次にCYBEXとFedRAMPの解説がありました。勉強不足で十分に理解しきれていないのですが、CYBEXは情報セキュリティ組織に関わる情報を交換するフレームワークだそうで、これは先のネットワーク監視などの部分につながっていくのではないかとのことでした。また、FedRAMPはクラウドを官公庁が使う場合、業者がちゃんとしているかを認証するものだそうで、ベースライン（27002チック）が要件として明記されており、継続的なモニタリングをするものになっているそうです。これはアメリカで行われる動きがあり、日本にもそのうちで始めるのではないかともお話されていました。
最後にクラウドに関する標準化については、その発信を行った人視点になってしまうので全員が満足するようなものはなかなか難しいとのことで、しかしサービス自体は既に始まっているので、今後も議論を行っていく必要がありますということでした。
　　

(4) 信頼のおけるアイデンティティ連携の確立に向けて

このセッションからパネルディスカッションとなります。パネリストの方はセコムIS研究所の松本さん、OpenIDの崎村さん、京都大学の岡部さん、中央大学の杉浦さんの4人の方です。パネルディスカッションはいつもの通り、パネラーの方からお話があり、その後あらかじめ設定されたテーマに沿って意見を交わすというものです。
まずは、セコムIS研究所の松本さんより、トラストフレームワークについてのお話。このフレームワークを理解するうえでキーワードとなるのが、IdPやSP、アサーション、LoAといった言葉です。アサーションとは、Idpの提供する認証LoA＋相互運用性技術要件（SAML、OpenIDなど）のことだそうです。アメリカでは実際にこのフレームワークを政府が使おうとしている動きがあるそうです。
次に京都大学の岡部先生の学認と呼ばれるシングルサインオン基盤のお話。学認とは「Webアプリケーションへのシングルサインオンをセキュアに実現するための分散型認証基盤のこと」だそうです。必要でない限り、ユーザーの情報は出さない事が可能で、SAMLやシボレスで実際に利用されているそうです。サービスプロバイダ側はシボレス経由での入口を作っておけばそれだけでOKだそうで、認可後はcookieが発行されるので、有効期間の間は認証手続きを踏まなくて済むようになるという実装になるみたいです。Cookie盗まれたら大変なことになりますね。さて、Microsoftもこの学認に乗っかっているそうで、「ドリームスパーク」というMSの開発環境を無償で提供するプログラムがこのサービスと連携しているみたいです。世界の動向を見てみると、日本や中国は今年度から始まっており、欧米については既に始まっているそうです。とはいえ、まだ日本はID数では30万人程度でまだまだで、加えて利用できるサービスも電子ジャーナル系ばかりだそうです。また、多くのIdPがユーザーIDとパスワードによる認証であるため、成りすましなどをされる危険性が課題としてあるとお話されていました。
3番目はOpenIDの崎村さんのこの実証をした実験結果のお話。総務省主導の実証実験を行ったそうで、予め許可していればユーザー情報をプリフィールドインしてくれるというもの。これの適用により、入力エラーが2割から7％に減ったそうです。0%にならないのは、必ずしもあらかじめ埋まる項目がすべてではなく、手動で残すところもあるからだそうです。また、この機能は9割以上の人が利用したい考えているそうですが、逆に情報通知先の判別が出来ないので不安があるという人も97%もいるそうです。また、LoAの他、LoPやLoCといった考え方についてのお話もありましたが、LoA以外はまだまだ未整備だそうです。そしてリスクの保障レベル決定のための5つのステップのお話もありました。アメリカの電子政府がやっているものであるため、NISTをベースとしたものになり、「SP800-30→ OMB M 0404→SP800-63-1→SP800-53-/53A→SP800-37」といった流れになるそうです。また、レベルの測定方法は検査・認定、そしてレピュテーションが主になっていくそうですが、検査認定はお金がかかる、しかし信頼度はレピュテーションのほうが低いなどそれぞれ一長一短があるみたいです。最後にTFPの役割の話があり、情報の非対称性の緩和と責任分界点の定義と約款の作成が役割であるそうです。
最後に中央大学の杉浦先生のID連携の制度的な側面からの考察についてのお話がありました。最初にクレデンシャルが多くなりすぎて管理が煩雑になっているよねということで、情報の非対称性は拡大していく一方であるとのことです。ID連携はその点このような問題を解決するメリットもあるのですが、国がセキュリティレベルを保証しているわけではなく、情報保護のために法改正が必要ではないかと考えてらっしゃるそうです。そういう意味で、セキュリティレベルの認定、責任範囲の明確化、安全性の担保についても考える必要があるとお話されていました。(例としてSuicaを挙げられていました。)
さて、パネルディスカッションにここから入るのですが、まずOIXを行うにはIdPが必要で、アメリカではGoogleが次のビジネスとして狙っているような節がありますが、日本でやるにはどうしたらよいかという松本さんの問いに対して、崎村さんは、アメリカも走りながらやっており、政府はお金は出さないが側面支援をしていると例示され、この枠組みを実現するにあたっての費用措置は重要な課題であるとお話されていました。特に日本の場合は、欧州と比較して、国、独法、地方、民間とすべてにおいて決め方が異なってくるのでそれに対応するのが大変だそうです。
また、岡部先生もTFPについてコメントを出され、学認はTFPに相当するが、実際には何もしてないに等しいとのことです。これ話して大丈夫なんでしょうか。ベースの認証を簡易化しようという経緯から来ているとのことで、あまりこの崎村さんが話していたような話というのは出てこなかったそうです。また、大学同士のサービスを融通しようといった性善説に立った緩いものになっているそうで、現在のところ、TFPがすごいコストもかかるのでどうすればよいのかという点に苦慮されていると。民間に対しては、コストをかけてやるという話があったが、例えばリクナビなどの就職活動で利用するサイトにこのTFPなどの考え方をうまく使えばより効率化されるはずだが、ただそれで本当に問題がないのかは現段階では難しい。
次に松本さんよりこの考え方を民間で行うための手段や日本での実現性について、杉浦先生にコメントを求められると、民間ベースで一緒に作っていかないと厳しいという点と、レベル別とかできるだけ広い領域のなかで、フレームワークを作ったり、業態別に作ったりなどをしていくことが重要ではないかとお話されていました。
会場からのコメントとして、色んなプレーヤーの方が整理ポイントを持ち寄られるフェーズから今後は対応すべき議論すべき点をはっきりと明確にしたうえでここに行っていくべきではないかという意見もありました。
最後に言いたいことは何か。という点で、岡部先生は学認というものを紹介して、本来はネットワーク屋なのである程度のセキュリティには目をつむって、出来る範囲でどんどんとつないでいきたいという意気込みを、そしてただ扱っている情報がリアルなので、国際化の連携。走りながら考えているとお話されました。
崎村さんからは学術系からいくのは当然。またツールとルールをバランスよく行っていくことが大事だそうです。FICAM、民民が本命だけども、最初のテイクオフは民間では難しいので最初の支援は政府がする必要があるとのことです。
最後に杉浦先生からは、キーワードはトラストを挙げられました。トラストは相手に全部渡してもよいと考えるぐらいの意味で、この点を意識して作り上げていく必要があるそうです。

(5) 相手認証の必要性と考え方、現状動向

本日最後のセッションとして、今度はDNSや迷惑メール、フィッシングなどといった観点で現状の動向や考察などの意見を交わすパネルディスカッションがJPCERT/CCの歌代さん、DNSSECジャパンの中島さん、IIJの櫻庭さん、フィッシング対策協議会の小宮山さんの4人で意見が交わされました。

まずは、JPCERTの歌丸さんのお話(7分)このパネルディスカッションで取り扱う内容は、先ほどの話と比べて、レイヤーとしてはやや低い位置となるところに焦点を置いて話されるとのこと。
続いてフィッシング対策協議会の小宮山さん。何と自身もフィッシング(スニッフィング?)を受けたらしく、先日アフリカに出張した際に60万ほどの被害に遭われたそうです。フィッシング対策協議会の活動についてまず紹介があり、カード会社をはじめとした組織53団体が加盟済みだそうで、JPCERTが事務局として、主にフィッシングメールを受け取って、フィッシングサイトが立ち上がっている場合、JPCERTがテイクダウン(ISPへの通報)の処置や、それでも公開が続く場合は注意喚起などを促すといった活動を行っているそうです。
次に日本のフィッシングの現状についてのお話があり、件数としては増加傾向にあるらしく、特に最近は日本語のものが増えているそうで、明らかに日本人をターゲットとしている状況になっており、近年はYahoo!Japanのフィッシングが急増しているそうです。件数としては月に50，60件。以前は日本のホスティングサービスに海外ブランドが立ち上がっていたり(つまり海外の利用者をターゲット)していたものが、先の通り日本向けになっているらしいです。また、トップレベルドメイン別では、3位に韓国の.krが入っているそうですが、これには流行があるみたいで、昔はベネズエラ、そのもっと昔は香港などがよく上位に挙がっていたそうです。これは対策が緩くて登録するのが安いところが狙われやすいという背景があるらしく、その国のレジストリなり当局の制限が厳しくなると別のドメインに逃げていく傾向にあるそうです。また、JPCERTのテイクダウンは法的拘束力のようなものはなく、基本的に管理しているISPにお願いをするだけだそうですが、おおよそ3日もあれば止まるみたいです。最近はVISA,Master以外にも日本のセゾンカードのようなブランドに携帯のメールアドレスを使っているなど、日本人を狙っている傾向が明らかに見えるらしく注意が必要とのこと。また、携帯サイト向けにはMixi、グリー、モバゲーなどのものがさも正規のサイトのように見える形で、メールを送信させるなどを行わせるようなフィッシングサイトも目立つそうです。他の事例として、CarView（中古車オークションサイト）の話があり、日本のディーラーのアカウントをのっとって、そのアカウントを使うことで相手を信用させるそうです。いやはやすごい考えるものですね。
フィッシングサイトには逮捕された事例もあるそうで、ただ国内に犯人がいるなどのある程度幸運が重なったこともあったみたいです。他に、フィッシングサイトが停止されるまでは、アンチウィルスソフトを開発しているベンダにURLを連絡してサイトが閉鎖されるまでの間、各ツールでブロックしてもらうなども行っているそうです。最後に注意喚起のために個人向けにはフィッシングフィルというゲームを公開しているそうです。企業向けにはガイドラインも公開されているそうです。またフィッシング対策協議会のツイッター（@antiphishing_jp）も始めたそうで、ここでフィッシングに関する情報を発信されているそうです。
次にIIJの桜庭さんの送信ドメイン認証技術と迷惑メールに関するお話。迷惑メールはここ最近やや下降気味らしく、これはロシアで有名なスパマーが逮捕されたことがあるかもしれないとのこと。SMTPには受け側の対策というものが備わっておらず、それゆえに根本的対策は難しいのが現状とのことで、迷惑メールを通じてフィッシングサイトへ誘導したり、偽のセキュリティソフトを実行させるように促したりするそうです。最近では、エラーメールが送信した人に返されてしまうため、送信元が怪しいとスパマーとしてブラックリストに登録されてしまうケースもあるみたいで、詐称ができてしまうことによりいろんな問題がどんどんと出てきてしまうのが現状としてあるそうです。
対策の1つとして、送信ドメイン認証技術のお話がありました。送り手をNW的に判断する方法らしいです。SPFレコードと呼ばれる情報を使うそうですが、迷惑メールの対策としては現状スパマーのほうがSPFレコードをかくようになってしまったので、ドメイン名とSPFを見ていく必要があり、対策には不十分な点もあるとのこと。またjpドメインのSPFレコードの宣言率は4割だけども、そのドメインの中にも使われていないものがあるので実際のところかなり高いのではという推測されているそうです。面白いのは民間よりも地方自治体のほうが宣言率が低いそうで、民間は45%ほどに対して、地方自治体は２０％弱ぐらいだそうです。
最後にDNSSECJapanの中島さんによるDNSSECのお話。DNSSECも留意点が3つあり、「署名の検証に失敗してしまうと名前解決そのものが失敗すること」「情報を定期的に交換する必要があること」「導入時に必要に応じて機器のリプレースや増強が必要であること」だそうで、メリットばかりではないという点です。2010年に入ってからはルートゾーン、各種ドメインでDNSSECの導入が進んでおり、国内も2011年1月16日JPドメインのDNSSECによるサービス提供開始予定とのことです。次にDNSSECJapanの活動紹介がありましたが、DNSSECに関するノウハウを広めていく必要があり立ち上げられたそうで、具体的な活動は広報活動や勉強会などだそうです。また活動成果はWebページで公開されてらっしゃるとのことです。DNSSECを適用する際のモチベーションについてもお話があり、なかなか事業として対応するのは難しいのが現状で、どうしても後ろ向きなモチベーション（何か起こった際にイメージダウンや責任を問われるなど）で対応せざるを得ないそうです。DNSSEC自体は既に普及期に入っているそうで、情報も出そろいつつあるので、対応をされてない人もこれからどんどんと取り組んでほしいとのことでした。

質問

DNSSECについて学校などのACドメインについてはどうか。大学内にDNSサーバーを持っていたりするので、どうしたらいいか悩んでいる。モチベーションを上げるいい方法はないか。
→下位のドメインから鍵を管理していく必要があり、それなりの運用不可が上がるものと思われる。管理をある程度自動化していくツールは出回り始めているので、ゾーン登録削除のツールなども今後出るようになれば、その部分のハードルが下がっていくのではないかと考えている。

DNSSECにも暗号の2010年問題のような問題はあるのか。
→鍵をある一定の有効期間にしたがって更新する機会があるので、その際に見直すような姿勢でよいのではないかと考えている。DNSSEC自体は普及に入るのが遅かったこともあり、それなりの暗号強度を保った技術が利用されている。

日本のフィッシングの被害は右肩上がりだが、世界は横ばいの状況にある。海外に何か対策の鍵があるのか教えてほしい。
→海外で、右肩上がりで上がってない理由の1つとして想像できるものは、海外でのフィッシングの被害は2005年からで歴史が長く、被害にあいやすいブランドでの対策が進んでいるということが考えられる。フィッシングを行う者にとって、フィッシングをしたいのではなく、最終的に金銭的な目的であるので、他の手段などがある場合それを利用しているケースもある。

ちょっと抜けているところもありますが、以上でセミナーは終了です。
今回も勉強になりました。