モンゴル & インドネシア訪問記

こんにちは。早期警戒グループの土居です。

JPCERT/CC は、2018年1月に「実証実験 Mejiro 日本語版(英語版は2018年8月)Web サイト」を公開しました。インターネットリスク可視化サービス Mejiro では、インターネット上のリスク要因に関するデータを収集し、国・地域別の指標を計算して可視化しています。
Mejiro を使ったインターネット空間のクリーンアップ活動について、早期警戒グループの石井がモンゴル (MNSEC2019) にて、サイバーメトリクスグループの森がインドネシア (FIRST Technical Colloquium) で講演を行いましたので、報告いたします。 また、インドネシアでは、私と同グループの安部、森がワークショップの講師を務めました。今回はそのイベントの様子と、あわせて訪問した Id-SIRTII/CC についてもご紹介します。

1. MNSEC2019 講演

MNSEC は、年に一度行われるモンゴル国内最大級のサイバーセキュリティイベントであり、今年は10月4日に開催されました。講演では、脆弱性や攻撃手法の解説など様々な内容が取り扱われ、モンゴルのサイバーセキュリティへの関心の高さを感じました。また CTF も開かれ、参加者は技術を競い合いました。

イベントでは JPCERT/CC が取り組んでいる Mejiro のデータを使用したインターネットリスクの分析や予測について講演を行いました。取組の内容や Mejiro 指標を予測するうえで、現状の分析(値推移、クラスタ分析)や予測検証で判明したことを説明しました。例えば、 NTP プロトコルに関しては、同国においてリスクのあるノードが増えていることがわかっています。

NTP プロトコルに関するノード数推移
MNSEC2019 会場の様子

2. FIRST Technical Colloquium & Id-SIRTII/CC 訪問

FIRST Technical Colloquia(FIRST TC) はインシデント対応とセキュリティチームに影響する脆弱性、インシデント等の課題を議論するイベントです。今回はインドネシア・ジャカルタ近郊のデポックにて、10月17日~18日にかけて開催されました。

2-1. ワークショップ

今回私たちは、インドネシアの National CSIRT である Id-SIRTII/CC に招待いただき、この FIRST TC に参加された方に向けて APT 攻撃に関するログ分析のワークショップを行いました。
JPCERT/CC では、セキュリティインシデントへの対応支援の一環として、APT 攻撃に関する対応支援も行っています。これまでの経験から、攻撃を出入口のファイアウォール等で防ぐだけでなく、内部のネットワークに侵入される前提で、ログ分析を定期的に行うことで早期に侵入を検知することが被害を最小化するために重要だと考えています。
今回は、APT 攻撃の検知に必要となるログ分析の観点を身に付けることを目的として、ハンズオンを交えた講義形式のワークショップを開催しました。参加者との質疑応答においては、講義の内容について、具体的な事例や検知方法に関する質問が出るなど、関心の高さを感じました。

ワークショップの様子

2-2. FIRST TC & Id-SIRTII/CC 訪問

ワークショップを実施した翌日、FIRST TC にて講演を行うとともに、Id-SIRTII/CC のオフィスを訪問しました。
講演ではインドネシアを Mejiro 指標を用いて分析した結果を発表しました。インドネシアと日本を Mejiro 指標で比較すると、 DNS と SNMP プロトコルでは、インドネシアの方がインターネット上にリスクのあるノードの数が多い結果になっていますが、SSDP プロトコルでは、インドネシアの方がリスクのあるノードの数が少ない結果となっています。

FIRST TC 講演の様子
日本とインドネシアのMejiro指標による比較

Id-SIRTII/CC(Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center) は省庁再編により2019年12月現在、BSSN の配下として活動しています。2019年2月に訪問したサイトは違うオフィスビルで活動しています。こういった場合に、連絡先が変わることもあるため、こまめに連絡を取り、訪問することは関係を維持していくために大切です。
今回の訪問では、Id-SIRTII/CC に対し、インドネシアの ASN 毎の Mejiro 指標を提示し、インドネシアにおけるクリーンアップ活動の協力を依頼しました。両チームが情報交換を行い、インターネット上のリスクのあるノードの数を減らすために協力していこうと考えています。また、今後インドネシア以外の国も訪問し、インターネットの健康度合いを高めていきます。

Id-SIRTII/CC メンバーとの写真

国境のないインターネットにおいて、世界各地の CSIRT と協力してインターネットをより健全にしていくことは重要な取り組みだと考えていますので、今後も継続してインターネット上のリスクに関する情報を各国と共有し、様々なプロジェクトを推進していきます。

- 早期警戒グループ 土居 啓介

≪ 前へ
トップに戻る