1. タイトル JPCERT/CC Update 2. 発表者 山賀正人(JPCERTコーディネーションセンター(JPCERT/CC)) 3. ロガー 川端宏生(日本ネットワークインフォメーションセンター(JPNIC)) 4. 時間 2004年1月30日 09:35-09:50 5. 発表の焦点、論点、議題  + 前回のJANOGミーティング(2003/07)以降の、JPCERT/CCの活動報告を行う   - 特に定点観測事業などの研究開発関係の事業を中心に報告する  + 発表の後に質疑応答が行われた。 6. 発表の流れ  + 前回のJANOGミーティングでは、時期が事務所の移転直後であったため、   実のある報告ができなかった。   - その後は着々と事業を進めており、今回はオペレータの皆様に役立つ情 報を提供できると考えている。  + この半年間で特に力を入れてきたのは、研究開発系の仕事である。   - 代表的なものは、インターネット定点観測システムやIODEF 実装である。   - これ以外にも、研究開発を行っているが、まだ公表できるものではない    ため、今回はこの2つに絞って話をする。  + インターネット定点観測システムについて   - 簡単に説明すると、インターネット上のいろいろな場所にセンサーを    置き、そこで観測されるポートスキャン(具体的にはdenyされたもの)の    情報を集めている。      ・集めた情報は、例えばグラフ化などを行っている   - この情報を元にして、その観測されている状況が、自分のところだけで    起きている状況なのか、それとも世間全般で起こっている状況なのかを    比較対照できるように利用してもらえるのではないかと考えている。      ・オペレータの皆さんは、普段からポートスキャンは観測されている      と思うので、そのオペレーションに役立てて欲しい。   - できるできないは別として、このシステムの夢としては、「天気予報」    のような形で情報提供ができると良いのではないかと考えている。   - インターネット定点観測システムの特徴の一つとしては、当初から、 Telecom-ISAC Japanや海外CSIRTなどの国内外の他組織とデータ交換を    行うことを前提に計画を進めている点である。      ・アジア太平洋地域にある我々と同じような組織でも、すでに定点      観測事業を行っているところもあり、これから開始しようとしてい      るところもある。データの連携を行うことで、アジア太平洋地域全      体でどのような事が起こっているのかを示せるようになればよいと      考えている。   - アジア太平洋地域は、APNICからアドレスブロックを割り振られている    関係で、アドレスブロック的には近い状況がある。そのため、情報に    似たような状況が見えたりする場合もある。      ・少なくとも、アメリカや欧州などとは違った観測情報になることが      経験的からわかっている。アジア太平洋地域の観測情報を持てるよ      うにしたい。   - 事前公開資料のグラフについて      ・資料のようなグラフを現在公開している。      ・1時間ごとに、それぞれのセンサーで観測された情報を足し算して、      全部のセンサーで観測された情報を足し算をしている。その中で、      Top5のポート番号とICMPの情報をセンサーの数で割ったものを、      表示している。      ・平均値としてどのような推移をしているか表したグラフとなってい      て、現在は週に一度更新を行っている。  + この場で、このシステムについて報告を行ったのは、オペレータの皆さん   からのご意見をいただきたいからである。   - 現状では、先ほど説明したようなグラフしか出していないが、皆さんは    どのようなグラフやデータが欲しいか、ということを知りたい。      ・例えば、センサー毎の情報などが考えられる。現状では、CIDRブ ロックが分散するようにセンサーを置いているが、まだまだセンサ ー数が足りないと考えている。 →センサーの増設を進めている      ・他には、CIDRブロックごとの情報やスキャン元の国/地域別情報等 ではないかと考えている。   - 現状では1週間に1度の間隔で、1時間毎のデータを公開をしているが、 この更新間隔についてもご意見をいただきたい。 ※この場では質問しにくいような場合には、電子メールででもよいので 積極的にご意見をいただければ、と考えている。 ・質疑応答  ■橘さん  + インターネット定点観測事業について   - denyしているものは全て収集しているとの説明だったが、denyする    ルールは公開されているのか。(橘)    ・視聴率調査と同じ感覚で考えているので、センサーの具体的な設置     場所やセンサーの仕様については公開は難しい。(山賀)   - denyの方法については、どういった情報を知りたいのか(山賀)    ・全部を取ってdenyとしているのか、それとも、denyというのであれ     ば何か明示的にルールセットがあると考えたのだが。(橘)    ・そういう意味では、ルールセットはある。ただ、個々のセンサーの設定     によって状況は異なり、センサーを置いている状況にもよると思う。     詳細については言えないが、基本的にはすべてのパケットはdenyする     ように設定している。    ・しかし、ICMPパケットに対して全て無反応にしてしまうと、Blaster     ワームのように次のパケットを飛ばしてこなくなる可能性もあるので、     ICMPについては、Echo Requestに対してreplyするように設定をしてい る。     しかし、TCP/UDPについては、意図しないアクセスに対して、denyを     するように設定をしている。(山賀)   - センサー数で割ったものをグラフ化している、との説明があったと思う が、地域ごとの重みづけはしているのか。例えば、東京とそれ以外の地 域では重み付けが違うと思うのだが。(橘)    ・試行錯誤している状態なので、現在公開しているデータ自体は、セン サーごとに重みをつけず、単純にデータを足したものをセンサー数で 割っただけである。(山賀)    ・センサーの数が多くないので、特定のセンサーだけが異常な状況を検 知すると、その状況が、全体の平均のグラフに影響を及ぼしているケ ースもある。そういった特定のセンサーだけが持っている情報をうま く排除して、全体の状況を表すにはどうすればよいかについて試行錯 誤を行っている状態である。(山賀)   - (コメントとして)JPCERT/CC の基本的な姿勢として、情報収集をして、    その情報を分析して広く啓蒙するということがあったかと思う。    基本的に情報を出している側からすると、事態の解決はユーザ同士に任    せていると思うのだが、ぜひ、ユーザがこのシステムを使えるように、    システムそのものの存在をもっと広くアピールしてほしいと思う。(橘)    ・現在は試験運用的な色合いが濃いので、身近なところや関係者のみだ     が、今後は、それをもっと拡大しようと考えている。例えば、守秘義     務契約等を結ばないといけないのだが、その契約を締結した人にだけ、     より詳細なデータをフィードバックできるなど、何らかのメリットと     してどのようなものがあるかを考えている。(山賀)    ・特に協力というものではない。企業はその企業内で使えればよいので。     協力するということはあっていいと思うのだが、使いたい側からすれ     ば、情報を出す/収集するためのツールがとても高価なので、それを     何とかしたいと考えている(橘)    ・複雑な技術は使っていない。例えば、データフォーマットをオープン     にして、「このフォーマットを使ってもらえれば、あなたのFireWallも     JPCERT/CCのセンサーになります」といったようなことは言えるかも     しれない。(山賀)    ・安定運用されて広く実績あるものが、広く啓蒙されていけばよいと思     うので、ぜひお願いしたい。(橘)   - 更新頻度について言えば、その時点のスナップショットがあればよいと    思う。過去の検索ができればなおよいのだが、今現在何が起こっている    かについてわかればよいと思う。検索のためにみんなが殺到しても、    さばけるだけのシステムにしていただきたいと思う。(橘)    ・リアルタイム性については、現在、鋭意検討しているが、どの程度ア     クセスがあるのか、ということについてまだ見積もれていない。(山賀)  ■三ツ木さん(メディアエクスチェンジ(MEX))   - (コメントとして)CIDRブロック毎の情報は欲しいと考えている。どのア    ドレスがどういう状態にあるかはみたいと思う。できれば、自分の管理    するアドレスから遠いか近いかについても見れればよいと思うが、大体    の傾向が見えると、オペレータにとっては嬉しいと思う。(三ツ木)   - 現在、センサーが観測しているのは、IPv4アドレスだけなのか?(三ツ木)    ・IPv6にも対応可能なように考えている。ただ、今のところ、IPv6で     どれぐらいのものが見えるのかがわからないということもあって、現     在は観測していない。将来的にはIPv6にも対応することも考えている。     (山賀)    ・IPv6はあまりまだ使われていないから、攻撃も受けていないような気     がするが、本当はどの程度アクセスがあるものか、ということに興味     がある。どのような傾向があるのかを調べて、それが公表できれば     面白いと思う。(三ツ木) 7. 感想 朝早くにもかかわらず、参加者は多く、セキュリティに大きな関心を持って いるオペレータが増えてきていることの表れのように思いました。 SPAMや不正アクセスに関しても、今後もっと大きく取り上げられる必要がある ことを感じたセッションでした。 インターネット定点観測事業は、オペレータやユーザの意見をうまくバインド させながら有効なものを作り上げていってほしいと思います。