以前からアナウンスされているように、WSUS(Windows Server Update Services)を用いて更新プログラムを社内などに一斉配信中のユーザーも、Windows 8.1 Updateを未適用の場合、7月の定例セキュリティ更新プログラムが最後となる(コンシューマー向けは6月時点で終了)。
|
日本マイクロソフトの高橋正和氏 |
日本マイクロソフトが記者向けに開催している定例セキュリティ更新プログラム説明会では、先月に引き続き今月も配信停止について強調していた。今週は、同社チーフセキュリティアドバイザーである高橋正和氏が説明会で語った、No-IP.comのドメイン差し止めの件に注目しよう。
無料ダイナミックDNSサービス「No-IP」は1999年に設立し、2000年代前半あたりから日本国内でも人気を博していた。ユーザーは「■■.no-ip.org」の■■にあたるサブドメイン部分を申請し、定期的な更新を行うことで自宅サーバーなど各種用途に用いることが可能である。
かく言う筆者もNo-IPを10年以上使い続けてきた。Web日記やデータ配信をLinux経由で運用し、最近では外出先からRSSフィードを読むためにアクセスする程度。だが、ちょうど取材先からの帰宅途中にドメインの差し止めが実施され、自宅サーバーが見えなくなってしまったのだ。現在はDDNSサービスを諦めて、VPNサーバーへアクセスする方法に切り替えている。
さて、Microsoftは「Bladabindi(ブラダビニディ)」「Jenxcus(ジェンクサス)」といったマルウェアがDDNSを温床にしているため、ネバダ州連邦裁判所に民事訴訟を提起したという。Bladabindiは、NJRatと呼ばれるツールを用いて作成したマルウェア。自身のアイコンを自由に変更し、利用者の誤操作を招くことで感染する。次のJenxcusはVBScriptで書かれており、主に他のプログラムにバンドルする形で感染を広げるワームの一種。これらを組み合わせたマルウェアに感染すると、PCにバックドアを作成し、任意の攻撃が可能になってしまう。Microsoftのセキュリティ製品による検知数だけでも過去12カ月で740万件以上。その93%がNo-IPを利用しているという。
|
マルウェアがDDNSの温床になっていると訴えるMicrosoft |
|
BladabindiとJenxcusの概要 |
そもそもボットネットとは、マルウェアなどを利用して乗っ取ったゾンビPCで構成されたネットワークを指す単語である。さらにボットハーダーやボットマスターと呼ばれるサイバー犯罪者は、このボットネットにC&C(Command and Control)サーバー経由で指令やコントロールを発して、多額の金銭をせしめているのが現状だ。
さらに1つのドメインに複数のIPアドレスを割り当てるDNSラウンドロビンとボットネットを組み合わせることで、サイバー犯罪者はC&Cサーバーの所在をつかみにくくしている。最近は動的にC&Cホスト名を自動生成するDGA(Domain name Generation Algorithm)を併用し、ボットネット消滅を防ぐ攻撃も行われているそうだ。
|
Fast-Flux DNSを使ったボットネットと、DGAを利用したボットネット |
このような背景からMicrosoftはNo-IPのドメイン差し止めに至ったという。だが、ドメインの差し止めとは簡単に行えるものだろうか。この件について高橋氏は「米法律のex parte TRO(一方的な仮処分)を使う」と述べた。本来であればボットネットを仕切っている人物を逮捕すれば済む話だが、そもそもボットハーダーがどこの誰だかわからない。加えてNo-IPのようDNSサーバーはボットハーダー以外にも利用者がいる。TLD(トップレベルドメイン)に対しての強制力も存在しない。
そのため、Microsoft DCU(Digital Crimes Unit)は前述の一方的な仮処分を裁判所に申請し、申し立てが認められたということだ。ただし、高橋氏は「(仮処分申請の)条件は厳しい」と語っている。同氏の説明によれば「仮処分を実施しないと、即座に解決できない危害が継続する」「相手方への通知を行い、それができない場合にはその理由を明確にすること」が求められるそうだ。
|
ドメイン差し止めまで大まかな流れ |
|
ドメイン差し止め時の各種対応 |
興味深いのは、ボットネットやC&Cサーバーのドメインが中国のレジストラ経由で登録された場合の対処だ。先の一方的な仮処分を申請する際は、米国憲法だけでなく中国の法律に抵触していることを確認し、ハーグ条約に基づいて中国法務省に依頼を出さなければならないという。中国のインターネットセキュリティを扱う研究・開発センターであるCNCERT/CCが間に入ったからか、他国と同様の対応だったそうだ。
本件は和解に至ったものの、No-IPはブログで「Microsoftは不正な2.2万件のホスト名を指摘したが、No-IPの調査では既に大半を禁止し、アクティブなのはわずかだ」と反論。さらにMicrosoft DCUのFacebook投稿記事にも「主張は誤っている」と自社のクエリーレートグラフを用いて反発した。
|
No-IP側は「Microsoftがこの大失敗から(中略)他の企業のドメインを押収せず、不正使用の報告に適切なチャネルを使用することを願っている」と述べている |
No-IPが主張しているのは、自社の正しい窓口(No-IP abuse team)に連絡をくれれば対応したのにと、某大型掲示板のようなマイルールであるように、筆者には聞こえる。こと犯罪が関係するだけに、協力姿勢を示さないのはどちらなのだろうか。
阿久津良和(Cactus)
