B15_Abuse Desk Best Practices

Transcript

1. ネットの向こう側に苦情を伝える方法 Abuse Desk Best Practice 2019/11/15 JPAAWG 2nd General Meeting

   さくらインターネット株式会社 技術本部 山下健一

2. 本セッションが扱う問いかけ・テーマ 「ネットで困りごとがあった時、 どこへどのように伝えれば止めてもらえるだろうか」 内容についてのお断りとお願い • ホスティング・クラウドサービスプロバイダのabuseの知見に基づき、 2019年現在の情報・実情をお話しします （ISP,CGM,SNSとは異なる・法律家ではない・whoisの専門家でもない） • Best

   Practice と言っておきながら内容複雑です 最後まで聞いて精査ください・中途でSNS等に投稿しないでほしい

3. アジェンダ • abuse窓口の探し方 • abuse連絡先が分かりにくい！ - IPアドレスwhoisの問題（１） • abuse連絡先が無い！ -

   IPアドレスwhoisの問題（２） • 自動通知機能やIPアドレスレピュテーション公開リストを 利用する方法 • abuse連絡先が間違っている！ - IPアドレスwhoisの問題（３） • プロバイダとして収集したいIPアドレスレピュテーションリスト・ブラックリスト • abuse担当者への伝え方・伝えるために必要な内容 • 連絡受領したabuse担当者がおこなっていること

4. abuse窓口の探し方

5. $ dig www.sakura.ad.jp +short 163.43.24.70 $ whois 163.43.24.70 inetnum: 163.43.0.0

   - 163.43.255.255 netname: SAKURA descr: SAKURA Internet Inc. descr: Grandfront Osaka Bldg. Tower-A 35F, 4-20, Ofukacho, Kita-ku, Osaka 530-0011 Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : [email protected] mnt-irt: IRT-JPNIC-JP mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC last-modified: 2017-07-03T10:39:37Z source: APNIC RFC2142 https://www.ietf.org/rfc/rfc2142.txt （一部抜粋） MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS アドレス 関連 役割 info@ マーケティング 製品・サービス情報の問合せ窓口 sales@ マーケティング 製品・サービス購入の問合せ窓口 support@ 顧客サービス 製品・サービスの問題問合せ窓口 webmaster@ サービス HTTP/ウェブサイト管理者連絡先 postmaster@ サービス STMP/メールサーバ管理者連絡先 hostmaster@ サービス DNS/ネームサーバ管理者連絡先 abuse@ 顧客関連 公共における不適当なふるまい abuse？

6. • RFC2124 原文 “Inappropriate public behavior” • abuseの訳語「悪用・乱用・虐待・侵害」日本語に対応する直訳語が無い • ラテン語接頭語

   “ab” + と “use” の複合語、 「use から遠い」、 “abnormal use” と考えてよい • 実質「迷惑行為の通報窓口」 こんな時に • 迷惑メールを受信した、送信元に伝えたい • 不正ログイン試行のログを確認した、送信元に伝えたい • フィッシングサイトを見つけた、サイトを閉じてもらいたい どこに何をどのように伝えたら良いか abuse とは・ 「公共における不適当なふるまい」？

7. $ dig www.sakura.ad.jp +short 163.43.24.70 • IPアドレスwhoisデータベースでIPアドレスを管理する組織名とabuse連絡先を調べる 「気づいた時点に調べる」ことも重要 abuseに連絡する方法（簡易） •

   IPアドレスを特定する • メールならばメールヘッダーを読み、同様に送信元サーバのIPアドレスを特定する $ whois 163.43.24.70 <SNIP> descr: SAKURA Internet Inc. remarks: Email address for spam or abuse complaints : [email protected] <SNIP> 以下の内容を用意（概略・他に必要な項目や詳細は後述） • 発生事象と、異常と考えた理由 • IPアドレス（+接続元ポート番号）・発生日時が分かるログやメールヘッダー全文

8. • ドメインのレジストラや、ASN(autonomous system number)所有組織宛は違う 完全な誤りではないが、最適ではない • IPアドレス管理者に連絡する • ウェブフォームがあればウェブフォームで ウェブフォームが無ければ

   abuse連絡先メールアドレスに 連絡するとどうなるか（フィッシングサイト x16? ～の場合の弊社体験談） • CO, IT, US, UK, SG, JP, どこも対応してもらえた • 日照時間でないはずなのに10分かからず返事が来たり、1週間ほどかかったり • 受付自動応答を返してその後は一切連絡ないパターン、 そもそも一切応答連絡しないパターンそれぞれある、 「返事来ない」「まだ落ちない！」焦らされる、でも待っていればテイクダウンはされた • 「そういうものだ」と考える 窓口を探す順番 ウェブサイト・サーバ管理者 → IPアドレスwhoisの組織名・abuse連絡先

9. abuse連絡先が分かりにくい！ - IPアドレスwhoisの問題 （１） RIRとNIR -

10. $ jwhois 163.43.24.70 [Querying whois.apnic.net] [whois.apnic.net] % [whois.apnic.net] % Whois

    data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '163.43.0.0 - 163.43.255.255' % Abuse contact for '163.43.0.0 - 163.43.255.255' is '[email protected]' inetnum: 163.43.0.0 - 163.43.255.255 netname: SAKURA descr: SAKURA Internet Inc. descr: Grandfront Osaka Bldg. Tower-A 35F, 4-20, Ofukacho, Kita-ku, Osaka 530-0011 Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : [email protected] <SNIP> remarks (備考) に記述されている

11. NIR National Internet Registry RIR Regional Internet Registry IPアドレスwhoisの階層構造 •

    whois DB に whoisプロトコルを用い問い合わせるコマンド ＝ whois • IPアドレス、AS、ドメインのwhois データベースはそれぞれ異なる • IPアドレス whois DB は階層構造、ドメインのwhois DBもTLD相当数ある whois と jwhois コマンドとでは挙動が違う、 設定ファイルに初期登録されていないwhois DB（特に新しいTLD）もある • 資源管理の専門家でなければ分かりにくい事情が多い • 適切な種類の whois DB に問い合わせないと、目的の情報は得られない ICANN (IANA) APNIC ARIN RACNIC AfriNIC RIPE NCC JPNIC CNNIC VNNIC … /usr/bin/whois /etc/whois.conf /usr/bin/jwhois /etc/jwhois.conf

12. abuse連絡先が無い！ - IPアドレスwhoisの問題 （２） IPアドレスの割り振りと割り当て -

13. $ jwhois 210.224.172.14 Network Information: a. [Network Number] 210.224.172.0/24 b.

    [Network Name] INFOREST g. [Organization] Inforest Co., Ltd. j. [Address] WAKO Bldg. 1F., 37-1-1 Aza-Kitatanabe, Maizuru-shi, Kyoto, 624-0855 Japan m. [Administrative Contact] KT1316JP n. [Technical Contact] KT1316JP p. [Nameserver] ns1.dns.ne.jp p. [Nameserver] ns2.dns.ne.jp y. [Reply Mail] [email protected] [Assigned Date] 1999/07/25 [Return Date] [Last Update] 2002/10/11 17:24:06(JST) Less Specific Info. ---------- SAKURA Internet Inc. [Allocation] 210.224.168.0/21 • サイバー犯罪 – 警察 – 電話文化 • 権利侵害 – 弁護士 – 書面郵送文化 組織名も住所もスカ… 困っていないのだろうか。。。 上流連絡先（例: 210.224.168.0/21）を 調べると良いが一般的知識では無い • windows に whoisコマンドは無い whoisゲートウェイサービスは 上流情報を示すだろうか？ なぜ、こうなっているのか abuse連絡先が無い！ • どこへ連絡せーっちゅーねん そもそも組織名も住所も古い！

14. (必要知識) IPアドレスの割り振りと割り当て JPNIC IP指定管理事業者 エンドサイト ・・・ 割り当て : ネットワークで 使用するための分配

    エンドサイト 割り振り : 再分配するための分配 エンドサイト 割当 (必要知識) PAアドレスとPIアドレス JPNIC IP指定管理事業者 エンドサイト ・・・ エンドサイト エンドサイト 組織内利用 割当 割当 割当 割振 組織内利用 PI PA PA PA 割振 PA(Providor Aggrigatable) アドレス: プロバイダ収集可能アドレス PI(Providor Independent) アドレス: プロバイダ非依存アドレス

15. 割り振り/割り当てとAbuse問い合わせ先 abuse 連絡先が存在するのは「割り振り情報」のみ。 「割り当て情報」が出てきたら、管理者連絡窓口又は技術連絡担当者に連絡する。 PA Address の場合、上位のIPアドレス指定管理事業者の abuse に問い合わせる手段もある。 JPNIC

    割り振り情報 割り当て情報 指定 事業者 エンド サイト PA Address PI Address [Administrative Contact] [Technical Contact] [Abuse] [管理者連絡窓口] [技術連絡担当者] [Abuse] 割り当て情報 割当 割当 abuse 割振 [Administrative Contact] [Technical Contact] [管理者連絡窓口] [技術連絡担当者] [Administrative Contact] [Technical Contact] [管理者連絡窓口] [技術連絡担当者] 先の例示jwhois結果はPAアドレスのwhois情報を示したもの 「上位であるIPアドレス割り振り元IPアドレスブロック」を指定してwhoisすればabuseが示される 「jwhoisで調べるなら上位のIPアドレスブロックを指定するか、whoisで調べてください」「えっ？」 ご安心ください、わからなくなり始めているのはあなただけではありません。

16. 正確な内容は上記URLを参照のこと・要点 • whoisに登録されたabuse連絡先が正確であるか検証する事を提案する • abuse連絡先登録の無いPIアドレスの取得組織やIP指定事業者から割当を受けた組織にも APNICのIRT Objectに相当する情報を実装することを議論したい 背景は APNIC prop-125:

    Validation of “abuse-mailbox” and other IRT emails https://www.apnic.net/community/policy/proposals/prop-125 • IRT Object の電子メールが正しいことを定期的に検証することを提案 JPOPF p036-01 JPNICにおけるWHOIS正確性向上の検証 http://www.jpopf.net/p036-01 JPOPF p036-01 は 2019/11/27 JPOPM37 にて検討の中間報告を予定 「 WHOIS正確性向上WG中間報告」http://jpopf.net/JPOPM37Program 第37回JPNICオープンポリシーミーティング(JPOPM37) 日時 2019年11月27日(水) 13:15 ～ 18:45 会場 ヒューリックホール＆ヒューリックカンファレンス 3F Room4 東京都台東区浅草橋1-22-16 参加料金 ＜無料＞（要参加申込）

17. • （ITエンジニアの常識）元々の仕様になかった事項を運用中に追加実装するのはとても 大変・めちゃくちゃにコストがかかる 「ぐちゃぐちゃになってしまっている」のは歴史的経緯があり致し方ないこと • 「何が正しいか」を問うのなら、 「whoisを調べ、権利侵害の賠償訴訟をする」事が正しいか否か自体にも違和感は残る が、whois・abuse 連絡先が無かったならばもっと困ったことになっていただろう •

    「abuse担当はいつからabuse担当だったのか」専門的に従事する人はいるが、 専門家が居る訳でもない 「そもそもwhois・abuseが担う役割は何か」 whoisの初期設計者たちが考えたwhoisの役割と、今日 whoisに要請される 役割は違ってきていると言える かつての whois に abuse は無かった abuse にも歴史的経緯がある、「迷惑行為の通報先」は正しい定義か？ しかし今日、abuse窓口内の心象として「迷惑行為の通報先」を担っている

18. 自動通知機能や IPアドレスレピュテーション公開リストを 利用する方法

19. A) abuseに連絡するのは手間だ B) abuse連絡先を探すのは大変だ A) 「典型的な攻撃」は連絡内容を テンプレート化しやすい 自動化に適する B) 連絡先確認を自動化する

    → 人が調べてもわかりにくい → 正確な宛先特定できるか？ 他の連絡方法はどうか？ 課題 解決案 公開リストに登録する方法が考えられる • IPアドレスブラックリスト IPアドレスレピュテーションリスト • URLリスト 等

20. blocklist.de https://www.blocklist.de/ を利用する場合 curl --fail --data-urlencode 'server=<email>' --data 'apikey=<apikey>’ ¥

    --data 'service=<service>' --data 'ip=<ip>' --data-urlencode 'logs=<matches>’ ¥ --data 'format=text' --user-agent "<agent>" "https://www.blocklist.de/en/httpreports.html" abuseipdb https://www.abuseipdb.com/api を利用する場合 curl --tlsv1.0 --fail 'https://api.abuseipdb.com/api/v2/report' ¥ -H 'Accept: application/json' -H 'Key: <abuseipdb_apikey>' ¥ --data-urlencode 'ip=<ip>' --data-urlencode 'comment=<matches>' ¥ --data 'categories=<abuseipdb_category>' [root@www ~]# cat /etc/centos-release CentOS Linux release 7.7.1908 (Core) [root@www ~]# rpm -qf /etc/fail2ban/action.d/blocklist_de.conf fail2ban-server-0.9.7-1.el7.noarch もっとも簡単な導入方法は、fail2ban を導入すること 希望するレピュテーション・ブラックリストプロバイダでAPIキーを取得し、fail2banのファイルに 設定することで利用できる

21. https://github.com/abusix/querycontacts • abuse連絡先を調べるオープンソーススクリプトの一例 • 誰でも利用できる • ただ問題もあり、「誰の課題でも解決できる」訳ではない （詳細後述）

22. abuse連絡先が間違っている！ - IPアドレスwhoisの問題 （3） - 収集したいIPアドレスレピュテーションリスト・ブラックリスト

23. https://urlhaus.abuse.ch/url/210525/ [email protected] に なっていない

24. https://urlhaus.abuse.ch/statistics/reactiontime/

25. https://twitter.com/i4Cn3a9eT8LmviG/status/1107660312126185477 [email protected] に なっていない

26. https://www.abusix.com/contactdb

27. $ dig www.sakura.ad.jp +short site-112800350116.gslb3.sakura.ne.jp. 163.43.24.70 $ jwhois 163.43.24.70 inetnum:

    163.43.0.0 - 163.43.255.255 netname: SAKURA descr: SAKURA Internet Inc. descr: Grandfront Osaka Bldg. Tower-A 35F, 4-20, Ofukacho, Kita-ku, Osaka 530-0011 Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints : [email protected] mnt-irt: IRT-JPNIC-JP mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC last-modified: 2017-07-03T10:39:37Z source: APNIC $ dig 70.24.43.163.abuse-contacts.abusix.zone txt +short "[email protected]" [email protected] に なっていない

28. https://ipinfo.io/abuse www.sakura.ad.jp のIP [email protected] に なっていない

29. なぜ異なるabuse連絡先が示されるのか • RIR whois と NIR whois 問題の再現 RIR(APINIC) のwhois情報元にabuse連絡先を示しており、NIR(JPNIC)whoisを参照して

    いないものと思われる • 一方、JPNIC whois には個人情報保護法等も関係して、機械的に利用し易い速度では 「参照しづらい」制約がある • とはいえ「abuse連絡先を調べることのできるサービスだよ」と謳われていて、 異なるabuse連絡先が示されるのは困る…… 無関係の誰かにabuseの連絡が届く事になる、 プロバイダにもabuseの連絡は来ない、メール送信した人の困りごとは解決しない • 正直abuseしたい…

30. • IPアドレスが示される公開リストが 多数収集されている IPアドレスが関わる情報はここから入手 • FireHOL IPList を調べ、 オリジナルのリストサイトを調べる •

    リスト形式が統一されており自動化しやすい 能動的に確認したいリスト URLが関わる情報の場合は以下がお勧め FireHOL IPList http://iplists.firehol.org/ PhishTank https://www.phishtank.com/asn_search.php URLHaus https://urlhaus.abuse.ch/feeds/ 他・SPAMHAUS CBLなど

31. abuse担当者への伝え方 担当者の背景・伝えるために必要な内容

32. abuseの{職務,分掌,責任,守備,関連}範囲 • サイバー攻撃発信源の通報受付・検知・連絡・停止対応 • 迷惑行為や犯罪的行為を目的としたサービス契約流入阻止 • 著作権・商標権・知的財産権・他、財産権侵害の苦情受付と対応 • プライバシー・名誉棄損・個人情報・他、人格権侵害の苦情受付と対応 •

    違法情報・有害情報の送信防止対応 • 送信防止措置・発信者情報開示請求・訴訟対応 • 法令に基づく照会・捜査関係事項照会・警察対応 セキュリティ、 サポート寄り わりと 法務っぽい 法務専任の 場合もある ※事業者によって分掌・担当部門だいぶ異なります。 ※さくらインターネットの場合も内部は複雑です。

33. この辺運用保守 この辺サポート abuse体制の類型 （例はさくらインターネットの場合、電気通信・IPアドレス管理指定事業者全般に似ていると思われる） • abuseの窓口はサポート部隊が面で受けている場合が多い様子ではあるが、 専任チーム・有志・リスクマネジメント・ネットワーク・法務・CSIRT、さまざま • 窓口業務は派遣・業務委託も多い、いずれの場合も社内様々な担当者が関係する •

    担当者の「本業は別にある」事も多い、担当者の上司は全員違う • abuse担当者・abuse管理者向けにはM3AAWGにも Best Practice があるので参考に “Abuse Desk Common Practices” 2007/10 https://www.m3aawg.org/sites/default/files/document/MAAWG_Abuse_Desk_Common_Practices.pdf 技術本部 管理本部 デザイン アプリケーション ミドルウェア ハードウェア 総務部 経理財務部 法務部 人事部 カスタマー リレーション本部 営業部 カスタマーエン ゲージメント部 テクニカル ソリューション部 セールス プロモーション部 カスタマーエン ゲージメント ビジネスサポート ネットセーフティ企画 ネットワーク

34. • 「いろいろな人がいるんでしょ、システム構成の知れるログを出したくないんだけど」 • 「プロバイダのマトリョーシカ」、abuse連絡先を一次プロバイダとした時、 二次プロバイダ・三次プロバイダがあったりする abuse って信用できるの？ 開示したくないんだけど 担当者はプロバイダ責任制限法・送信防止要請（情報削除依頼）を多数処理している。 「削除求められる情報」には深刻な権利侵害も含まれる。

    あなたが想像するよりも深刻な事柄を扱っているのではないか。守秘の考え方 は日頃から 自然に訓練される、信用していただいて良いのではないだろうか。 しかし「客観的に、意識してかみ砕いて伝えないと」担当者は理解できない場合ある 担当者が「あなたと同じ専門性」スキルを持っているとは限らない 注意「連絡受けたabuse担当者が連絡する先もプロバイダ」 対応に時間がかかる・返答が得られない事がある・転送同意を必要とする理由 ISP, CGM, SNS, プロバイダが取ることのできる対応はみんな違う ドメイン・AS宛にabuse連絡すると「マトリョーシカが一層増える」

35. ホスティング事業者のabuse窓口に伝える時、記載必要な事項 • 「転送に同意するか否か」の意思表明を忘れずに • 違法情報・有害情報はプロバイダではなく、IHC, SIA, 警察・管轄の公的組織に 被害に遭ったのであれば警察に セキュリティに関する異常の停止を求める場合 ウェブサイトの情報削除を求める場合

    • IPアドレス（+アクセス元ポート番号） またはURL • 発生日時（JSTか・UTCか） • 発生事象概要・わかりやすく！ • ログ・証跡 または異常を再現確認する具体的方法 異常なコードの指摘（<script> タグ等） • 正確なURL • ページ内の「削除を求める箇所」 • 削除を求める情報・正確に！ （削除を求める箇所「全文引用」が基本） • 削除を求める理由・誰の何の権利を侵害して いるのか • 私が誰で、権利侵害された人にどのような関 係があるか （本人？ 代理人弁護士？ 家族？） • 個別具体的に 上記は例であり、abuse担当者から追加の情報提供を求められる可能性がありますが、問い合わせれ ば案内をしてくれます。 逆を言えばabuse担当者も人間なので、 「削除すべきだ！」「なぜ対応しないのだ！」相手を不快に させる伝え方は賢明と言えません。

36. 2018/7/1 BUZZAP！掲載 https://buzzap.jp/news/20180702-hosyusokuhou-against-rule-sakura-internet-value-domain/

37. 窓口事例から考える担当者の悩み・それは漫画村から始まった 漫画村事件 広告倫理問題 保守速報広告停止 プロバイダに苦情！ エプソンに苦情 • 2018/4/13 インターネット上の海賊版サイトに対する緊急対策（案） https://www.kantei.go.jp/jp/singi/titeki2/180413/siryou1.pdf

    • 2018/4/17 広告配信のジーニー、 「漫画村」など不正サイトへの広告を停止したと発表 https://nlab.itmedia.co.jp/nl/articles/1804/17/news122.html 関連するニュースと日付（一例） • 2018/6/12 保守速報への広告掲載をやめたエプソン 「嫌韓、嫌中の温床」との通報がきっかけに https://www.buzzfeed.com/jp/kotahatachi/hoshusokuho • 2018/7/9 なぜ、嫌韓サイトは放置されていたのか。 「保守速報」から広告撤退、動きはほかのまとめサイトにも https://www.buzzfeed.com/jp/kotahatachi/hoshusokuho • 2018/7/2 差別垂れ流しで広告全削除の保守速報、さくらインターネット とバリュードメインの利用規約に違反していた https://buzzap.jp/news/20180702-hosyusokuhou-against-rule-sakura-internet-value- domain/

38. 1. ブランド戦略 2. 広告倫理綱領（漫画村） 3. 違法・有害情報約款モデル条項 4. 名誉棄損・プライバシー関係ガイドライン さくらインターネット・基本約款 第１６条（禁止事項）

    III. 当社もしくは第三者を差別もしくは誹謗中傷・侮辱し、当社もしくは第三者への差別を助長 し、またはその名誉もしくは信用を毀損する行為、またはこれらの恐れのある行為 苦情が殺到！ ご意見・ご感想は昔からある、しかしケタが違う。 • 「このようなサイトは閉じるべきだ！」 • 「おたく上場企業でしょう？」 • 「さくらインターネットはどのようにお考えになるのですか」 １～４の違いを誰一人考えてくれない エプソンの判断 広告企業の判断 プロバイダの約款 プロバイダの対応 このような事例はプロバイダ責任制限法「名誉棄損・プライバシー関係ガイドライン」で対応。 ガイドラインに該当する事項があり、是正がされない等の理由があれば、約款による対応に進む。

39. ※注 3/15(金) 時点において広報IPは国外CDNと確認した。 3/18(月) 問合せ殺到のためCDNに問合せ、「オリジンサーバはさくらインターネットではない」と回答を 受けた。当社にサイトは無く、削除問合せを受けても応じることが技術的に不可能であることをサポート ウェブサイトに掲示した。 （引用記事URL https://nlab.itmedia.co.jp/nl/articles/1903/18/news136.html ）

40. 破産者マップ対応の内情 • 社会は義憤に満ちた人がとても多いようだ • 日本には「山田太郎」「匿名希望」という名前の人がとても多い • URLを知らない人が多い、whoisも知らない、さくらインターネットって誰かが言ってるから さくらに苦情を言う！ • 問合せ者にIPアドレスを示した人は誰一人として居ない、みんなTwitter見て電話してくる！！

    削除要請 5% 不明 20% 意見 75% 2019/3/18 問合せ分類(N=168) メール・ウェブフォームからの問合せ数値 自身が権利侵害被害当事者と主張し、 かつ削除を求める住所氏名の指定がある → 「削除要請」5% 自身が権利侵害被害当事者と主張するが、 削除を求める箇所が不明 → 「不明」20% 第三者の意見・当事者でない → 「意見」75% 問合せからわかったこと

41. • プロバイダに編集権は無い・表現の自由の判断をプロバイダに求める恐れあり危険 悪いのは書き込んだ人 • きっとプロバイダさんには正義の味方が殺到したんだろうなぁ…… • 発信者情報開示請求・訴訟が正しいのではないか？ メディア関連事例 •••さんの事案を受け、再発防止策を講じる予定はあるかとの問いには「今後において は、改めて上記のような悪質な書き込みを行わないよう、引き続き利用者への啓蒙を行う

    とともに再発防止策を検討して参ります」と答えた。 メディアの方も正しく理解していないようだ プロバイダから説明する必要がありそうに思うが、これもabuse担当の仕事 なのだろうか… 記憶にあたらしいエピソード • MySQLの話、ダークウェブで情報が取引されていて… • 著作権の話、権利侵害の停止要請を受けたけれど… • とある掲示板の話（他社事例・他社取材対応についての記事について思うこと）

42. 連絡受領したabuse担当者が行う対応

43. • 情報に記載された日時に一致するときに、 そのIPアドレスを利用していたサービス契約者を特定し伝える • 情報に記載された内容が、現在も発信されていることを確認し、 そのホスティングサービスの契約者を特定し伝える • 「契約者を特定する」作業が実は簡単でない、様々なサービス・NW構造がある • abuse担当者自身は直接「解決」をしない。（ここ重要！

    転送同意が必要な背景） 直接解決の対応できる・できない場合それぞれあるが、「できない場合の方が多い」と理解していただいけると良い 行う対応 重要なポイント 「契約者に理解してもらう」ことが相当に大変 • 「リスクを理解しない」、対応をしない、対策もしない、担当者が居ない… • 「なぜそのようなことを言ってくるのか！」プロバイダに対して苦情を言われる、 プロバイダの発言ではない、転送通知した内容についてコメントする立場ではない • メールを読んでもらえない…メールアドレスが機能していない… 強制執行するとクレームが来る…

44. まとめ • どうにかする対策方法を考える • 自分は「誰か」の問題なのではなく、社会の問題なのだと考えている • abuseの業務では対外的な問題提起・広報・多様な意見交換が必要 ご清聴ありがとうございました。 「abuse(アビューズ)」とは、 ネットワーク上の迷惑行為またはその迷惑行為を通報する窓口を指す用語です。

    イン ターネットの普及と共に、 迷惑行為とその通報も増加・複雑化しています。 また警察等の法執行機関の窓口も兼ね ている場合も多く、 セキュリティインシデント・サイバー犯罪の最前線の一つであると言えます。 個別事案の対応にあたる事業者の現場においては、 ネットワークやセキュリティ技術・関連法規・危機管理能力・顧 客対応等多岐にわたる知識・能力・経験が求められ、 対応に生かせるリソースの不足や、 増え続ける事案の発生に 悩まされています。 また、 法令上の理由から事業者に出来る対応には一定の制約が課せられており、 そのことは現 場担当者や事業者の悩みに留まらず、 社会的な問題に繋がっていると認識しています。 本BoFでは、クラウド・ホスティング事業者、 接続事業者のAbuse担当者から、 インターネットを取り巻く脅威やイ ンシデントの動向、対応状況、 苦労している点、課題等をお話しするとともに、 会場の皆様と求められる対策につ いて情報交換、 意見交換をしたいと考えています。 多くのみなさまのご参加をお待ちしております。 Internet Week 2019 2019年11月27日(水) 19:00 ～ 20:30 B5 Abuse BoF https://www.nic.ad.jp/iw2019/program/b5/ • お話ししたのは2019年の現状 社会的に問題多く、担当者も頑張っている 年単位でアップデートあるだろう点留意