はじめに
組織は内部ユーザによる著作権侵害に対して責任を負います。組織のネットワーク内で著作権侵害が発生していると連絡を受けた場合、そのインシデントに対応してフォレンジック調査を行わなければならず、損害に対する責任も取らなければなりません。本ドキュメントは Stealthwatch の Copyright Infringement(著作権侵害調査ツール)を使用して著作権侵害をしているホストを調査する方法について説明します。Stealthwatch バージョン 6.8 を使用して作成されていますので、スクリーンショットはバージョン 6.8 の画面となっています。そのため、新しいバージョンとは画面遷移や機能に差異がある場合があります。
ソリューション
Copyright Infringement ツールは Cisco Stealthwatch Management Console (SMC) Web User Interface (UI) に実装されているツールであり、著作権侵害のホストを特定し、フォレンジック調査とインシデントレスポンスを容易にします。Cisco Identity Service Engine (ISE) と連携している場合、著作権侵害をしているユーザ情報が ISE から提供されるため、インシデントレスポンスの速度が早くなります。
最小要件
Cisco Stealthwatch システム構成の最小要件は以下の通りです。
- Core/Distribution レイヤから全てのホスト間通信が見えること。
- Cisco Identity Service Engine と連携していてユーザ情報が提供されること。
- Stealthwatch バージョン 6.8 またはそれ以降を使用していること。
Copyright Infringement ツールを使用する
組織に以下のような著作権侵害に関する通知が届いたため、調査を行う必要があるとします。
拝啓
この通知は、主なインターネットサービスのアカウント所有者のみを対象としています。このアカウントを使用している者が、著作権で保護された音楽の違法コピーおよび/または配布に従事しています。Copyright Enforcement Group, LLC, (Copyright Enforcement Group, LLC, ("私たち")はアーティストを代表しています。アーティストは、以下に記載されている登録著作権の全ての権利、権原及び利益を所有しています。
証拠:
侵害タイトル:TAYLOR SWIFT - 1989
侵害ファイル名:Taylor Swift - 1989 (Deluxe Edition) [Full Album] 320kbps [n00b].rar
侵害ハッシュ:6D0313EZ9F8A0XX1F6A3300FE53DD0CE8459CA24
侵害ファイルサイズ:62 MB
侵害プロトコル:BitTorrent
侵害タイムスタンプ:201X-XX-XX 08:19:00 North American Eastern Time
侵害IPアドレス:209.X.X.X
侵害ポート:51678
あなたの不正なコピーや配布は、米国著作権法(17 U.S.C. 106)に基づくアーティストの登録著作権を侵害していることをここに通知します。この点に関して、あなたとこのアカウントを使用しているすべての人は、この通知に記載されているか、またはアーティストが所有する登録著作権の不正コピーおよび/または配布を直ちに永久に停止し、停止するように要求されます。
どうぞよろしくお願いします。
Copyright Enforcement Agent
Copyright Enforcement Group, LLC
Security Insight Dashboard にて、"Analyze" タブをクリックして "Copyright Infringement" を選択します。
受け取った著作権侵害通知で報告されている情報を入力して "Search" をクリックします。
検索結果が表示されます。以下の情報が重要です。
- 内部ホストIP
- ポート番号
- プロトコル
- NAT IP
- 時刻
さらに調査するために、Actions カラムの (…) マークをクリックして "Flows" を選択します。検索条件がセットされ、自動的に検索が実行されます。
フロー検索結果の画面が表示されます。さらに情報を入手するために、該当フローの一番左の三角矢印をクリックします。
ペイロード、送受信したデータ量(バイト)などの詳細が表示されます。
もし ISE と連携しているのであれば、対象フローに関連しているユーザ情報を表示することができます。デフォルトでは表示されませんので、カラムに "Subject User" を追加する必要があります。検索結果に Subject User カラムを追加するには、"Manage Columns" をクリックします。
"Flow Table Columns" メニューが表示されますので、"Subject" タブをクリックして、"Subject User" のチェックボックスにチェックを入れて "Set" をクリックします。
先ほどのフロー検索結果に "SUBJECT USER" カラムが追加され、今回の著作権侵害に関わっているユーザ情報が表示されます。
ネットワーク運用チームはこの調査結果を使って報告書をまとめ、今回のインシデントが引き起こした損害を軽減させます。