セキュリティ、はじめのいっぽ~第5回Creators MeetUp~

2013/6/22

こばやし たけし (@tama200x)

自己紹介

• こばやし　たけし• 会社員してます昔はインフラエンジニアしてましたYAMAHAのルータが大好きです

• Twitter @tama200xFacebook tama200x

初音ミク×Tカード

初音ミク×Tカード

「Tサイトから住所・氏名・電話番号の漏洩の可能性」については以下を参照高木浩光＠自宅の日記 - 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記（4月1日）訂正あり

http://takagi-hiromitsu.jp/diary/20130330.html

4月以降に改竄されたWebサイト

Webサイトの改竄の傾向

• 今年4月以降に約1000件以上発生(6/7現在)• サイトが書き換えられ、攻撃ツールが設置されたサイトへ誘導される

• FTP/SSHのアカウント情報を搾取されている可能性あり

2010年 Gumblar以来の発生頻度

不正侵入されたWebサービス

不正侵入の傾向

• 既知の脆弱性やSQLインジェクションが原因

• 最も多いのは「ID/PWの不正利用による侵入」(11件)

不正侵入の傾向発生日 サイト 原因 影響

2013/03/06 JINSオンラインショップ Struts 2の脆弱性 最大2059件のカード情報漏えい

2013/03/22 一休.com ID不正利用によるログイン 不明

2013/03/26 Tサイト ID不正利用によるログイン 299件のTポイントが盗難

2013/04/01 eBookJapan ID不正利用によるログイン 799件の不正ログイン

2013/04/02 Yahoo! Japan 不正侵入？ ID/PW/秘密の質問　持ちだそうとした可能性

2013/04/02 Goo ID不正利用によるログイン 約11万件の不正なログイン

2013/04/04 フレッツ光メンバーズクラブ ID不正利用によるログイン 個人情報107件が閲覧

2013/04/19 My JR-EAST ID不正利用によるログイン 個人情報97件が閲覧

2013/04/23 エクスコムグローバル SQLインジェクション 最大10万件のカード情報漏えい

2013/04/24 ハピネット・オンライン ID不正利用によるログイン 9606回の不正ログイン、カード情報の漏洩

2013/05/08 ディノスオンラインショップ ID不正利用によるログイン 個人情報約23件が閲覧

2013/05/15 三越オンラインショッピング ID不正利用によるログイン 個人情報約8289件が閲覧

2013/05/16 Yahoo! Japan 不正侵入？ 2200万ID分のID/PW/秘密の質問が漏洩

2013/05/21 イード「インサイド」 ID不正利用によるログイン 個人情報約2515件が閲覧

2013/05/13 阪急・阪神オンラインショッピング ID不正利用によるログイン 個人情報約2382件、カード情報約1360件の閲覧

ID/PWの不正利用

• 以前は管理者アカウントを狙い、辞書による総当り攻撃が多かった

• 今年になってから、他のサイトから流出したID/PWを使用した攻撃が頻発

WordPressを標的とした攻撃

• 今年4月より頻発• adminアカウントを標的に辞書攻撃が主流

攻撃の現状

• 脆弱性をつく攻撃• SQLインジェクション• 既知の脆弱性• 新しい攻撃• 他サイトのID/PWを利用した攻撃• WordPressを狙う攻撃

情報セキュリティとは？

• 機密性 (confidentiality)アクセスを認められた者だけに、アクセスできる状態を確保すること

• 完全性 (integrity)　改ざん、消去されていない状態を確保すること

• 可用性 (availability)アクセスを認められた者が、必要時に中断することなくアクセスできること

事故と情報セキュリティ

• JINSオンラインショップ• Tサイト• TOYOTA Webサイト

JINSオンラインショップ

• 状況Struts 2の脆弱性をつかれて侵入され、カード情報を含む情報が漏洩した

• 機密性　→　☓不正に侵入され第三者がカード情報を入手してしまった

• 完全性　→　？改ざん、消去された可能性も想定される

• 可用性　→　☓対応のためオンラインショップを停止

Tサイト

• 状況不正使用されたID/PWでログインを許し、Tポイントの交換が行われた

• 機密性　→　☓不正に入手したID/PWでログインされた

• 完全性　→　☓Tポイントが盗難された

• 可用性　→　△被害者は一時、Tポイントの使用ができなかった

TOYOTA Webサイト

• 状況Webサイトに不正侵入され、サイトが改竄された

• 機密性　→　☓不正侵入された可能性が高い

• 完全性　→　☓Webサイトの内容が改竄された

• 可用性　→　☓該当サイトの停止

対策の考え方

•防御•記録•検知

•復旧•データの保管

防御は重要

万一侵入された時にも原因調査と、サービス再開の方策を予め準備する

防御 (1)

• 自宅ではどのように守っていますか？• オートロック• 鍵を複数設置• 見つかりにくいところに保管

Webも同様複数の防衛手段を組み合わせる

防御 (2)

• サーバレベルでの防御• OSのセキュリティパッチの適応• 稼働させるサービス(デーモン)を最小限に• 管理ユーザーは暗号化されていないプロトコルで接続しない

• アカウント管理• パスワードポリシー、パスワードの定期的な変更• 証明書の使用

防御 (3)

• サーバーアプリケーションレベルでの防御• セキュリティパッチの適応• IP制限• ユーザーアプリケーションレベルでの防御• セキュアなコーディング• 定期的なセキュリティ診断• WAF(Web Application Firewall)

防御 (4)

• ネットワークレベルでの防御• プロトコル制限、IP制限

• データ・ソースレベルの防御• 暗号化、難読化

記録 (1)

• 報告、原因調査、対策のために記録を残す• 「いつ、 どうやって、どこから 、なにを」• 記録が改竄されない仕組み

☆ 課題 ☆自分がやっていない記録はどのようにとるか？

記録 (2)

• 保存する記録の例• FTP/SSHのログインログ• FTPの読み書きログ• サーバーアプリケーションのログ（Webサーバなど）

• ユーザーアプリケーションのログ

検知 (1)

• 被害にあう前に、　　　検知→遮断できるのが望ましい

• 被害が拡大する前に検知する

• 利用者から指摘されて発覚は避けたい

検知 (2)

• IDS(Intrusion Detection System)• 改竄検知ソフトウェア(Tripwireなど)• WAF(Web Application Firewall)• ユーザーアプリケーションレベルでの検知

復旧

• バックアップ• 保存先は別の筐体/媒体に• 世代管理の重要性• バージョン管理ソフトウェア

データの保管

• そのデータ本当に必要ですか？

• 事例：エクスコムグローバル• 本来保存してはならない「セキュリティコード」を保管していた

• 決済終了後も長期間保管していた• 結果として2011/3/7～2013/4/23まで約2年分のデータが漏洩＝約10万件

参考資料

• 外見上変化のないウェブサイト改ざん事案の多発について [PDF: 約134KB]　警察庁@policehttp://www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf

• Web サイト改ざんに関する注意喚起　JPCERT/CChttp://www.jpcert.or.jp/at/2013/at130027.html

• 「 ウェブサイトが改ざんされないように対策を！ 」 IPAセキュリティセンターhttps://www.ipa.go.jp/security/txt/2013/06outline.html

• 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyologhttp://d.hatena.ne.jp/Kango/20130604/1370353242

「まずは、最新OSを導入し、ファイアウォールをきちんと設定して、むやみやたらに公開サービスを動作させないこと。また、無償の適当なセキュリティ製品は使わない。結局セキュリティ対策は基本が重要ということだ。」

@IT「基本に勝る防御なし：直撃取材！ 「たて」の裏側」http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html

おまけ

CMS管理画面

• GoogleにはCMSの管理画面URLがインデックスされているΣ(ﾟДﾟ；

MT約8千件

WordPress約191万件

robots.txt

• robots.txtから管理画面URLが推測される

ありがとうございました！