セキュリティはじめのいっぽ #cmujp
-
Upload
tama200x-kobayashi -
Category
Technology
-
view
1.080 -
download
1
Transcript of セキュリティはじめのいっぽ #cmujp
セキュリティ、はじめのいっぽ~第5回Creators MeetUp~
2013/6/22
こばやし たけし (@tama200x)
自己紹介
• こばやし たけし• 会社員してます昔はインフラエンジニアしてましたYAMAHAのルータが大好きです
• Twitter @tama200xFacebook tama200x
初音ミク×Tカード
初音ミク×Tカード
「Tサイトから住所・氏名・電話番号の漏洩の可能性」については以下を参照高木浩光@自宅の日記 - 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記(4月1日)訂正あり
http://takagi-hiromitsu.jp/diary/20130330.html
4月以降に改竄されたWebサイト
Webサイトの改竄の傾向
• 今年4月以降に約1000件以上発生(6/7現在)• サイトが書き換えられ、攻撃ツールが設置されたサイトへ誘導される
• FTP/SSHのアカウント情報を搾取されている可能性あり
2010年 Gumblar以来の発生頻度
不正侵入されたWebサービス
不正侵入の傾向
• 既知の脆弱性やSQLインジェクションが原因
• 最も多いのは「ID/PWの不正利用による侵入」(11件)
不正侵入の傾向発生日 サイト 原因 影響
2013/03/06 JINSオンラインショップ Struts 2の脆弱性 最大2059件のカード情報漏えい
2013/03/22 一休.com ID不正利用によるログイン 不明
2013/03/26 Tサイト ID不正利用によるログイン 299件のTポイントが盗難
2013/04/01 eBookJapan ID不正利用によるログイン 799件の不正ログイン
2013/04/02 Yahoo! Japan 不正侵入? ID/PW/秘密の質問 持ちだそうとした可能性
2013/04/02 Goo ID不正利用によるログイン 約11万件の不正なログイン
2013/04/04 フレッツ光メンバーズクラブ ID不正利用によるログイン 個人情報107件が閲覧
2013/04/19 My JR-EAST ID不正利用によるログイン 個人情報97件が閲覧
2013/04/23 エクスコムグローバル SQLインジェクション 最大10万件のカード情報漏えい
2013/04/24 ハピネット・オンライン ID不正利用によるログイン 9606回の不正ログイン、カード情報の漏洩
2013/05/08 ディノスオンラインショップ ID不正利用によるログイン 個人情報約23件が閲覧
2013/05/15 三越オンラインショッピング ID不正利用によるログイン 個人情報約8289件が閲覧
2013/05/16 Yahoo! Japan 不正侵入? 2200万ID分のID/PW/秘密の質問が漏洩
2013/05/21 イード「インサイド」 ID不正利用によるログイン 個人情報約2515件が閲覧
2013/05/13 阪急・阪神オンラインショッピング ID不正利用によるログイン 個人情報約2382件、カード情報約1360件の閲覧
ID/PWの不正利用
• 以前は管理者アカウントを狙い、辞書による総当り攻撃が多かった
• 今年になってから、他のサイトから流出したID/PWを使用した攻撃が頻発
WordPressを標的とした攻撃
• 今年4月より頻発• adminアカウントを標的に辞書攻撃が主流
攻撃の現状
• 脆弱性をつく攻撃• SQLインジェクション• 既知の脆弱性• 新しい攻撃• 他サイトのID/PWを利用した攻撃• WordPressを狙う攻撃
情報セキュリティとは?
• 機密性 (confidentiality)アクセスを認められた者だけに、アクセスできる状態を確保すること
• 完全性 (integrity) 改ざん、消去されていない状態を確保すること
• 可用性 (availability)アクセスを認められた者が、必要時に中断することなくアクセスできること
事故と情報セキュリティ
• JINSオンラインショップ• Tサイト• TOYOTA Webサイト
JINSオンラインショップ
• 状況Struts 2の脆弱性をつかれて侵入され、カード情報を含む情報が漏洩した
• 機密性 → ☓不正に侵入され第三者がカード情報を入手してしまった
• 完全性 → ?改ざん、消去された可能性も想定される
• 可用性 → ☓対応のためオンラインショップを停止
Tサイト
• 状況不正使用されたID/PWでログインを許し、Tポイントの交換が行われた
• 機密性 → ☓不正に入手したID/PWでログインされた
• 完全性 → ☓Tポイントが盗難された
• 可用性 → △被害者は一時、Tポイントの使用ができなかった
TOYOTA Webサイト
• 状況Webサイトに不正侵入され、サイトが改竄された
• 機密性 → ☓不正侵入された可能性が高い
• 完全性 → ☓Webサイトの内容が改竄された
• 可用性 → ☓該当サイトの停止
対策の考え方
•防御•記録•検知
•復旧•データの保管
防御は重要
万一侵入された時にも原因調査と、サービス再開の方策を予め準備する
防御 (1)
• 自宅ではどのように守っていますか?• オートロック• 鍵を複数設置• 見つかりにくいところに保管
Webも同様複数の防衛手段を組み合わせる
防御 (2)
• サーバレベルでの防御• OSのセキュリティパッチの適応• 稼働させるサービス(デーモン)を最小限に• 管理ユーザーは暗号化されていないプロトコルで接続しない
• アカウント管理• パスワードポリシー、パスワードの定期的な変更• 証明書の使用
防御 (3)
• サーバーアプリケーションレベルでの防御• セキュリティパッチの適応• IP制限• ユーザーアプリケーションレベルでの防御• セキュアなコーディング• 定期的なセキュリティ診断• WAF(Web Application Firewall)
防御 (4)
• ネットワークレベルでの防御• プロトコル制限、IP制限
• データ・ソースレベルの防御• 暗号化、難読化
記録 (1)
• 報告、原因調査、対策のために記録を残す• 「いつ、 どうやって、どこから 、なにを」• 記録が改竄されない仕組み
☆ 課題 ☆自分がやっていない記録はどのようにとるか?
記録 (2)
• 保存する記録の例• FTP/SSHのログインログ• FTPの読み書きログ• サーバーアプリケーションのログ(Webサーバなど)
• ユーザーアプリケーションのログ
検知 (1)
• 被害にあう前に、 検知→遮断できるのが望ましい
• 被害が拡大する前に検知する
• 利用者から指摘されて発覚は避けたい
検知 (2)
• IDS(Intrusion Detection System)• 改竄検知ソフトウェア(Tripwireなど)• WAF(Web Application Firewall)• ユーザーアプリケーションレベルでの検知
復旧
• バックアップ• 保存先は別の筐体/媒体に• 世代管理の重要性• バージョン管理ソフトウェア
データの保管
• そのデータ本当に必要ですか?
• 事例:エクスコムグローバル• 本来保存してはならない「セキュリティコード」を保管していた
• 決済終了後も長期間保管していた• 結果として2011/3/7~2013/4/23まで約2年分のデータが漏洩=約10万件
参考資料
• 外見上変化のないウェブサイト改ざん事案の多発について [PDF: 約134KB] 警察庁@policehttp://www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf
• Web サイト改ざんに関する注意喚起 JPCERT/CChttp://www.jpcert.or.jp/at/2013/at130027.html
• 「 ウェブサイトが改ざんされないように対策を! 」 IPAセキュリティセンターhttps://www.ipa.go.jp/security/txt/2013/06outline.html
• 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyologhttp://d.hatena.ne.jp/Kango/20130604/1370353242
「まずは、最新OSを導入し、ファイアウォールをきちんと設定して、むやみやたらに公開サービスを動作させないこと。また、無償の適当なセキュリティ製品は使わない。結局セキュリティ対策は基本が重要ということだ。」
@IT「基本に勝る防御なし:直撃取材! 「たて」の裏側」http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html
おまけ
CMS管理画面
• GoogleにはCMSの管理画面URLがインデックスされているΣ(゚Д゚;
MT約8千件
WordPress約191万件
robots.txt
• robots.txtから管理画面URLが推測される
ありがとうございました!