事例からみる、 - GMOペイメントゲートウェイ · なにから始めるべきか？...

Copyright © 2016 NCI Corporation. All Rights Reserved. http://www.nisshoci.co.jp/ 0Copyright © 2016 NCI Corporation. All Rights Reserved.

事例からみる、WEBサイトのセキュリティリスクとその対策

エヌシーアイ株式会社

2015年8月18日（2016年6月更新）

Copyright © 2016 NCI Corporation. All Rights Reserved. http://www.nisshoci.co.jp/ 1

闇サイトでのクレジットカード情報の売買価格

$2～$3日本にある大手カード会社の名前も複数確認･･･

出典元：東京新聞TOKYO Web2015年12月6日（共同通信社配信）


あなたの情報のお値段(2014/9時点）

クレジットカード（アメリカ国内） $1～3/件

クレジットカード（中米、オーストラリア、ヨーロッパ） $3～8/件

クレジットカード（アジア、中東） $6～10/件

銀行口座 $25～35/件

氏名、住所、年齢、性別、生年月日、電話番号 $1～2/件

Facebookアカウント $15/1,000アカウント

twitterアカウント $75/2,200アカウント

Yahoo!メール、Hotmail $8/1,000アカウント

Gmail $85/2,500アカウント

出典元：Dr.Walletナビ


さらにこんなものまで売れるんです…

卒業アルバムと同窓会名簿のお値段（2014年9月時点）

名簿の種類条件原本買取レンタル

小学校卒業アルバム現在の中学生に限る住所があるものに限る

¥5/名 ¥5/名

中学校卒業アルバム現在の高校生に限る住所があるものに限る

¥10/名 ¥10/名

同窓会名簿

H25、24年度発行 ¥10,000/冊 ¥5,000/冊

H23、22年度発行 ¥5,000/冊 ¥2,500/冊

H22、21年度発行 ¥3,000/冊 ¥1,500/冊

出典元：Dr.Walletナビ


「ビジネス」化する不正アクセス

情報化社会で戦うためには「情報」は不可欠。

つまり企業にとって「情報」は今や「価値のある商品」。

需要があるから市場が生まれる。

個人情報を売買するマーケットは、麻薬取引を凌ぐビッグビジネスへ成長。

もはや不正アクセスは、腕試しや主義主張ではなく、お金儲けの手段


広がる不正アクセスのターゲット

「ビジネス」としての不正アクセスには、チャレンジや腕試しの要素は必要ない!?

弱きを攻める手法が当たり前に。

攻撃者の行動が、着実な成果を求めて、セキュリティの弱いターゲットを選ぶ方向に変化。中小企業が新たなターゲットとしてクローズアップされる状況に。

大企業中小企業

ファイアウォール侵入検知装置

ウィルスチェック

SOCによる監視強固な社内体制

ターゲットデータ


ファイアウォールウィルスチェック

曖昧な社内体制


大企業は侵入できれば実入りは大きい

しかし、強固なセキュリティはリスクが大きい

中小企業は実入りはそこそこ

しかし、セキュリティが甘く、侵入しやすい場合が多い

× ○


もはや他人事ではありません

ウチはそんなにメジャーじゃないし、小さいから大丈夫!?

中小規模の企業でも標的型攻撃と思われるメールは確認されています！

出典元：IPA 独立行政法人情報処理推進機構発行「2014年度情報セキュリティ事象被害状況調査-報告書-」https://www.ipa.go.jp/files/000043418.pdf


広がる不正アクセスのターゲット

自社の強化だけでは足りない!? 自社には情報が無いから関係ない!?

狙われるサプライチェインやオンライン連携…A社本社

A社工場下請けB社工場

取引先C社

攻撃者は最も弱いところから

侵入する


もはや他人事ではありません～サイバー攻撃による個人情報窃取事例～

米ターゲットコーポレーションの事例（2013年12月）

ターゲット社のアクティビティ

攻撃者のアクティビティ

2013年

9月 11月12日

冷蔵機器業者を踏み台に、ターゲット社へ侵入

ターゲット社サプライチェインの一社（冷蔵機器業者）へ侵入

12月2日

データの持ち出しを開始

11月30日

セキュリティ機器にてアラート検知

12月12日

情報流出が発覚

12月15日

マルウェアの駆除を完了

ターゲット社内へのアクセスをロスト

12月15日

2014年

1月14日

7,000万件の情報流出を公表

影響範囲拡大

PCIDSS認定を取得し、強固なセキュリティを持った米ターゲット社のシステムへ、サプライチェイン経由で侵入、4,000万件ものクレジットカード情報、7,000万円の個人情報を盗み出す。

米上院議会でも取りざたされる大問題に。

データの持ち出し


「入り口」としてのWebサイト

Webサイトの機能は、様々なソフトウェアにより提供されており、それらの設定や脆弱性などの問題は、攻撃者にとって格好の標的

インターネット

セキュリティ機器（FWなど）

Webサーバ

DBサーバその他サーバ

PCなど

攻撃者

脆弱性を利用してコントロールを取得。• Webサーバ内部の情報を不正に取得。• Webサーバを経由してさらに内部に侵入。• マルウェアを埋め込み、アクセスしてき

たPCから不正に情報を取得。

不特定多数がアクセスし、複雑、高度化するWebサイトは危険がいっぱい!?

ApacheopenSSL

PHP

tomcat

java

mySQL ajax

flash

Webサイトのリスクその１

データサニタライジング

エラーハンドリングコードのバグ

HTML構造

ユーザ権限

Webサイトのリスクその2

Webサイトの構成や構造そのものも攻撃者にとって、標的となったり、不正なデータの取

得に利用できる仕組みとなりうる

WebコンテンツへのアクセスはFWを通過できる。IDPがあれば不正アクセスはブロックできるが、未知の脆弱性には対処できない（ゼロデイアタック）


やっぱり他人事ではありません

SQLインジェクション対策漏れの責任を開発会社に問う判決。X社が運営するECサイトに対し、外部からの不正アクセスにより最大7316件のクレジットカード情報が漏洩した。X社は謝罪、対応、調査等の費用、売上減少による損害等に対して、開発会社であるY社に対し、委託契約の債務不履行に基づき1億円あまりの損害賠償を請求、東京地裁に起訴。結果、原告が勝訴し、東京地裁は約2,262万円の支払いを被告に命じた。

• X社（原告）はセキュリティ対策について特に指示はしていなかった• 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制

限があった• 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった• X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果

カード情報をいったんDBに保存する仕様となった（2010年1月29日）• X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更す

ることが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた（2010年9月27日）が、その後X社は改良の指示をしなかった

• 以下の脆弱性その他が認められたシステム管理機能のIDとパスワードが admin/password であった個人情報が記載されたお問い合わせログファイルの閲覧が可能

（ディレクトリリスティングと意図しないファイル公開） SQLインジェクションクロスサイトスクリプティングログにカード情報が保存されていた DBに保存されたカード情報にはセキュリティコードも含まれていた

• クレジットカード情報が漏洩した原因は複数考えられるが、脆弱性やアクセスログ、不正利用の状況からSQLインジェクション攻撃によるものと断定

• セキュリティ対策についてX社からの指示はなかったが、Y社は必要なセキュリティ対策を講じる義務（債務）があり、それを怠った債務不履行がある

• Y社は、SQLインジェクションはカード情報とは無関係の箇所にあったので、この脆弱性が原因ではないと主張したが、裁判所はこの主張を退けた

• 損害賠償責任制限について損害賠償責任制限自体については認める契約書に明記はないが、故意あるいは重過失に起因する損害につい

ては責任制限の範囲外とする仕様書に記載はないがSQLインジェクション対策を怠ったことは重

過失であるよって今回の事案は損害賠償責任制限には該当しない

• 原告からの損害賠償請求のうち、おわびのQUOカード代や梱包発送費などの損害は全額認められたが、売上減の機会損失は6041万4833円の要求に対して、400万円のみが認められ、システム委託契約費用約2074万円に対しては、他社システムに移行後の利用料等（約27万円）のみが認められた

• Y社がカード情報をDBに保存しない方式をX社に提案したにも関わらずX社がそれを採用しなかった件をX社の過失と認め、過失相殺3割が認定された

• 瑕疵担保期間(1年)を超えていたが、瑕疵担保期間はあくまで無償補修の期間を定めたもので、損害賠償請求権の期間制限を定めたものではないので、損害賠償請求は有効（2015/1/22 22:30追記）

• 結果、3131万9568円の損害を認定し、その3割を控除して、2262万3697円の損害賠償をY社に命じた

本件のポイント東京地裁の判決

出典元：徳丸浩氏ブログ 2015年1月22日付「徳丸浩の日記」より許諾を得て転載


ではどうしたら良いのか？

なにから始めるべきか？

たくさんのセキュリティ技術、サービス、どれを選べばよい？

まずは平均点を上げる定期的な健康診断有事への備え

効果的なセキュリティ対策の３つのポイント

攻撃者は、必ず最も弱いポイントを突いてきます。したがって、一部分だけ最先端の対策を行っても意味はありません。

ある項目だけで100点を目指すより、すべてに平均点を取るアプローチのほうが効果的です。

構築時に最新であったものも、必ず時間の経過とともに陳腐化します。特にソフトウェアの脆弱性は日々新たなものが発見され、状況は常に変化します。

新たに顕在化したリスクがないか、定期的に把握することが重要です。

残念ながら、どれだけお金をかけても、完璧なセキュリティ対策を実現することは不可能です。

常に事故は起こりうることを念頭に、緊急時の行動や判断基準などを定め、訓練などを通じて有事に対して備えることが重要です。

基本的な事項を確実に実施

複数の手段を用意

リスクを正しく認識

早期発見・早期対応

モニタリング

リスクを正しく認識

定期的な訓練の実施

モニタリング

リスクを正しく認識リスクを正しく認識リスクを正しく認識リスクを正しく認識


最初の一歩としての脆弱性診断

インターネットで、不特定多数のアクセスにさらされるWebシステム。

このシステムのリスクを正しく認識することは、効果的なセキュリティ対策の第一歩。

修正及び設定変更作業

Webアプリケーション

脆弱性診断

サービスイン運用

Webシステムの開発・実装工程

検査工程

テスト環境構築

判定結果ランクE

本番環境構築

判定結果ランクA

NWインフラ脆弱性診断


Web、NW

脆弱性診断

修正後再検査

新たなリスクの有無を把握


不合格

合格




修正後再検査

不合格

合格


リスク有り

リスクなし

修正後再検査

運用継続

Webアプリケーション開発工程にて脆弱性や構造の問題などを認識、対策

本番環境のリリース前に、システムの脆弱性を確認

サービスイン後は定期検査によって新たなリスクの発生を確認


診断精度のものさしとしてのPCI DSS

一口に脆弱性診断といってもいろいろなサービスがある。それぞれは何が違うのか？どれを選べばよいのか？

脆弱性診断の２つのポイント

診断範囲診断精度

システムを構成するOSやアプリケーションが漏れなく診断対象とされなければなりません。

ロードバランサなどが用いられた複雑な構成のシステムや、PINGに応答しないシステムであっても、すべてのサーバ、機器が診断対象として認識される必要があります。

標準外の通信ポートを使用しているアプリケーションやカスタマイズされたOSなどに対しても、正しく種別を認識し、脆弱性や設定上の問題の有無を検査できる必要があります。

PCI DSSでは、要件11で定期的な脆弱性検査の実施を規定。脆弱性検査についても、ASV(Approved Scanning Vendor) Programを設け、検査機関の診断範囲や診断制度に、一定以上の基準を定めている。

Copyright © 2016 NCI Corporation. All Rights Reserved. http://www.nisshoci.co.jp/ 14Copyright © 2016 NCI Corporation. All Rights Reserved.

当社および当社サービスのご紹介


［社名］エヌシーアイ株式会社【英文：NCI Corporation】

NCIとは『Nissho Cloud Initiative』の略

［事業内容］情報セキュリティ事業／システムマネジメント事業

クラウドサービス事業／データセンター事業／ネットワーク事業

［設立］ 1997年1月9日

［資本金］ 100,000千円（2016年3月末現在）

［株主］双日グループ日商エレクトロニクス株式会社 100%

［取得資格］届出電気通信事業者届出番号：A-24-12916

特定労働者派遣事業受理番号：特13-309769

ISO/IEC 27001:2013 / JIS Q 27001:2014

［従業員数］ 161名（内エンジニア 125名、2016年3月31日現在）

［所在地］〒102-0084 東京都千代田区二番町3-5麹町三葉ビル7F

［代表者］代表取締役社長橋本晃秀(ハシモトテルヒデ)

［URL］ http://www.nisshoci.co.jp

会社概要


システム運用・監視サービスサーバ、ネットワーク機器の監視や、システム全体の運用など、24時間365日体制でお客さまの環境をトータルサポートいたします。

セキュリティサービスサイバー攻撃対策をはじめ、ネットワークやシステムの脆弱性診断サービス、セキュリティ認証サービスをご提供しております。

プライベートクラウドサービスマルチデータセンター対応、システム全体の完全冗長化を実装。オンプレミス環境との連携、他社クラウド環境との統合管理も実現可能な完全ハイブリッド対応のプライベートクラウドサービスです。

ネットワークサービス当社の石狩・横浜・大阪のデータセンター間を結ぶ10Gbps冗長回線と、主要都市にアクセスポイントを持つ広域L2網を組み合せた大容量で柔軟なネットワークサービスです。

データセンターサービス石狩・横浜・大阪の3拠点を大容量L2回線で接続したマルチロケーション対応。用途に合わせ、ロケーションやラックサイズの選択が可能です。

クラウドアライアンスサービスWAFサービスや、企業内で安心・安全にご利用いただけるファイル共有サービスなど、当社がアライアンス企業さまと提携してご提供しているサービスです。

サービスラインナップ


脆弱性診断サービスマップ

OS、ネットワーク、ミドルウェア Webアプリケーション

ツール診断

手動診断

WebSiteScan Pro【手動】脆弱性診断サービススポットプラン・年間プラン

WebSiteScan【ツール】Webアプリケーション脆弱性診断サービス

スポットプラン・月間プラン

SiteScan 2.0【ツール】インフラ脆弱性診断サービス

スポットプラン・月間プラン

• 大量の個人情報を持っている。• より詳細な診断を行いたい。

• サイト数、ページ数が多すぎて診断コストがかかりすぎる。

• サイトが頻繁に更新されて診断しきれない。

• まずは短期間でサイトの脆弱性の有無だけでも診断したい。

• OSやミドルウェアのバージョン管理が大変。

• ネットワークの脆弱性が心配。


SiteScan 2.0

脆弱性情報データベース

検査項目数約20,000件詳細なバージョンチェックが可能であり、誤検知が少ないエンジン

業界標準規格準拠状況

CVSS/CVE準拠業界標準に対応

評価基準/段階 CVSSによる3段階評価高中低の3段階評価

対策状況管理前回のスキャン結果との比較が可能な差分レポート機能

対策結果の反映が可能

レポート取得方法お客様管理画面よりダウンロード

セキュリティ業界標準であるCVSS/CVEに準拠した評価基準により、自社のシステムへ施されたセキュリティ対策が一般的にどのレベルをクリアしているのか、また、セキュリティ対策において必要な対策を明確にします。

アタック方法は日々変化していきます。本サービスでは約4,800件の診断項目を保有し、検査対象ごとにセキュリティリスクを検証していきます。また個々に発見された脆弱性に対しての評価を「高・中・低」と分類、影響を記載したレポートを提示するため、優先順位を付けて対策を実施していくことが可能となります。

脆弱性への対策を実施した結果を前回の結果との差分をレポートにて提示いたします。たとえば、前回の検査では発見されなかったが、最新の検査結果では発見されたケースではその期間中に実施した設定変更による影響を把握・検証できるなど、自社へのセキュリティ対策に関するノウハウを蓄積していくことが可能となります。

特長

１

特長

２

特長

３

脆弱性評価基準 CVSS/CVE 準拠の脆弱性診断

詳細な脆弱性レポート

前回のスキャン結果と比較できる差分レポート


お客様システムお客様ご担当者

エヌシーアイ監視センタ内SiteScanエンジン


WebSiteScan

脆弱性情報データベース


お客様システムお客様ご担当者

エヌシーアイ監視センタ内WebSiteScanエンジン

診断範囲トップURLよりクロール（巡回）可能なページ全て

診断回数有効期限1年間のチケット制

コンテンツ更新時など、オンデマンド診断が可能Webにて提供される管理ツールの利用により、診断日を任意で設定可能。利用したいタイミングでタイムリーに診断できます。SaaS形式でのご提供の為、初期ハードウェア、ソフトウェアの購入は不要です。

充実したサポートメニュー必要に応じてセキュリティコンサルタントによる報告会の実施など、充実したサポート体制をご用意しています。

高性能なWebアプリケーション診断従来のローエンドモデルでは提供が難しいID/パスワード認証後の診断も可能です。

ネットワーク・サーバ負荷低減機能により、システムに与える心配を軽減できます。

特長

１

特長

２

特長

３

診断項目：

・クロスサイトスクリプティング・ SQLインジェクション

・強制ブラウジング・ディレクトリトラバーサル

・コマンドインジェクション・ HTTPレスポンス分割

・ Cookie管理の不備・エラーメッセージの検出

・製品情報の検出・内部情報の検出

・クロスサイトリクエストフォージェリ (CSRF)


WebSiteScan Pro

陣段実施前ヒアリング

診断内容事前確認

診断実施

リスク分析リスク確認

信頼性の高い脆弱性診断

本サービスは、可能な限り実際に起こるアクセスに近い状態で検査を行うため、検査対象となるWebアプリケーションの情報収集を徹底して行い、検査時におけるリスクを把握した上で診断を実施いたします。システムリリース前の最終確認や、現在運用中のWebアプリケーションにも安心してご利用いただけます。

事前ヒアリングで得た情報を元に、検査時に発生しうるリスクを分析します。

検証結果を検査手順書に整理することで、実際の検査時の問題を未然に防ぎます。

特長

１

特長

２

理想的なWebアプリケーション脆弱性検査は、実際にユーザがアクセスする場合と同じ環境で検査をすることが重要ですが、運用中のECサイトなどでは商品購入や登録確認メールの配信などが発生するため、すべての機能の検査が出来ず、脆弱性が潜在し続ける場合があります。


WebSiteScan Pro

認証ログイン、その他

セッション管理 Cookieの取り扱い、セッションID、クロスサイトリクエストフォージェリ

入出力処理 SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、OSコマンドインジェクション、改行インジェクション、リンクインジェクション、パラメータ推測、HTTPレスポンス分割、SSIインジェクション、オープンリダイレクト、リクエスト改竄、その他

画面遷移重度の更新、権限昇格

ユーザ履歴、パスワード

暗号通信の暗号化

ロジック流出バックドアとデバッグオプション、エラー処理、情報公開、コメント

メールスパムメール

画面設計不適切な画面設計、ユーザへの説明

一般的な脆弱性既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング、ファイルダウンロード・アップロードの問題

Webサーバ設定システム情報の開示、不要なメソッド、ディレクトリ存在の確認、サーバエラーメッセージ

・ホストのスキャン・悪意あるソフトウェア・ネットワーク機器の脆弱性

・Webサーバの脆弱性・ネットワークサービスの脆弱性・各種OSの脆弱性・その他ホスト全体の調査

ネットワーク診断

Webアプリケーション手動診断


サービス組み合わせご利用例

システム構築時、開発環境にてWebアプリケーション診断を行います。発見された脆弱性を修正することでセキュリティの高いサービスの提供が可能になります。

本番環境構築後「SiteScan2.0」によるOS/ネットワーク診断を実施し、サーバの設定ミスの有無を確認します。またサービスイン後も定期的にモニタリングを行うことで、常に高いセキュリティを維持します。

＊詳細はお問い合わせください。


WebSiteScan Pro

サービスイン運用

Webシステムの開発・実装工程

検査工程

テスト環境構築


本番環境構築


SiteScan 2.0


WebSiteScan

SiteScan 2.0

修正後再検査

新たなリスクの有無を把握


不合格

合格




修正後再検査

不合格

合格


リスク有り

リスクなし

修正後再検査

運用継続


サービスメニュー

SiteScan2.0 WebSiteScan WebSiteScan Pro

診断方法

手動診断 × × ○

ツール診断 ○ ○ ○

ログイン後の脆弱性診断 × ○ ○

レポート

脆弱性の説明と発生箇所

○ ○ ○

脆弱性発見の詳細手順 × △ ○

レポート作成期間

即時即時速報版 3日以内最終版 10日以内

報告会の実施 × ○ (オプション) ○ (オプション)

診断項目

ポートスキャンOS・アプリケーション

(Apache/IISなど)

クロスサイトスクリプティングSQLインジェクション

ディレクトリトラバーサルコマンドインジェクション

強制ブラウジング

クロスサイトスクリプティングSQLインジェクションバッファオーバーフローセッション管理系診断

など

診断対象例公開サーバ全般

自社サイト、キャンペーンサイトなど

ショッピングサイトなどの個人情報を大量に扱うサイト


電話：0120-796-140 お問合せフォーム：https://www.nisshoci.co.jp/contact/

URL：http://www.nisshoci.co.jp/

住所：東京都千代田区二番町3-5 麹町三葉ビル 7F

事例からみる、 - GMOペイメントゲートウェイ · なにから始めるべきか？...

Documents

Transcript of 事例からみる、 - GMOペイメントゲートウェイ · なにから始めるべきか？...