そこそこのセキュリティ 第1回 php勉強会@相模原
TRANSCRIPT
自己紹介
! セキュリティ関連の研究開発 ! Web 系の開発 ! ログ処理基盤 ! IPS, FW ! 大規模インシデントの動向調査 ! …
! PHP 書いたことありません! ! PukiWiki の設定したぐらいで…
「セキュリティ」のイメージは?
! 難しい ! よくわかんない ! めんどくさい
! はい,そのとおりです ! でも誰でもやられちゃうんです…
! 我々も…
! だから「そこそこセキュリティ」 ! リーズナブルな対策をする
\そこそこセキュリティ!/
今日話すこと & お願いしたいこと
! 古くて新しい「ID」と「パスワード」の話 ! Web / クラウドサービス使ってますか? ! 開発者に知って欲しいセキュリティ ! 最近のセキュリティ事件
! Web 改ざん ! インターネットバンキング不正送金 ! ホームルータ,通信デバイス,家電 ! 偽セキュリティソフトウェア
! 開発者: IT リテラシーの高い人たち ! 周囲の一般の人たちを導いて欲しい
古くて新しいパスワードの話
! 最近,またパスワードの話が盛り上がっています ! 発端: パスワードリスト攻撃,大規模流出事件
! ID,password の組を入手した上で別サイトを攻撃 ! 流出の場合,パスワードの強度は関係ない
! ID をメールアドレスにした弊害…? ! ユーザはどこでも同じ ID を使いたい
Adobe の例でみると、漏洩件数のおよそ 1.5% が「123456」で、トップ 10 だけで全体の 3% を越える結果になっています。 出典「セキュリティは楽しいかね? Part 2」 2014-01-21 記事
でも…
パスワード管理のおすすめ
! したいこと ! パスワードは十分な長さに ! 同じものを使い回さない
! どうする? ! そんなにたくさん覚えられないし…
! パスワードマネージャーを使う ! 長いのをひとつだけ覚えましょう ! 簡単な「俺ルール」を作る
! 紙に書く ! 物理セキュリティに頼りましょう パスワードのトビラ(4)
パスワードの使い回しをやめるための具体策 出典: マイナビニュース セキュリティのトビラ
余談: 良い/悪いパスワード
! 「D21$aIc;」-> ! 「I love mikeneko!」-> ! 「passpasspasspasspass」->
! 文字種を増やす慣習は長さ制限があったから ! 覚えにくくなるのが心配なら,記号に悩むより長くするべし
! 視点を考える: 誰から守るのか? ! 攻撃者には あなたのパスワードの構成文字種は分からない ! 遠隔地の攻撃者が あなたに近づくのはとても難しい
ウェブ / クラウドサービス
! たくさん使ってますよね? ! データ/設定バックアップ ! パスワード管理 ! IME のクラウド機能
! 誰をどこまで信用するか? ! 利便性とのトレードオフ ! サービスの継続性 ! 脆弱性診断サイトなど
IME のオンライン機能利用における注意について 出典: IIJ Security Diary 2013-12-17 記事
開発者に知って欲しいセキュリティ
! 作り手に知っておいて欲しいこと (他にもたくさんあるけど…) ! 定評あるものを,素直に使う
! フレームワーク,ライブラリ ! OpenID
! 使っているもののアップデートは確認する ! 識者の言うことに従う
! まともな書籍 (徳丸本) ! IPA, OS ベンダ, セキュリティベンダ
! 不要な情報は集めない/保存しない ! 使わなくなったサーバ/サービスは止める (エコ)
安全な Web アプリケーションの作り方 (徳丸本) 徳丸 浩 著 / 電子書籍版も各種あります
最近のセキュリティ事件 (1)
! Web 改ざん ! 一昨年~昨年,大流行
! 主張,見せしめ,閲覧者への攻撃 ! 実利を狙った攻撃が増加
! 潜伏型 ! 全てのレイヤが狙われる
! コンテンツ,モジュール,管理画面…
! どうしよう ! サーバ: ネットワーク的なアクセス制限
! 攻撃の大部分は海外から -> 99% 以上のアクセスを防げる ! クライアント: 狙われやすい脆弱性に気をつける (Oracle JRE, Adobe Reader)
止まらない! Web改ざんの実態と対策 同セミナー資料より 出典: ISOG-J (日本セキュリティオペレーション事業者協議会)
Tokyo SOC から見たウェブ改ざんの実態 同セミナー資料より
最近のセキュリティ事件 (2)
! インターネットバンキング不正送金 ! 手口が高度化し,2012~ 激増中
! 海外では数年前~ ! フィッシングメール / サイトの日本語対応
! 銀行からのメールに不正サイトへのリンク ! 暗証番号表,秘密の質問を聞き出す入力フォーム
! 銀行に直接確認する ! 電話,Web
最近のセキュリティ事件 (3)
! 組み込み機器が実際に狙われるようになった ! ホームルータ
! インターネット側から管理画面にアクセス ! プロクシ設定をして偽サイトへ ! DNS Amp / NTP Amp 攻撃に荷担
! 通信デバイス (スマホ,タブレット) ! ネットバンキング,高額サービス利用,端末/利用者情報詐取 ! 不正アプリの巧妙化: 正規の署名,アップデートで侵入など
! スマート家電 ! 侵入され botnet 化
! 偽セキュリティソフト ! 「ウイルスに感染」「ハードディスクにエラー」「PC 高速化」「ハードディスク最適化」
まとめ
! そこそこにセキュリティ対策を!
! パスワードは何かに覚えさせる ! 寄らば大樹の陰 ! 作ったものには責任を持とう ! 必要ないものは集めない ! 一般ニュースに出るほどの事件はチェックしよう
! 怪しいものは直接確認
! IPA (独立行政法人 情報処理推進機構) ! @police - インターネット治安情勢 ! JPCERT/CC ! 最近のパスワード話
! マイナビニュース セキュリティのトビラ ! セキュリティは楽しいかね? Part 2 (2014-01-21) ! #JICS2014
! piyolog 2013-12-26 (Baidu IME と Simeji の情報送信問題についてまとめてみた) ! 徳丸浩の日記 ! ISOG-J: ウェブ改ざんの実態とその対策 セミナー ! JPNIC: オープンリゾルバ(Open Resolver)に対する注意喚起
情報源