そこそこのセキュリティ ももいやすなり

Twitter @sbg Facebook ymomoi 2014-01-22 第1回 PHP勉強会＠相模原

自己紹介

!   セキュリティ関連の研究開発 !   Web 系の開発 !   ログ処理基盤 !   IPS, FW !   大規模インシデントの動向調査 !   …

!   PHP 書いたことありません！ !   PukiWiki の設定したぐらいで…

「セキュリティ」のイメージは？

!   難しい !   よくわかんない !   めんどくさい

!   はい，そのとおりです !   でも誰でもやられちゃうんです…

!   我々も…

!   だから「そこそこセキュリティ」 !   リーズナブルな対策をする

＼そこそこセキュリティ！／

今日話すこと & お願いしたいこと

!   古くて新しい「ID」と「パスワード」の話 !   Web / クラウドサービス使ってますか？ !   開発者に知って欲しいセキュリティ !   最近のセキュリティ事件

!   Web 改ざん !   インターネットバンキング不正送金 !   ホームルータ，通信デバイス，家電 !   偽セキュリティソフトウェア

!   開発者: IT リテラシーの高い人たち !   周囲の一般の人たちを導いて欲しい

古くて新しいパスワードの話

!  最近，またパスワードの話が盛り上がっています !  発端: パスワードリスト攻撃，大規模流出事件

!   ID,password の組を入手した上で別サイトを攻撃 !  流出の場合，パスワードの強度は関係ない

!   ID をメールアドレスにした弊害…？ !   ユーザはどこでも同じ ID を使いたい

Adobe の例でみると、漏洩件数のおよそ 1.5% が「123456」で、トップ 10 だけで全体の 3% を越える結果になっています。 出典「セキュリティは楽しいかね？ Part 2」 2014-01-21 記事

でも…

パスワード管理のおすすめ

!   したいこと !   パスワードは十分な長さに !   同じものを使い回さない

!   どうする？ !   そんなにたくさん覚えられないし…

!   パスワードマネージャーを使う !   長いのをひとつだけ覚えましょう !   簡単な「俺ルール」を作る

!   紙に書く !   物理セキュリティに頼りましょう パスワードのトビラ(4)

パスワードの使い回しをやめるための具体策 出典: マイナビニュース セキュリティのトビラ

余談: 良い/悪いパスワード

!   「D21$aIc;」-> !   「I love mikeneko!」-> !   「passpasspasspasspass」->

!   文字種を増やす慣習は長さ制限があったから !   覚えにくくなるのが心配なら，記号に悩むより長くするべし

!   視点を考える: 誰から守るのか？ !   攻撃者には あなたのパスワードの構成文字種は分からない !   遠隔地の攻撃者が あなたに近づくのはとても難しい

ウェブ / クラウドサービス

!   たくさん使ってますよね？ !   データ/設定バックアップ !   パスワード管理 !   IME のクラウド機能

!   誰をどこまで信用するか？ !   利便性とのトレードオフ !   サービスの継続性 !   脆弱性診断サイトなど

IME のオンライン機能利用における注意について 出典: IIJ Security Diary 2013-12-17 記事

開発者に知って欲しいセキュリティ

!   作り手に知っておいて欲しいこと (他にもたくさんあるけど…) !   定評あるものを，素直に使う

!   フレームワーク，ライブラリ !   OpenID

!   使っているもののアップデートは確認する !   識者の言うことに従う

!   まともな書籍 (徳丸本) !   IPA, OS ベンダ, セキュリティベンダ

!   不要な情報は集めない/保存しない !   使わなくなったサーバ/サービスは止める (エコ)

安全な Web アプリケーションの作り方 (徳丸本) 徳丸 浩 著 / 電子書籍版も各種あります

最近のセキュリティ事件 (1)

!   Web 改ざん !   一昨年～昨年，大流行

!   主張，見せしめ，閲覧者への攻撃 !   実利を狙った攻撃が増加

!   潜伏型 !   全てのレイヤが狙われる

!   コンテンツ，モジュール，管理画面…

!   どうしよう !   サーバ: ネットワーク的なアクセス制限

!   攻撃の大部分は海外から -> 99% 以上のアクセスを防げる !   クライアント: 狙われやすい脆弱性に気をつける (Oracle JRE, Adobe Reader)

止まらない！ Web改ざんの実態と対策 同セミナー資料より 出典: ISOG-J (日本セキュリティオペレーション事業者協議会)

Tokyo SOC から見たウェブ改ざんの実態 同セミナー資料より

最近のセキュリティ事件 (2)

!  インターネットバンキング不正送金 !  手口が高度化し，2012～ 激増中

!   海外では数年前～ !   フィッシングメール / サイトの日本語対応

!  銀行からのメールに不正サイトへのリンク !   暗証番号表，秘密の質問を聞き出す入力フォーム

!  銀行に直接確認する !   電話，Web

最近のセキュリティ事件 (3)

!   組み込み機器が実際に狙われるようになった !   ホームルータ

!   インターネット側から管理画面にアクセス !   プロクシ設定をして偽サイトへ !   DNS Amp / NTP Amp 攻撃に荷担

!   通信デバイス (スマホ，タブレット) !   ネットバンキング，高額サービス利用，端末/利用者情報詐取 !   不正アプリの巧妙化: 正規の署名，アップデートで侵入など

!   スマート家電 !   侵入され botnet 化

!   偽セキュリティソフト !   「ウイルスに感染」「ハードディスクにエラー」「PC 高速化」「ハードディスク最適化」

まとめ

!   そこそこにセキュリティ対策を！

!   パスワードは何かに覚えさせる !   寄らば大樹の陰 !   作ったものには責任を持とう !   必要ないものは集めない !   一般ニュースに出るほどの事件はチェックしよう

!   怪しいものは直接確認

!   IPA (独立行政法人 情報処理推進機構) !   @police - インターネット治安情勢 !   JPCERT/CC !   最近のパスワード話

!   マイナビニュース セキュリティのトビラ !   セキュリティは楽しいかね？ Part 2 (2014-01-21) !   #JICS2014

!   piyolog 2013-12-26 (Baidu IME と Simeji の情報送信問題についてまとめてみた) !   徳丸浩の日記 !   ISOG-J: ウェブ改ざんの実態とその対策 セミナー !   JPNIC: オープンリゾルバ(Open Resolver)に対する注意喚起

情報源