20131205 大阪 web制作者向け...
TRANSCRIPT
Copyright Secure Your Site. All rights reserved.
最近のWebサイト攻撃事例とキホン対策
境 稔
Copyright Secure Your Site. Some rights reserved.
境 稔
普段やっているお仕事
SOC / CSIRT運用
脆弱性診断
診断手法トレーニング
お仕事以外
Certified Information Systems Security Professional
OWASP Zed Attack Proxy 運用マニュアル 監修
https://www.facebook.com/minor.sakai
2
自己紹介
Copyright Secure Your Site. Some rights reserved.
1. 最近のWebサイト攻撃トレンドと事例
❯ 最近の傾向
❯ 事例1 パスワードリストアタック
❯ 事例2 SQLインジェクション
Demo SQL Injectionを利用した情報の窃取
2. キホン対策
❯ セキュリティ要件の決定
❯ リリース前セキュリティテスト
余談 フリーツール ZAP
3. リスクの評価と管理
❯ リスクへの対応
まとめ
最近のWebサイト攻撃事例とキホン対策
3
Copyright Secure Your Site. Some rights reserved. Copyright Secure Your Site. Some rights reserved. 4
1. 最近のWebサイト攻撃トレンドと事例
Copyright Secure Your Site. Some rights reserved. 5
Copyright Secure Your Site. Some rights reserved.
1.2. これらだけではない不正アクセス事件
6
メール不正中
継
1% 不正アカウント
の作成
2% ウェブサイト改
ざん
32%
パスワード
ファイルの
盗用 0%
サービス低下
11%
ファイルの書き
換え
1%
踏み台として
悪用
21%
オンライ
ンサービ
スの不
正利用
17%
データの窃
盗、盗み見
7% その他
8%
2012年不正アクセス被害内容
侵入
50%
メール不正中
継
1%
DoS 8%
なりすまし
30%
不正プログラ
ム埋め込み
9%
その他(被害
あり)
2%
2012年不正アクセス届出状況
Copyright Secure Your Site. Some rights reserved. 7
サイバー攻撃セキュリティレポート 「P54 APTとアンダーグラウンド」 名和 利男 氏 記事 図1国内のサイバー攻撃の発生推移 より
Copyright Secure Your Site. Some rights reserved. 8
Copyright Secure Your Site. Some rights reserved. 9
1.5. どんなサイトが狙われる?
9
Copyright Secure Your Site. Some rights reserved. 10
1.6. 事例1
登録されたお客さまご本人以外の第三者による不正なログインが発生していたことを確認いたしました。不正ログインが発生していた期間は、2013年4月6日(土)~2013年8月3日(土)の間で、不正ログインの対象となったIDは、243,266件となります。 本件は、他社サービスから流出した可能性のあるID・パスワードを利用して行っている
http://ameblo.jp/staff/entry-11591175203.html
Copyright Secure Your Site. Some rights reserved. 11
Copyright Secure Your Site. Some rights reserved.
・ソフトウェアに比べ、ウェブサイトに関する届出情報が圧倒的多数。
・届出件数は増加傾向
12
1.8. 脆弱性をついた攻撃も・・・ 脆弱性関連情報に関する届出状況
IPA ソフトウェア等の脆弱性関連情報に関する活動報告レポート [2013年第3四半期(7月~9月)] より
Copyright Secure Your Site. Some rights reserved. 13
1.9. 事例2
WebサーバがSQLインジェクション攻撃を受け、 約11万件のクレジットカード情報や セキュリティコードが流出
サーバに保有されていた 最大14万6701件のカード情報のうち、 2011年3月7日~13年4月23日に申し込まれた 10万9112件の カード名義人名、カード番号、有効期限、 セキュリティコード、申込者の住所
Copyright Secure Your Site. Some rights reserved.
脆弱性の種類は届出の多い3種類の脆弱性が全体の86%を占める。
・クロスサイト・スクリプティング
・DNS情報の設定不備
・SQLインジェクション
14
1.10. 脆弱性の種類と脅威
IPA ソフトウェア等の脆弱性関連情報に関する活動報告レポート [2013年第3四半期(7月~9月)] より
Copyright Secure Your Site. Some rights reserved. Copyright Secure Your Site. Some rights reserved. 15
Demo. SQL Injectionを利用した情報の窃取
Copyright Secure Your Site. Some rights reserved. 16
Demo.1 SQL Injectionって?
Copyright Secure Your Site. Some rights reserved. 17
Demo.2 ありがちなECサイト()
Copyright Secure Your Site. Some rights reserved. 18
Demo.3 ありがちなECサイト()で Snake Oilを検索
Snake Oilを検索してみる
Copyright Secure Your Site. Some rights reserved.
商品一覧から、商品名が
「Snake Oil」の
商品情報を探し出してきて、情報を表示する。
19
Demo.4 中ではどんな処理が・・・?
Copyright Secure Your Site. Some rights reserved.
商品一覧から、商品名が
「*******」の
商品情報を探し出してきて、情報を表示する。
20
Demo.5 商品名が変わると 別の商品を検索・・・
Copyright Secure Your Site. Some rights reserved.
商品一覧から、商品名が「
A」とかもういいから、この際全部表示して。[以下抹消]
」なものの商品情報を探し出してきて、情報を表示する。
21
Demo.6 どんな文章だって代入
Copyright Secure Your Site. Some rights reserved.
商品一覧から、商品名が「
A」とかもういいから、この際全部表示して。ついでにユーザ情報の一覧も表示して。[以下抹消]
」なものの商品情報を探し出してきて、情報を表示する。
22
Demo.7 いっそ、別の一覧から・・・
Copyright Secure Your Site. Some rights reserved. 23
Demoが動かなかった時の保険1-1 ~ユーザー情報の一覧~
ハッシュ化されたパスワード?
Copyright Secure Your Site. Some rights reserved. 24
Demoが動かなかった時の保険1-2 ~ハッシュ化されたパスワード?~
Copyright Secure Your Site. Some rights reserved. 25
Demoが動かなかった時の保険2 ~AdminのパスワードをGoogle先生に聞く~
Copyright Secure Your Site. Some rights reserved. 26
Demoが動かなかった時の保険3 ~ログインしてみる~
Copyright Secure Your Site. Some rights reserved. Copyright Secure Your Site. Some rights reserved. 27
2. キホン対策
Copyright Secure Your Site. Some rights reserved.
企画
要件定義
開発 運用
保守
28
2.1. 対策を、どこで?
セキュリティ要件の決定
セキュアコーディング
リリース前セキュリティテスト
変更管理
脅威の分析
監視と改善
(廃棄)
Copyright Secure Your Site. Some rights reserved.
企画
要件定義
開発 運用
保守
29
2.1. 対策を、どこで?
セキュリティ要件の決定
セキュアコーディング
リリース前セキュリティテスト
変更管理
脅威の分析
監視と改善
(廃棄)
Copyright Secure Your Site. Some rights reserved.
2.2. セキュリティ要件の決定の必要性
30
【開発会社】セキュリティ要件が明確でな
いと、発注者からセキュリティ対策や関連
するコストに掛かる対価を受け取ることが
できない。
セキュリティ対策にコストを掛けない粗悪品
を作る開発会社が安い金額で受注してしま
う。
発注者側からセキュリティ要件書を示す必要
発注に、セキュリティ要件を組み込む
Copyright Secure Your Site. Some rights reserved.
2.3. セキュリティ要件の決定 Web システム/Web アプリケーションセキュリティ要件書
31
https://www.owasp.org/index.php/File:Web_application_security_requirements.pdf
Copyright Secure Your Site. Some rights reserved.
2.3. セキュリティ要件の決定 Web システム/Web アプリケーションセキュリティ要件書
32
Copyright Secure Your Site. Some rights reserved.
2.4. セキュリティ要件の決定 地方公共団体における情報システムセキュリティ要求仕様モデルプラン
33
https://www.lasdec.or.jp/cms/12,28369,84.html
Copyright Secure Your Site. Some rights reserved.
2.4. セキュリティ要件の決定 地方公共団体における情報システムセキュリティ要求仕様モデルプラン
34
地方公共団体における情報システム セキュリティ要求仕様モデルプラン
Copyright Secure Your Site. Some rights reserved.
2.4. セキュリティ要件の決定 地方公共団体における情報システムセキュリティ要求仕様モデルプラン
35
Copyright Secure Your Site. Some rights reserved.
その納品物(WebApplication)は、
発注者とE/Uが意図する
発注通りの動作
が担保されていますか?
2.5. リリース前セキュリティテスト
36
と安全
Copyright Secure Your Site. Some rights reserved.
2.6. リリース前セキュリティテスト ウェブ健康診断仕様
37
http://www.ipa.go.jp/files/000017319.pdf
Copyright Secure Your Site. Some rights reserved.
2.6. リリース前セキュリティテスト ウェブ健康診断仕様
38
Copyright Secure Your Site. Some rights reserved.
2.6. リリース前セキュリティテスト ウェブ健康診断仕様
39
Copyright Secure Your Site. Some rights reserved. Copyright Secure Your Site. Some rights reserved. 40
余談 フリーツールを使用して、 簡易テストをしてみる。
Copyright Secure Your Site. Some rights reserved.
余談 フリーツールを使用して、 簡易テストをしてみる。
41
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Copyright Secure Your Site. Some rights reserved.
余談 フリーツールを使用して、 簡易テストをしてみる。
42
URLを入力して[攻撃]ボタンを押すだけ!?
Copyright Secure Your Site. Some rights reserved. Copyright Secure Your Site. Some rights reserved. 43
3. リスクの評価と管理
Copyright Secure Your Site. Some rights reserved. 44
Copyright Secure Your Site. Some rights reserved. 45
リスク低減
リスク受容
リスクの回避
リスク移転
3.1. リスクへの対応モデル
Copyright Secure Your Site. Some rights reserved.
3.3. 共通脆弱性評価システムCVSS
46
http://jvndb.jvn.jp/cvss/ja.html
情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法
Copyright Secure Your Site. Some rights reserved. Copyright Secure Your Site. Some rights reserved. 47
まとめ
Copyright Secure Your Site. Some rights reserved. 48 48
Copyright Secure Your Site. Some rights reserved.
企画
要件定義
開発 運用
保守
49
対策を、どこで?
セキュリティ要件の決定
セキュアコーディング
リリース前セキュリティテスト
変更管理
脅威の分析
監視と改善
(廃棄)
Copyright Secure Your Site. Some rights reserved.
セキュリティ要件の決定の必要性
50
【開発会社】セキュリティ要件が明確でな
いと、発注者からセキュリティ対策や関連
するコストに掛かる対価を受け取ることが
できない。
セキュリティ対策にコストを掛けない粗悪品
を作る開発会社が安い金額で受注してしまう。
発注者側からセキュリティ要件書を示す必要
発注に、セキュリティ要件を組み込む
Copyright Secure Your Site. Some rights reserved.
リリース前セキュリティテスト
51
Copyright Secure Your Site. Some rights reserved. 52
リスク低減
リスク保有
リスクの回避
リスク移転
リスクへの対応モデル
Copyright Secure Your Site. Some rights reserved. 53
ご清聴ありがとうございました。