Upload File

shell shock事件が明らかにするあなたの組織における情報セキュリティ力

  • Home
  • Internet
  • Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Download Shell shock事件が明らかにするあなたの組織における情報セキュリティ力

If you can't read please download the document

Upload: masafumi-oe

Post on 07-Jul-2015

8.659 views

Category:

Internet


0 download

Report

DESCRIPTION

本講演では、shellshock(bash脆弱性)への対処事例をもとに、組織におけるセキュリティ事故発生リスクとその対処能力を評価する方法を述べます。ShellShockは、サーバから組み込み機器まで多数のシステムに影響を与えました。また、この脆弱性は、複数の脆弱性が重なったものであり、その対処方法や影響範囲も二転三転するものでした。このため、システム管理者は、最新の情報を把握に加えて、自身のシステムを正確に把握し、パッチ適用までの空白時間におけるリスク評価など、高度かつ適切な対処が求められました。本発表では、その対処事例の紹介と、その問題点・改善点を説明し、組織としての事故発生リスクや対処能力を把握する方法を説明します。

TRANSCRIPT

  • 1. ShellShock TGC2014 1

2. http://fumi.org/ IPv6Hiroshima 2 3. 3 JGN-X/SINET-4/ 10 1 ADVNET2014-OE 4. ADVNET2014-OE 4 TMT 30m() () ALMA() 5. (25 ShellShock TGC2014 5 6. ShellShock Bash UNIX Shell UNIX BashOS bash/bin/sh OSshellbash CentOS / Ubintu / Fedora MacOS / CygWin Windows / MSYS bash Shellshock TGC2014 6 7. Shellshock! Bash env Env env ) x bash $ env x=() { :;}; ping 8.8.8.8 bash x ping 8.8.8.8 TGC2014 7 x Ping 8.8.8.8 8. ~~ Bash WEB WEB(.cgi)(bash) CGI WEBWEB bash IEChrome () { :;}; ping 8.8.8.8 TGC2014 8 9. ~~ WEB(2) PerlphpWEB shell(=/bin/bash) ) system `` TGC2014 9 10. ~~ Postfix() + procmail( ) mail from: DHCP bash TGC2014 10 http://www.exploit-db.com/exploits/34896/ Shock! 11. Shellshock Bash WEB I/FLinux SOHOLAN NAS() 1000bash TGC2014 11 MacOS http://support.apple.com/ja_JP/downloads/ IO DATA http://www.iodata.jp/support/information/2014/bash/ Buffalo http://buffalo.jp/support_s/s20141002.html cygwin https://www.cygwin.com/ Cisco http://tools.cisco.com/security/center/content/ CiscoSecurityAdvisory/cisco-sa-20140926-bash Oracle http://www.oracle.com/technetwork/topics/security/ bashcve-2014-7169-2317675.html NEC https://www.support.nec.co.jp/View.aspx?id=3010101066 etc 12. ShellShockCVE CVE-2014-6271,6277,6278,7169,7186,7187 6271 9/15 (ShellShock) (PATCH) 7169 6277 9/27 () 6278 9/27 () 7186 9/26 7187 9/26 7169 9/24 TGC2014 12 *CVE:Common Vulnerabilities and Exposures *CVE-CVEShellShock CVE-2014-6271 6271(915) 13. CVE-2014-????Bash bash4.3/.2 3.0/.1/.2 2.0 CVE .0/.2/.3 2.0.5b.8 2.0.5b.9 2.0.5b.10 2.0.5b.11 2.0.5b.12 *) 4.3.30/4.2.53 TGC2014 13 bash 14. Bash NAS bash WEB/MAIL TGC2014 14 15. (NAOJ)ShellShock TGC2014 15 16. TGC2014 16 17. NAOJ (2007-) A B C D E 18. ~~ WEB TGC2014 18 (2) 19. Exploit TGC2014 19 CVE 20. ShellShock TGC2014 20 21. Freebsd(URL ) URLnist URL CVE-2014-7169 62717169 7169 ( ) Bash TGC2014 21 7169 22. CiscoPolycomLifesizeExtreme TGC2014 22 23. TGC2014 23 yum update Yum info bash update > bash --version GNU bash, version 4.3.26(0)-release (i386-portbld- freebsd8.4) ==== 4.3.26 24. www TGC2014 24 25. postfix+Procmail TGC2014 25 26. TGC2014 26 27. CERT exploit TGC2014 27 28. p24 bash TGC2014 28


NIST SP800 シリーズに見る情報セキュリティと事業 … · 2 2. ISO/IEC17799 とNIST SP800 シリーズに見る情報セキュリティと事業継続計画 情報セキュリティにおける事業継続の取組みは、Contingency

クラウドネイティブにセキュリティを活用する! …クラウドネイティブにセキュリティを活用する! API を連携して実装する方法 トレンドマイクロ株式会社

情報セキュリティに関連する ソフトウエアの取扱いに係る 法 …1 情報セキュリティに関連する ソフトウエアの取扱いに係る 法律上の位置付けに関する調査

Advantage Now The latest and greatest - Cisco · 日本におけるセキュリティ侵害の現状 ... 日本におけるセキュリティ侵害の ... セキュリティソリューション。SaaS

100 - セキュリティ・キャンプ協議会 · テーマ:「セキュリティ・キャンプ参加のススメ」(25分) 「セキュリティ・キャンプ全国大会2019」の紹介を中心に、第一線で活躍する講師陣による

組込み開発におけるセキュリティ対策 及び試験手法に関する …CC認証とセキュリティ • CC認証では,PP(Protection Profile)で定義されたセキュリティ

総務省「無線 LAN のセキュリティに関するガイドライン」に …medsus.sub.jp/2020_kaitei/LAN_Security_GL.pdf総務省「無線LANのセキュリティに関するガイドライン」における

ASP・SaaSにおける 情報セキュリティ対策ガイドライン (最 …...ASP・SaaSにおける 情報セキュリティ対策ガイドライン (最終案) ASP・SaaSの情報セキュリティ対策に関する研究会目次

総務省における情報セキュリティ政策の 推進に関する提言1 総務省における情報セキュリティ政策の推進に関する提言 Ⅰ.基本的な考え方

6-3-基. OS セキュリティに関する知識

2015年度 情報セキュリティの脅威に対する意識調査 -調査 ...4-2. 情報セキュリティの脅威に対する意識 38 4-3. 情報セキュリティに関する被害状況

データベース統合におけるセキュリティ対策 · UNISYS TECHNOLOGY REVIEW 第111号,MAR. 2012 データベース統合におけるセキュリティ対策 Security

セキュリティ ゲートウェイN こんなに使える 統合型 セキュリティ ゲートウェイ 企業のITシステムを襲う さまざまなセキュリティの脅威に対抗するソリューションとして

DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計

航空分野における情報セキュリティ確保に係る 安全 ... - MLIT4 (1)重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針

情報セキュリティ人材の育成・確保について · におけるセキュリティ講習. 会等の実施 ( 企業内で情報セキュリティ. を統括する担当役員)

セキュリティとコンピュータ ―攻撃に強いソフト …...て作るか?― セキュリティとコンピュータ セキュリティとコンピュータ ――

ウェブサイト運営における脅威と責任 - IPA · ウェブアプリケーションのセキュリティ対策 ウェブサーバーのセキュリティ対策 ネットワークのセキュリティ対策

セキュリティ・バイ・デザイン入門 · セキュリティ設計の課題 「セーフティ設計・セキュリティ設計に関 する実態調査結果」 ipa/sec

クラウドネイティブに必要となるセキュリティとは · クラウドネイティブに必要となるセキュリティとは ~ マルチクラウド、ハイブリッドクラウドに無理なくセキュリティを導入可能にするPrisma

校内における情報セキュリティと Web サーバ

IPv6セキュリティの勘どころ IPv6とセキュリティ...0.本のセッションの概要! IPv6におけるセキュリティ概要! IPv6導時におけるセキュリティ課題の整

Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)

FileMaker 12 セキュリティ更新に関する考察

メール転送に関わる最近の セキュリティ問題

利用者によるセキュリティ ( パスワードについて )

ライフサイズの セキュリティ保全に対する取り組み...セキュリティ境界: ファイアウォール •FQDNで利用する285のIPアドレスを正確に定義

セーフティーとセキュリティの統合に関する課題、 …...2015/03/02  · WOCS 2015 専門セミナー 「IoTシステムにおけるセーフティとセキュリティ(規格と認証)」

Online Social Networkにおけるセキュリティとプライバシ

クラウドクラウドコンピュ ティングにおけるセキュ …2009/08/27  · 2009/8/27 1 Cloud Computing Team, IBM Japan クラウドクラウドコンピュ ティングにおけるセキュリティ・コンピューティングにおけるセキュリティ

eID に対するセキュリティとプライバシ に関するリスク認知と受 …

空港分野における情報セキュリティ確保に係る 安全ガイドライン · 空港分野における情報セキュリティ確保に係る 安全ガイドライン

iOS のセキュリティ: iOS 10 - Apple · iOS のセキュリティ ̶ ホワイトペーパー | 2017 年 3 月 3 Apple Pay による App 内での支払い Apple Pay による

クレジットカード取引における セキュリティ対策の …クレジットカード取引における セキュリティ対策の強化に向けた実行計画 -2017-

重要インフラにおける情報セキュリティ確保に係る 安全基準等策定指針 (第5 … · 重要インフラにおける情報セキュリティ確保に係る