他人事ではないWebセキュリティ

19,929 views

Published on

神戸ITフェスティバル講演
http://kobe-it-fes.org/kif2014/seminar/entry-197.html

Published in: Internet

他人事ではないWebセキュリティ

  1. 1. Kobe IT Festival 2014 OWASP Kansai Chapter Yosuke HASEGAWA
  2. 2. はせがわようすけ ▸OWASP Kansai チャプターリーダー ▸OWASP Japan アドバイザリボードメンバー ▸ネットエージェント株式会社サービス事業部 ▸株式会社セキュアスカイ・テクノロジー技術顧問 ▸Microsoft MVP for Consumer Security Oct 2005- Oct 2015 ▸http://utf-8.jp/ Kobe IT Festival 2014
  3. 3. Kobe IT Festival 2014
  4. 4. ▸OWASP – Open Web Application Security Project ▸Webセキュリティを取り巻く問題を解決する ための国際的なコミュニティ ▸企業や国境の壁はもちろんのこと、あらゆる 専門知識と経験を持ったスペシャリスト、ま たユーザのコラボレーションにより、自由に 参加できる開放された活動を展開 ▸OWASP Foundation ▸2001年から活動開始 アメリカ政府認定NPO ▸200以上の拠点に支部 Kobe IT Festival 2014
  5. 5. OWASPに基づく様々なアウトプット ▸OWASP TOP 10 ▸3年に一度、Webアプリケーションの注意すべき 脆弱性と対策をまとめて公表 ▸OWASP ZAP ▸オープンソースの脆弱性診断ツール ▸その他多数の成果物 ▸ソフトウェア- オープンソース ▸ドキュメント-CC BY SA Kobe IT Festival 2014
  6. 6. ▸Webアプリケーションの注意 すべき脆弱性と対処方法の まとめ ▸3年に一度リリース ▸モバイル分野にも対応するため『OWASP MobileSecurity Project』の一環として 「Top 10 Mobile Risks」の開発も進行中 https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf Kobe IT Festival 2014
  7. 7. ▸OWASPによるオープン ソースの脆弱性診断 ツール ▸日本語にも対応、日本 語版の運用マニュアルもあり ▸誰にでも手軽に検査できることを重視した設 計 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit Kobe IT Festival 2014
  8. 8. ▸OWASP Japan ▸2011年に国内にて活動開始(主に東京) ▸2014年3月、OWASP AppSec APAC 2014を 開催 ▸OWSP Kansai ▸2014年より関西にて 活動開始 Kobe IT Festival 2014
  9. 9. ▸OWASP Japan ▸2011年に国内にて活動開始(主に東京) ▸2014年3月、OWASP AppSec APAC 2014を 開催 ▸OWSP Kansai ▸2014年より関西にて 活動開始 Kobe IT Festival 2014
  10. 10. 自分たちの直面するWebセキュリティ の問題を自分たちの手で解決したい! ▸日本で2番目のOWASPローカルチャプ ター ▸2014年3月から活動開始 ▸3か月に1回のChapter Meeting(勉強会)を 開催 Kobe IT Festival 2014
  11. 11. 自分たちの直面するWebセキュリティ の問題を自分たちの手で解決したい! ▸3か月に1回のChapter Meeting(勉強会)を 開催 ▸Webセキュリティの悩み事を気楽に相談 し情報共有できる場 ▸スキル、役職、業種、国籍、性別、年齢関係 なく、遠慮なくお越しください Kobe IT Festival 2014
  12. 12. Kobe IT Festival 2014
  13. 13. Kobe IT Festival 2014
  14. 14. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス ▸ 2014-04 Apache Strutsの脆弱性 ▸ 2014-04 OpenSSL Heartbleed脆弱性 ▸ 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
  15. 15. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス ▸ 2014-04 Apache Struts 2の脆弱性 ▸ 2014-04 OpenSSL Heartbleed脆弱性 ▸ 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
  16. 16. ▸Apache Struts – Java Webアプリケー ションフレームワーク ▸2014年3-4月に脆弱性情報が公開 ▸任意コードの実行や機密情報の漏えいな ど ▸攻撃検証コードが広く流通、悪用が容易 Kobe IT Festival 2014
  17. 17. ▸2014-03-05 Struts 2の脆弱性公表、修正版がリリース ▸2014-04-16 攻撃コード公開が確認される ▸2014-04-18, 04-22 Struts 2の対策漏れが発見、報告、公開される ▸2014-04-24 Struts 1にも同種の脆弱性があると公開される ▸2014-04-24 Struts 2の修正版がリリース Kobe IT Festival 2014
  18. 18. ▸情報が錯綜 ▸断続的に公開される脆弱性情報 ▸3月-4月の人事異動シーズン ▸Struts 1はすでに公式にはサポートされて いない ▸RedHatやNTTデータによるサポート Kobe IT Festival 2014
  19. 19. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス ▸ 2014-04 Apache Strutsの脆弱性 ▸ 2014-04 OpenSSL Heartbleed脆弱性 ▸ 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
  20. 20. ▸2014年4月に公表、修正版も公開 ▸SSLサーバの秘密鍵やユーザー名、通信内 容などを攻撃者はメモリ上から読み取り 可能 ▸攻撃ログがサーバ上に残らない ▸公開とほぼ同時に世界中で悪用の痕跡 ▸三菱UFJニコス、カナダ歳入庁で情報漏洩 Kobe IT Festival 2014
  21. 21. ▸基幹で広く使用されるソフトウェアで影 響が大きい ▸OpenSSL単体だけではなく内部で使っている ソフトウェアが多数影響を受ける ▸Webサーバだけでなくメール(SMTP,POP3 over SSL)やFTPS、各種クライアントソフト ウェアも Kobe IT Festival 2014
  22. 22. ▸脆弱性の公開から実際の攻撃までほぼ タイムロスなし ▸4月上旬、人事異動の時期 ▸Apache Strutsの脆弱性と同じタイミング Kobe IT Festival 2014
  23. 23. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス ▸ 2014-04 Apache Strutsの脆弱性 ▸ 2014-04 OpenSSL Heatbleed脆弱性 ▸ 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
  24. 24. ▸コンテンツ配信用のサービスCDNetworks が改ざん ▸マルウェア配布に利用 される Kobe IT Festival 2014 企業Webサイト CDNetworks
  25. 25. ▸CDNetworksを利用している企業のサイト やダウンロード用ファイル等が改ざん ▸JUGEMブログ、Buffalo、リクルートマーケ ティングパートナーズ他… ▸サイトを閲覧・ドライバをダウンロード するとマルウェアが落ちてくる Kobe IT Festival 2014
  26. 26. ▸企業としてはCDNetworksのユーザーでし かなく、被害者でもある ▸エンドユーザーからは企業名しか見えな い ▸「Buffaloにアクセスしたら感染した」 Kobe IT Festival 2014
  27. 27. ▸Buffaloの対応 ▸ファイル改ざんを把握後、速やかにサービス停止 ▸ログを解析、改ざんファイルのダウンロードした ユーザー(IPアドレス)を把握 ▸プロバイダを通じて連絡 ▸マルウェア感染には駆除のサポート ▸ダウンロードサーバを別業者に変更 ▸この間1週間 http://buffalo.jp/support_s/20140602.html http://buffalo.jp/support_s/20140602_2.html Kobe IT Festival 2014
  28. 28. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス ▸ 2014-04 Apache Strutsの脆弱性 ▸ 2014-04 OpenSSL Heatbleed脆弱性 ▸ 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
  29. 29. ▸bash - UNIX環境で広く使われているシェル ▸Linux、Mac OS Xなどでも使用 ▸Red Hat、CentOSなどでは標準シェルに採用 ▸/bin/shがbashへのシンボリックリンク ▸2014年9月末に脆弱性情報が公開 ▸公開当初は複数の脆弱性が含まれていた Kobe IT Festival 2014
  30. 30. ▸攻撃者が環境変数を設定させた状態で bashが起動するだけで任意コマンドが実 行可能 ▸多数の攻撃可能な経路 ▸Web(CGI, SSI)、メール、ssh、dhcp… ▸組み込み機器にも影響 ▸NAS、メディアプレイヤー、ルータなど ▸影響範囲が広範 Kobe IT Festival 2014
  31. 31. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス ▸ 2014-04 Apache Strutsの脆弱性 ▸ 2014-04 OpenSSL Heatbleed脆弱性 ▸ 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
  32. 32. ▸ありとあらゆるサービスで常に発生 ▸パスワードリスト攻撃 ▸事前に入手したIDとパスワードで不正ログイ ンを試行 ▸他の脆弱なサイトから流出したアカウント情 報など ▸ID、パスワードの使い回しが被害を増加 Kobe IT Festival 2014
  33. 33. 被害企業 Kobe IT Festival 2014 不正ログインの 試行件数(A) 不正ログインの 成立件数(B) 不正ログイン 成立率(B/A) A社約4,600,000 78,361 約1.70% B社2,293,543 38,280 1.67% C社2,203,590 219,926 9.98% D社約4,300,000 263,596 約6.13% E社約1,600,000 2,398 約0.15% F社3,420,000 15,092 0.44% G社1,796,629 14,399 0.80% https://www.ipa.go.jp/about/press/20140917.html
  34. 34. ▸主な原因はID、パスワードの使い回し ▸サイト側に明確な非はない ▸他のサイトから流出したアカウント情報 ▸ユーザーが自身で望んでパスワードを使い回 し ▸可能なら二要素認証の導入を ▸パスワード+携帯電話、トークン Kobe IT Festival 2014
  35. 35. ▸報道されるのは氷山の一角 ▸あらゆるサイト、あらゆるソフトウェア、あ らゆる情報が狙われる ▸Webと実生活が密に結合するほど相対的に被 害は増加 ▸あらゆる人が被害者となり得る Kobe IT Festival 2014
  36. 36. Kobe IT Festival 2014
  37. 37. ▸他人事ではいられない ▸運営者:自分の管理するサーバが攻撃される ▸開発者:自分の開発したWebアプリが攻撃さ れる ▸利用者:自分の利用しているサービスが攻撃 される Kobe IT Festival 2014
  38. 38. ▸他人事ではいられない ▸運営者・開発者・利用者 ▸どの立場でも被害にあう可能性 ▸どうすればいいのか? ▸「こうすればよい」という銀の弾丸はない ▸地道な小さい対策の積み重ねあるのみ Kobe IT Festival 2014
  39. 39. ▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
  40. 40. ▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
  41. 41. ▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
  42. 42. ▸自社を守る。利用者を守る。 ▸サイト運営者が最低限すべきこと ▸サーバの設定の不備をなくす ▸使っているソフトウェアの更新 ▸自社専用ソフトウェアの脆弱性の検査 Kobe IT Festival 2014
  43. 43. ▸積極的なセキュリティ情報の収集 ▸世間が騒ぎ始めてから脆弱性情報を知るようでは 遅い ▸使っているソフトウェアの脆弱性への対応体 制の構築 ▸入れ替え前の評価手順 ▸長期休暇中の体制 ▸使っている外部サービスの問題発生時の対応 体制の構築 ▸CDNやクラウド、ホスティングの変更など Kobe IT Festival 2014
  44. 44. ▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
  45. 45. ▸脆弱性=バグ。品質の向上を。 ▸Webアプリ開発者が最低限すべきこと ▸脆弱性の原理や対策を知る ▸使用している言語処理系やライブラリの更新 ▸開発完了後も言語処理系やライブラリ、新し い攻撃手法の動向を継続的に把握 Kobe IT Festival 2014
  46. 46. ▸脆弱性はただのバグ。 脆弱性はバグの一種です。一般的なバグは「でき るはずのことができない」というものですが、脆 弱性は「できないはずのことができる」というバ グです。もっと言うと、「できてはいけないこと ができる」ということです ▸正しいWebアプリの作り方を知ること ▸我流の知識、我流の実装は避けよう Kobe IT Festival 2014 HASHコンサルティング 徳丸さん
  47. 47. ▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
  48. 48. ▸自分を守る。自分で守る。 ▸Webサイトの利用者として最低限してお くこと ▸パスワードの使いまわしの禁止 ▸複雑なパスワードを採用 ▸アカウントの棚卸 使用しないサイトのサービスを脱退 ▸クレジットカード明細の確認 Kobe IT Festival 2014
  49. 49. ▸ユーザーとして出来ることは多くはない ▸それでも警戒心を持つことで防げる事案は多 い ▸できる人は隣の人も守ってあげよう Kobe IT Festival 2014
  50. 50. Kobe IT Festival 2014
  51. 51. ▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
  52. 52. ▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
  53. 53. ▸Webアプリケーションの開発案件におけ るセキュリティ要件 ▸発注者- 開発者がきちんとしてくれるだろう という思い込み ▸開発者- 要件に入っていないしよくわからな い ▸あいまいなまま開発が進む Kobe IT Festival 2014
  54. 54. ▸あいまいなセキュリティ要件 ▸開発側 セキュリティ対策、脆弱性診断を実施せずに コストダウン 要件に含まれていないので対価を請求できな い ▸発注側 見かけの金額だけで低コスト・低品質な開発 会社を選定 正常系の検査だけは実施、動いているように 見える Kobe IT Festival 2014
  55. 55. ▸Webシステム/Webアプリケーションセ キュリティ要件書 ▸OWASP Japan発! とうぜん日本語! ▸発注者が開発会社に対して提示できるセキュ リティ上の要件をまとめた文書 ▸CC BY-SAで自由に改変・配布可 https://www.owasp.org/index.php/File:Web_applic ation_security_requirements.pdf Kobe IT Festival 2014
  56. 56. Kobe IT Festival 2014
  57. 57. Kobe IT Festival 2014
  58. 58. Kobe IT Festival 2014
  59. 59. ▸フィードバック随時募集中 ▸OWASP Japan「Webシステム/Webアプリ ケーションセキュリティ要件書」はみなさん の声でできています。 Kobe IT Festival 2014
  60. 60. ▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
  61. 61. ▸開発者 ▸「入り口が広すぎてどこから入ればいいかわ からない」 ▸守らなければいけない原則が多すぎる ▸学んでも学んでも追いつかない Kobe IT Festival 2014
  62. 62. ▸最低限これだけは読んでおこう。 ▸「安全なウェブサイトの作り方」 ▸「安全なSQLの呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html Kobe IT Festival 2014
  63. 63. ▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
  64. 64. ▸客観的な視点による品質の確認 …の前に自身でできることを。 ▸開発者自身による最低限の検査 ▸テストの一環として ▸「脆弱性はバグである」 Kobe IT Festival 2014
  65. 65. ▸最低限これだけは読んでおこう。 ▸「ウェブ健康診断」 http://www.ipa.go.jp/security/vuln/websecurity.html Kobe IT Festival 2014
  66. 66. ▸セキュリティ対策に「こうすればよい」 という銀の弾丸はない ▸地道な小さい対策の積み重ねあるのみ ▸それぞれの立場でできるベストを尽くす のみ ▸OWASPはみんなの技術・知恵・悩みを共 有できる場です Kobe IT Festival 2014
  67. 67. ▸OWASPはみんなの技術・知恵・悩みを共 有できる場です ▸みなさんのご参加をお待ちしています。 Kobe IT Festival 2014 OWASP Kansai 検索

×