Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
グローバルセキュリティエキスパート株式会社
設立 2000年4月
資本金 1億円
株主 株式会社ビジネスブレイン太田昭和
兼松エレクトロニクス株式会社
本社 東京都港区海岸1丁目15番1号
国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、脆弱性診断、
コンサル...
Security
システムの脆弱性を検出
教育事業
コンサル
ティング
サイバー
セキュリティ
サービス
【導入・運用支援】
■GSX-SOC
■標的型攻撃対策 専用アプライアンス
■アラート解析サービス
■ UTM(統合脅威管理)アプライアン...
「教育」という観点を各事業の軸に据え、
日本の情報セキュリティレベル向上に貢献いたします。
サイバーセキュリティ教育カンパニー
チームとして、一緒に取り組みましょう
SEチーム
インシデントの約3割が Web関連
インシデント 1月 2月 3月 合計
フィッシングサイト 297 311 316 924
Webサイト改ざん 122 77 69 268
マルウェアサイト 24 17 22 63
スキャン 684 618 5...
順位 組織
1位 標的型攻撃による情報流出
2位 ランサムウェアによる被害
3位 ウェブサービスからの個人情報の窃取
4位 サービス妨害攻撃によるサービスの停止
5位 内部不正による情報漏えいとそれに伴う業務停止
6位 ウェブサイトの改ざん
7...
情報セキュリティ10大脅威 2018
引き続き行われるサイバー攻撃、あなたは守りきれますか?
【出典】情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/v...
順位 組織
1位 標的型攻撃による被害
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺による被害
4位 脆弱性対策情報の公開に伴う悪用増加
5位 脅威に対応するためのセキュリティ人材の不足
6位 ウェブサービスからの個人情報の窃取
7...
【出典】JVN iPedia - 脆弱性対策情報データベース
https://jvndb.jvn.jp/
そして、日々重大なインシデントに
つながりかねない脆弱性が発表されています。
基本は
脆弱性対策
• セキュアな設計・構築
• セキュアコーディング
開発・構築中の診断 リリース前の診断
• 監視
• 定期的な診断
対策
• ソリューション
• パッチ
• 改修
セキュアな運用
WebSocket
PWA
Progressive Web Apps
SPA
Single Page Application
最近良く使われるWeb技術の話
Single Page Application
シングルページアプリケーション(英: single-page application、SPA)とは、
単一のWebページのみから構成することで、デスクトップアプリケーション
のようなユーザ体験を提...
SPA (Single Page Application)
画面遷移
通常のWebページ遷移
必要なところだけを書き換えページ全体を書き換え
----
----
----
----
----
----
----
----
----
----
-...
ブラウザ
----
----
----
----
Response
HTML, CSS, JS
Request
AJAX 通信
JSON { “foo”: “bar” }
処理
API
Webサーバー
----
----
----
----
S...
Google Maps
ブラウザの挙動に縛られないUIが実現できます。
SPA を脆弱性診断
あれ…?
シングルページアプリケーションだから、
1ページしかない!!
----
----
----
----
API
----
----
----
----
ブラウザ
Webサーバー
ページの診断 + API診断
基本的には
ブラウザ
Host: ****.com
User-Agent: Mozilla/5.0 (Windows NT 10.0;
Win64; x64; rv:61.0) Gecko/20100101
Firefox/61.0
Accept: */*...
DOM Based XSS
JavaScript の DOM(Document Object Model)を利用した、クロスサイトスクリプティング
SPAの脆弱性診断に対応しているところでも「DOM Based XSS は除く」が多いです。
サ...
SPA は基本的に、画面遷移をしない Web アプリケーションです。
画面遷移をしない…
ローカルアプリの様に使える!
Progressive
Web Apps
Web技術をローカルアプリケーションに利用する方法は
以前からありました。
REST
SOAP
例えばPOSレジ
基幹システム
API
JSON
XML
CLR(共通言語ランタイム)
BCL(基本クラス・ライブラリ)
データセット
Entity
Framework
LINQ to SQL
データベース技術(ADO.NET)
WCF
Data
Services
ASP.NET
Web
サービス
S...
Progressive Web Apps
UI も 通信技術も、
すべて Web の技術を使うと...
環境依存が少なく、操作性の高い
アプリケーション
ローカルでのバージョンアップも必要ない!
そして、双方向の通信を実現するのが WebSocket
Web
Request
Response
Request
Response
Web
CONNECT
HTTP / HTTPS WS / WSS
WebSocket 通信
ファイヤウォールに特別な設定をしなくてOK!
プロトコル ポート 暗号化通信
HTTP 80/tcp
HTTPS 443/tcp 〇
WS 80/tcp
WSS 443/tcp 〇
WebSocket は特殊なポートを使用しません。
しかし、攻撃にも利用できます。
標的型攻撃と組み合わせるなどして...
ポートが使い易い。発覚しづらい。
C2
WS / WSS
マルウェアをインストール 遠隔操作(C2)に、WebSocket を利用する。
C2
CONNECT
パケットフィルタだけでは
攻撃を検知・防御できません。
プロトコル ポート 暗号化
HTTP 80/tcp
HTTPS 443/tcp 〇
WS 80/tcp
WSS 443/tcp 〇
新しいWebの技術にも対応する
対策を取り入れましょう。...
まとめ
インシデントを防ぐ基本は
脆弱性対策
新しい技術についても
よく知っておきましょう。
ぜひ、適切な対策,セキュア
な運用を。
専門エンジニアによるツール診断
ASP
自動ツール診断
専門エンジニアによる手動オペレーション診断
• 攻撃者と同じ視点で脆弱性を診断。
• 診断項目に、抜けや漏れが少ない。
• 誤検出が少ない。
【脆弱性診断】タイガーチームサービス
検出でき...
http://www.gsx.co.jp
Upcoming SlideShare
Loading in …5
×

~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由

793 views

Published on

HTML5の登場以後、Web技術の利用範囲は大きく拡大しました。そして利用技術にも大きな変化が見られます。セキュリティは以前と同じで良いのでしょうか?
⮚ SPA(Single Page Application)は、画面遷移をしません。
⮚ PWA(Progressive Web Apps)は、ブラウザでは無くローカルアプリケーションの様に動作します。
⮚ AMP(Accelerated Mobile Pages)の実装は、PC用とは異なります。
このように、脆弱性診断やWAFなどWebセキュリティ技術も、時代に合わせ進歩しています。新技術への対応状況や、新技術の脆弱性を突かれたインシデントの事例、これからの対策事例などをご紹介します。

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由

  1. 1. グローバルセキュリティエキスパート株式会社
  2. 2. 設立 2000年4月 資本金 1億円 株主 株式会社ビジネスブレイン太田昭和 兼松エレクトロニクス株式会社 本社 東京都港区海岸1丁目15番1号 国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、脆弱性診断、 コンサルティング、サイバーセキュリティサービスにいたる広範な情報セキュリティサービスを提供しています。 グローバルセキュリティエキスパート株式会社 会社概要 http://www.gsx.co.jp Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved.
  3. 3. Security システムの脆弱性を検出 教育事業 コンサル ティング サイバー セキュリティ サービス 【導入・運用支援】 ■GSX-SOC ■標的型攻撃対策 専用アプライアンス ■アラート解析サービス ■ UTM(統合脅威管理)アプライアンス ■ Webアプリケーションファイアウォール (WAF) ■金融機関向け App for Splunk 【事故対応・教育等】 ■標的型メール訓練サービス ■Mina Secure ■レッドチーム評価サービス ■マルウェア感染調査サービス ■セキュリティ事故対応 (緊急対応サービス) ■ Bot感染調査 ■アクセスログ評価 ■セキュリティ教育 脆弱性診断 ■プラットフォーム診断 ■Webアプリケーション診断 ■スマホアプリセキュリティ診断 ■IPv6診断 ■データベース診断 ■クラウドシステム診断 ■PCI DSS対応 脆弱性診断& スキャンサービス 【認定トレーニング及び認定資格試験】 ■認定ネットワークディフェンダー(Certified Network Defender) ■認定ホワイトハッカー(Certified Ethical Hacker) 有効なマネジメントの確立 脅威に対抗するソリューション 情報セキュリティ人材育成(EC-Council) ■CSIRT構築運用支援サービス ■サイバーセキュリティ演習サービス ■情報セキュリティ現状調査サービス ■サイバーセキュリティ現状調査サービス ■内部不正に係る個人情報セキュリティ対策の評価現状調査 ■スマートデバイスガイドライン策定支援 ■クラウドサービスガイドライン策定支援 ■セキュリティ監査/システム監査 ■セキュリティポリシーの策定 ■リスクアセスメント評価 ■ ISO認証取得・更新対応支援(ISMS/ITSMS/QMS/EMS等) ■セキュリティ教育(マネージメント) ■システム運用成熟度評価(ITIL)
  4. 4. 「教育」という観点を各事業の軸に据え、 日本の情報セキュリティレベル向上に貢献いたします。 サイバーセキュリティ教育カンパニー
  5. 5. チームとして、一緒に取り組みましょう SEチーム
  6. 6. インシデントの約3割が Web関連 インシデント 1月 2月 3月 合計 フィッシングサイト 297 311 316 924 Webサイト改ざん 122 77 69 268 マルウェアサイト 24 17 22 63 スキャン 684 618 543 1,845 DoS/DDoS 0 1 0 1 制御システム関連 2 0 5 7 標的型攻撃 2 2 2 6 その他 293 197 253 743 カテゴリ別インシデント件数 Web関連 33% 他 67% 【出典】JPCERT/CC インシデント報告対応レポート [2018 年 1 月 1 日 ~ 2018 年 3 月 31 日] https://www.jpcert.or.jp/pr/2018/IR_Report20180412.pdf 計 3,857(件)
  7. 7. 順位 組織 1位 標的型攻撃による情報流出 2位 ランサムウェアによる被害 3位 ウェブサービスからの個人情報の窃取 4位 サービス妨害攻撃によるサービスの停止 5位 内部不正による情報漏えいとそれに伴う業務停止 6位 ウェブサイトの改ざん 7位 ウェブサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 9位 攻撃のビジネス化(アンダーグラウンドサービス) 10位 インターネットバンキングやクレジットカード情報の不正利用 情報セキュリティ10大脅威 2017 職場に迫る脅威! 家庭に迫る脅威!? 急がば回れの心構えでセキュリティ対策を 【出典】情報セキュリティ10大脅威 2017:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2017.html Web系が3つもランクイン!
  8. 8. 情報セキュリティ10大脅威 2018 引き続き行われるサイバー攻撃、あなたは守りきれますか? 【出典】情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/vuln/10threats2018.html 順位 組織 1位 標的型攻撃による被害 2位 ランサムウェアによる被害 3位 ビジネスメール詐欺による被害 4位 脆弱性対策情報の公開に伴う悪用増加 5位 脅威に対応するためのセキュリティ人材の不足 6位 ウェブサービスからの個人情報の窃取 前年 3位 7位 IoT機器の脆弱性の顕在化 8位 内部不正による情報漏えい 9位 サービス被害攻撃によるサービスの停止 10位 犯罪のビジネス化(アンダーグラウンドサービス) 衝撃の事実 Web関係は たった ひとつに...
  9. 9. 順位 組織 1位 標的型攻撃による被害 2位 ランサムウェアによる被害 3位 ビジネスメール詐欺による被害 4位 脆弱性対策情報の公開に伴う悪用増加 5位 脅威に対応するためのセキュリティ人材の不足 6位 ウェブサービスからの個人情報の窃取 7位 IoT機器の脆弱性の顕在化 8位 内部不正による情報漏えい 9位 サービス被害攻撃によるサービスの停止 10位 犯罪のビジネス化(アンダーグラウンドサービス) 順位 組織 1位 標的型攻撃による情報流出 2位 ランサムウェアによる被害 3位 ウェブサービスからの個人情報の窃取 4位 サービス妨害攻撃によるサービスの停止 5位 内部不正による情報漏えいとそれに伴う業務停止 6位 ウェブサイトの改ざん 7位 ウェブサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 9位 攻撃のビジネス化 (アンダーグラウンドサービス) 10位 インターネットバンキングや クレジットカード情報の不正利用 10大脅威のスコープが広がった結果 相対的にWeb関係の脅威が少なくなっています。 2017 2018
  10. 10. 【出典】JVN iPedia - 脆弱性対策情報データベース https://jvndb.jvn.jp/ そして、日々重大なインシデントに つながりかねない脆弱性が発表されています。
  11. 11. 基本は 脆弱性対策 • セキュアな設計・構築 • セキュアコーディング 開発・構築中の診断 リリース前の診断 • 監視 • 定期的な診断 対策 • ソリューション • パッチ • 改修 セキュアな運用
  12. 12. WebSocket PWA Progressive Web Apps SPA Single Page Application 最近良く使われるWeb技術の話
  13. 13. Single Page Application シングルページアプリケーション(英: single-page application、SPA)とは、 単一のWebページのみから構成することで、デスクトップアプリケーション のようなユーザ体験を提供するWebアプリケーションまたはWebサイトであ る。必要なコード(HTML、JavaScript、CSS)は最初にまとめて読み込むか、 ユーザの操作などに応じて動的にサーバと通信し、必要なものだけ読み込みを 行う。 【出典】シングルページアプリケーション – Wikipedia
  14. 14. SPA (Single Page Application) 画面遷移 通常のWebページ遷移 必要なところだけを書き換えページ全体を書き換え ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- 書き換え部分
  15. 15. ブラウザ ---- ---- ---- ---- Response HTML, CSS, JS Request AJAX 通信 JSON { “foo”: “bar” } 処理 API Webサーバー ---- ---- ---- ---- SPAのフロー
  16. 16. Google Maps ブラウザの挙動に縛られないUIが実現できます。
  17. 17. SPA を脆弱性診断 あれ…? シングルページアプリケーションだから、 1ページしかない!!
  18. 18. ---- ---- ---- ---- API ---- ---- ---- ---- ブラウザ Webサーバー ページの診断 + API診断 基本的には
  19. 19. ブラウザ Host: ****.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0 Accept: */* Accept-Language: ja,en-US;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate, br Referer: https://****.com/**** DNT: 1 Connection: keep-alive JS が API に対して行う Request / Response を診断 Proxy API
  20. 20. DOM Based XSS JavaScript の DOM(Document Object Model)を利用した、クロスサイトスクリプティング SPAの脆弱性診断に対応しているところでも「DOM Based XSS は除く」が多いです。 サーバーが XSS のコードをレスポンスする訳では無いため。 普通の XSS 閲覧者のブラウザで実行 JavaScript入りの書き込み http://***.com/***.html#name=(スクリプト) DOM Based XSS リンク 例えば、document.cookie の内容を 攻撃者に送ってしまう。 パラメータ付きURLにアクセスさせる。
  21. 21. SPA は基本的に、画面遷移をしない Web アプリケーションです。 画面遷移をしない… ローカルアプリの様に使える! Progressive Web Apps
  22. 22. Web技術をローカルアプリケーションに利用する方法は 以前からありました。 REST SOAP 例えばPOSレジ 基幹システム API JSON XML
  23. 23. CLR(共通言語ランタイム) BCL(基本クラス・ライブラリ) データセット Entity Framework LINQ to SQL データベース技術(ADO.NET) WCF Data Services ASP.NET Web サービス SOAP REST 通信技術(WCF) Webアプリ(ASP.NET) Web フォーム ASP.NET MVC Windows フォーム WPF Windowsアプリ.NET Framework UI は Windows フォーム 環境依存
  24. 24. Progressive Web Apps UI も 通信技術も、 すべて Web の技術を使うと... 環境依存が少なく、操作性の高い アプリケーション ローカルでのバージョンアップも必要ない!
  25. 25. そして、双方向の通信を実現するのが WebSocket Web Request Response Request Response Web CONNECT HTTP / HTTPS WS / WSS WebSocket 通信
  26. 26. ファイヤウォールに特別な設定をしなくてOK! プロトコル ポート 暗号化通信 HTTP 80/tcp HTTPS 443/tcp 〇 WS 80/tcp WSS 443/tcp 〇 WebSocket は特殊なポートを使用しません。
  27. 27. しかし、攻撃にも利用できます。 標的型攻撃と組み合わせるなどして... ポートが使い易い。発覚しづらい。 C2 WS / WSS マルウェアをインストール 遠隔操作(C2)に、WebSocket を利用する。 C2 CONNECT
  28. 28. パケットフィルタだけでは 攻撃を検知・防御できません。 プロトコル ポート 暗号化 HTTP 80/tcp HTTPS 443/tcp 〇 WS 80/tcp WSS 443/tcp 〇 新しいWebの技術にも対応する 対策を取り入れましょう。 運営者、エンドユーザーが 被害に合わないために! GET /WebSocket_Jetty/EchoServlet HTTP/1.1 Upgrade: websocket Connection: Upgrade Host: 192.168.100.99:80 Origin: http://192.168.100.99:80 Pragma: no-cache Cache-Control: no-cache Sec-WebSocket-Key: 71HbaR+C2YJa8E7/b5s/qb== Sec-WebSocket-Version: 13 Sec-WebSocket-Extensions: x- webkit-deflate-frame
  29. 29. まとめ インシデントを防ぐ基本は 脆弱性対策 新しい技術についても よく知っておきましょう。 ぜひ、適切な対策,セキュア な運用を。
  30. 30. 専門エンジニアによるツール診断 ASP 自動ツール診断 専門エンジニアによる手動オペレーション診断 • 攻撃者と同じ視点で脆弱性を診断。 • 診断項目に、抜けや漏れが少ない。 • 誤検出が少ない。 【脆弱性診断】タイガーチームサービス 検出できる脆弱性の種類・数(イメージ) http://www.tiger1997.jp • プラットフォーム診断 • Webアプリケーション診断 • スマホアプリセキュリティ診断 • IPv6診断 • データベース診断 • クラウドシステム診断 • PCI DSS対応 脆弱性診断&スキャン サービス 脆弱性診断サービス
  31. 31. http://www.gsx.co.jp

×