Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

関西セキュリティ 合同セミナー改ざん検知の分類資料

614 views

Published on

これから、WEBサイトの改ざん検知を導入検討する方には、基礎知識として持っていただけると役に立つ資料になっています。

WEBサイトの改ざん検知手法の分類とWEBサイトの構成による、改ざん検知手法との相性について解説いたしました。また、セキュリティを考慮したWEBサーバの構成や運用について、ご提案しています。

Published in: Software
  • Be the first to comment

関西セキュリティ 合同セミナー改ざん検知の分類資料

  1. 1. M2M Technologies Inc. 1 M2Mテクノロジーズ株式会社 WEBサイト改ざん検知手法の分類 と サイト構成との相性について
  2. 2. M2M Technologies Inc. 2 内山恒示 (うちやま こうじ) • 2002年ごろから、セキュリティ事業に従事。 • ネットワークフォレンジック製品の代理店をきっかけにセキュリ ティ業界デビュー。 • ハードに強くなり、L7FWアプライアンスをはじめとした組込み系 の商品企画、商用セキュアOSやWAFなどの販売を手掛ける。 • 高齢者見守り事業立ち上げを通し M2M/IOTセキュリティ、運用技術のノウハウをつむ。 • 攻撃手法に依存しない改ざん検知手法に注力。 M2Mテクノロジーズ株式会社 セキュリティ事業部長 兼 技術開発部部長 自己紹介
  3. 3. M2M Technologies Inc. 3 WEB改ざんの認識 WEB改ざん検知って どういう定義
  4. 4. M2M Technologies Inc. 4 WEB改ざん検知の定義 改ざん検知とは WEBサイトの正規のコンテンツ更新者 が、更新した状態から、ファイルおよ びデータが、変更、削除あるいは、追 加されている状態を検出すること。
  5. 5. M2M Technologies Inc. 5 WEB改ざんの種類
  6. 6. M2M Technologies Inc. 6 WEB改ざんの種類
  7. 7. M2M Technologies Inc. 7 対策と問題点 防御から事後対応へ もうサイバー攻撃は 防げません‼
  8. 8. M2M Technologies Inc. 8 WEBサイトの改ざん事件の状況 https://www.jpcert.or.jp/ir/report.html 7月 Flash Player の脆弱性をを悪用した攻撃サイトへ誘導する改ざんが多発。 9月 WEBサイト広告にマルウエアサイトへの誘導するものが発生
  9. 9. M2M Technologies Inc. 9 日本のWEBサイトの改ざん報告サイト http://izumino.jp/Security/def_jp.html 海外のハッカー武勇伝サイトからの、日本ドメインを抽出し報告するサイト 改ざんを教えてくれる場合は、まだ本気じゃない。
  10. 10. M2M Technologies Inc. 10 プログラムの改ざん事例 利益目的の改ざんは、こっそり深くもぐる。 2013年3月6日 バックドアプログラムが設置され、 購入画面を改ざんされる。 2013年3月14日 改ざんを発見、ショップの閉鎖をする。 2013年3月15日 プレス発表を行う。
  11. 11. M2M Technologies Inc. 11 対策と問題点 防御から事後対応へ 日経コンピュータの2013/5/30号に、最近の攻撃を事例に取り、 “防御対策以上に、事後対策で重要である”記事を掲載しています。 ファイアーウォール,ウィルス対策 ソフト、“攻撃を防げる前提”で整備 未知のウィルス、標的型攻撃、 正規ウェブサイトの改ざん 等 防げない事例が多数発生 「攻撃の被害を受けた時の被害を できるだけ抑える」 事後対策型対応へ比重移行
  12. 12. M2M Technologies Inc. 12 守るのが先か、検知が先か? Vb 改ざん検知 これからは「検出してすぐに対応できる体制」を作り、 「予算に合わせて予防を追加する」時代です。 IPS/WAF システム 構築時 セキュリティ ホール発見 セキュリティ ホール発見 セキュリティ パッチ適用
  13. 13. M2M Technologies Inc. 13 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
  14. 14. M2M Technologies Inc. 14 WEBサーバのOS上での監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 同一サーバに システム導入し 改ざん検知 リアルタイム検出が可能 サーバの負荷が大きい 監視プロセスを止められる 運用に管理者権限が必要(専用サーバ、VPS) 共有型WEBサーバには使えない OSアップデート時の検証が大変
  15. 15. M2M Technologies Inc. 15 別サーバからのリモート監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 監視サーバ 検知用サーバで 改ざん検知 共有型サーバーに使える WEBサーバの負荷が軽い HTTP又はFTPが開いていればよい 管理アカウント不要(共有レンサバOK) SaaSに向いている 定期的な検査になる
  16. 16. M2M Technologies Inc. 16 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
  17. 17. M2M Technologies Inc. 17 URLを 指定して 改ざん検知 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 ①HTTPによる巡回 監視対象WEBサーバ 監視サーバ HTTP メリット 設定が簡単 URLを指定するだけ デメリット .htaccess など設定系のファイルが対象外 IP指定の標的型攻撃に弱い 内部リンクのないページは検出できない フィッシングの設置、SEOポイズニング 認証、フォーム画面から先が見えない 改ざんされたファイルの特定が難しい
  18. 18. M2M Technologies Inc. 18 ディレクトリを 再帰的に 巡回し探索 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 監視対象WEBサーバ ②FTP/sFTPによる巡回 監視サーバ FTP/sFTP メリット HTMLにリンクに依存しない CGIなどの動的ファイル対象になる 全てのファイルが対象に出来る デメリット 設定に手間がかかる
  19. 19. M2M Technologies Inc. 19 WEBサイトの改ざん検知の分類2 には、 運用の際の注意点があります HTTP検査
  20. 20. M2M Technologies Inc. 20 2009.10.31現在 HTTP検査による検査の問題1 HTTP検査タイプの 改ざん監視サーバ 検査スタート 知らない&リンクが無いURL・認証を超えて検査ができません ? ? ? ? 検知不可能 フィッシングサイト 検知不可能
  21. 21. M2M Technologies Inc. 21 2009.10.31現在HTTP検査による検査の問題2 標的型攻撃を仕掛けられたWEBサイト 標的の閲覧者 標的外の閲覧者 HTTP検査タイプの 改ざん監視サーバ 標的以外のアクセスには 正しいファイルで応答 標的からのアクセスには 不正なファイルで応答 検知不可能 改ざん ページ 検査できないページが存在します 不正侵入
  22. 22. M2M Technologies Inc. 22 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
  23. 23. M2M Technologies Inc. 23 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? パターンマッチ型 監視対象WEBサーバ 監視サーバ 不正ファイルパターンと マッチすれば 改ざんとみなしますHTTP
  24. 24. M2M Technologies Inc. 24 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 振舞い分析型 監視対象WEBサーバ 監視サーバ 仮想PCにブラウング させ、振舞いを監視 不正な動きを検出HTTP
  25. 25. M2M Technologies Inc. 25 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? ハッシュリスト比較型 監視対象WEBサーバ 監視サーバ 取得ファイルをハッシュ計算 定期的に再取得&再計算して ファイルの変更を検出 FTP/sFTP
  26. 26. M2M Technologies Inc. 26 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 原本比較型 監視対象WEBサーバ 監視サーバ 原本ファイルを保管、定期的に WEBサーバファイルと比較 差分があったとき改ざんと判定 FTP/sFTP
  27. 27. M2M Technologies Inc. 27 パターンがまだ無い攻撃対応が難しい 画像ファイルや未対応フォーマットが対象外 静的な改ざんは検出できない。 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ①パターンマッチ(ソース解析)型 メリット 動的生成型CMSに対応 デメリット
  28. 28. M2M Technologies Inc. 28 仮想PCのOS/バージョン/ブラウザの組み合わせが膨大 静的な改ざんは検出できない。 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ②振舞い分析型 メリット 動的生成CMSに対応 デメリット
  29. 29. M2M Technologies Inc. 29 改ざんと更新の区別を運用で判断 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ③ハッシュリスト比較型 メリット 改ざんされたファイルが特定できる 追加・削除されたファイルが特定できる デメリット
  30. 30. M2M Technologies Inc. 30  WEBサーバー上のプログラムで更新される ファイルに対して、改ざんと更新が区別できない WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ④原本比較型 メリット 改ざんファイルを特定できる 改ざんと更新を容易に区別できる 追加されたファイルを削除できる 自動復旧が可能 デメリット
  31. 31. M2M Technologies Inc. 31 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? 改ざん判別 方法として は、構造的な漏れが存在 パターンマッチ(ソース解析)型 振舞い分析型
  32. 32. M2M Technologies Inc. 32 マルウエアでは検出できない例 JPドメイン改ざん速報から、改ざんサイトを抽出
  33. 33. M2M Technologies Inc. 33 URLチェックWEBサービスサイト
  34. 34. M2M Technologies Inc. 34 マルウエアでは検出できない例 改ざんされたサイトの検査をしてみた結果 ほとんどの結果が、OK判定です。
  35. 35. M2M Technologies Inc. 35 改ざん検知手法のまとめ
  36. 36. M2M Technologies Inc. 36 改ざん検知の手法の相性 サイト構成別 最適改ざん検知手法
  37. 37. M2M Technologies Inc. 37 サイト構成の分類 1、静的なコンテンツサイト 2、動的CMS、EC/カタログサイト 3、静的コンテンツ生成CMSサイト
  38. 38. M2M Technologies Inc. 38 最適な改ざん検知手法 静的なコンテンツサイト 1. 更新頻度が低い場合 • FTP巡回ハッシュリスト型 2. 更新頻度が高い場合 • FTP巡回元本比較型 s/FTP 更新者 HTTP
  39. 39. M2M Technologies Inc. 39 最適な改ざん検知手法 動的CMS、ECサイト(WordPress、ECCubeなど) 1. DBコンテンツ部 • HTTP巡回パターンマッチ/振舞い型 2. プログラムファイル • FTP巡回ハッシュリスト • FTP巡回原本比較 管理画面 登録 更新者 HTTP
  40. 40. M2M Technologies Inc. 40 最適な改ざん検知手法 静的コンテンツ生成型CMS(MovableTypeなど) 1. ステージ運用しない場合 • FTP巡回ハッシュリスト型 2. ステージ運用する場合 • FTP巡回元本比較型 管理画面 登録 更新者 HTTP コンテンツ ファイル生成
  41. 41. M2M Technologies Inc. 41 セキュリティ対策しやすいサイト構成 セキュリティを考慮した 1. コンテンツの構成 2. サーバ運用 3. 改ざん検知しやすい環境づくり 4. インシデント対応の注意点
  42. 42. M2M Technologies Inc. 42 セキュリティ対策しやすいサイト構成 セキュリティを考慮したコンテンツ構成 1. 出来る限りCGI、JavaScript、Flushなどを使わない。 2. WordPressなどの動的レスポンス型CMSを使わない。 CMSを使うならMovableTypeの様な静的コンテンツ生成タイプ 3. WEBサーバには、個人情報など重要情報を置かない。 4. 公開CGI、JavaScriptは、脆弱性診断を必ず受うける。 5. コンテンツの開示期間を決め、不要なコンテンツをいつま でもサーバ上に置かない。
  43. 43. M2M Technologies Inc. 43 セキュリティを考慮したサーバ運用 1. 別サーバで安全な場所にテスト環境を作る。 2. コンテンツ更新するPCは、限定する。 3. コンテンツは、更新前にウイルスチェックを行う。 4. 更新PCでは、メール受信や不要なWEB閲覧をしない。 5. FTPやSSHなどのアクセスはIPアドレス制限する。 6. 設定変更は、テストサーバでまず実行。 7. パッチ提供情報をウォッチし、出たらすぐ当てる。 8. 動作検証は、自動化しておく。 セキュリティ対策しやすいサイト構成
  44. 44. M2M Technologies Inc. 44 改ざん検知しやすい環境づくり 1. 更新タイミングを把握する。 例:毎日 1時に定期更新 2. 更新は、事前の申請承認を行う。 3. 更新ファイルを事前にリスト化しておく。 4. サーバ上で自動更新されるファイルを把握する セキュリティ対策しやすいサイト構成
  45. 45. M2M Technologies Inc. 45 インシデント対応の注意点 1. 改ざん発覚した場合の対応を事前に決めておく。 誰に報告するか。サイトを閉じる等の決裁者 2. 改ざん・変更箇所の確認方法の確立。 3. ログファイルの保全。 4. 改ざんされたファイルおよび環境の保全 5. バックアップからのリストア手順を明確にしておく。 6. リストアの運用訓練をしておく。 セキュリティ対策しやすいサイト構成
  46. 46. M2M Technologies Inc. 46 まとめ 1、改ざん事件の現状と分類 2、改ざん検知手法の分類を整理 3、WEBサーバ構成にあった改ざん検知手法
  47. 47. M2M Technologies Inc. 47 ご清聴ありがとうございました。 改ざん事件や事故の情報をFacebookページでご案内しています http://www.facebook.com/sitepatorl ■ M2Mテクノロジーズ株式会社 ■ 和歌山市黒田1-1-19 阪和第一ビル 4F ■ 千代田区内神田2-4-4 藤和内神田ビル7F ■ 電話: 073-499-6422 ■ 担当:内山 ■ E-mail: sales@m2mtech.jp ■ HP: http://www.m2mtech.jp

×