Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2017_0522 security-jaws_no5_Kawano_web_up

835 views

Published on

2017年5月22日 第5回 Security JAWS でお話したスライド
(若干細部修正) です。

Published in: Software
  • Be the first to comment

2017_0522 security-jaws_no5_Kawano_web_up

  1. 1. Shinichiro Kawano F-Secure K.K. Security-JAWS #5 脆弱性によるハッキングデモ ~ 脆弱性対策には大切な事が詰まってる。でも多くの人がそれに気付かないんだ ~
  2. 2. 2 自己紹介 河野 真一郎 エフセキュア株式会社 法人営業部 Unix -> OSS/Linux (この辺りからCloud関連) -> Security F-Secure:フィンランドが本社 (なので今日は継続高校シャツとか着てるわけで)
  3. 3. 3 エフセキュア紹介 創立29周年 世界で2番目にウイルス対策ソフトを提供開始 1988年北欧フィンランドに本社設立(日本法人設立 1999年)。23 の現地法人を有し、世界の100以上の国で ビジネスを展開。社員数1,032名。 会長 RISTO はノキア会長を兼務 ヘルシンキ(フィンランド)クアラルンプール(マレー シア)にセキュリティ研究所を有し、世界最高レベルの ウイルス解析、定義ファイルの配信を24時間365日体制 で実現。 エフセキュアは200以上の通信事業者を通じ世界中の ブロードバンドおよびモバイルサブスクライバーに セキュリティ・サービスを提供 *フィンランド/日本/アメリカ/マレーシア/香港/インド/シンガポール/ベルギー/デンマーク/フランス/ドイツ/イタリア/ オランダ/オーストラリア/ノルウェー/ポーランド/スウェーデン/イギリス/スペイン /メキシコ /コロンビア/ブラジル/チリ
  4. 4. 4 最近の気になる話題 脆弱性対策, 標的型攻撃
  5. 5. 5 脆弱性をついた ハッキングデモ 実際に見たこと、ある方は 手を上げて!
  6. 6. 6 ハッキングデモ 実際に見たこと、ある方は 手を上げて! (Security JAWS #5 当日は 半分くらい、見たこと無い方)
  7. 7. 7 では、やってみましょう! パンツァーフォー!(かけ声)
  8. 8. 8 今回のデモシナリオ
  9. 9. 9 1. PC アンチウイルスソフト、 Firewall でマルウェア検出しないの? → 標的型攻撃。事前調査してるという前提。 2. さすがに AWS への接続が簡単すぎない? → あくまでもデモなので、、 脆弱性対策が重要と、考えるきっかけに。 前提条件
  10. 10. 10 デモ動画 (動画やデモ、ご興味ある方は P.19 連絡先へメール下さい)
  11. 11. 11 所要時間 6分20秒 *標的型攻撃ファイル開封から 別マシン 管理者権限 奪取まで **今回デモシナリオの場合
  12. 12. 脆弱性管理をしていない ソフトウエアがセキュリティリスク 12 85% TOP10攻撃の85%は ソフトウェアアップ デートで 防止可能 87%の企業が重要な アップデートを未実施 ところが 87% Source: HP2016 Cyber Risk Report
  13. 13. 86% 重大なセキュリティの 問題を抱えている WEBアプリケーション 13 86% Source: HP2016 Cyber Risk Report
  14. 14. OSのパッチ管理だけでは 不十分 14 85% 12% 3% サードパーティ アプリケーション オペレーティングシステム その他 Source: HP2016 Cyber Risk Report
  15. 15. 15 ディスカバリ マップピング ネットワーク 資産 スキャン システム & アプリケーショ ン 管理 対策の 優先順位付け 担当者の割当 レポート 技術者・経営層 カスタマイズ ベリファイ 再スキャン 及び 変更履歴 F-SECURE RADARとは 企業ネットワーク内の脆弱性管理ソリューション 3種類のスキャン技術でネットワーク内の脆弱性を検査  Discovery Scan: ネットワーク全体のマッピング  System Scan: システム構成不備、OS及びアプリケーションの脆弱性  Web Scan: Webアプリケーションの脆弱性
  16. 16. 16 F-SECURE RADAR エフセキュアのパートナ様から 脆弱性診断サービス 導入可能
  17. 17. 17 F-SECURE RDS “RAPID DETECTION SERVICE” https://www.f-secure.com/en/web/business_global/rapid-detection- service
  18. 18. 18 F-SECURE RDS “RAPID DETECTION SERVICE” https://www.f-secure.com/en/web/business_global/rapid-detection- service あなたは境界線を守ってます 既に入り込まれてたら、どうします?
  19. 19. 19 もう一回、今回のシナリオ
  20. 20. 20 F-SECURE RDS “RAPID DETECTION SERVICE” https://www.f-secure.com/en/web/business_global/rapid-detection- service あなたは境界線を守ってます 既に入り込まれてたら、どうします?
  21. 21. 21 1. 標的型攻撃で脆弱性をつかれると、わずか数分で 管理者権限を奪われるケースもあります 2. 脆弱性対策は非常に大切です 3. F-Secure は 脆弱性診断ツール Radar を パートナ様と提供してます 4. この手のデモと F-Secure に ご興味ある方 お気軽に Shinichiro.Kawano@f-secure.com へ まとめ
  22. 22. f-secure.com

×