【14-E-L】暗号破りに新たな攻撃!進化す
る脅威に対抗するためのWebサイトセキ
ュリティとSSLの進化

日本ベリサイン株式会社
SSL製品本部SSLプロダクトマーケティング部

#devsumiE
1
電子証明書 ~現代ネット社会の安全を守る鍵~
• 電子証明書は、「ウェブサイト」「ダウンロードファイル」「電子メール」などに
利用されており、日々ネットの安全を守っている

認証、発行

認証局 (CA:Certification Author...
SSLサーバ証明書
SSLサーバ証明書における
ハッシュアルゴリズムの移行について

3
SSLサーバ証明書

認証局とSSLの仕組み
• 認証局やSSLサーバ証明書は、原則的には“誰でも”作成可能
• 一方、商用のSSLサーバ証明書は、認証局(CA)と呼ばれる証明書発行機関
が業界で定めるルールに基づいて認証・発行
①エンドユーザ...
SSLサーバ証明書

SSLを支える技術
構成要素
ウェブサーバ運営団体の

主なアルゴリズム名

「公開鍵」暗号方式

RSA, ECC, DSA

ウェブサーバとウェブブラウザ間の
暗号化通信

「共通鍵」暗号方式

RC4, DES/3D...
SSLサーバ証明書

ハッシュアルゴリズムとは?
緘

• ハッシュアルゴリズムは「封筒に封字する」ような行為

• メッセージを受け取った時に、通信経路上で改ざんされていない
か、受け取ったデータが壊れていないかを確認する技術
同じメッセージ...
SSLサーバ証明書

ショッピングサイトで購入するときの通信イメージ
ショッピングサイトにアクセス https://www.example.com/index.html

最初に、SSLサーバ証明書、中間認証局証明書を送付

「公開鍵」暗号方式...
SSLサーバ証明書

暗号の世代交代の必要性
NIST (米国標準技術研究所) 勧告を元に作成

等価安全性

(非推奨)

80bit

112bit

128bit

2010年末まで

2011年以降

2031年以降

低

ハッシュア...
SSLサーバ証明書

暗号の世代交代で考慮すべきこと
• 暗号の世代交代のために、ウェブサイト管理者及び認証局
は、「暗号強度」と「エンドユーザのカバレッジ」を考慮する必
要がある
中長期的に徐々に移行

強

ECC384

SHA-2

暗...
SSLサーバ証明書
ハッシュアルゴリズム

ハッシュ アルゴリズムの移行について

10
SSLサーバ証明書

ハッシュ アルゴリズムの移行の背景

ハッシュアルゴリズム

• インターネットにおける一般的なセキュリティ要件として
「SHA-2」への対応の必要性が高まっている
– 米国政府(NIST勧告) : SHA-1は最長201...
SSLサーバ証明書

SHA-1を使い続けることの問題点

ハッシュアルゴリズム

• 偽証明書による”なりすまし証明書”の問題
本物の証明書と同じハッシュ値の偽証明書を作成し、
アクセス時に偽証明書を送付して検証成功させる

攻撃者

• S...
SSLサーバ証明書
ハッシュアルゴリズム

シマンテックの移行方針

シマンテックではスムーズなSHA-2移行を促進するため、①SHA-2対応証明書
の提供拡大、②SHA-1の順次制限を実施
① SHA-2対応のSSLサーバ証明書の提供を全販売...
SSLサーバ証明書
ハッシュアルゴリズム

求められる具体的なアクション
SHA-2の導入
ウェブサイト管理者

•
•

SHA-1の利用停止
•

SHA-1証明書が2017年を超え
る場合、再発行などの手段に
よってSHA-2証明書を順次...
SSLサーバ証明書

各種プラットフォームの対応状況
RSA (SHA-2)
PCブラウザ

ハッシュアルゴリズム
補足事項

○

Windows XP SP3以降、Mac OS X

スマートフォン

○

Symbian OS, Wind...
SSLサーバ証明書

ECC (楕円曲線暗号) について

「公開鍵」暗号方式

• ECCは、現在の標準的な暗号方式に比べ、短い暗号鍵長でも、より強固
なセキュリティを実現することができる暗号技術

• ホスティング事業等を展開する株式会社デ...
コードサイニング証明書
コードサイニング証明書における
ハッシュアルゴリズムの移行について

17
コードサイニング証明書

コードサイニング証明書とは?
• コードサイニング証明書は、exeファイル
などにデジタル署名することにより、「発
行元の保証」、「ダウンロードファイルが改
ざんされていないこと」を実現するデジタ
ル証明書
• マイク...
コードサイニング証明書

コードサイニング証明書に関して
求められる具体的なアクション
SHA-2の導入

SHA-1の利用停止
•

プログラム開発ベンダ • SHA-2証明書の検証
• SHA-2証明書の順次導入(最長
アプリ開発ベンダ
2...
セキュアメールID
セキュアメールIDにおける
ハッシュアルゴリズムの移行について

20
セキュアメールID

セキュアメールIDとは?
• セキュアメールIDは、電子メールにデジタ
ル署名することにより、「発行元の保証」、
「電子メールが改ざんされていないこと」
を実現するフィッシング詐欺対策用デジタ
ル証明書

認証、発行

メ...
セキュアメールID

セキュアメールIDに関して
求められる具体的なアクション
SHA-2の導入

メール配信管理者

•
•

SHA-2証明書の検証
SHA-2証明書の順次導入 (2016

SHA-1の利用停止
•

SHA-1証明書が、...
ウェブサイト攻撃の最新動向

23
ウェブサイトへの攻撃はますます増加しています!

出典 シマンテック 「インターネットセキュ
リティ脅威レポート2012」

24
決して大手企業だけの脅威ではありません。

小規模企業を狙った攻撃の総数は
2011 年に比べて3 倍に増加し、全
攻撃中の割合も 18% から 31% と
ほぼ倍になっています。

出典 シマンテック 「インターネットセキュ
リティ脅威レポー...
情報漏えいの影響
出典 日本ベリサイン ホワイトペーパ
「ウェブサイトセキュリティ脅威レポート
2013」1

損害賠償額 : 7500万円
JNSA 「情報セキュリティインシデントに関する調査報告書」

調査費用、セキュリティ再構築費用
: ...
不正アクセス禁止法違反検挙件数 昨年との比較
サイバー犯罪の検挙件数の推移

件
5,000

817

4,000
243
3,000

95

219

不正アクセス禁止法違反
コンピュータ・電磁的記録対象犯罪及び
不正指令電磁的記録に関す...
近年のウェブサイト攻撃に関する傾向
ウェブサイトの脆弱性

98%のウェブサイトが何らかの脆弱性
を抱えている
特に、危険度[高]のサイトは、全体の
2/3以上 (68%)も存在している

11年4月 大手ゲーム会社 ネット配信サービスで、1億...
新たな手口の追加による“ウェブ改ざん連鎖”の拡大

出典 IPA http://www.ipa.go.jp/security/txt/2013/07outline.html

29
攻撃手法は様々です
• Apache Struts2の脆弱性
• SQLインジェクション攻撃
• パスワードリスト攻撃
• CMSの脆弱性

• ドライブバイダウンロード攻撃
• Darkleech Apache Module
• 管理者パソコ...
X社の例 (Apache Struts2の脆弱性)
• 2013年3月に不正アクセスを受け、8月上旬にサイト再開
• 以下の対策を実施
(1)不正アクセスの可能性を検知し、自動的に遮断する機構の導入
(2)改ざん検知機構の導入
(3)アクセス制...
Y社の例 (SQLインジェクション攻撃)
• 2013年4月にSQLインジェクション攻撃を受け、「カード名義人
名」、「カード番号」、「カード有効期限」、「セキュリティコード」、
「お申込者住所」が漏洩。
• 以下の対策を実施
(1)侵入経路の...
パスワードリスト攻撃とは?
②IDとパスワード
を不正に入手
ID : Taro_1030
PWD : hogehoge

ID : Taro_1030
PWD : hogehoge

ネットユーザー

①IDとパスワードを複
数サイトで使い回...
あなたが普段利用しているサイト(若しくはスマートフォンアプリ)
で、ID/パスワードでログインするサイト数は幾つありますか?
[調査2]ネットユーザー調査
50個以上, 2.3%
30~49個, 3.0%

全く把握でき
ていない,
11.0%...
あなたが記憶できるID/パスワードの記憶可能数を教
えてください
[調査2]ネットユーザー調査

10組以上、記憶可能,
7.0%
6~9組なら記憶可能,
3.7 %

1組でも記憶しておく自
信がない, 6.0%

1組なら記憶可能,
11....
多発する不正ログイン事件
サービス名
ポータルサイト
電子書籍
鉄道会社
通販会社
化粧品会社
百貨店
ゲーム会社
オンラインゲーム会社
インターネット接続サービス
オンラインゲーム会社
ブログサイト
チケット予約サイト
オンラインゲーム会社
...
ウェブサイト攻撃への対策

37
理想と現実の狭間: 脆弱性のギャップ

企業の 5 分の 2 は、ウェブサイトの脆弱性を「一
度もテストしたことがない」か「テストは 1 年以上も
前」です。しかしながら、「安全でない」と認めたの
は、5 分の 1 に過ぎません。

出典 日本...
Webサイト脆弱性対策の実情
それぞれのフェーズでの問題点
上流工程でセキュリティ対策を行うべきだが、現実は難しい。
実施すべき
内容

セキュリティを
考慮した設計

要件定義

問題点

設計

セキュリティの
専門知識を
もった人間が
い...
約48%が脆弱性対策に3ヶ月以上を要している
• ウェブアプリケーションの改修には、予算取得が難しい、開発者確保が難し
いなどの事情により、危険性の高い脆弱性でも放置されている現状があり
ます。

• IPA の調査によれば、脆弱性の修正に 9...
ベリサインってSSLサーバ証明書の会
社でしょ?脆弱性対策ってできるの?

できます。
実は、当社のSSLサーバ証明書は一味
違うんです。
41
Webサイト診断・防御ソリューション
 SSLサーバ証明書による、「通信暗号化」「サイトの実在性証明」
 SSLサーバ証明書に無償バンドルされる
「マルウェアスキャン」、「脆弱性アセスメント」

 ウェブサイトへの攻撃には「シマンテック ...
シマンテックSSLサーバ証明書独自の無償バンドル機能
脆弱性アセスメント

マルウェアスキャン

シールインサーチ

サイトに潜む“弱点”を診断

不正プログラムを検出

検索結果で安全を表示

お客様のウェブサイトに対し、ハッ
カーの攻撃対象...
脆弱性アセスメント - 概要
• 概要
– お客様ウェブサイトに潜在す
るセキュリティの問題点(脆弱
性)の有無を診断いたします
– 診断結果を詳細レポート(PDF)
で確認いただけます

• バンドル(無償提供)対
象 SSLサーバ証明書製
...
脆弱性アセスメント - レポート
•

脆弱性アセスメントの結果を、2段階のリスクレベルと9種類の影響範囲で示します。
9種類の
影響範囲

2段階の
リスクレベル

脆弱性数
検知した
脆弱性数を表示
45
マルウェアスキャン
ウェブサイトのHTML上の悪意のあるソフトウェアやコード(マル
ウェア)を検知し、管理者に通知するマルウェアスキャン機能。
検索エンジンにブラックリスト扱いされるのを防いだり、ウェブサ
イト訪問者のコンピュータが感染する危険...
ゲートウェイ型セキュリティ俯瞰図
IDS/IPS

Webサイトに対する攻撃を
検知・防御

ネットワーク層への攻
撃を検知・防御

Webサーバー、メールサーバー等

WAF

DMZ
クラウド型WAF

FireWall

ネットワークのア...
自民党様へのシマンテック クラウド型WAF導入
シマンテックの提供するクラウド型WAF(ウェブアプリケーションファイアウォー
ル)は通常のファイアウォールとは異なり、ホームページの脆弱性を無害化
し、ホームページの改ざんや個人情報漏洩等のリスク...
シマンテック クラウド型 WAFのご紹介
 WAF機能をクラウド型で提供
– お客様のウェブアプリケーションに変更を加えることなく、WAFの導入が可能です
– 短期間で導入が可能です
– 運用やシグネチャ更新は、全てクラウド側で対応します (...
シマンテック クラウド型 WAFの機能
• 防御できる主な攻撃

• 主要機能一覧
防御機能

登録されている不正な通信パターンを検出した場合、該当通信を遮断

モニタリング機能

登録されている不正な通信パターンを検出した場合、該当通信を記録...
従来型WAFとクラウド型WAFの比較
比較ポイント

従来型WAF
(アプライアンス型、ソフトウェア型)
高価

導入費用

– 機器購入費用、保守費用、設計・構築費用など
高額な初期費用が発生する。年ごとに機器の保
守費用、設定変更時にメンテ...
シマンテック クラウド型WAFの優位性
検知精度
インバウンドとアウトバンドの双方向のトラフィックを見て攻撃ブロック・モニターの判断するため、高い検知精
度を保ちながら、誤検知を押さえる事ができます。主なIPSでは、インバウンドのパターンマッチ...
WAFの運用
• 運用ポリシーの設定

最も重要なポイントは、
導入することよりも、
“運用し続けること”

出展;独立行政法人 情報処理推進機構 「Web Application Firewall 読本」
http://www.ipa.go....
「不正ログイン」の抑制機能
• パスワードリスト攻撃の影響を最小限に抑えるため、同じIPレ
ンジからの同処理の通信回数をウオッチするとともに、その通
信がログインの処理かどうかを判別する機能を搭載しました。
シマンテック
クラウド型WAF
Bl...
WAFサービス1ヶ月お試しサービス
シマンテック クラウド型 WAFの1ヶ月トライアル提供開始
導入パターン

詳細内容

条件

hosts型

お客様のPCのhosts設定を変更することで、自社サイトにWAFサービス経由でアクセスが可
能に...
•

SSLサーバ証明書やコードサイン証明書は最新の状態に保って
暗号強度を常に安全に保ってください。

•

ウェブアプリケーションの脆弱性を付いた攻撃は活発化していま
す。

•

まず知ること(診断)から始めて、その内容に応じた対策(改修...
【ご参考】シマンテック セキュリティ診断サービス (有料サービ
ス)
診断はインターネット経由で実施します。
お客様のご希望に応じて、オンサイト診断も実施します
(別途費用)
診断時のトラフック量は、
数十Kbps程度です

お客様サイト
診断...
ご参考資料

Webアプリケーション脆弱性診断項目

脆弱性の多くはこれらの組み合わせで発生します。また、名称のついていないものも存在します。
独自診断ツールと共に専門技術者による手動診断によりこれらの脆弱性を検出します。

脆弱性区分
認証
...
ご参考資料
診断項目
ネットワーク調査

プラットフォーム脆弱性診断項目

区分
TCP

UDP
サービス調査
主要サービス調査

サービス
FTP
SSH

Telnet
SMTP
POP
DNS
Finger
HTTP/HTTPS

Au...
Upcoming SlideShare
Loading in …5
×

デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)

4,103 views

Published on

近年の報道から、情報漏えい事件やサイバー犯罪が増加する傾向が明らかです。攻撃が巧妙になる一方で年5,000件以上も脆弱性が発見されるなど、安全なWebサイトを構築しその安全性を維持していくことはとても困難です。またコンピュータの性能の向上と暗号強度のいたちごっこは、まだ安全とはいえSSL通信の暗号強度も今後はより高いものが必要になってきます。
最新のWebサイト攻撃の傾向を解説するとともに、安全なWebサイトを構築する為に自社のセキュリティの現状を把握する方法、そして対策方法をご紹介します。あわせて暗号の今後の方向性についても解説します。

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,103
On SlideShare
0
From Embeds
0
Number of Embeds
89
Actions
Shares
0
Downloads
36
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)

  1. 1. 【14-E-L】暗号破りに新たな攻撃!進化す る脅威に対抗するためのWebサイトセキ ュリティとSSLの進化 日本ベリサイン株式会社 SSL製品本部SSLプロダクトマーケティング部 #devsumiE 1
  2. 2. 電子証明書 ~現代ネット社会の安全を守る鍵~ • 電子証明書は、「ウェブサイト」「ダウンロードファイル」「電子メール」などに 利用されており、日々ネットの安全を守っている 認証、発行 認証局 (CA:Certification Authority) Symantecなど SSLサーバ証明書 コードサイニング証明書 セキュアメールID (ウェブサイト通信の暗号化、 ウェブサイト運営者の実在性証明) (ダウンロードファイルの改ざん検知、 配布者の実在性証明) (電子メールの改ざん検知、 配信者の実在性証明) 2
  3. 3. SSLサーバ証明書 SSLサーバ証明書における ハッシュアルゴリズムの移行について 3
  4. 4. SSLサーバ証明書 認証局とSSLの仕組み • 認証局やSSLサーバ証明書は、原則的には“誰でも”作成可能 • 一方、商用のSSLサーバ証明書は、認証局(CA)と呼ばれる証明書発行機関 が業界で定めるルールに基づいて認証・発行 ①エンドユーザのブラウザ等向 けにシマンテックがルート証明書 を広く無償配布・維持管理 認証局 (シマンテック) ②企業顧客がSSLサーバ証明 書を購入し、ウェブサーバ等に インストール ブラウザベンダ、組み込み機器ベンダ 認証、発行 ③ブラウザとウェブサーバ間 でSSL通信が行われる ウェブサイト管理者 インス トール SSL通信 https:// エンドユーザ 企業(ウェブサイト等) 4
  5. 5. SSLサーバ証明書 SSLを支える技術 構成要素 ウェブサーバ運営団体の 主なアルゴリズム名 「公開鍵」暗号方式 RSA, ECC, DSA ウェブサーバとウェブブラウザ間の 暗号化通信 「共通鍵」暗号方式 RC4, DES/3DES, AES データの改ざん検知 ハッシュアルゴリズム SHA-1, SHA-2 (SHA-256) 実在性の証明 5
  6. 6. SSLサーバ証明書 ハッシュアルゴリズムとは? 緘 • ハッシュアルゴリズムは「封筒に封字する」ような行為 • メッセージを受け取った時に、通信経路上で改ざんされていない か、受け取ったデータが壊れていないかを確認する技術 同じメッセージを入力すると、常に同じ結果が得られる <入力値> <ハッシュ値> SSLの暗号アルゴリズム移行 について SHA-1 05673990ABD9FCF205CECBD07F8DD57F22A6859B SHA-2 FBEB25E663FB9808255A8E87079129C020FC7320D5B18FA32C742778286D5569 SSLの暗号アルゴリズムの移 行について SHA-1 6D13285B76B102564E9E5167CBB4EEF8A35C93CA SHA-2 31334AEA370EE4D2AC7579E64AE40824A08DAEE42C92F3BBDB6555085957EDDC 1文字でも入力値が変われば、ハッシュ値も変わる(桁数は変わらない) ハッシュ値から元のメッセージを復元することは不可能 (一方向性関数) ただし、コンピュータの性能向上に伴う世代交代が必要 6
  7. 7. SSLサーバ証明書 ショッピングサイトで購入するときの通信イメージ ショッピングサイトにアクセス https://www.example.com/index.html 最初に、SSLサーバ証明書、中間認証局証明書を送付 「公開鍵」暗号方式 ハッシュアルゴリズム 送付されたSSLサーバ証明書のチェーンが、ブラウザのル ート証明書と一致しているかをハッシュ値で検証 もし、偽物であれば、警告画面を表示 「公開鍵」暗号方式による鍵交換 「共通鍵」暗号方式による通信の暗号化 7
  8. 8. SSLサーバ証明書 暗号の世代交代の必要性 NIST (米国標準技術研究所) 勧告を元に作成 等価安全性 (非推奨) 80bit 112bit 128bit 2010年末まで 2011年以降 2031年以降 低 ハッシュアル ゴリズム 「公開鍵」 暗号方式 安全性 MD2,MD4, MD5… 終了 RSA512.... 終了 SHA-1 世代交代 予定 RSA1024 2013年 末終了 高 SHA-2 (SHA-224) 予定 RSA2048 利用 可能 SHA-2 (SHA-256) 予定 RSA3072 ECC256 利用 可能 「暗号アルゴリズムの2010年問題」 の一環でRSA1024は終了 実は、ハッシュアルゴリズムは対応が遅れている!! 注 : 共通鍵暗号方式は、SSLサーバ証明書には含まれない(ブラウザとサーバにより決定される)ため、当ページから割愛 8
  9. 9. SSLサーバ証明書 暗号の世代交代で考慮すべきこと • 暗号の世代交代のために、ウェブサイト管理者及び認証局 は、「暗号強度」と「エンドユーザのカバレッジ」を考慮する必 要がある 中長期的に徐々に移行 強 ECC384 SHA-2 暗号強度 RSA2048 SHA-1 明確な時期を定めて移行 RSA1024 弱 狭 エンドユーザーのカバレッジ 広 SHA-2の対応プラットフォームは近年改善傾向 9
  10. 10. SSLサーバ証明書 ハッシュアルゴリズム ハッシュ アルゴリズムの移行について 10
  11. 11. SSLサーバ証明書 ハッシュ アルゴリズムの移行の背景 ハッシュアルゴリズム • インターネットにおける一般的なセキュリティ要件として 「SHA-2」への対応の必要性が高まっている – 米国政府(NIST勧告) : SHA-1は最長2013年末までに使用停止 – PCI DSS : NIST勧告と同等 (SHA-1は最長2013年末までに使用停止 ) – 日本政府(NISC指針) : SHA-1は最長2019年までに使用停止 – 民間(CA/B Forum Baseline Requirement) : 2016年末使用停止(Microsoft社) • マイクロソフト社のアナウンス概要 * – Windows OSにおけるSSLサーバ証明書の利用について、より安全性の高 いSHA-2への移行を促すと同時に、SHA-1の利用を停止すると発表 SHA-1発行 SSLサーバ証明書 SHA-1利用 最長2015年12月31日まで 最長2016年12月31日まで * http://technet.microsoft.com/ja-jp/security/advisory/2880823 http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx 11
  12. 12. SSLサーバ証明書 SHA-1を使い続けることの問題点 ハッシュアルゴリズム • 偽証明書による”なりすまし証明書”の問題 本物の証明書と同じハッシュ値の偽証明書を作成し、 アクセス時に偽証明書を送付して検証成功させる 攻撃者 • SHA-1利用サイトへのアクセス時に警告画面が表示される問題 図は証明書エラー画面のイメージ 12
  13. 13. SSLサーバ証明書 ハッシュアルゴリズム シマンテックの移行方針 シマンテックではスムーズなSHA-2移行を促進するため、①SHA-2対応証明書 の提供拡大、②SHA-1の順次制限を実施 ① SHA-2対応のSSLサーバ証明書の提供を全販売経路に拡大済 公開鍵/ハッシュ SSL販売システム マネージド PKI for SSL (SSL大規模利用顧客) ストアフロント (SSL購入サイト) *グローバル・サーバID、グローバル・サーバID EVに限ります。 今回追加される暗号アルゴリズムのご利用において、追加料金は不要 RSA (SHA-1) RSA (SHA-2) ECC (SHA-2) ○ ○ ○ ○ ○* ○* New! New! ② 今後、マイクロソフト社のアナウンスメントに合わせ、SHA-1証明書の発行を 最長2015年末までに制限。また、SHA-1証明書の利用を最長2016年末まで に制限 13
  14. 14. SSLサーバ証明書 ハッシュアルゴリズム 求められる具体的なアクション SHA-2の導入 ウェブサイト管理者 • • SHA-1の利用停止 • SHA-1証明書が2017年を超え る場合、再発行などの手段に よってSHA-2証明書を順次導入 SHA-2証明書のシステム間連 携検証 SHA-2証明書やルート証明書 の導入(最長2016年12月31日まで) • SHA-1証明書が2017年を超え る場合、再発行などの手段に よってSHA-2証明書を順次導入 SHA-2アルゴリズムへの対応 SHA-2ルート証明書をブラウ ザや組み込み機器へ実装 • SHA-1証明書に対して順次警 告表示などの対処 SHA-2証明書の検証 SHA-2証明書の順次導入(最長 2016年12月31日まで) • APIを利用したシステ ム間連携の管理者 ブラウザベンダ 組み込み機器ベンダ • • • SHA-1を利用するウェブサイト管理者やブラウザベンダ等は、あと3年以内 にSHA-2への移行を済ませなければならない 14
  15. 15. SSLサーバ証明書 各種プラットフォームの対応状況 RSA (SHA-2) PCブラウザ ハッシュアルゴリズム 補足事項 ○ Windows XP SP3以降、Mac OS X スマートフォン ○ Symbian OS, Windows MobileはSHA-2非対応 携帯電話 △ アクセスカバー率 4割程度 (Windows / Mac) ブラウザ ○: アクセスカバー率90%以上、 △: アクセスカバー率90%未満30%以上 RSA (SHA-2) 補足事項 ○ Apache2.0 / OpenSSL0.9.8 以降 IIS ○ Windows 2008以降 ○ BIG-IP 2000s 11.4.1、BIG-IP 3900 10.2.4にて 検証済 FortiGate * ○ FortiGate-60C (FortiOS 5.0 GA Patch6) にて検 証済 A10ネットワークス ○ A10 AX2500 2.7.1-P3 にて検証済 Coyote Point * ロードバランサ Apache BIG-IP * (F5社) ウェブサーバ ○ Coyote Point Systems Equalizer E470LX (v10.2.1a) にて検証済 (フォーティネット社) ○: CSR生成、証明書インストール、https接続可能) * 株式会社ネットワールドとの共同検証結果 15
  16. 16. SSLサーバ証明書 ECC (楕円曲線暗号) について 「公開鍵」暗号方式 • ECCは、現在の標準的な暗号方式に比べ、短い暗号鍵長でも、より強固 なセキュリティを実現することができる暗号技術 • ホスティング事業等を展開する株式会社ディレクターズは、ECC(SHA-2) 対応版SSLサーバ証明書を導入することで、WebサーバのCPUにかかる 負荷が46%軽減され、応答時間が7%改善されたことを確認 各暗号アルゴリズムに関する等価安全性比較 株式会社ディレクターズによる計測値 NIST : Recommendation for Key Management (SP 800-57)* を基にシマンテック社にて作成 * http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf (P.64) 16
  17. 17. コードサイニング証明書 コードサイニング証明書における ハッシュアルゴリズムの移行について 17
  18. 18. コードサイニング証明書 コードサイニング証明書とは? • コードサイニング証明書は、exeファイル などにデジタル署名することにより、「発 行元の保証」、「ダウンロードファイルが改 ざんされていないこと」を実現するデジタ ル証明書 • マイクロソフト社のアナウンス概要 * 検証OK パソコン、組み 込み機器等 認証、発行 プログラム開発ベンダ アプリ開発ベンダ – SSLサーバ証明書よりもSHA-1利用停止が1年早い。(SHA-1証明書の発行、 及び利用を最長2015年末までに制限) – ただし、タイムスタンプ付きで署名されたコードについては、引き続き「信 頼される」プログラムとして認識される SHA-1発行 コードサイニング証明書 SHA-1利用 最長2015年12月31日まで 最長2015年12月31日まで * http://technet.microsoft.com/ja-jp/security/advisory/2880823 http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx 18
  19. 19. コードサイニング証明書 コードサイニング証明書に関して 求められる具体的なアクション SHA-2の導入 SHA-1の利用停止 • プログラム開発ベンダ • SHA-2証明書の検証 • SHA-2証明書の順次導入(最長 アプリ開発ベンダ 2015年12月31日まで) 組み込み機器ベンダ • • SHA-2アルゴリズムへの対応 SHA-2ルート証明書をブラウ ザや組み込み機器へ実装 • • 可能な限り、タイムスタンプ付 きでコードにデジタル署名を 実施 SHA-1証明書が、2016年を超 える場合、再発行などの手段 によってSHA-2証明書を順次 導入 SHA-1証明書に対して順次警 告表示などの対処 SHA-1を利用するプログラム開発ベンダ等は、あと2年以内にSHA-2への移 行を済ませなければならない 19
  20. 20. セキュアメールID セキュアメールIDにおける ハッシュアルゴリズムの移行について 20
  21. 21. セキュアメールID セキュアメールIDとは? • セキュアメールIDは、電子メールにデジタ ル署名することにより、「発行元の保証」、 「電子メールが改ざんされていないこと」 を実現するフィッシング詐欺対策用デジタ ル証明書 認証、発行 メーラー メール配信管理者 • マイクロソフト社のアナウンス概要 * – マイクロソフト社のアナウンスメントに合わせ、SHA-1証明書の発行を最 長2015年末までに制限。また、SHA-1証明書の利用を最長2016年末まで に制限 SHA-1発行 セキュアメールID SHA-1利用 最長2015年12月31日まで 最長2016年12月31日まで * http://technet.microsoft.com/ja-jp/security/advisory/2880823 http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx 21
  22. 22. セキュアメールID セキュアメールIDに関して 求められる具体的なアクション SHA-2の導入 メール配信管理者 • • SHA-2証明書の検証 SHA-2証明書の順次導入 (2016 SHA-1の利用停止 • SHA-1証明書が、2016年を超 える場合、再発行などの手段 によってSHA-2証明書を順次 導入 • SHA-1証明書に対して順次警 告表示などの対処 年12月31日まで) • SHA-2アルゴリズムへの対応 メールソフト開発業者 • SHA-2ルート証明書をブラウ メール配信ASP業者 ザや組み込み機器へ実装 SHA-1を利用するメール配信管理者等は、あと3年以内にSHA-2への移行 を済ませなければならない 22
  23. 23. ウェブサイト攻撃の最新動向 23
  24. 24. ウェブサイトへの攻撃はますます増加しています! 出典 シマンテック 「インターネットセキュ リティ脅威レポート2012」 24
  25. 25. 決して大手企業だけの脅威ではありません。 小規模企業を狙った攻撃の総数は 2011 年に比べて3 倍に増加し、全 攻撃中の割合も 18% から 31% と ほぼ倍になっています。 出典 シマンテック 「インターネットセキュ リティ脅威レポート2012」 25
  26. 26. 情報漏えいの影響 出典 日本ベリサイン ホワイトペーパ 「ウェブサイトセキュリティ脅威レポート 2013」1 損害賠償額 : 7500万円 JNSA 「情報セキュリティインシデントに関する調査報告書」 調査費用、セキュリティ再構築費用 : 5000万円~1億円 IPA 「企業における情報セキュリティ事象被害額調査」 ブランド毀損、風評被害、イメージ低下 : 売上の5%~40% 過去の事例より 26
  27. 27. 不正アクセス禁止法違反検挙件数 昨年との比較 サイバー犯罪の検挙件数の推移 件 5,000 817 4,000 243 3,000 95 219 不正アクセス禁止法違反 コンピュータ・電磁的記録対象犯罪及び 不正指令電磁的記録に関する罪 2,000 2,930 3,057 H24(上) H25(上) ネットワーク利用犯罪 1,000 0 (2013年9月26日 警察庁発表 広報資料) 2012年と2013年各々上半期の不正アクセス禁止法違反検挙件数を比較す ると、件数にして574件、割合にして236%増加 27
  28. 28. 近年のウェブサイト攻撃に関する傾向 ウェブサイトの脆弱性 98%のウェブサイトが何らかの脆弱性 を抱えている 特に、危険度[高]のサイトは、全体の 2/3以上 (68%)も存在している 11年4月 大手ゲーム会社 ネット配信サービスで、1億件強の顧客情報漏えい 11年12月 大手ゲーム会社 不正アクセスで、180万件の顧客情報漏えい 12年3月 大手ソフトウェアダウンロードサイト26万件の顧客情報漏えい 12年4月 お中元・お歳暮通販サイトに不正アクセス、1,117名の顧客情報が漏えい 13年3月 環境省 サイト改ざん エンドユーザがマルウェア感染の恐れ 13年5月 百貨店オンラインサイトが相次いで情報漏えい 13年5月 レンタルルータ・携帯業者がマルウェア感染の恐れ 28 28
  29. 29. 新たな手口の追加による“ウェブ改ざん連鎖”の拡大 出典 IPA http://www.ipa.go.jp/security/txt/2013/07outline.html 29
  30. 30. 攻撃手法は様々です • Apache Struts2の脆弱性 • SQLインジェクション攻撃 • パスワードリスト攻撃 • CMSの脆弱性 • ドライブバイダウンロード攻撃 • Darkleech Apache Module • 管理者パソコンへのマルウェア混入
  31. 31. X社の例 (Apache Struts2の脆弱性) • 2013年3月に不正アクセスを受け、8月上旬にサイト再開 • 以下の対策を実施 (1)不正アクセスの可能性を検知し、自動的に遮断する機構の導入 (2)改ざん検知機構の導入 (3)アクセス制御の厳格化 (4)アプリケーション脆弱性の対策と断続監視体制の強化 (5)システムの完全再構築 (6)クレジットカード情報の完全不保持への移行 (7)会員ログインフォームのセキュリティ向上 (8)PCI DSS完全準拠 (9)社内体制の厳格化
  32. 32. Y社の例 (SQLインジェクション攻撃) • 2013年4月にSQLインジェクション攻撃を受け、「カード名義人 名」、「カード番号」、「カード有効期限」、「セキュリティコード」、 「お申込者住所」が漏洩。 • 以下の対策を実施 (1)侵入経路の遮断及びお客様情報の削除 (2)クレジットカードのモニタリング (3)クレジットカード情報の非保持 (4)当該サーバーのシステムの変更 (5)第三者機関による脆弱性調査 (6)所轄警察署への報告および所轄官庁への第一報 + 代表取締役社長の月額報酬30%を3ヶ月減額
  33. 33. パスワードリスト攻撃とは? ②IDとパスワード を不正に入手 ID : Taro_1030 PWD : hogehoge ID : Taro_1030 PWD : hogehoge ネットユーザー ①IDとパスワードを複 数サイトで使い回し A社サイト B社サイト ID : Taro_1030 PWD : hogehoge C社サイト ID : Taro_1030 PWD : hogehoge D社サイト ID : Taro_1030 PWD : hogehoge 攻撃者 ③別のサイトに 不正ログイン 不正取得したIDとパスワードのリストを流用し、別のWebサイトへ不正にロ グインする攻撃手法  攻撃成功率が高く、サイト運営者側が気づきにくい  サイト運営者は、ユーザーがパスワード流用しているかどうかを確認できない 出典:IPA https://www.ipa.go.jp/security/txt/2013/08outline.html 33
  34. 34. あなたが普段利用しているサイト(若しくはスマートフォンアプリ) で、ID/パスワードでログインするサイト数は幾つありますか? [調査2]ネットユーザー調査 50個以上, 2.3% 30~49個, 3.0% 全く把握でき ていない, 11.0% 1~4個, 26.3% 20~29個, 4.3% 10~19個, 23.7% 5~9個, 29.3% % n=300, 単一回答 80%であり、 ログインするサイト数は、1~19個が約 最も多いのは5~9個 (約30%) シマンテック 2013年9月調査 34
  35. 35. あなたが記憶できるID/パスワードの記憶可能数を教 えてください [調査2]ネットユーザー調査 10組以上、記憶可能, 7.0% 6~9組なら記憶可能, 3.7 % 1組でも記憶しておく自 信がない, 6.0% 1組なら記憶可能, 11.7% 4~5組なら記憶可能, 19.3% 2~3組なら記 憶可能, 52.3% % 記憶できるパスワード数は シマンテック 2013年9月調査 n=300, 単一回答 2~3個 (52%) 35
  36. 36. 多発する不正ログイン事件 サービス名 ポータルサイト 電子書籍 鉄道会社 通販会社 化粧品会社 百貨店 ゲーム会社 オンラインゲーム会社 インターネット接続サービス オンラインゲーム会社 ブログサイト チケット予約サイト オンラインゲーム会社 小売業 発表日付 4月3日 4月5日 4月17日 5月8日 5月21日 5月25日 7月5日 7月9日 7月17日 8月8日 8月12日 10月4日 10月7日 10月23日 2013年に発生した主な不正ログイン事件 不正ログイン件数 約10万8千件 779件 97件 約1万5千件 682件 約8千件 約2万4千件 約3万5千件 約2万1千件 約4万件 約24万件 約1千件 316件 約15万件 2013年に急激に増加した不正ログイン事件 36
  37. 37. ウェブサイト攻撃への対策 37
  38. 38. 理想と現実の狭間: 脆弱性のギャップ 企業の 5 分の 2 は、ウェブサイトの脆弱性を「一 度もテストしたことがない」か「テストは 1 年以上も 前」です。しかしながら、「安全でない」と認めたの は、5 分の 1 に過ぎません。 出典 日本ベリサイン ホワイトペーパー「オンラインとそのリスク ウェブサイトのセキュリティにおける脆弱性」 38
  39. 39. Webサイト脆弱性対策の実情 それぞれのフェーズでの問題点 上流工程でセキュリティ対策を行うべきだが、現実は難しい。 実施すべき 内容 セキュリティを 考慮した設計 要件定義 問題点 設計 セキュリティの 専門知識を もった人間が いないケース が多く、セキュ リティを考慮し た設計が困難 セキュア コーディング 実装 外注への依頼 が多いため、 開発者のスキ ルにバラつき があり、セキュ アなコーディン グに漏れが発 生するケース が多い。 脆弱性診断 脆弱性診断・ WAF テスト 運用 脆弱性診断 は、期間もコス トもかかる為、 結局実施され ないケースも 多い 新たに発見さ れた脆弱性に 対する対処が つい後回しに なってしまう。 39
  40. 40. 約48%が脆弱性対策に3ヶ月以上を要している • ウェブアプリケーションの改修には、予算取得が難しい、開発者確保が難し いなどの事情により、危険性の高い脆弱性でも放置されている現状があり ます。 • IPA の調査によれば、脆弱性の修正に 91 日以上の日数を要した届けで は、全体の 48% にのぼります。この傾向は年々増加しております。 IPA ソフトウェア等の脆弱性関連情報に関する届出状況 [2012 年第 2 四半期(4 月~ 6 月) 40
  41. 41. ベリサインってSSLサーバ証明書の会 社でしょ?脆弱性対策ってできるの? できます。 実は、当社のSSLサーバ証明書は一味 違うんです。 41
  42. 42. Webサイト診断・防御ソリューション  SSLサーバ証明書による、「通信暗号化」「サイトの実在性証明」  SSLサーバ証明書に無償バンドルされる 「マルウェアスキャン」、「脆弱性アセスメント」  ウェブサイトへの攻撃には「シマンテック クラウド型 WAF」  詳細な診断「シマンテック セキュリティ診断サービス」 SSLサーバ証明書 無料付加機能 42
  43. 43. シマンテックSSLサーバ証明書独自の無償バンドル機能 脆弱性アセスメント マルウェアスキャン シールインサーチ サイトに潜む“弱点”を診断 不正プログラムを検出 検索結果で安全を表示 お客様のウェブサイトに対し、ハッ カーの攻撃対象になる脆弱性が存 在していないか、シマンテックが週1 回、外部から検知・レポート。 サイバー攻撃の危険に備える お客様のサイトを毎日チェックし、 悪意のあるソフトやコードをスキャ ンして管理者に通知。サイト訪問 者のPCがマルウェア感染する危 険性を軽減 。 マルウェア感染を未然に防ぐ Google、Yahoo、gooなどの検索 結果で、シマンテックSSL導入サイ トのリンク横にノートンのマークを 表示。 サイト集客アップを支援 43
  44. 44. 脆弱性アセスメント - 概要 • 概要 – お客様ウェブサイトに潜在す るセキュリティの問題点(脆弱 性)の有無を診断いたします – 診断結果を詳細レポート(PDF) で確認いただけます • バンドル(無償提供)対 象 SSLサーバ証明書製 品 – EV SSL証明書 – グローバル・サーバID • 診断方法 – お客様のウェブサイトに対して、 ハッカーの攻撃対象になる 脆弱性が存在していないか、 シマンテックが外部から診断・ レポートいたします。 44
  45. 45. 脆弱性アセスメント - レポート • 脆弱性アセスメントの結果を、2段階のリスクレベルと9種類の影響範囲で示します。 9種類の 影響範囲 2段階の リスクレベル 脆弱性数 検知した 脆弱性数を表示 45
  46. 46. マルウェアスキャン ウェブサイトのHTML上の悪意のあるソフトウェアやコード(マル ウェア)を検知し、管理者に通知するマルウェアスキャン機能。 検索エンジンにブラックリスト扱いされるのを防いだり、ウェブサ イト訪問者のコンピュータが感染する危険性を軽減できます。 お客様のサイト ② ③ ① クローラー 分析サーバ 46
  47. 47. ゲートウェイ型セキュリティ俯瞰図 IDS/IPS Webサイトに対する攻撃を 検知・防御 ネットワーク層への攻 撃を検知・防御 Webサーバー、メールサーバー等 WAF DMZ クラウド型WAF FireWall ネットワークのアクセス 制御 踏み台サイト 悪意を持ったサイト 社外向けシステム UTM/次世代FW 標的型攻撃やマル ウェア検知・防御 社内システム 保護対象 WAF UTM、次世代FW (L7ファイアウォール) FireWall (L4ファイアウォール) IDS、IPS 守ることができる主な攻撃 公開Webサーバー SQLインジェクション、クロスサイトスクリプティング、 パスワードリスト攻撃 DMZ、社内システム 標的型攻撃、マルウェア感染、ネットワークのアクセ ス制御を超える攻撃 DMZ、社内システム ネットワークのアクセス制御を超える攻撃 DMZ、社内システム DoS攻撃、Synフラッド攻撃 47
  48. 48. 自民党様へのシマンテック クラウド型WAF導入 シマンテックの提供するクラウド型WAF(ウェブアプリケーションファイアウォー ル)は通常のファイアウォールとは異なり、ホームページの脆弱性を無害化 し、ホームページの改ざんや個人情報漏洩等のリスクを軽減することができ ます。 自民党本部のホームページにシマンテック クラウド型WAFが4月より導入されました。 48
  49. 49. シマンテック クラウド型 WAFのご紹介  WAF機能をクラウド型で提供 – お客様のウェブアプリケーションに変更を加えることなく、WAFの導入が可能です – 短期間で導入が可能です – 運用やシグネチャ更新は、全てクラウド側で対応します (Struts2の脆弱性対応) 本サービスは、セキュアスカイ・テクノロジー社のScutumを利用しております。 49
  50. 50. シマンテック クラウド型 WAFの機能 • 防御できる主な攻撃 • 主要機能一覧 防御機能 登録されている不正な通信パターンを検出した場合、該当通信を遮断 モニタリング機能 登録されている不正な通信パターンを検出した場合、該当通信を記録 (通信自体は遮断されません) ログ機能 WAFサービスにて検出された不正と思われる通信を記録し、閲覧 シグネチャ更新機能 不正な通信パターンを随時最新の状態に更新 特定URL除外機能 防御機能が不要なウェブページを防御対象から除外 IPアドレス許可・拒否機能 特定のIPアドレスからの通信を拒否 SSL通信機能 暗号化された通信においても解読し防御 50
  51. 51. 従来型WAFとクラウド型WAFの比較 比較ポイント 従来型WAF (アプライアンス型、ソフトウェア型) 高価 導入費用 – 機器購入費用、保守費用、設計・構築費用など 高額な初期費用が発生する。年ごとに機器の保 守費用、設定変更時にメンテナンス費用が必 要。 非常に手間がかかる 導入・運用の 手間 – サイトにあわせて細かいパラメータ設定が必要 で、導入まで半年ほどかかる場合も。 – ホワイトリストとブラックリストの両方を使用する ことができ、高いセキュリティ要求にも対応可 能。 必要 セキュリティ 技術者 安価 – 複数台の冗長構成環境で、すぐに使用可能な 状態をご用意。 初期費用:102,900円 年額:356,706円~ (税込) とても手軽 – お客様側作業はDNSの切り替えだけとなる 為、即座に導入が可能。 – 運用開始後もアプリケーションを変更するたび に、WAF設定を変更する必要がある。 2種類 防衛モデル シマンテック クラウド型WAF – 導入時・運用時とも、お客様サイトのシステム構 成とWAFを理解したセキュリティの専門技術者が 必要。 1種類 – ブラックリストを使ったシグネチャーモデルの みを採用し、サイトの構成変更にも柔軟に対 応可能。 不要 – 運用は全てクラウド側で実施するため、お客 様側ではWAF用のセキュリティ技術者は不 要。 – 従来同様のサーバ運営でOK。 従来型WAFは、理想的な脆弱性対策の一つとしての機能は果たすが、 効果に比べ、コスト、運用負荷などが割高になっている 51
  52. 52. シマンテック クラウド型WAFの優位性 検知精度 インバウンドとアウトバンドの双方向のトラフィックを見て攻撃ブロック・モニターの判断するため、高い検知精 度を保ちながら、誤検知を押さえる事ができます。主なIPSでは、インバウンドのパターンマッチングでの対応 になるため、検知精度を上げると誤検知が増える恐れが有ります。 また、戻りのトラフィックをチェックすることで、 CGIやDBが吐くエ ラーを外部に出しません。 ①インターネット上をクロール ②検索でエラーコード を入力 シグネチャの専門性 WAFは攻撃だけでなくエラー コードの流出も防ぎます CGI/DBエラー ③攻撃 新たな攻撃に対応する際に、シグネチャとプログラムの両方の改善で対応できるWAFです。また、クラウドセ ンターで検知した新たな攻撃をクラウド上の全顧客に対し適用することが出来ます。 運用をアウトソース 新たな攻撃へのシグネチャ追加とチューニングを完全にアウトソースするためウェブセキュリティとウェブテクノ ロジの知識がなくても利用ができます。 52
  53. 53. WAFの運用 • 運用ポリシーの設定 最も重要なポイントは、 導入することよりも、 “運用し続けること” 出展;独立行政法人 情報処理推進機構 「Web Application Firewall 読本」 http://www.ipa.go.jp/security/vuln/waf.html 53
  54. 54. 「不正ログイン」の抑制機能 • パスワードリスト攻撃の影響を最小限に抑えるため、同じIPレ ンジからの同処理の通信回数をウオッチするとともに、その通 信がログインの処理かどうかを判別する機能を搭載しました。 シマンテック クラウド型WAF Block ログイン ユーザー名 パスワード OK 攻撃者  同一IPアドレスからの通信回数チェック  ログインの処理かどうかを判別 昨今の「不正ログイン」による情報漏洩対策として有効です! 54
  55. 55. WAFサービス1ヶ月お試しサービス シマンテック クラウド型 WAFの1ヶ月トライアル提供開始 導入パターン 詳細内容 条件 hosts型 お客様のPCのhosts設定を変更することで、自社サイトにWAFサービス経由でアクセスが可 能になります。また、管理画面へのアクセス権を付与します。 hosts設定変更したPCだけが、WAFサービスを経由するため、簡易なテストになりますが、 すぐにご利用できます。 1ヶ月間のみ FQDN数は1まで ※hostsファイルの設定は、PCの管理者権限が必要となります。 ※インターネットを利用する際に、プロキシーサーバを経由されている場合、hostsファイルの設定が反 映されませんので、プロキシを利用しない環境でテストをしてください。 お客様の自社ドメイン管理のDNS設定を変更(CNAME追加)することで、自社サイトにWAF サービス経由でアクセスが可能になります。また、管理画面へのアクセス権を付与します。 一般のエンドユーザからのアクセスが、WAFサービスを経由するため、詳細なテストが可能 です。不正アクセスを防御しないモニターモードがご利用できますので、正常通信を妨げるこ とはありません。 なお、WAFサービス側にSSLサーバ証明書(2ライセンス)が必要です。 DNS型 お客様 1ヶ月間のみ 帯域は5Mpbsを上限 FQDN数は1まで お客様Webサーバ Windowsのhostsファイル 200.0.0.1にリダイレクト 100.0.0.1 www.abc.com hosts型 WAF www.abc.com のIPアドレス は? DNS型 200.0.0.1 100.0.0.1 DNS www.abc.com 200.0.0.1にリダイレクト 100.0.0.1です※ WAF ※実際は、DNSのCNAME設定が必要です。 お申込方法 Web申込 https://www.verisign.co.jp/waf/ もしくは、弊社担当までご連絡ください。 55
  56. 56. • SSLサーバ証明書やコードサイン証明書は最新の状態に保って 暗号強度を常に安全に保ってください。 • ウェブアプリケーションの脆弱性を付いた攻撃は活発化していま す。 • まず知ること(診断)から始めて、その内容に応じた対策(改修 or 防御)を検討しましょう。 • 診断には、SSLサーバ証明書の付加機能の簡易なものから、有償 の診断までご提供できます。 • ウェブサイトの改修にすぐ手をつけられない場合には、WAFによる 防御を検討しましょう。 • WAFの開始に当たっては、運用にかかる負担を十分に考慮して製 品を選択しましょう。 56
  57. 57. 【ご参考】シマンテック セキュリティ診断サービス (有料サービ ス) 診断はインターネット経由で実施します。 お客様のご希望に応じて、オンサイト診断も実施します (別途費用) 診断時のトラフック量は、 数十Kbps程度です お客様サイト 診断対象のWeb サーバ VeriSign 診断サーバ インターネット 診断は、診断サーバを介して実 施します。不正防止対策とし て、診断サーバで全ての通信記 録を取得し、監査を行っていま す。 診断の際に利用するIPアドレ スは事前に通知します。 テストサーバへの診断の際には FWの設定を追加していただく ことがあります。 万が一の障害 に備え、事前に バックアップの 取得をお願いし ています。 診断対象のWebサーバに対 して、設定変更や、Agentソ フトウェアなどのインストール は一切不要です。 57
  58. 58. ご参考資料 Webアプリケーション脆弱性診断項目 脆弱性の多くはこれらの組み合わせで発生します。また、名称のついていないものも存在します。 独自診断ツールと共に専門技術者による手動診断によりこれらの脆弱性を検出します。 脆弱性区分 認証 承認 クライアント側での攻撃 コマンドの実行 情報公開 ロジックを狙った攻撃 (Logical Attack) 脆弱性名 総当り 不適切な認証 パスワード復元の検証の強度 セッションの推測 不適切な承認 セッションの固定 クロスサイトスクリプティング 偽コンテンツ CSRF(Cross Site Request Forgeries) バッファオーバーフロー 書式文字列攻撃 LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSIインジェクション XPathインジェクション ディレクトリインデクシング ソース記載による情報漏えい パストラバーサル リソース位置の推測 機能の悪用 リダイレクタ 不適切なプロセスの検証 手動診断でな いと検出でき ない脆弱性 58
  59. 59. ご参考資料 診断項目 ネットワーク調査 プラットフォーム脆弱性診断項目 区分 TCP UDP サービス調査 主要サービス調査 サービス FTP SSH Telnet SMTP POP DNS Finger HTTP/HTTPS Auth SNMP SMB/CIFS 脆弱性調査 RPC IPsec R Console 脆弱性情報収集 脆弱性調査 診断詳細項目 TCPポートスキャン TCPサービススキャン パケットフィルタリング調査 UDPポートスキャン UDPサービススキャン バナー情報収集調査 FTP匿名接続調査 FTPパスワード簡易推測調査 SSHプロトコルバージョン調査 SSH認証調査 SSHパスワード簡易推測調査 Telnetパスワード簡易推測調査 SMTP不正中継調査 SMTPアカウント簡易推測調査 POPパスワード簡易推測調査 DNS再帰問い合わせ調査 DNSゾーン転送調査 Fingerアカウント情報収集調査 HTTPメソッド調査 HTTPコンテンツ調査 HTTPアプリケーションマッピング調査(IISのみ) WebDAV/FrontPage調査 SSLプロトコルバージョン調査 SSL暗号強度調査 SSL証明書調査 Proxy不正中継調査 Authアカウント情報収集調査 SNMPコミュニティ簡易推測調査 SMB/CIFSアカウント情報収集調査(Windowsのみ) SMB/CIFSパスワード簡易推測調査 ONC/RPC情報収集 IKE情報収集調査 R認証調査 リモート管理コンソール調査 脆弱性情報収集 診断ログ精査 概要 TCPポートの開閉を調査します。 TCPポートのサービス稼働状況を調査します。 各種TCPパケットを送信してパケットフィルタリングの状態を調査します。 UDPポートの開閉を調査します。 UDPポートのサービス稼働状況を調査します。 サービスのバージョン情報等を収集します。 FTPに匿名接続が可能か調査します。 FTPの認証に対して簡易的なパスワード推測を行います。 SSHがサポートしてるプロトコルバージョンを調査します。 SSHがサポートしてる認証方法を調査します。 SSHの認証に対して簡易的なパスワード推測を行います。 Telnetの認証に対して簡易的なパスワード推測を行います。 SMTPが不正中継を許していないか調査します。 SMTPのVRFY/EXPNを使って簡易的なアカウント推測を行います。 POPの認証に対して簡易的なパスワード推測を行います。 第三者に対してDNSの再帰問い合わせを許していないか調査します。 第三者に対してDNSのゾーン転送を許していないか調査します。 Fingerを利用してアカウント情報収集を行います。 許可されているHTTPメソッドを調査します。 攻撃者に有益なコンテンツが公開されていないか調査します。 有効になっているアプリケーションマッピングを調査します。 WebDAV/FrontPage経由の情報収集を行います。 SSLがサポートしているプロトコルバージョンを調査します。 SSLがサポートしている暗号強度を調査します。 SSLで使用している証明書を調査します。 Proxyが不正中継を許していないか調査します。 Authを利用してアカウント情報収集を行います。 SNMPに対して簡易的なコミュニティ名推測を行います。 SMB/CIFS経由でアカウント情報収集を行います。 SMB/CIFSの認証に対して簡易的なパスワード推測を行います。 ONC/RPC(SUN-RPC)関連の情報収集を行います。 IKEを利用して情報収集を行います。 R系サービスの認証を調査します。 リモート管理コンソールが有効か調査します。 取得した情報をもとに関連する脆弱性情報を収集します。 診断ログを精査して脆弱性を洗い出します。 59

×