Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

かんたん!わかりやすいWafのおはなし

6,180 views

Published on

2016-12-10(土)14:00 - 17:00
【WordBench Nagoya 12月度】WordPressセキュリティのおはなし

NHN テコラス 平賀よりサーバインフラ屋の経験談かえあ
WAFをわかりやすくご紹介いたしました。

Published in: Technology
  • Be the first to comment

  • Be the first to like this

かんたん!わかりやすいWafのおはなし

  1. 1. Copyright © NHN Techorus Corp. NHNテコラス株式会社 SMEサービス事業部 平賀 真琴 かんたん! わかりやすいWAFのおはなし ~ EX-CLOUD WordPressホスティングへのWAF採用裏話~
  2. 2. Page 2 自己紹介
  3. 3. Page 3 自己紹介 平賀 真琴 (ひらが まこと) • 所属:NHNテコラス株式会社 • 担当:「エクスクラウド(EX-CLOUD)」 販促・マーケ担当 • 趣味:車、キャンプ、DIY • 前職:Iaas営業、自動車部品メーカー、 人材営業 • その他:埼玉県出身、東京町田市在住、 3人家族
  4. 4. Page 4 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
  5. 5. Page 5 本日のもくじ 1.サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
  6. 6. Page 6 1.サイバー攻撃事件簿 サイバー攻撃とは? (参照)http://e-words.jp/w/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83.html
  7. 7. Page 7 1.サイバー攻撃事件簿 代表的なサイバー攻撃事件の紹介 1. KADOKAWA Webサイト改ざん事件 2. ケータイキット for Movable Type事件 3. ホスティング屋が経験した事件
  8. 8. Page 8 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【概要】 2014年1月7日、角川書店などのグループ企業を統括する KADOKAWAホールディングスのWebサイトが改ざんされ、 このサイトを閲覧したパソコンがウイルスに感染するおそれ があった。
  9. 9. Page 9 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【時系列】 2014年01月07日 00時49分 犯人がKADOKAWAのWebサーバーに侵入し、 トップページを改ざん 2014年01月08日 11時ごろ 外部から「Webサイトが改ざんされているの ではないか?」との指摘 2014年01月08日 11時30分 委託しているサーバー管理会社が調査ス タート、改ざんを確認 2014年01月08日 13時07分 改ざんを修正 2014年01月08日 16時42分 セキュリティー対策を完了 (続く)
  10. 10. Page 10 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 2014年01月15日 シマンテックがブログで「日本の大手出版 社のWebサイトが悪用ツールキットに利用される」という記事を発表。 2014年01月16日 21時ごろ NHKテレビが「角川のWebサイトが改ざ ん」と報道 2014年01月16日 23時ごろ KADOKAWAがお詫びの文書を発表
  11. 11. Page 11 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【攻撃の全容】 「Gongda」 SERVER Iframe injectionで 改ざんされたサイト ②ユーザが認識しないまま GongdaSERVERに接続 ③ マルウェアを ダウンロード ・2カ所のネットバンキング ・3カ所のECサイト ・14カ所クレカサイト 他 感 染①サイト 閲覧 ④ サイト 閲覧被害者 ⑤ID・PW カード情報 ・asd2qw.229.idcpcpc.com ・IPアドレス:108.171.252.229
  12. 12. Page 12 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 感染すると、閲覧者が以下のサイトを閲覧する際、データを盗み取ります。 ・2カ所のオンラインバンキングサイト ・3カ所のオンラインショッピングサイト ・3カ所のWebメールサイト ・3カ所のゲーム/動画Webサイト ・14カ所クレジットカードサイト
  13. 13. Page 13 2.Webセキュリティ事故の実例▼KADOKAWA Webサイト改ざん事件 ハッカー集団による攻撃 ◼ ハクティビズム 攻撃しやすいサイトを探し、自動攻撃ツールに よって片っ端から攻撃 ◼ 金銭目的・情報略取 技術力の誇示や企業意思を含む手動攻撃 ◼ 愉快犯・業務妨害 ◼攻撃者の目的とは?
  14. 14. Page 14 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【概要】 2016年4月、ケータイキット for Movable Typeの画 像処理機能にOSコマンドインジェクションの脆弱性が 悪用された。 株式会社J-WAVEは4月22日、同社のホームページに 不正アクセスがあり、保有する個人情報のうち約64万 件が流出した恐れがあると発表した。
  15. 15. Page 15 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【時系列】  前後の情報漏えい事件 ・4月20日 日本テレビ放送網株式会社 約43万件の個人情報が流出 ・4月21日 学習塾大手の栄光ゼミナール 2761人分の個人情報 ・4月22日 J-WAVE 個人情報約64万件が流出 ・4月25日 エイベックス・グループ・ホールディングス、個人情報約35万 件が流出
  16. 16. Page 16 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【時系列】  プラグイン開発元の対応 ・4月22日 緊急パッチファイル提供開始 ・4月23日 修正バージョン提供開始 ・4月25日 ケータイキット for Movable Typeの脆弱性をチェックする 「KeitaiKit セキュリティチェック」プラグインを公開 ケータイキットの脆弱性対策 特設ページを開設 ・4月28日 設置された不正ファイルを、詳細に発見・検査するツールを 提供
  17. 17. Page 17 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type  Webサイトへの攻撃は脆弱性発見直後に集中。  脆弱性のトレンドを追って精力的に新規開拓。 ※グラフはOpenSSLの脆 弱性を悪用する国内の攻撃 の検知数および送信元IPア ドレス数の推移 (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
  18. 18. Page 18 1.サイバー攻撃事件簿 攻撃しやすいサイトとは Googleの検索結果で判別。 PHPのエラーメッセージで google検索 脆弱性なし 脆弱性あり 脆弱性あり 脆弱性のあるサイトを 狙いSQLインジェク ション攻撃などを行う。
  19. 19. Page 19 1.サイバー攻撃事件簿 攻撃ツールについて Google検索により容易にペネトレーションツールが入手できる。
  20. 20. Page 20 1.サイバー攻撃事件簿 サイバーキルチェーンについて Cyber Kill Chain (サイバー・キル・チェーン) 攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断 ち切るという多層防御の考え方を理解、設計するのに役立ちます。 偵察 武器 化 デリ バリー 攻撃 インス トール 遠隔 操作 感染 拡大 目的 実行
  21. 21. Page 21 1.サイバー攻撃事件簿 1-3.ホスティング屋さんが経験した事件 • 大手ソーシャルゲームで発生したDDos攻撃 • エクスクラウドお試しプラン申し込みフォーム へのSQLインジェクション →どちらも中国からの 不正アクセスだった
  22. 22. Page 22 1.サイバー攻撃事件簿 損害や被害はどの程度か? • 2015年情報漏えいデータ(JNSA) • 更にフォレンジック(調査)費用や 対策費用、 ブランドイメージの失墜・風評被害が発生 漏えい人数 496万0063人 インシデント件数 799件 想定損害賠償総額 2541億3663万円 一件あたりの漏えい人数 6578人 一件あたり平均想定損害賠償額 3億3705万円 一人あたり平均想定損害賠償額 2万8020円 (参照)JNSA資料 http://www.jnsa.org/result/incident/
  23. 23. Page 23 1.サイバー攻撃事件簿 まとめ • サイバー攻撃は目的を持って行われる。 • 大企業を狙うより攻撃しやすい企業を狙う。 • サイバーキルチェーンさえ断ち切れば勝ち。 • サイバー攻撃はスピード勝負、人力、自力で対 処するのはそれなりの体制が必要。
  24. 24. Page 24 1.サイバー攻撃事件簿(付録) 自分のサイトが攻撃されていないかを確認する方法 • IPAが提供するiLogScanner(無料)で可能
  25. 25. Page 25 本日のもくじ 1. サイバー攻撃事件簿 2.どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
  26. 26. Page 26 2.どうして事前に対策しないの?  経済産業省の推奨する体制 大企業及び中小企業 はCSIRT(サイバー攻撃による情報漏えいや障害など、コン ピュータセキュリティにかかる インシデントに対処するための組織)の整備が必要。 「サイバーセキュリティ」では、セキュリティの事件や事故(インシデント)に企業 内で対応する専門組織“CSIRT(Computer Security Incident Response Team)” を構築済み(構築中、類似機能の実施を含む)であると回答した企業が、前回調査の 19.0%から2.2倍の41.8%と大幅に伸びた。 (サイバーセキュリティ経営ガイドラインより抜粋 )
  27. 27. Page 27 脆弱性診断結果を元に、アプリケーションへの影響を調査し、改修要 件を 確定します。 セキュリティの専門知識を持ち、アプリケーションに精通している人材 が セキュリティを考慮した設計を行います。 WAFを導入しサイトを防御しつつ、定期的な脆弱性診断とシステム改 修で セキュリティレベルを保ちます。 Webサイトの脆弱性対策のあるべき姿 セキュアコーディングを十分に理解しているエンジニアがプログラムを実装。 外注の場合、十分なセキュリティスキルを備えているか判断することが困難な 場合があります。 運用 テスト 実装 要件定義 設計 システム単体で再度脆弱性診断を行い、脆弱性が改善されている事を確 認する。脆弱性が確認できた場合は、修正し再度診断を行います。 ※脆弱性診断は高額であり、割愛されてしまう場合もあります。 上流工程でセキュリティ対策がされているのが 好ましいが、実現できている例は少ない。 2.どうして事前に対策しないの?
  28. 28. Page 28 2.どうして事前に対策しないの?  2016年度はWordPressに関し60件の脆弱性が発生
  29. 29. Page 29 2.どうして事前に対策しないの? 課題 • コストが高く、経営層から決裁を得る必要があ る、クライアントの承諾を得る必要がある • 導入に際して労力や時間を確保する必要がある。 • セキュリティに対する知識や認識が必要 • 専門知識を持つ人材が必要 →対策しないというよりは「できない」のが実情
  30. 30. Page 30 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3.そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
  31. 31. Page 31 3.そもそもどんな攻撃があるの? 代表的な4つの攻撃の手口 (参照)https://www.ipa.go.jp/files/000041364.pdf (引用)IPA資料より抜粋
  32. 32. Page 32 3.そもそもどんな攻撃があるの? A) 窃取したアカウント情報を悪用した不正ログイン
  33. 33. Page 33 3.そもそもどんな攻撃があるの? B) ソフトウェアの脆弱性を突く
  34. 34. Page 34 3.そもそもどんな攻撃があるの? C) ウェブアプリケーションの脆弱性を突く
  35. 35. Page 35 3.そもそもどんな攻撃があるの? D) 組織内のアクセス制御の不備を突く
  36. 36. Page 36 3.そもそもどんな攻撃があるの? 【不正アクセス】 • ブルートフォースアタック • Dos/DDoS攻撃 • SQLインジェクション • クロスサイト スクリプティング • ルートキット攻撃 • バッファオーバーフロー攻撃 • セッションハイジャック • OSインジェクション 【マルウェア】 • ウイルス • ワーム • トロイの木馬 • ランサムウェア • バックドア • ダウンローダー 【標的型】 【ゼロデイ攻撃】 【パスワードリスト攻撃】 (参照)https://cybersecurity-jp.com/cyber-security-guide/6-type-of-cyber-attack サイバー攻撃の例
  37. 37. Page 37 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4.対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
  38. 38. Page 38 3.どんな対策手段があるの? 一般的なセキュリティ対策の手段 • ウィルスチェック • Web改ざん検知 • 脆弱性診断 • WAF • ファイアウォール • IDS/IPS • SSL
  39. 39. Page 39 本日のもくじ 1. サイバー攻撃事件簿 2. 事前にできる?セキュリティ対策 3. そもそもどんな攻撃があるの? 4. 対策方法いろいろ 5.WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
  40. 40. Page 40 4.WAFって何?何ができるの? WAFとは何のこと? • Web Application Firewallの略 です。 • ウェブサーバーへの通信を解析して、悪意のあ る攻撃からウェブアプリケーション (WordPressなど)を守る機能の事です。 • ハードウェア、ソフトウエア、クラウド型があ ります。
  41. 41. Page 41 4.WAFって何?何ができるの? WAFのしくみ • シグネチャと呼ばれる防御ファイルに基づいて 悪意のある攻撃を遮断します。 (参照)http://dev.classmethod.jp/security/getting-started-waf/ シグネ チャ
  42. 42. Page 42 4.WAFって何?何ができるの? ファイアウォール、IPS/IDSとの違い • それぞれ得意分野が異なる
  43. 43. Page 43 4.WAFって何?何ができるの? WAFで防げる攻撃の種類 • SQLインジェクション • OSコマンドインジェクション • LDAPインジェクション • URLエンコード攻撃 • パスワードリスト攻撃 • ブルートフォースアタック • 改行コードインジェクション • ディレクトリトラバーサル • Dos/DDoS攻撃※一部のWAFのみ • クロスサイトスクリプティング※一部検 知のみ • コマンドインジェクション • ファイルインクルード • OSやミドルウェアの脆弱性への攻撃 • その他
  44. 44. Page 44 4.WAFって何?何ができるの? カテゴリ 内容 アプライアンス・ソフトウエア型 クラウド型 ハードウェア (帯域) スケールアウト・ダウ ン 機器の買い替えが必要 契約変更により対応可能 障害対応 機器交換時の立会調整及び、その 間のネットワーク構成について考 慮が必要 エンドユーザが意識をせず、対応を実施 チューニング シグネチャやウェブの チューニング 必要 不要(クラウドWAF側で実施) WAFエンジン アップデート リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施 障害対応 通常はリモート運用。障害の内容 により、現地作業が必要となった 場合、立会調整及びその間のネッ トワーク構成について考慮が必要 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 防御 シグネチャアップデー ト リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 タイプ ホワイトリストとブラックリスト の2種類 ブラックリストのみ 費用 導入および運用コスト 機器購入、設計など高価 安価、冗長構成もとられている WAFのタイプは2種類に大別
  45. 45. Page 45 4.WAFって何?何ができるの? カテゴリ 内容 アプライアンス・ソフトウエア型 クラウド型 ハードウェア (帯域) スケールアウト・ダウ ン 機器の買い替えが必要 契約変更により対応可能 障害対応 機器交換時の立会調整及び、その 間のネットワーク構成について考 慮が必要 エンドユーザが意識をせず、対応を実施 チューニング シグネチャやウェブの チューニング 必要 不要(クラウドWAF側で実施) WAFエンジン アップデート リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施 障害対応 通常はリモート運用。障害の内容 により、現地作業が必要となった 場合、立会調整及びその間のネッ トワーク構成について考慮が必要 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 防御 シグネチャアップデー ト リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 タイプ ホワイトリストとブラックリスト の2種類 ブラックリストのみ 費用 導入および運用コスト 機器購入、設計など高価 安価、冗長構成もとられている WAFのタイプは2種類に大別
  46. 46. Page 46 4.WAFって何?何ができるの? クラウド型WAFのメリット • 自社システムに手を加えること なく導入が可能 • 短期間で導入が可能 • 運用コストが低い • 将来発生するリスクに対応が可能 • コストパフォーマンスが良い クラウド型WAF WEBサーバ
  47. 47. Page 47 4.WAFって何?何ができるの? クラウド型WAF導入のポイント • ウェブサイトの回線利用帯域の把握 • SSL証明書の用意とWAFへのインストール作業 • DNSの設定変更
  48. 48. Page 48 4.WAFって何?何ができるの? まとめ • 単体でWAFの導入を検討するなら、比較的安価 で導入・運用が楽な「クラウド型WAF」がオス スメです!
  49. 49. Page 49 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
  50. 50. Page 50 今後、クライアントにWordPressとWAFの提案をす るシーンがあるかもしれません。そんなときは… WAF標準搭載、エクスクラウドの WordPressホスティング をご活用ください
  51. 51. <EXC-PN-2.0.0-1510>NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. サービス説明資料
  52. 52. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -52- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト エクスクラウドとは
  53. 53. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -53- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト エクスクラウドの特長
  54. 54. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -54- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長
  55. 55. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -55- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長
  56. 56. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -56- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長【セキュリティ】
  57. 57. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -57- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長【超高速】
  58. 58. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -58- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの特長【拡張性】と【サポート】
  59. 59. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -59- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの特長
  60. 60. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -60- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランのおすすめユーザー
  61. 61. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -61- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの価格
  62. 62. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -62- 最大13段階のサービス 無停止スケールアップ WordPressプランの仕様
  63. 63. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -63- 最大13段階のサービス 無停止スケールアップ WordPressプランの仕様
  64. 64. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -64- パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 し ま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機 会 を ご 提 供 し て い ま す 。 E X - C L O U D 各 プ ラ ン や S S L ク ー ポ ン も 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 で ご 利 用 で き ま す 。 実際のイベント風景 テコラスパートナー登録について Sell Through the Community
  65. 65. Page 65 質疑応答
  66. 66. Page 66 ご清聴ありがとうございました。

×