More Related Content Similar to 他人事ではないWebセキュリティ (20) 他人事ではないWebセキュリティ2. はせがわようすけ
▸OWASP Kansai チャプターリーダー
▸OWASP Japan アドバイザリボードメンバー
▸ネットエージェント株式会社サービス事業部
▸株式会社セキュアスカイ・テクノロジー技術顧問
▸Microsoft MVP for Consumer Security Oct 2005- Oct 2015
▸http://utf-8.jp/
Kobe IT Festival 2014
4. ▸OWASP – Open Web Application Security Project
▸Webセキュリティを取り巻く問題を解決する
ための国際的なコミュニティ
▸企業や国境の壁はもちろんのこと、あらゆる
専門知識と経験を持ったスペシャリスト、ま
たユーザのコラボレーションにより、自由に
参加できる開放された活動を展開
▸OWASP Foundation
▸2001年から活動開始
アメリカ政府認定NPO
▸200以上の拠点に支部
Kobe IT Festival 2014
5. OWASPに基づく様々なアウトプット
▸OWASP TOP 10
▸3年に一度、Webアプリケーションの注意すべき
脆弱性と対策をまとめて公表
▸OWASP ZAP
▸オープンソースの脆弱性診断ツール
▸その他多数の成果物
▸ソフトウェア- オープンソース
▸ドキュメント-CC BY SA
Kobe IT Festival 2014
6. ▸Webアプリケーションの注意
すべき脆弱性と対処方法の
まとめ
▸3年に一度リリース
▸モバイル分野にも対応するため『OWASP
MobileSecurity Project』の一環として
「Top 10 Mobile Risks」の開発も進行中
https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
Kobe IT Festival 2014
7. ▸OWASPによるオープン
ソースの脆弱性診断
ツール
▸日本語にも対応、日本
語版の運用マニュアルもあり
▸誰にでも手軽に検査できることを重視した設
計
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit
Kobe IT Festival 2014
14. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heartbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…
Kobe IT Festival 2014
15. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Struts 2の脆弱性
▸ 2014-04 OpenSSL Heartbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…
Kobe IT Festival 2014
16. ▸Apache Struts – Java Webアプリケー
ションフレームワーク
▸2014年3-4月に脆弱性情報が公開
▸任意コードの実行や機密情報の漏えいな
ど
▸攻撃検証コードが広く流通、悪用が容易
Kobe IT Festival 2014
17. ▸2014-03-05
Struts 2の脆弱性公表、修正版がリリース
▸2014-04-16
攻撃コード公開が確認される
▸2014-04-18, 04-22
Struts 2の対策漏れが発見、報告、公開される
▸2014-04-24
Struts 1にも同種の脆弱性があると公開される
▸2014-04-24
Struts 2の修正版がリリース
Kobe IT Festival 2014
19. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heartbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…
Kobe IT Festival 2014
23. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heatbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…
Kobe IT Festival 2014
28. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heatbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…
Kobe IT Festival 2014
29. ▸bash - UNIX環境で広く使われているシェル
▸Linux、Mac OS Xなどでも使用
▸Red Hat、CentOSなどでは標準シェルに採用
▸/bin/shがbashへのシンボリックリンク
▸2014年9月末に脆弱性情報が公開
▸公開当初は複数の脆弱性が含まれていた
Kobe IT Festival 2014
31. ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heatbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…
Kobe IT Festival 2014
33. 被害企業
Kobe IT Festival 2014
不正ログインの
試行件数(A)
不正ログインの
成立件数(B)
不正ログイン
成立率(B/A)
A社約4,600,000 78,361 約1.70%
B社2,293,543 38,280 1.67%
C社2,203,590 219,926 9.98%
D社約4,300,000 263,596 約6.13%
E社約1,600,000 2,398 約0.15%
F社3,420,000 15,092 0.44%
G社1,796,629 14,399 0.80%
https://www.ipa.go.jp/about/press/20140917.html
55. ▸Webシステム/Webアプリケーションセ
キュリティ要件書
▸OWASP Japan発! とうぜん日本語!
▸発注者が開発会社に対して提示できるセキュ
リティ上の要件をまとめた文書
▸CC BY-SAで自由に改変・配布可
https://www.owasp.org/index.php/File:Web_applic
ation_security_requirements.pdf
Kobe IT Festival 2014