大阪 Web制作者向け セキュリティセミナー 最近のWebサイト攻撃事例とキホン対策 資料

1. 最近のWebサイト攻撃事例とキホン対策
境 稔
Copyright Secure Your Site. All rights reserved.

2. 自己紹介
境
稔
普段やっているお仕事
 SOC / CSIRT運用
 脆弱性診断
 診断手法トレーニング
お仕事以外
 Certified Information Systems Security Professional
 OWASP Zed Attack Proxy 運用マニュアル 監修
https://www.facebook.com/minor.sakai
Copyright Secure Your Site. Some rights reserved.
2

3. 最近のWebサイト攻撃事例とキホン対策
1.
最近のWebサイト攻撃トレンドと事例
❯ 最近の傾向
❯ 事例１ パスワードリストアタック
❯ 事例2 SQLインジェクション
Demo
SQL Injectionを利用した情報の窃取
2. キホン対策
❯ セキュリティ要件の決定
❯ リリース前セキュリティテスト
余談
フリーツール ZAP
3. リスクの評価と管理
❯ リスクへの対応
まとめ
Copyright Secure Your Site. Some rights reserved.
3

4. 1. 最近のWebサイト攻撃トレンドと事例
Copyright Secure Your Site. Some rights reserved.
4

5. Copyright Secure Your Site. Some rights reserved.
5

6. 1.2. これらだけではない不正アクセス事件
2012年不正アクセス被害内容
2012年不正アクセス届出状況
不正プログラ
ム埋め込み
9%
その他（被害
あり）
2%
侵入
50%
なりすまし
30%
DoS
8%
メール不正中
継
1%
データの窃
盗、盗み見
7%
オンライ
ンサービ
スの不
正利用
17%
メール不正中
継
1%
その他
8%
踏み台として
悪用
21%
ウェブサイト改
ざん
32%
不正アカウント
の作成
2%
サービス低下
11%
パスワード
ファイルの
ファイルの書き 盗用
0%
換え
1%
Copyright Secure Your Site. Some rights reserved.
6

7. サイバー攻撃セキュリティレポート 「P54 APTとアンダーグラウンド」 名和 利男 氏 記事
図１国内のサイバー攻撃の発生推移 より
Copyright Secure Your Site. Some rights reserved.
7

8. Copyright Secure Your Site. Some rights reserved.
8

9. 1.5. どんなサイトが狙われる？
Copyright Secure Your Site. Some rights reserved.
9

10. 1.6. 事例１
登録されたお客さまご本人以外の第三者による不
正なログインが発生していたことを確認いたしま
した。不正ログインが発生していた期間は、
2013年4月6日（土）～2013年8月3日（土）の
間で、不正ログインの対象となったIDは、
243,266件となります。
本件は、他社サービスから流出した可能性のある
ID・パスワードを利用して行っている
http://ameblo.jp/staff/entry-11591175203.html
Copyright Secure Your Site. Some rights reserved.
10

11. Copyright Secure Your Site. Some rights reserved.
11

12. 1.8.
脆弱性をついた攻撃も・・・
脆弱性関連情報に関する届出状況
・ソフトウェアに比べ、ウェブサイトに関する届出情報が圧倒的多数。
・届出件数は増加傾向
IPA ソフトウェア等の脆弱性関連情報に関する活動報告レポート [2013年第3四半期(7月～9月)]
Copyright Secure Your Site. Some rights reserved.
より
12

13. 1.9. 事例2
WebサーバがSQLインジェクション攻撃を受け、
約11万件のクレジットカード情報や
セキュリティコードが流出
サーバに保有されていた
最大14万6701件のカード情報のうち、
2011年3月7日～13年4月23日に申し込まれた
10万9112件の
カード名義人名、カード番号、有効期限、
セキュリティコード、申込者の住所
Copyright Secure Your Site. Some rights reserved.
13

14. 1.10. 脆弱性の種類と脅威
脆弱性の種類は届出の多い3種類の脆
弱性が全体の86%を占める。
・クロスサイト・スクリプティング
・DNS情報の設定不備
・SQLインジェクション
IPA ソフトウェア等の脆弱性関連情報に関する活動報告レポート [2013年第3四半期(7月～9月)]
Copyright Secure Your Site. Some rights reserved.
14
より

15. Demo. SQL Injectionを利用した情報の窃取
Copyright Secure Your Site. Some rights reserved.
15

16. Demo.1 SQL Injectionって？
Copyright Secure Your Site. Some rights reserved.
16

17. Demo.2 ありがちなECサイト（）
Copyright Secure Your Site. Some rights reserved.
17

18. Demo.3 ありがちなECサイト（）で
Snake Oilを検索
Snake Oilを検索してみる
Copyright Secure Your Site. Some rights reserved.
18

19. Demo.4 中ではどんな処理が・・・？
商品一覧から、商品名が
「Snake Oil」の
商品情報を探し出してきて、情
報を表示する。
Copyright Secure Your Site. Some rights reserved.
19

20. Demo.5 商品名が変わると
別の商品を検索・・・
商品一覧から、商品名が
「*******」の
商品情報を探し出してきて、情
報を表示する。
Copyright Secure Your Site. Some rights reserved.
20

21. Demo.6 どんな文章だって代入
商品一覧から、商品名が「
A」とかもういいから、この際全
部表示して。
」なものの商品情報を探し出し
てきて、情報を表示する。
[以下抹消]
Copyright Secure Your Site. Some rights reserved.
21

22. Demo.7 いっそ、別の一覧から・・・
商品一覧から、商品名が「
A」とかもういいから、この際全
部表示して。ついでにユーザ情
報の一覧も表示して。
[以下抹消]
」なものの商品情報を探し出してきて、情報を表示する。
Copyright Secure Your Site. Some rights reserved.
22

23. Demoが動かなかった時の保険１-1
～ユーザー情報の一覧～
ハッシュ化されたパスワード？
Copyright Secure Your Site. Some rights reserved.
23

24. Demoが動かなかった時の保険１-2
～ハッシュ化されたパスワード？～
Copyright Secure Your Site. Some rights reserved.
24

25. Demoが動かなかった時の保険2
～AdminのパスワードをGoogle先生に聞く～
Copyright Secure Your Site. Some rights reserved.
25

26. Demoが動かなかった時の保険3
～ログインしてみる～
Copyright Secure Your Site. Some rights reserved.
26

27. 2. キホン対策
Copyright Secure Your Site. Some rights reserved.
27

28. 2.1. 対策を、どこで？
企画
脅威の分析
（廃棄）
保守
監視と改善
変更管理
運用
要件定義
セキュリティ要件の決定
セキュアコーディング
開発
リリース前セキュリティテスト
Copyright Secure Your Site. Some rights reserved.
28

29. 2.1. 対策を、どこで？
企画
脅威の分析
（廃棄）
保守
監視と改善
変更管理
運用
要件定義
セキュリティ要件の決定
セキュアコーディング
開発
リリース前セキュリティテスト
Copyright Secure Your Site. Some rights reserved.
29

30. 2.2. セキュリティ要件の決定の必要性
【開発会社】セキュリティ要件が明確でな
いと、発注者からセキュリティ対策や関連
するコストに掛かる対価を受け取ることが
できない。
セキュリティ対策にコストを掛けない粗悪品
を作る開発会社が安い金額で受注してしま
う。
発注者側からセキュリティ要件書を示す必要
発注に、セキュリティ要件を組み込む
Copyright Secure Your Site. Some rights reserved.
30

31. 2.3.
セキュリティ要件の決定
Web システム／Web アプリケーションセキュリティ要件書
https://www.owasp.org/index.php/File:Web_application_security_requirements.pdf
Copyright Secure Your Site. Some rights reserved.
31

32. 2.3.
セキュリティ要件の決定
Web システム／Web アプリケーションセキュリティ要件書
Copyright Secure Your Site. Some rights reserved.
32

33. 2.4.
セキュリティ要件の決定
地方公共団体における情報システムセキュリティ要求仕様モデルプラン
https://www.lasdec.or.jp/cms/12,28369,84.html
Copyright Secure Your Site. Some rights reserved.
33

34. 2.4.
セキュリティ要件の決定
地方公共団体における情報システムセキュリティ要求仕様モデルプラン
地方公共団体における情報システム
セキュリティ要求仕様モデルプラン
Copyright Secure Your Site. Some rights reserved.
34

35. 2.4.
セキュリティ要件の決定
地方公共団体における情報システムセキュリティ要求仕様モデルプラン
Copyright Secure Your Site. Some rights reserved.
35

36. 2.5. リリース前セキュリティテスト
その納品物(WebApplication)は、
発注者とE/Uが意図する
発注通りの動作 と安全
が担保されていますか？
Copyright Secure Your Site. Some rights reserved.
36

37. 2.6.
リリース前セキュリティテスト
ウェブ健康診断仕様
http://www.ipa.go.jp/files/000017319.pdf
Copyright Secure Your Site. Some rights reserved.
37

38. 2.6.
リリース前セキュリティテスト
ウェブ健康診断仕様
Copyright Secure Your Site. Some rights reserved.
38

39. 2.6.
リリース前セキュリティテスト
ウェブ健康診断仕様
Copyright Secure Your Site. Some rights reserved.
39

40. 余談 フリーツールを使用して、
簡易テストをしてみる。
Copyright Secure Your Site. Some rights reserved.
40

41. 余談 フリーツールを使用して、
簡易テストをしてみる。
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Copyright Secure Your Site. Some rights reserved.
41

42. 余談 フリーツールを使用して、
簡易テストをしてみる。
URLを入力して[攻撃]ボタンを押すだけ！？
Copyright Secure Your Site. Some rights reserved.
42

43. 3. リスクの評価と管理
Copyright Secure Your Site. Some rights reserved.
43

44. Copyright Secure Your Site. Some rights reserved.
44

45. 3.1. リスクへの対応モデル
リスクの
回避
リスク低減
リスク受容
リスク移転
Copyright Secure Your Site. Some rights reserved.
45

46. 3.3. 共通脆弱性評価システムCVSS
情報システムの脆弱性に対するオープンで汎用的な評価手法であり、
ベンダーに依存しない共通の評価方法
http://jvndb.jvn.jp/cvss/ja.html
Copyright Secure Your Site. Some rights reserved.
46

47. まとめ
Copyright Secure Your Site. Some rights reserved.
47

48. Copyright Secure Your Site. Some rights reserved.
48

49. 対策を、どこで？
企画
脅威の分析
（廃棄）
保守
監視と改善
変更管理
運用
要件定義
セキュリティ要件の決定
セキュアコーディング
開発
リリース前セキュリティテスト
Copyright Secure Your Site. Some rights reserved.
49

50. セキュリティ要件の決定の必要性
【開発会社】セキュリティ要件が明確でな
いと、発注者からセキュリティ対策や関連
するコストに掛かる対価を受け取ることが
できない。
セキュリティ対策にコストを掛けない粗悪品
を作る開発会社が安い金額で受注してしまう。
発注者側からセキュリティ要件書を示す必要
発注に、セキュリティ要件を組み込む
Copyright Secure Your Site. Some rights reserved.
50

51. リリース前セキュリティテスト
Copyright Secure Your Site. Some rights reserved.
51

52. リスクへの対応モデル
リスクの
回避
リスク低減
リスク保有
リスク移転
Copyright Secure Your Site. Some rights reserved.
52

53. ご清聴ありがとうございました。
Copyright Secure Your Site. Some rights reserved.
53