最近セキュリティ対策は注目を浴びていますが、対策の原因である攻撃または攻撃者の認知度が低いことが現状です。ここでは、攻撃/攻撃者のことを知ることで、より適切なセキュリティ対策をしてほしいということを説明します。

1. セキュリティ対策は
攻撃者視点で考えよう
～攻撃者はお客様～
@shunaroo
とっしんの会 #1
2017/11/12

2. 自己紹介
@shunaroo
• 社会人5年目の社内SE
• SE向け新人研修(最近していない）
• 社内向けWebシステム開発（Java系)
• セキュリティ対策支援（今年から）
• 興味がある分野
• セキュリティ分野（今日も話します）
「セキュリティのアレ」を見てからハマる
http://www.atmarkit.co.jp/ait/subtop/features/ait/are.html

3. 今日話したいこと
セキュリティ対策をするなら
もっと攻撃/攻撃者のことを知ろう！

4. 普通の開発と比較しよう
SE/営業 顧客
要件定義
普通の開発
顧客業務 システム
理解
システム化
納品
業務改善したいどんなシステムに
しましょう
システム化で
顧客の満足度を
アップ

5. 普通の開発と比較しよう
SE/営業 顧客
要件定義
セキュリティ対策
顧客業務 システム
理解
システム化
納品
安心安全にしたいどんな対策しま
しょう
システム化で
顧客の満足度を
アップ

6. しかし、こんなことになりませんか？・・・
SE/営業 客
要件定義
セキュリティ対策
顧客業務 システム
理解
システム化
納品
安心安全にしたいどんな対策しま
しょう
システム化で客の
満足度をアップ
どう対策したらいいかわからない!
顧客もよくわかってない!!
とりあえず流行りの製品全部いれたろ!!!

7. そもそも
セキュリティ対策とは
攻撃者から顧客資産を守ること
攻撃者
顧客資産攻撃
攻撃者/攻撃自体を知らいないと
対策しようがない！

8. セキュリティ対策の理想形
SE/営業 攻撃者
要件定義
攻撃者の要望/業務を聞いて、真逆のシステムを開発
攻撃者業務 システム
理解
真逆の
システム化
納品
不安危険にしたい
どんな攻撃しま
しょう
顧客
対策
攻撃不可

9. つまり
手を動かす人
SE/営業
攻撃者顧客
顧客
普
通
の
開
発
セ
キ
ュ
リ
テ
ィ
対
策
要件を持ってる人
攻撃者も要件をもつ
大事なお客様!(?)
もっとよく知ろう！SE/営業

10. でもまあ・・・
SE/営業 攻撃者
要件定義
攻撃者の要望/業務を聞いて、真逆のシステムを開発
攻撃者業務 システム
理解
真逆の
システム化
納品
不安危険にしたい
どんな攻撃しま
しょう
顧客
対策
攻撃不可攻撃者は
教えてくれない！！

11. 自分から学ぶしかない！！
今日はほんの一部紹介
（そもそも自分がまだ知らない笑）

12. 攻撃者もネット時代
簡単に「攻撃方法」と「攻撃手段」がネットで手に入る時代
No 種別 サイト/ツール名 概要 リンク
1 攻撃方法 Exploit Database 製品ごとの脆弱性とコード
を掲載したサイト
https://www.exploit-db.com/
2 Censys 全世界のサーバスキャンサイト https://censys.io/
3 Shodan 全世界のサーバスキャンサイト https://www.shodan.io/
4 Insecam 監視カメラの映像を掲載したサイト
(リテラシ低い会社探しのヒント？)
http://www.insecam.org/
5 攻撃手段 Nmap ポートスキャンツール https://nmap.org/
6 Metasploit ペネトレーションテスト用フレーム
ワーク
https://www.metasploit.com/
7 Kali Linux ペネトレーションテスト用のツール
をパッケージングしたLinux VM
https://www.kali.org/
今日はこれを試します
*本来はセキュリティ診断や研究で使うサイトやツールです。悪用しないこと！！

13. Kali linuxについて
ペネトレーションテストに必要なツールをパッケージングしたLinux VM
NmapやMetasploitなど様々なツールが標準装備

14. 検証
やる側VM
やられる側VM
Kali Linux
すごく強い
Metasploitable2
すごく弱い攻撃
検証用ホストOS
攻撃シナリオ (vsftpdの脆弱性をついてお隣さんにリモートログインしちゃう)
①攻撃できそうな入口を探す（Nmapによるポートスキャン)
②攻撃に使う道具探す(Metasploitで検索検索～）
③攻撃(Metasploitで攻撃）
Metasploitのテスト用に
無償提供されているVM
*検証する場合は、閉じた環境でやりましょう。実際の攻撃なので捕まる場合があります。
*vsftpd=FTPサーバ

15. ①攻撃できそうな入口を探す（Nmapによるポートスキャン)
①-1：まずは自分がどこにいるか確認（お隣さんが誰か確認するため）
①-2:お隣さんをめっちゃ調べる(nmapコマンド)
自分の周りのIP/サービスを調べる
攻撃対象
やれそうなサービス
お
隣
さ
ん
サ
ー
ビ
ス

16. ②攻撃に使う道具探す(Metasploitで検索検索～）
②-1：攻撃ツール起動！(Metasploit起動)
②-2:攻撃用の道具があるか検索！（Metasploitはさまざまな攻撃モジュール所持)
まんま使えそうな道具（モジュール）を発見

17. ③攻撃(Metasploitで攻撃）
③-1：ちょっと道具の準備(モジュールの設定) 攻撃用の道具をセット
必要な設定確認
必須の項目が入っていない
必須の項目設定(攻撃先)

18. ③攻撃(Metasploitで攻撃）
③-2：いざ攻撃 攻撃実行
Root権限でリモートログインしています！
もうやりたい放題！！
やられ側で作ったフォルダ

19. うわっ・・・攻撃の敷居、
低すぎ・・・？
上司に相談
しなきゃ

20. これだけでも得られる教訓/対策たち
①攻撃は簡単
知ってさえいれば誰でもボットでもできる
自分は攻撃されるはずないという考えは間違い
②不要なサービスは起動しておかない
使わないからといって放置しておくとぼろくそにされる
③バージョン名は表示しない
脆弱性はソフトのバージョンと紐づいている
（表示≒裸で歩く⇒襲われます。大事なものは隠しましょう。）
④攻撃を知っていれば対処できる(ことが多い)
今回は危険なサービスを起動していなければ防げた
だからあの人は
いってたんやなあ

21. 今日話したこと
セキュリティ対策をするなら
もっと攻撃/攻撃者のことを知ろう！
攻撃/攻撃者を知らないと対策できません！
攻撃者≒お客様 くらい重要な要件を持ってる

22. おわり