2014年8月24日
シックス・アパート株式会社
長内 毅志
Movable TypeとCMSのセキュリティ
•長内毅志
–2011年~ Movable Typeプロダクトマネージャー
–2014年~ ディベロッパーリレーションマネージャー
エバンジェリスト
–ダンスとジョギングと家族が大好きです。
アジェンダ
•最近のWeb改ざん
•どのような攻撃が存在するか
•Movable Type の特徴と安全性
•安全性を高めるために
最近のWeb改ざん
データ出典:JPCERT/CC インシデント報告対応レポート
グラフ:http://www.nca.gr.jp/2013/web201303/
ガンブラー
http://www.ipa.go.jp/security/txt/2013/07outline.html
最近の改ざん手法
http://www.ipa.go.jp/security/txt/2013/07outline.html
•CMSの管理権限を奪取してウェブサイトを
改ざん
•CMSの公開ディレクトリに任意のファイル
をアップロードしてウェブサイトを改ざん
CMSに関するハッキングの傾向
•20%はCMSのコア部分にある脆弱性への
攻撃、80%はプラグインなど周辺プログラム
の脆弱性を狙った攻撃
BSI「Content Management Syttem」より
https://www.bsi.bu...
•http://jvndb.jvn.jp/
ここまでのまとめ
•最近のウェブ改ざんは、ウェブサーバーや
CMSの脆弱性を狙って攻撃するケースが
多い
どのような攻撃が存在するか
もっとも多いパターン
•使用されているCMSを識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
ブルートフォースアタック(総当り攻撃)
イラスト:「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
ファイルアップロード攻撃(バックドア)
イラスト:「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
その他
•SQLインジェクション
•CSRF
•XSS
–主にソフトウェアの脆弱性を付くもの
ここまでのまとめ
•CMSが特定できると、攻撃しやすい
•総当たり攻撃やファイルアップロード攻撃
など、攻撃者はCMSとプラグインの脆弱性
を狙って攻撃をおこなう
Movable Type の特徴と安全性
CMSサーバーと公開サーバーの分離
ロックアウト
アップロードファイルの制限設定
•AssetFileExtensions
–アップロードできるファイルの種類を制限
•DeniedAssetFileExtensions
–アップロードできないファイルを設定
ジェネレーター情報の消去
• https://www.ipa.go.jp/security/topics/alert20130913.html
ここまでのまとめ
•Movable Type は安全性を高めるための設
定・機能が揃っている
Movable Type の安全性を
さらに高めるために
最新版を使う
•最新版を使う
管理画面にBasic認証をかける
•管理画面にBasic認証をかける
CGIスクリプトの名称を変える
•CGIスクリプトの名称を変える
–AdminScript
•管理プログラムの CGI スクリプト名を設定します
–UpgradeScript
•アップグレードスクリプトを設定します
使わないCGIスクリプトの権限を変える
•使わないCGIスクリプトの権限を変える
–MTのコメント機能を利用していない
•mt-comments.cgi の実行権限を無くす
–トラックバック機能を利用していない
•mt-tb.cgi の実行権限...
例
–Data API 機能を利用していない
•mt-data-api.cgi の実行権限を無くす
–ログフィード機能を利用していない
•mt-feed.cgi の実行権限を無くす
–公開サイトで MTの検索機能を利用していない
•mt-sea...
ロックアウト設定をする
パスワードの強度を上げる
•パスワードの強度を上げる
パスワードの桁数と組み合わせの種類
文字種の数 4桁 6桁 8桁
10種
(数字のみ)
1万 100万 1億
26種
(英小文字)
約46万 約3億 約2千億
62種
(英数字)
約1500万 約570億 約220兆
94種
(英数記号)
約7...
参考
https://howsecureismypassword.net/
•Movable Type を
安全に利用するために
http://www.movabletype.jp/blog/
secure_movable_type.html
まとめ
•常に最新版へアップデートすることが改善
防止につながる
•Movable Type の設定を調整することで、さ
らに安全性は高まる
20140824 mt tokyo_slideshare
Upcoming SlideShare
Loading in …5
×

20140824 mt tokyo_slideshare

1,149 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,149
On SlideShare
0
From Embeds
0
Number of Embeds
157
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

20140824 mt tokyo_slideshare

  1. 1. 2014年8月24日 シックス・アパート株式会社 長内 毅志 Movable TypeとCMSのセキュリティ
  2. 2. •長内毅志 –2011年~ Movable Typeプロダクトマネージャー –2014年~ ディベロッパーリレーションマネージャー エバンジェリスト –ダンスとジョギングと家族が大好きです。
  3. 3. アジェンダ •最近のWeb改ざん •どのような攻撃が存在するか •Movable Type の特徴と安全性 •安全性を高めるために
  4. 4. 最近のWeb改ざん
  5. 5. データ出典:JPCERT/CC インシデント報告対応レポート グラフ:http://www.nca.gr.jp/2013/web201303/
  6. 6. ガンブラー http://www.ipa.go.jp/security/txt/2013/07outline.html
  7. 7. 最近の改ざん手法 http://www.ipa.go.jp/security/txt/2013/07outline.html
  8. 8. •CMSの管理権限を奪取してウェブサイトを 改ざん •CMSの公開ディレクトリに任意のファイル をアップロードしてウェブサイトを改ざん
  9. 9. CMSに関するハッキングの傾向 •20%はCMSのコア部分にある脆弱性への 攻撃、80%はプラグインなど周辺プログラム の脆弱性を狙った攻撃 BSI「Content Management Syttem」より https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html Via http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
  10. 10. •http://jvndb.jvn.jp/
  11. 11. ここまでのまとめ •最近のウェブ改ざんは、ウェブサーバーや CMSの脆弱性を狙って攻撃するケースが 多い
  12. 12. どのような攻撃が存在するか
  13. 13. もっとも多いパターン •使用されているCMSを識別して攻撃 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
  14. 14. ブルートフォースアタック(総当り攻撃) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
  15. 15. ファイルアップロード攻撃(バックドア) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
  16. 16. その他 •SQLインジェクション •CSRF •XSS –主にソフトウェアの脆弱性を付くもの
  17. 17. ここまでのまとめ •CMSが特定できると、攻撃しやすい •総当たり攻撃やファイルアップロード攻撃 など、攻撃者はCMSとプラグインの脆弱性 を狙って攻撃をおこなう
  18. 18. Movable Type の特徴と安全性
  19. 19. CMSサーバーと公開サーバーの分離
  20. 20. ロックアウト
  21. 21. アップロードファイルの制限設定 •AssetFileExtensions –アップロードできるファイルの種類を制限 •DeniedAssetFileExtensions –アップロードできないファイルを設定
  22. 22. ジェネレーター情報の消去
  23. 23. • https://www.ipa.go.jp/security/topics/alert20130913.html
  24. 24. ここまでのまとめ •Movable Type は安全性を高めるための設 定・機能が揃っている
  25. 25. Movable Type の安全性を さらに高めるために
  26. 26. 最新版を使う •最新版を使う
  27. 27. 管理画面にBasic認証をかける •管理画面にBasic認証をかける
  28. 28. CGIスクリプトの名称を変える •CGIスクリプトの名称を変える –AdminScript •管理プログラムの CGI スクリプト名を設定します –UpgradeScript •アップグレードスクリプトを設定します
  29. 29. 使わないCGIスクリプトの権限を変える •使わないCGIスクリプトの権限を変える –MTのコメント機能を利用していない •mt-comments.cgi の実行権限を無くす –トラックバック機能を利用していない •mt-tb.cgi の実行権限を無くす
  30. 30. 例 –Data API 機能を利用していない •mt-data-api.cgi の実行権限を無くす –ログフィード機能を利用していない •mt-feed.cgi の実行権限を無くす –公開サイトで MTの検索機能を利用していない •mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
  31. 31. ロックアウト設定をする
  32. 32. パスワードの強度を上げる •パスワードの強度を上げる
  33. 33. パスワードの桁数と組み合わせの種類 文字種の数 4桁 6桁 8桁 10種 (数字のみ) 1万 100万 1億 26種 (英小文字) 約46万 約3億 約2千億 62種 (英数字) 約1500万 約570億 約220兆 94種 (英数記号) 約7800万 約6900億 約6100兆 「Web担当者フォーラム」より http://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
  34. 34. 参考 https://howsecureismypassword.net/
  35. 35. •Movable Type を 安全に利用するために http://www.movabletype.jp/blog/ secure_movable_type.html
  36. 36. まとめ •常に最新版へアップデートすることが改善 防止につながる •Movable Type の設定を調整することで、さ らに安全性は高まる

×