Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-...
Search
BASE, Inc.
PRO
July 02, 2024
0
1.1k
不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study
2024/6/20に開催した「Welcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜」のPAY株式会社 スミス クリストファーの登壇資料です。
BASE, Inc.
PRO
July 02, 2024
Tweet
Share
More Decks by BASE, Inc.
See All by BASE, Inc.
BASE株式会社 BASE Dept Product Dev Division 紹介資料
base
PRO
1
2.4k
みんなでブラッシュアップするDesign Sprint_BASE BANKチームの場合
base
PRO
3
570
BASEカード業務から見る決済サービス/welcome-fintech-community-01-basecard
base
PRO
0
1.3k
統合報告書2024
base
PRO
0
2.5k
akippa tech park #1 BASE登壇資料
base
PRO
1
230
BASE株式会社 BASE BANKチーム紹介資料
base
PRO
31
26k
BASE CONFERENCE
base
PRO
1
350
3年間で約220本を公開したテックブログの 運営ノウハウと採用活動への効果 / BASE engineer recruiting
base
PRO
3
5.2k
BASE株式会社 エンジニア向け会社紹介資料
base
PRO
20
55k
Featured
See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
92
16k
KATA
mclloyd
27
13k
Adopting Sorbet at Scale
ufuk
73
9k
What's new in Ruby 2.0
geeforr
341
31k
Git: the NoSQL Database
bkeepers
PRO
425
64k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
25
660
The Brand Is Dead. Long Live the Brand.
mthomps
53
38k
Web development in the modern age
philhawksworth
205
10k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
327
21k
Producing Creativity
orderedlist
PRO
341
39k
How To Stay Up To Date on Web Technology
chriscoyier
787
250k
Transcript
不審アクセスポイントを狩る - PCI DSS ケーススタディ - 2024-06-20 Welcome Fintech Community
#1
「複雑で難しい決済代⾏サービス」という常識を変え、 スタートアップや決済代⾏初⼼者が、注⼒すべき事業により集中できる環境をつくる もっともかんたんな決済サービス PAY.JP
PCI DSS
PCI DSS ? • Payment Card Industry Data Security Standard
• クレジットカード業界のセキュリティ基準 • 世界のセキュリティ基準の中でも特に厳格 ◦ クレジットカード情報を保護するための施策を複数分野に わたって網羅 ◦ 検査、保護、監視、記録 ◦ 年に⼀度のオンサイト監査を実施 ◦ 継続的に維持する
今回の話題 不審アクセスポイントの対処 PCI DSS 要件11.2.1 および 要件12.10.5 の実例紹介
PCI DSS 要件11.2.1について(抄) 11.2.1 ワイヤレスアクセスポイントを特定、監視し、不正な ワイヤレスアクセスポイントに対処している。 承認されたワイヤレスアクセスポイントおよび許可されていないワイヤレスアクセス ポイントは、以下のように管理される。 • ワイヤレス(Wi-Fi)アクセスポイントの存在が検査される。
• すべての承認されたワイヤレスアクセスポイントおよび承認されていない ワイヤレスアクセスポイントが検出され、識別される。 • テスト、検出、識別は少なくとも3カ⽉に1回⾏われる。 • ⾃動監視を使⽤する場合は、⽣成されたアラートを介して担当者に通知する。
Phase 0. 普段の点検
アクションタイムライン 1. 検出 2. BASE情シスに報告 3. 現地調査を計画 4. 現地調査を開始 5.
???デバイスを発⾒ 6. ???を???し、当該SSIDの消滅を確認 7. 対応完了
Phase 1. 検出
Phase 1. 検出 Cisco Meraki Air Marshal を使⽤し、リモート調査を実施 結果、未暗号化が疑われるアクセスポイントを発⾒ 🤔
Phase 1. 検出 現地調査を⾏う前の考察 • 所属不明、正体不明 • セキュリティタイプは Open ◦
⾃社に未暗号化のアクセスポイントが存在することはにわかには信じがたい ◦ WPA3-SAE が新しすぎるので、認識できなかっただけなのかもしれない ▪ WPA3を使っていそうな周りの他社のSSIDも検出したが、 これらもOpen扱いだったので暫定的にこの説を⽀持 →結論は出せず、現地調査に踏み切った UNIDENTIFIED
おさらい 未暗号化のアクセスポイントの何がいけないの? • 通信内容が上下階を含む付近⼀帯に筒抜け になりうる • 誰でも付近から接続できるので、本体や ネットワーク上の機器に脆弱性がある場合 に外部から悪⽤されうる ◦
従業員PCやオフィスIPアドレスからアクセス可能 なプライベートサイトなどが攻撃対象になりうる • アクセスコントロールが無いので、偽の機 器へのすり替えが容易
Phase 2. 捜索‧現地調査
Phase 2. 捜索 Cisco Meraki Air Marshal の結果をフロアプランと照合 • Meraki
4台による測量 • S/N⽐をもとに補正しつつ、4 つのAPからの距離を推定 • 交点を推定 • 捜索の計画を⽴てる
Phase 2. 現地調査 スマートフォンアプリを使⽤し、現地調査を実施 スマートフォンを⼿に持 ち、⽬標の電波が強く⼊る ⽅向へひたすら移動した。
Phase 3. 確保
Phase 3. 確保 1. 予測円の中の電線をたどり、電源を要する電⼦機器を特定する 2. スクリーンキャスティングデバイスを発⾒! 3. 電線を抜くと、問題のSSIDも消滅した →
この機器が発信源と特定! 4. 撤去、回収し問題解決
めでたし めでたし と、その前に宿題は?
Phase 4. 振り返りと記録
Phase 4. 振り返りと記録 被害の有無の調査 カードデータ環境への影響はあるか? • オフィスとカードデータ環境はネットワーク的に接続されていない • スクリーンキャスティングデバイスはネットワーク接続を仲介する機材で はない
• PAY社従業員が当該機材を使⽤した履歴がない → 直接的に不正アクセスの原因になった可能性は低い
Phase 4. 振り返りと記録 設置された経緯や類似事例を振り返る • 正当な業務上の理由があって設置されたものか • 社内ドキュメンテーションはあるか • 社内ドキュメンテーションで定義されたとおりの設定がされているか
◦ 定義から逸脱する設定がされていないか ◦ 逸脱があった場合、いつ変更されたのか ◦ (当該の機器が信⽤できない場合、この⼿順は危険すぎるため省いてもよい) • ほかに同様の問題を呈している機器は検出されていないか
Phase 4. 振り返りと記録 対応の記録を作成する 証跡は⽂書化されている必要がある • 宿題をしても⽂書が無いなら、していないのと同じ • 作成した報告書は監査機関に提出する
めでたし めでたし CDEの平和は守られた