Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-...

BASE, Inc.
July 02, 2024
1.1k

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study

2024/6/20に開催した「Welcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜」のPAY株式会社 スミス クリストファーの登壇資料です。

BASE, Inc.

July 02, 2024
Tweet

Transcript

  1. PCI DSS ? • Payment Card Industry Data Security Standard

    • クレジットカード業界のセキュリティ基準 • 世界のセキュリティ基準の中でも特に厳格 ◦ クレジットカード情報を保護するための施策を複数分野に わたって網羅 ◦ 検査、保護、監視、記録 ◦ 年に⼀度のオンサイト監査を実施 ◦ 継続的に維持する
  2. PCI DSS 要件11.2.1について(抄) 11.2.1 ワイヤレスアクセスポイントを特定、監視し、不正な ワイヤレスアクセスポイントに対処している。 承認されたワイヤレスアクセスポイントおよび許可されていないワイヤレスアクセス ポイントは、以下のように管理される。 • ワイヤレス(Wi-Fi)アクセスポイントの存在が検査される。

    • すべての承認されたワイヤレスアクセスポイントおよび承認されていない ワイヤレスアクセスポイントが検出され、識別される。 • テスト、検出、識別は少なくとも3カ⽉に1回⾏われる。 • ⾃動監視を使⽤する場合は、⽣成されたアラートを介して担当者に通知する。
  3. アクションタイムライン 1. 検出 2. BASE情シスに報告 3. 現地調査を計画 4. 現地調査を開始 5.

    ???デバイスを発⾒ 6. ???を???し、当該SSIDの消滅を確認 7. 対応完了
  4. Phase 1. 検出 現地調査を⾏う前の考察 • 所属不明、正体不明 • セキュリティタイプは Open ◦

    ⾃社に未暗号化のアクセスポイントが存在することはにわかには信じがたい ◦ WPA3-SAE が新しすぎるので、認識できなかっただけなのかもしれない ▪ WPA3を使っていそうな周りの他社のSSIDも検出したが、 これらもOpen扱いだったので暫定的にこの説を⽀持    →結論は出せず、現地調査に踏み切った UNIDENTIFIED
  5. おさらい 未暗号化のアクセスポイントの何がいけないの? • 通信内容が上下階を含む付近⼀帯に筒抜け になりうる • 誰でも付近から接続できるので、本体や ネットワーク上の機器に脆弱性がある場合 に外部から悪⽤されうる ◦

    従業員PCやオフィスIPアドレスからアクセス可能 なプライベートサイトなどが攻撃対象になりうる • アクセスコントロールが無いので、偽の機 器へのすり替えが容易
  6. Phase 2. 捜索 Cisco Meraki Air Marshal の結果をフロアプランと照合 • Meraki

    4台による測量 • S/N⽐をもとに補正しつつ、4 つのAPからの距離を推定 • 交点を推定 • 捜索の計画を⽴てる
  7. Phase 4. 振り返りと記録 設置された経緯や類似事例を振り返る • 正当な業務上の理由があって設置されたものか • 社内ドキュメンテーションはあるか • 社内ドキュメンテーションで定義されたとおりの設定がされているか

    ◦ 定義から逸脱する設定がされていないか ◦ 逸脱があった場合、いつ変更されたのか ◦ (当該の機器が信⽤できない場合、この⼿順は危険すぎるため省いてもよい) • ほかに同様の問題を呈している機器は検出されていないか