不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study

不審アクセスポイントを狩る - PCI DSS ケーススタディ - 2024-06-20 Welcome Fintech Community
#1

「複雑で難しい決済代⾏サービス」という常識を変え、スタートアップや決済代⾏初⼼者が、注⼒すべき事業により集中できる環境をつくるもっともかんたんな決済サービス PAY.JP

PCI DSS

PCI DSS ? • Payment Card Industry Data Security Standard
• クレジットカード業界のセキュリティ基準 • 世界のセキュリティ基準の中でも特に厳格 ◦ クレジットカード情報を保護するための施策を複数分野にわたって網羅 ◦ 検査、保護、監視、記録 ◦ 年に⼀度のオンサイト監査を実施 ◦ 継続的に維持する

今回の話題不審アクセスポイントの対処 PCI DSS 要件11.2.1 および要件12.10.5 の実例紹介

PCI DSS 要件11.2.1について（抄） 11.2.1 ワイヤレスアクセスポイントを特定、監視し、不正なワイヤレスアクセスポイントに対処している。承認されたワイヤレスアクセスポイントおよび許可されていないワイヤレスアクセスポイントは、以下のように管理される。 • ワイヤレス（Wi-Fi）アクセスポイントの存在が検査される。
• すべての承認されたワイヤレスアクセスポイントおよび承認されていないワイヤレスアクセスポイントが検出され、識別される。 • テスト、検出、識別は少なくとも3カ⽉に1回⾏われる。 • ⾃動監視を使⽤する場合は、⽣成されたアラートを介して担当者に通知する。

Phase 0. 普段の点検

アクションタイムライン 1. 検出 2. BASE情シスに報告 3. 現地調査を計画 4. 現地調査を開始 5.
？？？デバイスを発⾒ 6. ？？？を？？？し、当該SSIDの消滅を確認 7. 対応完了

Phase 1. 検出

Phase 1. 検出 Cisco Meraki Air Marshal を使⽤し、リモート調査を実施結果、未暗号化が疑われるアクセスポイントを発⾒ 🤔

Phase 1. 検出現地調査を⾏う前の考察 • 所属不明、正体不明 • セキュリティタイプは Open ◦
⾃社に未暗号化のアクセスポイントが存在することはにわかには信じがたい ◦ WPA3-SAE が新しすぎるので、認識できなかっただけなのかもしれない ▪ WPA3を使っていそうな周りの他社のSSIDも検出したが、これらもOpen扱いだったので暫定的にこの説を⽀持 →結論は出せず、現地調査に踏み切った UNIDENTIFIED

おさらい未暗号化のアクセスポイントの何がいけないの？ • 通信内容が上下階を含む付近⼀帯に筒抜けになりうる • 誰でも付近から接続できるので、本体やネットワーク上の機器に脆弱性がある場合に外部から悪⽤されうる ◦
従業員PCやオフィスIPアドレスからアクセス可能なプライベートサイトなどが攻撃対象になりうる • アクセスコントロールが無いので、偽の機器へのすり替えが容易

Phase 2. 捜索‧現地調査

Phase 2. 捜索 Cisco Meraki Air Marshal の結果をフロアプランと照合 • Meraki
4台による測量 • S/N⽐をもとに補正しつつ、4 つのAPからの距離を推定 • 交点を推定 • 捜索の計画を⽴てる

Phase 2. 現地調査スマートフォンアプリを使⽤し、現地調査を実施スマートフォンを⼿に持ち、⽬標の電波が強く⼊る⽅向へひたすら移動した。

Phase 3. 確保

Phase 3. 確保 1. 予測円の中の電線をたどり、電源を要する電⼦機器を特定する 2. スクリーンキャスティングデバイスを発⾒！ 3. 電線を抜くと、問題のSSIDも消滅した →
この機器が発信源と特定！ 4. 撤去、回収し問題解決

めでたしめでたしと、その前に宿題は？

Phase 4. 振り返りと記録

Phase 4. 振り返りと記録被害の有無の調査カードデータ環境への影響はあるか？ • オフィスとカードデータ環境はネットワーク的に接続されていない • スクリーンキャスティングデバイスはネットワーク接続を仲介する機材ではない
• PAY社従業員が当該機材を使⽤した履歴がない → 直接的に不正アクセスの原因になった可能性は低い

Phase 4. 振り返りと記録設置された経緯や類似事例を振り返る • 正当な業務上の理由があって設置されたものか • 社内ドキュメンテーションはあるか • 社内ドキュメンテーションで定義されたとおりの設定がされているか
◦ 定義から逸脱する設定がされていないか ◦ 逸脱があった場合、いつ変更されたのか ◦ （当該の機器が信⽤できない場合、この⼿順は危険すぎるため省いてもよい） • ほかに同様の問題を呈している機器は検出されていないか

Phase 4. 振り返りと記録対応の記録を作成する証跡は⽂書化されている必要がある • 宿題をしても⽂書が無いなら、していないのと同じ • 作成した報告書は監査機関に提出する

めでたしめでたし CDEの平和は守られた

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study

BASE, Inc.
PRO

More Decks by BASE, Inc.

Featured

Transcript

不審アクセスポイントを狩る - PCI DSS ケーススタディ - 2024-06-20 Welcome Fintech Community

「複雑で難しい決済代⾏サービス」という常識を変え、スタートアップや決済代⾏初⼼者が、注⼒すべき事業により集中できる環境をつくるもっともかんたんな決済サービス PAY.JP

PCI DSS

PCI DSS ? • Payment Card Industry Data Security Standard

今回の話題不審アクセスポイントの対処 PCI DSS 要件11.2.1 および要件12.10.5 の実例紹介

Phase 0. 普段の点検

アクションタイムライン 1. 検出 2. BASE情シスに報告 3. 現地調査を計画 4. 現地調査を開始 5.

Phase 1. 検出

Phase 1. 検出 Cisco Meraki Air Marshal を使⽤し、リモート調査を実施結果、未暗号化が疑われるアクセスポイントを発⾒ 🤔

Phase 1. 検出現地調査を⾏う前の考察 • 所属不明、正体不明 • セキュリティタイプは Open ◦

Phase 2. 捜索‧現地調査

Phase 2. 捜索 Cisco Meraki Air Marshal の結果をフロアプランと照合 • Meraki

Phase 2. 現地調査スマートフォンアプリを使⽤し、現地調査を実施スマートフォンを⼿に持ち、⽬標の電波が強く⼊る⽅向へひたすら移動した。

Phase 3. 確保

Phase 3. 確保 1. 予測円の中の電線をたどり、電源を要する電⼦機器を特定する 2. スクリーンキャスティングデバイスを発⾒！ 3. 電線を抜くと、問題のSSIDも消滅した →

めでたしめでたしと、その前に宿題は？

Phase 4. 振り返りと記録

Phase 4. 振り返りと記録設置された経緯や類似事例を振り返る • 正当な業務上の理由があって設置されたものか • 社内ドキュメンテーションはあるか • 社内ドキュメンテーションで定義されたとおりの設定がされているか

Phase 4. 振り返りと記録対応の記録を作成する証跡は⽂書化されている必要がある • 宿題をしても⽂書が無いなら、していないのと同じ • 作成した報告書は監査機関に提出する

めでたしめでたし CDEの平和は守られた