Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-...

BASE, Inc.
PRO
July 02, 2024
0
1.2k

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study

2024/6/20に開催した「Welcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜」のPAY株式会社 スミス クリストファーの登壇資料です。

BASE, Inc.
PRO

July 02, 2024
Tweet

More Decks by BASE, Inc.

See All by BASE, Inc.
BASE株式会社 BASE Dept Product Dev Division 紹介資料
base
PRO
1
4.7k
みんなでブラッシュアップするDesign Sprint_BASE BANKチームの場合
base
PRO
3
760
BASEカード業務から見る決済サービス/welcome-fintech-community-01-basecard
base
PRO
1
1.4k
統合報告書2024
base
PRO
0
4.1k
akippa tech park #1 BASE登壇資料
base
PRO
1
260
BASE株式会社 BASE BANKチーム紹介資料
base
PRO
40
29k
BASE CONFERENCE
base
PRO
1
360
3年間で約220本を公開したテックブログの 運営ノウハウと採用活動への効果 / BASE engineer recruiting
base
PRO
3
5.4k
BASE株式会社 エンジニア向け会社紹介資料
base
PRO
20
58k

Featured

See All Featured
Facilitating Awesome Meetings
lara
51
6.2k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
A Tale of Four Properties
chriscoyier
157
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
Scaling GitHub
holman
459
140k
GitHub's CSS Performance
jonrohan
1030
460k
Optimizing for Happiness
mojombo
376
70k
GraphQLとの向き合い方2022年版
quramy
44
13k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Statistics for Hackers
jakevdp
797
220k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k

Transcript

  1. 不審アクセスポイントを狩る - PCI DSS ケーススタディ - 2024-06-20 Welcome Fintech Community

    #1

  2. 「複雑で難しい決済代⾏サービス」という常識を変え、 スタートアップや決済代⾏初⼼者が、注⼒すべき事業により集中できる環境をつくる もっともかんたんな決済サービス PAY.JP

  3. PCI DSS

  4. PCI DSS ? • Payment Card Industry Data Security Standard

    • クレジットカード業界のセキュリティ基準 • 世界のセキュリティ基準の中でも特に厳格 ◦ クレジットカード情報を保護するための施策を複数分野に わたって網羅 ◦ 検査、保護、監視、記録 ◦ 年に⼀度のオンサイト監査を実施 ◦ 継続的に維持する

  5. 今回の話題 不審アクセスポイントの対処 PCI DSS 要件11.2.1 および 要件12.10.5 の実例紹介

  6. PCI DSS 要件11.2.1について(抄) 11.2.1 ワイヤレスアクセスポイントを特定、監視し、不正な ワイヤレスアクセスポイントに対処している。 承認されたワイヤレスアクセスポイントおよび許可されていないワイヤレスアクセス ポイントは、以下のように管理される。 • ワイヤレス(Wi-Fi)アクセスポイントの存在が検査される。

    • すべての承認されたワイヤレスアクセスポイントおよび承認されていない ワイヤレスアクセスポイントが検出され、識別される。 • テスト、検出、識別は少なくとも3カ⽉に1回⾏われる。 • ⾃動監視を使⽤する場合は、⽣成されたアラートを介して担当者に通知する。

  7. Phase 0. 普段の点検

  8. アクションタイムライン 1. 検出 2. BASE情シスに報告 3. 現地調査を計画 4. 現地調査を開始 5.

    ???デバイスを発⾒ 6. ???を???し、当該SSIDの消滅を確認 7. 対応完了

  9. Phase 1. 検出

  10. Phase 1. 検出 Cisco Meraki Air Marshal を使⽤し、リモート調査を実施 結果、未暗号化が疑われるアクセスポイントを発⾒ 🤔

  11. Phase 1. 検出 現地調査を⾏う前の考察 • 所属不明、正体不明 • セキュリティタイプは Open ◦

    ⾃社に未暗号化のアクセスポイントが存在することはにわかには信じがたい ◦ WPA3-SAE が新しすぎるので、認識できなかっただけなのかもしれない ▪ WPA3を使っていそうな周りの他社のSSIDも検出したが、 これらもOpen扱いだったので暫定的にこの説を⽀持    →結論は出せず、現地調査に踏み切った UNIDENTIFIED

  12. おさらい 未暗号化のアクセスポイントの何がいけないの? • 通信内容が上下階を含む付近⼀帯に筒抜け になりうる • 誰でも付近から接続できるので、本体や ネットワーク上の機器に脆弱性がある場合 に外部から悪⽤されうる ◦

    従業員PCやオフィスIPアドレスからアクセス可能 なプライベートサイトなどが攻撃対象になりうる • アクセスコントロールが無いので、偽の機 器へのすり替えが容易

  13. Phase 2. 捜索‧現地調査

  14. Phase 2. 捜索 Cisco Meraki Air Marshal の結果をフロアプランと照合 • Meraki

    4台による測量 • S/N⽐をもとに補正しつつ、4 つのAPからの距離を推定 • 交点を推定 • 捜索の計画を⽴てる

  15. Phase 2. 現地調査 スマートフォンアプリを使⽤し、現地調査を実施 スマートフォンを⼿に持 ち、⽬標の電波が強く⼊る ⽅向へひたすら移動した。

  16. Phase 3. 確保

  17. Phase 3. 確保 1. 予測円の中の電線をたどり、電源を要する電⼦機器を特定する 2. スクリーンキャスティングデバイスを発⾒! 3. 電線を抜くと、問題のSSIDも消滅した →

    この機器が発信源と特定! 4. 撤去、回収し問題解決

  18. めでたし めでたし と、その前に宿題は?

  19. Phase 4. 振り返りと記録

  20. Phase 4. 振り返りと記録 被害の有無の調査 カードデータ環境への影響はあるか? • オフィスとカードデータ環境はネットワーク的に接続されていない • スクリーンキャスティングデバイスはネットワーク接続を仲介する機材で はない

    • PAY社従業員が当該機材を使⽤した履歴がない → 直接的に不正アクセスの原因になった可能性は低い

  21. Phase 4. 振り返りと記録 設置された経緯や類似事例を振り返る • 正当な業務上の理由があって設置されたものか • 社内ドキュメンテーションはあるか • 社内ドキュメンテーションで定義されたとおりの設定がされているか

    ◦ 定義から逸脱する設定がされていないか ◦ 逸脱があった場合、いつ変更されたのか ◦ (当該の機器が信⽤できない場合、この⼿順は危険すぎるため省いてもよい) • ほかに同様の問題を呈している機器は検出されていないか

  22. Phase 4. 振り返りと記録 対応の記録を作成する 証跡は⽂書化されている必要がある • 宿題をしても⽂書が無いなら、していないのと同じ • 作成した報告書は監査機関に提出する

  23. めでたし めでたし CDEの平和は守られた