Upgrade to Pro — share decks privately, control downloads, hide ads and more …

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-...

BASE, Inc.
PRO
July 02, 2024
0
1.2k

不審アクセスポイントを狩る - PCI DSS ケーススタディ -/Hunting-down-a-rogue-access-point_A-PCI-DSS-case-study

2024/6/20に開催した「Welcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜」のPAY株式会社 スミス クリストファーの登壇資料です。

BASE, Inc.
PRO

July 02, 2024
Tweet

More Decks by BASE, Inc.

See All by BASE, Inc.
BASE株式会社 BASE Dept Product Dev Division 紹介資料
base
PRO
1
3.3k
みんなでブラッシュアップするDesign Sprint_BASE BANKチームの場合
base
PRO
3
640
BASEカード業務から見る決済サービス/welcome-fintech-community-01-basecard
base
PRO
1
1.3k
統合報告書2024
base
PRO
0
3.1k
akippa tech park #1 BASE登壇資料
base
PRO
1
240
BASE株式会社 BASE BANKチーム紹介資料
base
PRO
35
27k
BASE CONFERENCE
base
PRO
1
360
3年間で約220本を公開したテックブログの 運営ノウハウと採用活動への効果 / BASE engineer recruiting
base
PRO
3
5.3k
BASE株式会社 エンジニア向け会社紹介資料
base
PRO
20
56k

Featured

See All Featured
A better future with KSS
kneath
238
17k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
4 Signs Your Business is Dying
shpigford
180
21k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
What's in a price? How to price your products and services
michaelherold
243
12k
The Cult of Friendly URLs
andyhume
78
6k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Six Lessons from altMBA
skipperchong
27
3.5k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Practical Orchestrator
shlominoach
186
10k
Building Your Own Lightsaber
phodgson
103
6.1k

Transcript

  1. 不審アクセスポイントを狩る - PCI DSS ケーススタディ - 2024-06-20 Welcome Fintech Community

    #1

  2. 「複雑で難しい決済代⾏サービス」という常識を変え、 スタートアップや決済代⾏初⼼者が、注⼒すべき事業により集中できる環境をつくる もっともかんたんな決済サービス PAY.JP

  3. PCI DSS

  4. PCI DSS ? • Payment Card Industry Data Security Standard

    • クレジットカード業界のセキュリティ基準 • 世界のセキュリティ基準の中でも特に厳格 ◦ クレジットカード情報を保護するための施策を複数分野に わたって網羅 ◦ 検査、保護、監視、記録 ◦ 年に⼀度のオンサイト監査を実施 ◦ 継続的に維持する

  5. 今回の話題 不審アクセスポイントの対処 PCI DSS 要件11.2.1 および 要件12.10.5 の実例紹介

  6. PCI DSS 要件11.2.1について(抄) 11.2.1 ワイヤレスアクセスポイントを特定、監視し、不正な ワイヤレスアクセスポイントに対処している。 承認されたワイヤレスアクセスポイントおよび許可されていないワイヤレスアクセス ポイントは、以下のように管理される。 • ワイヤレス(Wi-Fi)アクセスポイントの存在が検査される。

    • すべての承認されたワイヤレスアクセスポイントおよび承認されていない ワイヤレスアクセスポイントが検出され、識別される。 • テスト、検出、識別は少なくとも3カ⽉に1回⾏われる。 • ⾃動監視を使⽤する場合は、⽣成されたアラートを介して担当者に通知する。

  7. Phase 0. 普段の点検

  8. アクションタイムライン 1. 検出 2. BASE情シスに報告 3. 現地調査を計画 4. 現地調査を開始 5.

    ???デバイスを発⾒ 6. ???を???し、当該SSIDの消滅を確認 7. 対応完了

  9. Phase 1. 検出

  10. Phase 1. 検出 Cisco Meraki Air Marshal を使⽤し、リモート調査を実施 結果、未暗号化が疑われるアクセスポイントを発⾒ 🤔

  11. Phase 1. 検出 現地調査を⾏う前の考察 • 所属不明、正体不明 • セキュリティタイプは Open ◦

    ⾃社に未暗号化のアクセスポイントが存在することはにわかには信じがたい ◦ WPA3-SAE が新しすぎるので、認識できなかっただけなのかもしれない ▪ WPA3を使っていそうな周りの他社のSSIDも検出したが、 これらもOpen扱いだったので暫定的にこの説を⽀持    →結論は出せず、現地調査に踏み切った UNIDENTIFIED

  12. おさらい 未暗号化のアクセスポイントの何がいけないの? • 通信内容が上下階を含む付近⼀帯に筒抜け になりうる • 誰でも付近から接続できるので、本体や ネットワーク上の機器に脆弱性がある場合 に外部から悪⽤されうる ◦

    従業員PCやオフィスIPアドレスからアクセス可能 なプライベートサイトなどが攻撃対象になりうる • アクセスコントロールが無いので、偽の機 器へのすり替えが容易

  13. Phase 2. 捜索‧現地調査

  14. Phase 2. 捜索 Cisco Meraki Air Marshal の結果をフロアプランと照合 • Meraki

    4台による測量 • S/N⽐をもとに補正しつつ、4 つのAPからの距離を推定 • 交点を推定 • 捜索の計画を⽴てる

  15. Phase 2. 現地調査 スマートフォンアプリを使⽤し、現地調査を実施 スマートフォンを⼿に持 ち、⽬標の電波が強く⼊る ⽅向へひたすら移動した。

  16. Phase 3. 確保

  17. Phase 3. 確保 1. 予測円の中の電線をたどり、電源を要する電⼦機器を特定する 2. スクリーンキャスティングデバイスを発⾒! 3. 電線を抜くと、問題のSSIDも消滅した →

    この機器が発信源と特定! 4. 撤去、回収し問題解決

  18. めでたし めでたし と、その前に宿題は?

  19. Phase 4. 振り返りと記録

  20. Phase 4. 振り返りと記録 被害の有無の調査 カードデータ環境への影響はあるか? • オフィスとカードデータ環境はネットワーク的に接続されていない • スクリーンキャスティングデバイスはネットワーク接続を仲介する機材で はない

    • PAY社従業員が当該機材を使⽤した履歴がない → 直接的に不正アクセスの原因になった可能性は低い

  21. Phase 4. 振り返りと記録 設置された経緯や類似事例を振り返る • 正当な業務上の理由があって設置されたものか • 社内ドキュメンテーションはあるか • 社内ドキュメンテーションで定義されたとおりの設定がされているか

    ◦ 定義から逸脱する設定がされていないか ◦ 逸脱があった場合、いつ変更されたのか ◦ (当該の機器が信⽤できない場合、この⼿順は危険すぎるため省いてもよい) • ほかに同様の問題を呈している機器は検出されていないか

  22. Phase 4. 振り返りと記録 対応の記録を作成する 証跡は⽂書化されている必要がある • 宿題をしても⽂書が無いなら、していないのと同じ • 作成した報告書は監査機関に提出する

  23. めでたし めでたし CDEの平和は守られた