Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
20190228-DangerousSites.pdf
hiro
February 28, 2019
Technology
1
470
20190228-DangerousSites.pdf
hiro
February 28, 2019
Tweet
Share
More Decks by hiro
See All by hiro
ctrl_z3r0
1
640
ctrl_z3r0
2
500
ctrl_z3r0
2
1.7k
ctrl_z3r0
0
190
ctrl_z3r0
5
750
ctrl_z3r0
4
640
ctrl_z3r0
4
930
ctrl_z3r0
2
440
ctrl_z3r0
1
440
Other Decks in Technology
See All in Technology
hmatsu47
0
160
kraj
0
3.5k
kappa4
4
2.4k
clustervr
0
200
fujiihda
8
1.1k
sumi
0
570
_kensh
1
190
siroemk
0
220
kekeke_47
0
410
sadayoshitada0919
1
200
yosshi_
2
240
ishiayaya
PRO
0
350
Featured
See All Featured
roundedbygravity
84
7.8k
zakiwarfel
88
3.3k
roundedbygravity
241
21k
tanoku
86
8.5k
jonrohan
1021
380k
maltzj
500
36k
aarron
258
36k
colly
66
3k
wjessup
338
16k
keavy
106
14k
62gerente
587
200k
rmw
11
740
Transcript
危ないサイトの見分け方 ~情報漏えい時代の自衛術~ 第21回セキュリティ共有勉強会@LIFULL 2019/02/28 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
アジェンダ 1 最近の個人情報漏えい事案 2 何が問題だったのか 3 危ないサイトの見分け方 4 情報漏えいへの備え 5
まとめ 2
3 最近の情報漏えい事案① ▪通販サイト「伊織ネットショップ」(2018-10-24) ・Webサイト改ざんで偽のクレジットカード決済入力画面が仕込まれた。 ・クレジットカード番号のほか、会員名、有効期限、セキュリティコードも 流出したおそれ。 ▪参考情報 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘(2019-02-13) https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html
4 最近の情報漏えい事案② ▪ファイル転送サービス「宅ふぁいる便」(2019-01-24) ・不正アクセスを受け480万件のメールアドレスとパスワード、 生年月日、氏名や性別、業種・職種などが漏えい。 ・パスワードは、ハッシュ化されず平文のまま保存されていた。 ・郵便番号など一定期間のみ取得していた情報も漏えい。 ▪参考情報 ・宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓(2019-02-14) https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01661/
5 最近の情報漏えい事案③ ▪匿名質問サービス「Peing -質問箱-」(ペイング)(2019-02-18) ・Peingを利用しているTwitterユーザのトークンやメールアドレスなどが、 ブラウザの開発者ツールを用いるだけで誰でも閲覧できる状態。 ▪参考情報 ・なぜ“情報漏えい”は繰り返されるのか 宅ふぁいる便、Peing事件が教えてくれたこと(2019-02-18) https://www.itmedia.co.jp/news/articles/1902/18/news028.html
6 最近の情報漏えい事案④ ▪英国の航空会社「British Airways」(2018-09-06) ・サイバー犯罪グループ「Magecart(メイジカート)」が、複数のオンライン サイトで利用されているプラグインを改ざん(サプライチェーン攻撃) し、スキミングコードを混入させた。 ▪参考情報 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12)
https://japan.zdnet.com/article/35125475/ ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) https://blog.trendmicro.co.jp/archives/20150
・攻撃者は、何かしらの脆弱性を悪用して、カード 情報の入力画面を改ざんできた。(SQLインジェク ション等でDBの中身を窃取している訳ではない。) ・利用者は改ざんされたことに気付けず、入力画 面へカード情報を入力すると、攻撃者が用意した サイトへデータが送信されていた。 7 何が問題だったのか① ▪通販サイト「伊織ネットショップ」 ・当該サイトには、Webサイト改ざんを受ける脆弱性が存在した。
・サーバにカード情報を記録させない非保持化を実装していても、 攻撃者はカード情報を盗むことができた。 なぜなのか? ▪参考情報 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘(2019-02-13) https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html
8 何が問題だったのか② ▪ファイル転送サービス「宅ふぁいる便」 ・当該サイトのパスワードはハッシュ化されていなかった。 ・本来、不要となった情報も削除されず、保持されていた。 ▪参考情報 ・「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた(2019-01-29) https://www.fnn.jp/posts/00417790HDK なぜなのか? ・20年前のサービス。サービス当初からハッシュ化
はされていない。いつかハッシュ化しなければな らないという予定はあった。(なお、ユーザ情報 と、送受信ファイルがあるところは別とのこと。) ・退会済みの会員情報も、問合せ対応のために保 持していた。(論理削除のみ。) ・預けられていたファイルも暗号化されていなかった。
9 何が問題だったのか③ ▪参考情報 ・質問箱「Peing」、第三者がなりすましツイートできてしまう脆弱性(2019-01-29) https://japan.cnet.com/article/35131968/ ・脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ(2019-01-29) https://www.itmedia.co.jp/news/articles/1901/29/news128.html ・なりすましに悪用できるAPIトークンが第三者に閲覧可能な状態に。
▪匿名質問サービス「Peing -質問箱-」(ペイング) なぜなのか? ・修正後も、任意のPeingユーザーページのHTMLソースに、ユーザ のメールアドレス、ハッシュ化パスワード、ソルトと思われる文字列 が公開。(現在は修正済み。) ・トークン(許可)が第三者に窃取されると、認証さ れていなくても成り済まされてしまう状態だった。 ・開発者の認識不足? ・セキュリティ知識や意識の不足?
10 何が問題だったのか④ ▪英国の航空会社「British Airways」 ▪参考情報 ・サブリソース完全性 - MDN web docs
moz://a https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity ・Subresource Integrity enables browsers to verify that file is delivered without unexpected manipulation.(2019-01-30) https://caniuse.com/#feat=subresource-integrity ・外部から読み込まれる改ざんを検知する仕組みがなかった。 ・そもそも、外部スクリプトの改ざんを検知するのは難しい。 なぜなのか? ・サブリソース完全性(Subresource Integrity)を活用するとよいかも。
11 危ないサイトの見分け方① ▪メールでパスワードを平文で送ってくれるサイト ▪参考情報 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11) https://piyolog.hatenadiary.jp/entry/20170311/1489253880 ▪脆弱性が多い Apache
Struts 2 で構築されたサイト ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。 ⇒ハッシュ化していない又は共通鍵で暗号化している可能性。 ・ページのソースを見て、.actoin というURLが含まれるかを確認。 .do が含まれている場合は、Apache Strus 1で、これも危ない。
12 危ないサイトの見分け方② ▪パスワードリマインダーで秘密の質問聞いてくるサイト ▪マルチテナントなのに壁が薄く仕切りがないサイト ・「あなたのお母さんの旧姓は?」、「あなたの好きな食べ物は?」 ⇒秘密になっていない。そもそも設計思想が古いサイト。 秘密の答えもハッシュ化されていない可能性大。 ・登録ID変えると管理コンソールが見えちゃうレオパレスみたいなサイト ⇒迷惑メールのリンクに多い。入力しちゃダメ。
13 情報漏えいへの備え① ▪セキュリティソフトでは対応できない ▪参考情報 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) https://dapps.gamewith.jp/?p=28 ・サーバへの不正アクセスの場合、利用者側では対処できない。 もちろん、セキュリティソフトでも対応することはできない。 ▪Webサービスごとに違うパスワードを設定
・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。 ・二要素認証が設定できる場合は、設定しましょう。 (Google認証システムでトークンを生成する。) どうしたらいいの? ・利用していたサービスが不正アクセスに遭って、ID(メールアドレス) とパスワードが漏れちゃった! ・ログインIDとなるメールアドレスもサービスごとに変えておくと、 リスト型攻撃には強くなる。(メールアドレス自体の漏えいには無意味)
14 情報漏えいへの備え② ▪Gmailでメールエイリアスを使う方法 ▪参考情報 ・Gmailのエイリアスで複数の差出人名やアドレスを使い分ける(前編)(2018-03-05) http://ascii.jp/elem/000/001/641/1641606/ ・アカウント名+任意の文字列 foobar123+Am4z0n#@gmail.com (Amazon用) foobar123+App$t0r3@gmail.com(AppStore用)
foobar123+ms%jp@gmail.com(Microsoft用) foo.bar.123@gmail.com f.o.o.b.a.r.123@gmail.com foo.bar.1.2.3+sample@gmail.com ・ドットも入れることが可能 ・+(プラス)やドットが使えない場合、@googlemail.comを使え! foobar123@googlemail.com 漏えいしたアドレス宛にメ ールが来た場合、どのサ ービスから漏えいしたか が分かって便利。
15 情報漏えいへの備え③ ▪退会する前に個人情報の見直しを ・退会処理では削除フラグが立っただけで、論理削除の状態。 ⇒退会時に、漏えいしても影響がない無意味な情報に書き換える。 例)クレジットカード情報や、氏名、住所、電話番号など。 書き換える内容は、退会したサイトで共通しても問題なし。 ▪参考情報 ・パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める(2017-08-10) https://gigazine.net/news/20170810-password/
▪複雑なパスワードより長く覚えやすいものを ・8文字程度のパスワードの一部を、記号や数字にすることはあまり 意味がない。(ハッシュ値を盗まれた場合、簡単に推測される) ⇒単語羅列ではなく、文章(パスフレーズ)にする。 歌の歌詞やサビのフレーズなども覚えやすくて おすすめです。
16 情報漏えいへの備え④ ▪自分のメールアドレスが漏れているかチェック! ▪参考情報 ・メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス(2018-09-27) https://www.itmedia.co.jp/news/articles/1809/27/news065.html ・『';--have i been
pwned?』 https://haveibeenpwned.com/ ・Firefox Monitorのサービス https://monitor.firefox.com/
17 情報漏えいへの備え⑤ ▪Money Forward MEのすすめ ▪参考情報 ・無料家計簿アプリ『マネーフォワードME』が便利すぎ!できることまとめ(2019-01-25) https://kyanana.com/moneyforward ・入出金を把握して、不明な取引がないかチェック! ・クレジットカードを紐づけておけば、クレジットカードのサイトに
ログインしなくても、Money Forwardの画面だけで確認できる。 ・Amazonの購入履歴の連携も可能。 ※無料プランで連携できるのは、10口座まで。
18 まとめ ◆パスワードは漏れることを前提に、Webサービス ごとに違うものを、また短く複雑なパスワードより 長く覚えやすいものを設定しましょう。 ◆ブルートフォース攻撃(総当たり攻撃)に対しては、 長いパスワードもいつかは突破されるので、二要素 認証も組み合わせましょう。 ◆利用サービスを退会する場合は情報を無害なもの (漏えいしても無意味な内容)に変更しましょう。
ご清聴ありがとうございました。 19