Authentication-and-7pay-case.pdf

Transcript

1. 認証にまつわるお話
 ～７pay事案を読み解く～
 第29回ゼロから始めるセキュリティ入門 勉強会
 2019/07/29
 hiro（@ctrl_z3r0） a.k.a ねこさん⚡（@catnap707）


2. アジェンダ
 １　認証の役割
 ２　多要素認証
 ３　認証情報への攻撃
 ４　最近の不正アクセス事案
 ５　情報漏えいへの備え
 ６　まとめ
 ▪参考情報
 ・NIST SP800-63-3翻訳版63-Bパートの紹介

   
 　https://www.slideshare.net/kthrtty/20171027-nist-sp80063bkthrtty-81333156

3. 3 １　認証の役割


4. (1)実社会における本人確認
 　　行政手続（市区町村における申請手続）
 　　・運転免許証
 　　・健康保険証（2021年3月からﾏｲﾅﾝﾊﾞｰｶｰﾄﾞに「保険証機能」付与）
 　　・日本国旅券（パスポート）
 　　・住民票の写し
 　　・住基カード（平成27年12月発行停止、有効期限は令和７年12月まで）
 　　・マイナンバーカード
 　　　　（令和元年５月24日、デジタルファースト法が成立。
 　　　　　今後、通知カードは廃止の方向へ。）


   　　　
 認証の役割（１/３）
 ▪本人確認（権限の利用許可、なりすましの防止）
 ▪参考情報
 ・デジタルファースト法が成立　行政手続き電子化 - 日本経済新聞(2019-05-24) 
 　https://www.nikkei.com/article/DGXMZO45208480U9A520C1MM0000/ 


5. 5 ご参考：マイニャンバーカード（個猫番号カード）


6. 認証の役割（２/３）
 6 (2)ITにおける本人確認
 　知識（Know）：IDとパスワード、PINコード
 　所有（Have）：ICカード、トークン、電子証明書
 　生体（Are）：指紋認証、顔認証、静脈認証、虹彩認証
 　　　
 　　　
 ▪参考情報
 ・利用者認証の種類

   --- SYK，SYH，SYA　- 日経XTECH (2006-03-29) 
 　https://tech.nikkeibp.co.jp/it/article/COLUMN/20060324/233215 /


7. 認証の役割（３/３）
 7 (3)パスワードの定期変更　
 　　　
 ▪参考情報
 ・パスワードの定期変更は不要：総務省が歴史的な方向転換(2018-04-15) 
 　https://support.trustlogin.com/hc/ja/articles/360002888113-パスワードの定期変更は不要-総務省が歴史的な方向転換
 ・MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で(2019-04-25)

   
 　https://japanese.engadget.com/2019/04/25/ms-win-10/ 
 ・定期変更しないほうが良い理由
 ⇒定期変更をユーザに強制すると、簡単な文字列になりがち。
 　 破られやすいものになる傾向（NIST、NISC、総務省、JIPDEC等）。
 ・定期変更したほうが良い場合
 ⇒利用しているｻｰﾋﾞｽのﾊﾟｽﾜｰﾄﾞが漏えいした場合。
 ⇒業務上、ｱｶｳﾝﾄを共有している場合で、
 　人事異動があった場合。
 ・定期変更しなくてもいい理由
 ⇒十分に長い（12文字以上）パスワードを設定していれば今のところ安全
 　短いとハッシュ値から平文が得られるレインボーテーブルで解析される
 そもそも「サービス提供者は定期変更を 要求すべきではない」という話 すでにパスワード文字列に絵文字を含む レインボーテーブルも出回っている

8. 8 ご参考：パスワードの強度
 ▪参考情報
 ・@TerahashCorp 社のツイート（2019-07-27） 
 　https://twitter.com/TerahashCorp/status/1155112559206383616 Terahash社のGPU448機でのベンチマーク

9. 9 ２　多要素認証


10. 多要素認証
 10 ▪多要素認証とは
 認証要素
 セキュリティレベル
 利用者確認方法の例
 知識認証 
 What you

    know?
 知識ベースなので、その知識を知ってい れば誰でもなりすましが可能
 ・ID/パスワード
 ・合言葉「風」「谷」
 所有物認証
 What you have?
 知識ベースと違って所有物を持った人だ けが認証可能
 （盗まれた場合に、なりすまされる）
 ・電子証明書
 ・ﾜﾝﾀｲﾑﾊﾟｽﾜｰﾄﾞ用のﾄｰｸﾝ
 ・ICカード（社員証）
 生体認証
 What you are?
 身体的な特徴を元にするので、盗まれ ることもないし、貸借をすることができな い。
 ・指紋認証　・静脈認証
 ・虹彩認証　・網膜認証
 ・声紋認証　・顔認証
 ▪参考情報
 ・「本人認証」３つの方式 - 情報処理安全確保支援士(情報ｾｷｭﾘﾃｨｽﾍﾟｼｬﾘｽﾄ) - SE娘の剣 
 　http://sc.seeeko.com/archives/4554054.html 「知識」「所持」「生体」から２つ用いる
 認証を、二要素認証と呼ぶ。


11. 二要素認証と二段階認証
 11 ▪二要素認証
 「知識」のＩＤとパスワードで認証後、Google Authenticatorなどの認証 コードアプリでワンタイムパスワードを生成するものやSMSに認証コー ドを送付する認証方式は「所持」を伴うので二要素認証となる。
 メールによるワンタイムパスワード送信ではメールのパスワードと、当 該サービスのパスワードを知っているという「知識」による認証であるた め、二要素認証ではなく二段階認証と言える。


    ▪二段階認証
 ▪参考情報
 ・「二要素認証」と「二段階認証」の違い - せぐなべ(2018-08-31) 
 　https://www.segunabe.com/2018/08/31/passclipnews180831/

12. 12 ３　認証情報への攻撃


13. パスワードの窃取（１/２）
 13 ▪パスワードの類推
 ▪中間者攻撃（MITM：Man-In-The-Middle）
 初期パスワード配布あるある
 ・誕生日（親しければ知ってるかも）
 ・社員番号（規則性があり類推できそう）
 例えば・・・
 ランダムな文字列を
 印刷し、封書で渡す


    対策
 ・フィッシングサイト（ID、ﾊﾟｽﾜｰﾄﾞ、
 　ｸﾚｼﾞｯﾄｶｰﾄﾞ情報）
 ・認証画面の改ざん
 ・キーロガー（トロイの木馬）
 ・パケットキャプチャ
 ・DNSチェンジャー
 ・DNSキャッシュポイズニング
 ・ARPスプーフィング
 ・URLフィルタリング、
 　テーマの設定
 ・改ざん検知
 ・アンチウイルス
 ・APホワイトリスト
 ・通信路の暗号化
 ・ワンタイムパスワード
 ・CHAP
 対策


14. パスワードの窃取（２/２）
 14 ▪パスワードの解析
 ・パスワードリスト攻撃
 ・ブルートフォース攻撃
 ・リバースブルートフォース攻撃
 ・パスワードスプレー攻撃
 ・辞書攻撃
 ・二要素認証
 ・二段階認証（ﾊﾟｽﾜｰﾄﾞ使い


    まわしの場合は危険）
 ・アカウントロック
 ・画像認証（CAPTCHA）
 ▪データベースや認証ディレクトリへの攻撃
 ・SQLインジェクション
 ・OSコマンドインジェクション
 ・Pass-the-Hash攻撃（mimikatz）
 ・Pass-the-Ticket攻撃（psexec）
 ・WAF(Web Application FW）
 ・IPS（侵入防御装置）
 ・ﾊﾟｽﾜｰﾄﾞ使いまわしの禁止
 ・ｱﾝﾁｳｲﾙｽ、振る舞い検知
 ・不審なイベントログの検知
 対策
 対策


15. 15 ４　最近の不正アクセス事案


16. 認証画面の改ざんによる被害増加（１／２）
 16 ▪参考情報
 ・今治タオルの通販サイトで改ざん - 偽決済画面誘導でクレカ情報詐取（2018-10-25） 
 　http://www.security-next.com/099333 
 ・和菓子店通販サイトに不正アクセス

    - 偽決済画面でクレカ情報詐取（2019-07-23） 
 　http://www.security-next.com/106716 
 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない 」――徳丸浩氏が指摘（2019-02-13） 
 　https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html 
 ▪和菓子店通販サイトに不正アクセス(2019-07-23)
 ・改ざんで正規のフォームにはないセキュリティコードの入力欄
 タオル通販サイト「伊織ネットショップ」
 和菓子店通販サイト
 「叶匠寿庵　　
 ｵﾝﾗｲﾝｼｮｯﾌﾟ」
 被害：2018-09-17～2019-03-13 公表：2019-07-22 被害：2018-05-08～2018-08-22 公表：2018-10-24 ・PCI DSS対応でカード情報非保持化では？ ・SQLインジェクション対策してないの？ 　　⇒これらは誤り ・WAF(WebApplicationFirewall)でも防げる 　かもしれないが、改ざん検知が正解 ・バックアップ/リストア運用大丈夫？

17. 認証画面の改ざんによる被害増加（２／２）
 17 ▪英国の航空会社「British Airways」(2018-09-06)
 ・サイバー犯罪グループ「Magecart(メイジカート)」が、複数のオンライン
 サイトで利用されているプラグインを改ざん（サプライチェーン攻撃）
 し、スキミングコード（情報を盗み見るコード）を混入させた。
 ▪参考情報
 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12)

    
 　https://japan.zdnet.com/article/35125475/ 
 ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) 
 　https://blog.trendmicro.co.jp/archives/20150 


18. 最近のリスト攻撃　　
 公表日
 事業者
 サイト
 事象期間
 被害状況
 2019-07-25
 ヤマト運輸
 クロネコメンバーズ
 7/24


    3467件の不正ログイン 
 ログイン試行３万回
 2019-07-25
 ブックオフ
 ブックオフオンライン 
 7/23
 パスワード再設定メール 
 4万4505件の送信
 2019-07-24
 コーナン
 コーナンPay
 7/23
 約100件の不正ログイン 
 2019-07-19
 ドコモ
 ｄアカウント
 7/19
 セキュリティコード通知の送信 
 2019-07-12
 中部電力
 カエテネ
 7/10～11
 234件の不正ログイン 
 2019-07-03
 セブン＆アイ
 ホールディングス
 ７ｐａｙ
 7/3～11
 1574件の不正ログイン 
 約3,240万円の不正利用金額 
 2019-06-13
 イオン
 暮らしのマネーサイト 
 5/28～6/3
 1917件の不正ログイン 
 カード不正利用708名 
 約2,200万円の不正利用金額 
 2019-06-10
 ユニ・チャーム
 ベビータウン
 5/9～5/28
 非公表
 2019-05-17
 ファースト
 リテイリング
 ユニクロ・GU
 オンライン
 4/23～5/10
 46万件のパスワードリセット 
 ※7payについては当初リスト攻撃と報道があったため掲載
 検知から公表が早い！

19. ７payの不正アクセス事案（１／２）
 19 ▪参考情報
 ・二段階認証の意味を問う　「7pay事件」を教訓に見直したい認証のハナシ（2019-07-29） 
 　https://www.itmedia.co.jp/news/articles/1907/29/news022.html 
 ※「SMSとSNSの区別がつかない」
 「二段階認証も知らんのか」と報道


20. ７payの不正アクセス事案（２／３）
 20 ▪７payの不正アクセスの原因は？
 ▪参考情報
 ・【7pay セブンペイ】不正利用の個人的な背景予想　2013年系列15万件流出事件→オムニ7→7pay（2019-07-05） 
 　https://ppp-payland.com/cashless/7pay/fusei-seven-netshopping-ryusyutsu/ 
 ・どさにっきキャッシュレス

    ～2019年7月上旬～（2019-07-09） 
 　http://ya.maya.st/d/201907a.html 
 ・パスワードリマインダの脆弱性が悪用された？
 　⇒リセットされた際に元の登録メールアドレスにメール通知される
 　　ので、悪用されても気付くことは可能。（当事者がこの説を否定）
 ・「秘密の質問」の答えを忘れたとサポートチャットすると、認証パス ワードがリセットする仕様
 　⇒第三者に認証パスワードを初期化され再設定された可能性。
 　　（使いまわしではない16桁のパスワードを設定していた人が被害
 　　に遭っている。ただし、チャットボットではなく人間が対応するよう
 　　になっていたらしいので、この可能性もなさそう）
 ・「7payはセブン-イレブンアプリと連携しているの
 　で、二段階うんぬんと同じ土俵に比べられるの　　 か、私自身は認識しておりません」の真意は？


21. ７payの不正アクセス事案（３／３）
 21 ▪参考情報
 ・［独自記事］7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明（2019-07-12） 
 　https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ 
 ・狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 - BI

    (2019-07-16) 
 　https://www.businessinsider.jp/post-194660 
 ・【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。｢GitHub｣上で誰でも入手可能だったか - BI（2019-07-24） 　　
 　https://www.businessinsider.jp/post-195187 
 ▪７payの不正アクセスは外部ID連携によるもの？
 idの検証が不十分
 でなりすましが成立
 Omni７ アプリの
 ソースがGitHubで
 公開されており、
 攻撃者が解析した
 のでは？
 本事案の影響で、会社でGitHub禁止令が出て
 困っている開発者が多いらしいという噂


22. 22 ５　情報漏えいへの備え


23. 23 危ないサイトの見分け方（１／２）
 ▪メールでパスワードを平文で送ってくれるサイト
 ▪参考情報
 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11)
 　https://piyolog.hatenadiary.jp/entry/20170311/1489253880 
 ▪脆弱性が多い

    Apache Struts 2 で構築されたサイト
 ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。
 　⇒ハッシュ化していない又は共通鍵で暗号化している可能性。
 
 ・ページのソースを見て、.actoin というURLが含まれるかを確認。
 


24. 24 危ないサイトの見分け方（２／２）
 ▪パスワードリマインダーで秘密の質問聞いてくるサイト
 ・「あなたの好きな食べ物は？」、「あなたのお母さんの旧姓は？」
 　⇒秘密になっていない。そもそも設計思想が古いサイト。
 
 ▪参考情報
 ・世界の電子認証基準が変わる：NIST SP800-63-3を読み解く(2019-04-15)
 　https://support.trustlogin.com/hc/ja/articles/世界の電子認証基準が変わる-NIST-SP800-63-3を読み解く

    
 NIST SP800-63-3
 で使用すべきでない (SHALL NOT)とされ ました。


25. 25 情報漏えいへの備え（１／５）
 ▪セキュリティソフトでは対応できない
 ▪参考情報
 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) 
 　https://dapps.gamewith.jp/?p=28 
 ・サーバへの不正アクセスの場合、利用者側では対処できない。


    セキュリティソフト（アンチウイルス、URLフィルタ）でも対応できない。
 
 ▪Webサービスごとに違うパスワードを設定
 ・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。
 
・二要素認証が設定できる場合は、設定しましょう。
 　（Google認証システムでトークンを生成する。）
 
 どうしたらいいの？
 ・利用していたサービスが不正アクセスに遭って、ID（メールアドレス）
 とパスワードが漏れちゃった！
 ・ログインIDとなるメールアドレスもサービスごとに変えておくと、
 リスト型攻撃には強くなる。（メールアドレス自体の漏えいには無意味）


26. 26 情報漏えいへの備え（２／５）
 ▪Gmailでメールエイリアスを使う方法
 ▪参考情報
 ・Gmailのエイリアスで複数の差出人名やアドレスを使い分ける（前編）(2018-03-05) 
 　http://ascii.jp/elem/000/001/641/1641606/ 
 ・アカウント名＋任意の文字列
 
foobar123+Am4z0n#@gmail.com

    （Amazon用）
 foobar123+App$t0r3@gmail.com（AppStore用）
 foobar123+ms%jp@gmail.com（Microsoft用）
 foo.bar.123@gmail.com
 f.o.o.b.a.r.123@gmail.com
 foo.bar.1.2.3+sample@gmail.com
 ・ドットも入れることが可能
 ・＋（プラス）やドットが使えない場合、@googlemail.comを使え！
 
foobar123@googlemail.com
 漏えいしたアドレス宛に メールが来た場合、どの サービスから漏えいした か分かって便利です！


27. 27 情報漏えいへの備え（３／５）
 ▪退会する前に個人情報の見直しを
 ・退会処理では削除フラグが立っただけで、論理削除の状態。
 ⇒退会時に、漏えいしても影響がない無意味な情報に書き換える。
 　
 
 　　例）クレジットカード情報や、氏名、住所、電話番号など。
 　　　　書き換える内容は、退会したサイトで共通しても問題なし。
 


    ▪参考情報
 ・日本人ならではの簡単で強固なパスワード設定方法（2018-06-09）
 　http://www.motaci.com/archives/477
 ・安全なパスワードのつくり方 漏洩対策や管理アプリ、流出チェック法まで紹介（2019-07-26）
 　https://time-space.kddi.com/it-technology/20190726/2701
 ▪複雑なパスワードより長く覚えやすいものを
 ・8文字程度のパスワードの一部を、記号や数字にすることはあまり
 意味がない。（ハッシュ値を盗まれた場合、簡単に推測される）
 
 ⇒単語羅列ではなく、文章（パスフレーズ）にする。
 　歌の歌詞やサビのフレーズなども覚えやすくて
 　おすすめです。


28. 28 情報漏えいへの備え（４／５）
 ▪自分のメールアドレスが漏れているかチェック！
 
 ▪参考情報
 ・メアドを入力すると、流出被害に遭っているかが分かる　Mozillaが無料のチェックサービス（2018-09-27） 
 　https://www.itmedia.co.jp/news/articles/1809/27/news065.html 
 ・『';--have

    i been pwned?』　https://haveibeenpwned.com/
 ・Firefox Monitorのサービス https://monitor.firefox.com/
 


29. 29 情報漏えいへの備え（５／５）
 ▪Money Forward MEのすすめ
 ▪参考情報
 ・無料家計簿アプリ『マネーフォワードME』が便利すぎ！できることまとめ（2019-01-25） 
 　https://kyanana.com/moneyforward 


    ・入出金を把握して、不明な取引がないかチェック！
 ・クレジットカードを紐づけておけば、クレジットカードのサイトに
 　ログインしなくても、Money Forwardの画面だけで確認できる。
 ・Amazonの購入履歴の連携も可能。
 ※無料プランで連携できるのは、１０口座まで。
 


30. 30 ５　まとめ


31. ◆攻撃側の手法を理解して防御を検討しよう
 ◆普段から脆弱性情報やセキュリティ事故等
 　 情報を収集し、分析しよう
 31 まとめ
 ◆パスワードの定期変更は運用も考慮しよう
 ◆長いパスワードを設定しよう
 ◆二要素認証・二段階認証を設定しよう
 ◆担当システムが大丈夫か


    　 振り返ろう


32. ご清聴ありがとうございました。
 32 フォロー待ってるニャ！
 @catnap707