Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Authentication-and-7pay-case.pdf

8b87ad1460f4051001d3b70211f05576?s=47 hiro
July 29, 2019

 Authentication-and-7pay-case.pdf

8b87ad1460f4051001d3b70211f05576?s=128

hiro

July 29, 2019
Tweet

Transcript

  1. 認証にまつわるお話
 ~7pay事案を読み解く~
 第29回ゼロから始めるセキュリティ入門 勉強会
 2019/07/29
 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)


  2. アジェンダ
 1 認証の役割
 2 多要素認証
 3 認証情報への攻撃
 4 最近の不正アクセス事案
 5 情報漏えいへの備え
 6 まとめ
 ▪参考情報
 ・NIST SP800-63-3翻訳版63-Bパートの紹介

    
  https://www.slideshare.net/kthrtty/20171027-nist-sp80063bkthrtty-81333156
  3. 3 1 認証の役割


  4. (1)実社会における本人確認
   行政手続(市区町村における申請手続)
   ・運転免許証
   ・健康保険証(2021年3月からマイナンバーカードに「保険証機能」付与)
   ・日本国旅券(パスポート)
   ・住民票の写し
   ・住基カード(平成27年12月発行停止、有効期限は令和7年12月まで)
   ・マイナンバーカード
     (令和元年5月24日、デジタルファースト法が成立。
      今後、通知カードは廃止の方向へ。)


       
 認証の役割(1/3)
 ▪本人確認(権限の利用許可、なりすましの防止)
 ▪参考情報
 ・デジタルファースト法が成立 行政手続き電子化 - 日本経済新聞(2019-05-24) 
  https://www.nikkei.com/article/DGXMZO45208480U9A520C1MM0000/ 

  5. 5 ご参考:マイニャンバーカード(個猫番号カード)


  6. 認証の役割(2/3)
 6 (2)ITにおける本人確認
  知識(Know):IDとパスワード、PINコード
  所有(Have):ICカード、トークン、電子証明書
  生体(Are):指紋認証、顔認証、静脈認証、虹彩認証
    
    
 ▪参考情報
 ・利用者認証の種類

    --- SYK,SYH,SYA - 日経XTECH (2006-03-29) 
  https://tech.nikkeibp.co.jp/it/article/COLUMN/20060324/233215 /

  7. 認証の役割(3/3)
 7 (3)パスワードの定期変更 
    
 ▪参考情報
 ・パスワードの定期変更は不要:総務省が歴史的な方向転換(2018-04-15) 
  https://support.trustlogin.com/hc/ja/articles/360002888113-パスワードの定期変更は不要-総務省が歴史的な方向転換
 ・MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で(2019-04-25)

    
  https://japanese.engadget.com/2019/04/25/ms-win-10/ 
 ・定期変更しないほうが良い理由
 ⇒定期変更をユーザに強制すると、簡単な文字列になりがち。
   破られやすいものになる傾向(NIST、NISC、総務省、JIPDEC等)。
 ・定期変更したほうが良い場合
 ⇒利用しているサービスのパスワードが漏えいした場合。
 ⇒業務上、アカウントを共有している場合で、
  人事異動があった場合。
 ・定期変更しなくてもいい理由
 ⇒十分に長い(12文字以上)パスワードを設定していれば今のところ安全
  短いとハッシュ値から平文が得られるレインボーテーブルで解析される
 そもそも「サービス提供者は定期変更を 要求すべきではない」という話 すでにパスワード文字列に絵文字を含む レインボーテーブルも出回っている
  8. 8 ご参考:パスワードの強度
 ▪参考情報
 ・@TerahashCorp 社のツイート(2019-07-27) 
  https://twitter.com/TerahashCorp/status/1155112559206383616 Terahash社のGPU448機でのベンチマーク

  9. 9 2 多要素認証


  10. 多要素認証
 10 ▪多要素認証とは
 認証要素
 セキュリティレベル
 利用者確認方法の例
 知識認証 
 What you

    know?
 知識ベースなので、その知識を知ってい れば誰でもなりすましが可能
 ・ID/パスワード
 ・合言葉「風」「谷」
 所有物認証
 What you have?
 知識ベースと違って所有物を持った人だ けが認証可能
 (盗まれた場合に、なりすまされる)
 ・電子証明書
 ・ワンタイムパスワード用のトークン
 ・ICカード(社員証)
 生体認証
 What you are?
 身体的な特徴を元にするので、盗まれ ることもないし、貸借をすることができな い。
 ・指紋認証 ・静脈認証
 ・虹彩認証 ・網膜認証
 ・声紋認証 ・顔認証
 ▪参考情報
 ・「本人認証」3つの方式 - 情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 
  http://sc.seeeko.com/archives/4554054.html 「知識」「所持」「生体」から2つ用いる
 認証を、二要素認証と呼ぶ。

  11. 二要素認証と二段階認証
 11 ▪二要素認証
 「知識」のIDとパスワードで認証後、Google Authenticatorなどの認証 コードアプリでワンタイムパスワードを生成するものやSMSに認証コー ドを送付する認証方式は「所持」を伴うので二要素認証となる。
 メールによるワンタイムパスワード送信ではメールのパスワードと、当 該サービスのパスワードを知っているという「知識」による認証であるた め、二要素認証ではなく二段階認証と言える。


    ▪二段階認証
 ▪参考情報
 ・「二要素認証」と「二段階認証」の違い - せぐなべ(2018-08-31) 
  https://www.segunabe.com/2018/08/31/passclipnews180831/
  12. 12 3 認証情報への攻撃


  13. パスワードの窃取(1/2)
 13 ▪パスワードの類推
 ▪中間者攻撃(MITM:Man-In-The-Middle)
 初期パスワード配布あるある
 ・誕生日(親しければ知ってるかも)
 ・社員番号(規則性があり類推できそう)
 例えば・・・
 ランダムな文字列を
 印刷し、封書で渡す


    対策
 ・フィッシングサイト(ID、パスワード、
  クレジットカード情報)
 ・認証画面の改ざん
 ・キーロガー(トロイの木馬)
 ・パケットキャプチャ
 ・DNSチェンジャー
 ・DNSキャッシュポイズニング
 ・ARPスプーフィング
 ・URLフィルタリング、
  テーマの設定
 ・改ざん検知
 ・アンチウイルス
 ・APホワイトリスト
 ・通信路の暗号化
 ・ワンタイムパスワード
 ・CHAP
 対策

  14. パスワードの窃取(2/2)
 14 ▪パスワードの解析
 ・パスワードリスト攻撃
 ・ブルートフォース攻撃
 ・リバースブルートフォース攻撃
 ・パスワードスプレー攻撃
 ・辞書攻撃
 ・二要素認証
 ・二段階認証(パスワード使い


    まわしの場合は危険)
 ・アカウントロック
 ・画像認証(CAPTCHA)
 ▪データベースや認証ディレクトリへの攻撃
 ・SQLインジェクション
 ・OSコマンドインジェクション
 ・Pass-the-Hash攻撃(mimikatz)
 ・Pass-the-Ticket攻撃(psexec)
 ・WAF(Web Application FW)
 ・IPS(侵入防御装置)
 ・パスワード使いまわしの禁止
 ・アンチウイルス、振る舞い検知
 ・不審なイベントログの検知
 対策
 対策

  15. 15 4 最近の不正アクセス事案


  16. 認証画面の改ざんによる被害増加(1/2)
 16 ▪参考情報
 ・今治タオルの通販サイトで改ざん - 偽決済画面誘導でクレカ情報詐取(2018-10-25) 
  http://www.security-next.com/099333 
 ・和菓子店通販サイトに不正アクセス

    - 偽決済画面でクレカ情報詐取(2019-07-23) 
  http://www.security-next.com/106716 
 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない 」――徳丸浩氏が指摘(2019-02-13) 
  https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html 
 ▪和菓子店通販サイトに不正アクセス(2019-07-23)
 ・改ざんで正規のフォームにはないセキュリティコードの入力欄
 タオル通販サイト「伊織ネットショップ」
 和菓子店通販サイト
 「叶匠寿庵  
 オンラインショップ」
 被害:2018-09-17~2019-03-13 公表:2019-07-22 被害:2018-05-08~2018-08-22 公表:2018-10-24 ・PCI DSS対応でカード情報非保持化では? ・SQLインジェクション対策してないの?   ⇒これらは誤り ・WAF(WebApplicationFirewall)でも防げる  かもしれないが、改ざん検知が正解 ・バックアップ/リストア運用大丈夫?
  17. 認証画面の改ざんによる被害増加(2/2)
 17 ▪英国の航空会社「British Airways」(2018-09-06)
 ・サイバー犯罪グループ「Magecart(メイジカート)」が、複数のオンライン
 サイトで利用されているプラグインを改ざん(サプライチェーン攻撃)
 し、スキミングコード(情報を盗み見るコード)を混入させた。
 ▪参考情報
 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12)

    
  https://japan.zdnet.com/article/35125475/ 
 ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) 
  https://blog.trendmicro.co.jp/archives/20150 

  18. 最近のリスト攻撃  
 公表日
 事業者
 サイト
 事象期間
 被害状況
 2019-07-25
 ヤマト運輸
 クロネコメンバーズ
 7/24


    3467件の不正ログイン 
 ログイン試行3万回
 2019-07-25
 ブックオフ
 ブックオフオンライン 
 7/23
 パスワード再設定メール 
 4万4505件の送信
 2019-07-24
 コーナン
 コーナンPay
 7/23
 約100件の不正ログイン 
 2019-07-19
 ドコモ
 dアカウント
 7/19
 セキュリティコード通知の送信 
 2019-07-12
 中部電力
 カエテネ
 7/10~11
 234件の不正ログイン 
 2019-07-03
 セブン&アイ
 ホールディングス
 7pay
 7/3~11
 1574件の不正ログイン 
 約3,240万円の不正利用金額 
 2019-06-13
 イオン
 暮らしのマネーサイト 
 5/28~6/3
 1917件の不正ログイン 
 カード不正利用708名 
 約2,200万円の不正利用金額 
 2019-06-10
 ユニ・チャーム
 ベビータウン
 5/9~5/28
 非公表
 2019-05-17
 ファースト
 リテイリング
 ユニクロ・GU
 オンライン
 4/23~5/10
 46万件のパスワードリセット 
 ※7payについては当初リスト攻撃と報道があったため掲載
 検知から公表が早い!
  19. 7payの不正アクセス事案(1/2)
 19 ▪参考情報
 ・二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ(2019-07-29) 
  https://www.itmedia.co.jp/news/articles/1907/29/news022.html 
 ※「SMSとSNSの区別がつかない」
 「二段階認証も知らんのか」と報道


  20. 7payの不正アクセス事案(2/3)
 20 ▪7payの不正アクセスの原因は?
 ▪参考情報
 ・【7pay セブンペイ】不正利用の個人的な背景予想 2013年系列15万件流出事件→オムニ7→7pay(2019-07-05) 
  https://ppp-payland.com/cashless/7pay/fusei-seven-netshopping-ryusyutsu/ 
 ・どさにっきキャッシュレス

    ~2019年7月上旬~(2019-07-09) 
  http://ya.maya.st/d/201907a.html 
 ・パスワードリマインダの脆弱性が悪用された?
  ⇒リセットされた際に元の登録メールアドレスにメール通知される
   ので、悪用されても気付くことは可能。(当事者がこの説を否定)
 ・「秘密の質問」の答えを忘れたとサポートチャットすると、認証パス ワードがリセットする仕様
  ⇒第三者に認証パスワードを初期化され再設定された可能性。
   (使いまわしではない16桁のパスワードを設定していた人が被害
   に遭っている。ただし、チャットボットではなく人間が対応するよう
   になっていたらしいので、この可能性もなさそう)
 ・「7payはセブン-イレブンアプリと連携しているの
  で、二段階うんぬんと同じ土俵に比べられるの   か、私自身は認識しておりません」の真意は?

  21. 7payの不正アクセス事案(3/3)
 21 ▪参考情報
 ・[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明(2019-07-12) 
  https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ 
 ・狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 - BI

    (2019-07-16) 
  https://www.businessinsider.jp/post-194660 
 ・【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか - BI(2019-07-24)   
  https://www.businessinsider.jp/post-195187 
 ▪7payの不正アクセスは外部ID連携によるもの?
 idの検証が不十分
 でなりすましが成立
 Omni7 アプリの
 ソースがGitHubで
 公開されており、
 攻撃者が解析した
 のでは?
 本事案の影響で、会社でGitHub禁止令が出て
 困っている開発者が多いらしいという噂

  22. 22 5 情報漏えいへの備え


  23. 23 危ないサイトの見分け方(1/2)
 ▪メールでパスワードを平文で送ってくれるサイト
 ▪参考情報
 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11)
  https://piyolog.hatenadiary.jp/entry/20170311/1489253880 
 ▪脆弱性が多い

    Apache Struts 2 で構築されたサイト
 ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。
  ⇒ハッシュ化していない又は共通鍵で暗号化している可能性。
 
 ・ページのソースを見て、.actoin というURLが含まれるかを確認。
 

  24. 24 危ないサイトの見分け方(2/2)
 ▪パスワードリマインダーで秘密の質問聞いてくるサイト
 ・「あなたの好きな食べ物は?」、「あなたのお母さんの旧姓は?」
  ⇒秘密になっていない。そもそも設計思想が古いサイト。
 
 ▪参考情報
 ・世界の電子認証基準が変わる:NIST SP800-63-3を読み解く(2019-04-15)
  https://support.trustlogin.com/hc/ja/articles/世界の電子認証基準が変わる-NIST-SP800-63-3を読み解く

    
 NIST SP800-63-3
 で使用すべきでない (SHALL NOT)とされ ました。

  25. 25 情報漏えいへの備え(1/5)
 ▪セキュリティソフトでは対応できない
 ▪参考情報
 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) 
  https://dapps.gamewith.jp/?p=28 
 ・サーバへの不正アクセスの場合、利用者側では対処できない。


    セキュリティソフト(アンチウイルス、URLフィルタ)でも対応できない。
 
 ▪Webサービスごとに違うパスワードを設定
 ・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。
 
・二要素認証が設定できる場合は、設定しましょう。
  (Google認証システムでトークンを生成する。)
 
 どうしたらいいの?
 ・利用していたサービスが不正アクセスに遭って、ID(メールアドレス)
 とパスワードが漏れちゃった!
 ・ログインIDとなるメールアドレスもサービスごとに変えておくと、
 リスト型攻撃には強くなる。(メールアドレス自体の漏えいには無意味)

  26. 26 情報漏えいへの備え(2/5)
 ▪Gmailでメールエイリアスを使う方法
 ▪参考情報
 ・Gmailのエイリアスで複数の差出人名やアドレスを使い分ける(前編)(2018-03-05) 
  http://ascii.jp/elem/000/001/641/1641606/ 
 ・アカウント名+任意の文字列
 
foobar123+Am4z0n#@gmail.com

    (Amazon用)
 foobar123+App$t0r3@gmail.com(AppStore用)
 foobar123+ms%jp@gmail.com(Microsoft用)
 foo.bar.123@gmail.com
 f.o.o.b.a.r.123@gmail.com
 foo.bar.1.2.3+sample@gmail.com
 ・ドットも入れることが可能
 ・+(プラス)やドットが使えない場合、@googlemail.comを使え!
 
foobar123@googlemail.com
 漏えいしたアドレス宛に メールが来た場合、どの サービスから漏えいした か分かって便利です!

  27. 27 情報漏えいへの備え(3/5)
 ▪退会する前に個人情報の見直しを
 ・退会処理では削除フラグが立っただけで、論理削除の状態。
 ⇒退会時に、漏えいしても影響がない無意味な情報に書き換える。
  
 
   例)クレジットカード情報や、氏名、住所、電話番号など。
     書き換える内容は、退会したサイトで共通しても問題なし。
 


    ▪参考情報
 ・日本人ならではの簡単で強固なパスワード設定方法(2018-06-09)
  http://www.motaci.com/archives/477
 ・安全なパスワードのつくり方 漏洩対策や管理アプリ、流出チェック法まで紹介(2019-07-26)
  https://time-space.kddi.com/it-technology/20190726/2701
 ▪複雑なパスワードより長く覚えやすいものを
 ・8文字程度のパスワードの一部を、記号や数字にすることはあまり
 意味がない。(ハッシュ値を盗まれた場合、簡単に推測される)
 
 ⇒単語羅列ではなく、文章(パスフレーズ)にする。
  歌の歌詞やサビのフレーズなども覚えやすくて
  おすすめです。

  28. 28 情報漏えいへの備え(4/5)
 ▪自分のメールアドレスが漏れているかチェック!
 
 ▪参考情報
 ・メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス(2018-09-27) 
  https://www.itmedia.co.jp/news/articles/1809/27/news065.html 
 ・『';--have

    i been pwned?』 https://haveibeenpwned.com/
 ・Firefox Monitorのサービス https://monitor.firefox.com/
 

  29. 29 情報漏えいへの備え(5/5)
 ▪Money Forward MEのすすめ
 ▪参考情報
 ・無料家計簿アプリ『マネーフォワードME』が便利すぎ!できることまとめ(2019-01-25) 
  https://kyanana.com/moneyforward 


    ・入出金を把握して、不明な取引がないかチェック!
 ・クレジットカードを紐づけておけば、クレジットカードのサイトに
  ログインしなくても、Money Forwardの画面だけで確認できる。
 ・Amazonの購入履歴の連携も可能。
 ※無料プランで連携できるのは、10口座まで。
 

  30. 30 5 まとめ


  31. ◆攻撃側の手法を理解して防御を検討しよう
 ◆普段から脆弱性情報やセキュリティ事故等
   情報を収集し、分析しよう
 31 まとめ
 ◆パスワードの定期変更は運用も考慮しよう
 ◆長いパスワードを設定しよう
 ◆二要素認証・二段階認証を設定しよう
 ◆担当システムが大丈夫か


      振り返ろう

  32. ご清聴ありがとうございました。
 32 フォロー待ってるニャ!
 @catnap707