Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
Authentication-and-7pay-case.pdf
hiro
July 29, 2019
Technology
6
1.1k
Authentication-and-7pay-case.pdf
hiro
July 29, 2019
Tweet
Share
More Decks by hiro
See All by hiro
Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf
ctrl_z3r0
1
850
Observe_C2Servers_via_MonitoringService-20200330.pdf
ctrl_z3r0
2
660
Remove_obfuscation_in_Emotet_PowershellScript-20200129.pdf
ctrl_z3r0
2
2k
Honeypot-on-GCP-20191201.pdf
ctrl_z3r0
0
460
HackingDojo_De-Ice_1.110_-20191203.pdf
ctrl_z3r0
5
1k
Investigating-Malware-20191030
ctrl_z3r0
4
940
Honeypot_on_GCP-20191006.pdf
ctrl_z3r0
4
1.1k
AntiPortscan-20190925
ctrl_z3r0
2
640
Honeypot on GCE (Google Compute Engine)
ctrl_z3r0
1
640
Other Decks in Technology
See All in Technology
【OCHaCafe#5】その Pod 突然落ちても大丈夫ですか?
k6s4i53rx
2
110
モデリング、コンテキスト トランジション +1 / Data modeling
ishiayaya
0
110
AWSの基礎を学ぼうで学んだ9種類のDBを勝手にふりかえる
98lerr
1
700
Power BI ”を” 可視化しよう!
hanaseleb
0
140
Who owns the Service Level?
chaspy
5
660
Babylon.js v5 新機能の紹介
limes2018
0
320
Nutanix_Meetup_20220511
keigotomomatsu
0
140
キャッチアップ Android 13 / Catch up Android 13
yanzm
1
760
220428event_matsuda_part
caddi_eng
0
240
TypeScript 4.7と型レベルプログラミング
uhyo
5
2.7k
エンジニアインターンの採用〜実際の開発への関与について for EM meetup#10
dmiyamoto
1
250
ここらでGPSマルチユニットが如何に使いやすいか本気で説明するから聞きなさい
mitsuzono
0
350
Featured
See All Featured
ReactJS: Keep Simple. Everything can be a component!
pedronauck
655
120k
Statistics for Hackers
jakevdp
781
210k
Building an army of robots
kneath
299
40k
Infographics Made Easy
chrislema
233
17k
What the flash - Photography Introduction
edds
61
9.8k
Build The Right Thing And Hit Your Dates
maggiecrowley
19
1.1k
Teambox: Starting and Learning
jrom
121
7.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
181
15k
The Art of Programming - Codeland 2020
erikaheidi
31
5.8k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
119
28k
How GitHub Uses GitHub to Build GitHub
holman
465
280k
Documentation Writing (for coders)
carmenhchung
48
2.5k
Transcript
認証にまつわるお話 ~7pay事案を読み解く~ 第29回ゼロから始めるセキュリティ入門 勉強会 2019/07/29 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)
アジェンダ 1 認証の役割 2 多要素認証 3 認証情報への攻撃 4 最近の不正アクセス事案 5 情報漏えいへの備え 6 まとめ ▪参考情報 ・NIST SP800-63-3翻訳版63-Bパートの紹介
https://www.slideshare.net/kthrtty/20171027-nist-sp80063bkthrtty-81333156
3 1 認証の役割
(1)実社会における本人確認 行政手続(市区町村における申請手続) ・運転免許証 ・健康保険証(2021年3月からマイナンバーカードに「保険証機能」付与) ・日本国旅券(パスポート) ・住民票の写し ・住基カード(平成27年12月発行停止、有効期限は令和7年12月まで) ・マイナンバーカード (令和元年5月24日、デジタルファースト法が成立。 今後、通知カードは廃止の方向へ。)
認証の役割(1/3) ▪本人確認(権限の利用許可、なりすましの防止) ▪参考情報 ・デジタルファースト法が成立 行政手続き電子化 - 日本経済新聞(2019-05-24) https://www.nikkei.com/article/DGXMZO45208480U9A520C1MM0000/
5 ご参考:マイニャンバーカード(個猫番号カード)
認証の役割(2/3) 6 (2)ITにおける本人確認 知識(Know):IDとパスワード、PINコード 所有(Have):ICカード、トークン、電子証明書 生体(Are):指紋認証、顔認証、静脈認証、虹彩認証 ▪参考情報 ・利用者認証の種類
--- SYK,SYH,SYA - 日経XTECH (2006-03-29) https://tech.nikkeibp.co.jp/it/article/COLUMN/20060324/233215 /
認証の役割(3/3) 7 (3)パスワードの定期変更 ▪参考情報 ・パスワードの定期変更は不要:総務省が歴史的な方向転換(2018-04-15) https://support.trustlogin.com/hc/ja/articles/360002888113-パスワードの定期変更は不要-総務省が歴史的な方向転換 ・MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で(2019-04-25)
https://japanese.engadget.com/2019/04/25/ms-win-10/ ・定期変更しないほうが良い理由 ⇒定期変更をユーザに強制すると、簡単な文字列になりがち。 破られやすいものになる傾向(NIST、NISC、総務省、JIPDEC等)。 ・定期変更したほうが良い場合 ⇒利用しているサービスのパスワードが漏えいした場合。 ⇒業務上、アカウントを共有している場合で、 人事異動があった場合。 ・定期変更しなくてもいい理由 ⇒十分に長い(12文字以上)パスワードを設定していれば今のところ安全 短いとハッシュ値から平文が得られるレインボーテーブルで解析される そもそも「サービス提供者は定期変更を 要求すべきではない」という話 すでにパスワード文字列に絵文字を含む レインボーテーブルも出回っている
8 ご参考:パスワードの強度 ▪参考情報 ・@TerahashCorp 社のツイート(2019-07-27) https://twitter.com/TerahashCorp/status/1155112559206383616 Terahash社のGPU448機でのベンチマーク
9 2 多要素認証
多要素認証 10 ▪多要素認証とは 認証要素 セキュリティレベル 利用者確認方法の例 知識認証 What you
know? 知識ベースなので、その知識を知ってい れば誰でもなりすましが可能 ・ID/パスワード ・合言葉「風」「谷」 所有物認証 What you have? 知識ベースと違って所有物を持った人だ けが認証可能 (盗まれた場合に、なりすまされる) ・電子証明書 ・ワンタイムパスワード用のトークン ・ICカード(社員証) 生体認証 What you are? 身体的な特徴を元にするので、盗まれ ることもないし、貸借をすることができな い。 ・指紋認証 ・静脈認証 ・虹彩認証 ・網膜認証 ・声紋認証 ・顔認証 ▪参考情報 ・「本人認証」3つの方式 - 情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 http://sc.seeeko.com/archives/4554054.html 「知識」「所持」「生体」から2つ用いる 認証を、二要素認証と呼ぶ。
二要素認証と二段階認証 11 ▪二要素認証 「知識」のIDとパスワードで認証後、Google Authenticatorなどの認証 コードアプリでワンタイムパスワードを生成するものやSMSに認証コー ドを送付する認証方式は「所持」を伴うので二要素認証となる。 メールによるワンタイムパスワード送信ではメールのパスワードと、当 該サービスのパスワードを知っているという「知識」による認証であるた め、二要素認証ではなく二段階認証と言える。
▪二段階認証 ▪参考情報 ・「二要素認証」と「二段階認証」の違い - せぐなべ(2018-08-31) https://www.segunabe.com/2018/08/31/passclipnews180831/
12 3 認証情報への攻撃
パスワードの窃取(1/2) 13 ▪パスワードの類推 ▪中間者攻撃(MITM:Man-In-The-Middle) 初期パスワード配布あるある ・誕生日(親しければ知ってるかも) ・社員番号(規則性があり類推できそう) 例えば・・・ ランダムな文字列を 印刷し、封書で渡す
対策 ・フィッシングサイト(ID、パスワード、 クレジットカード情報) ・認証画面の改ざん ・キーロガー(トロイの木馬) ・パケットキャプチャ ・DNSチェンジャー ・DNSキャッシュポイズニング ・ARPスプーフィング ・URLフィルタリング、 テーマの設定 ・改ざん検知 ・アンチウイルス ・APホワイトリスト ・通信路の暗号化 ・ワンタイムパスワード ・CHAP 対策
パスワードの窃取(2/2) 14 ▪パスワードの解析 ・パスワードリスト攻撃 ・ブルートフォース攻撃 ・リバースブルートフォース攻撃 ・パスワードスプレー攻撃 ・辞書攻撃 ・二要素認証 ・二段階認証(パスワード使い
まわしの場合は危険) ・アカウントロック ・画像認証(CAPTCHA) ▪データベースや認証ディレクトリへの攻撃 ・SQLインジェクション ・OSコマンドインジェクション ・Pass-the-Hash攻撃(mimikatz) ・Pass-the-Ticket攻撃(psexec) ・WAF(Web Application FW) ・IPS(侵入防御装置) ・パスワード使いまわしの禁止 ・アンチウイルス、振る舞い検知 ・不審なイベントログの検知 対策 対策
15 4 最近の不正アクセス事案
認証画面の改ざんによる被害増加(1/2) 16 ▪参考情報 ・今治タオルの通販サイトで改ざん - 偽決済画面誘導でクレカ情報詐取(2018-10-25) http://www.security-next.com/099333 ・和菓子店通販サイトに不正アクセス
- 偽決済画面でクレカ情報詐取(2019-07-23) http://www.security-next.com/106716 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない 」――徳丸浩氏が指摘(2019-02-13) https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html ▪和菓子店通販サイトに不正アクセス(2019-07-23) ・改ざんで正規のフォームにはないセキュリティコードの入力欄 タオル通販サイト「伊織ネットショップ」 和菓子店通販サイト 「叶匠寿庵 オンラインショップ」 被害:2018-09-17~2019-03-13 公表:2019-07-22 被害:2018-05-08~2018-08-22 公表:2018-10-24 ・PCI DSS対応でカード情報非保持化では? ・SQLインジェクション対策してないの? ⇒これらは誤り ・WAF(WebApplicationFirewall)でも防げる かもしれないが、改ざん検知が正解 ・バックアップ/リストア運用大丈夫?
認証画面の改ざんによる被害増加(2/2) 17 ▪英国の航空会社「British Airways」(2018-09-06) ・サイバー犯罪グループ「Magecart(メイジカート)」が、複数のオンライン サイトで利用されているプラグインを改ざん(サプライチェーン攻撃) し、スキミングコード(情報を盗み見るコード)を混入させた。 ▪参考情報 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12)
https://japan.zdnet.com/article/35125475/ ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) https://blog.trendmicro.co.jp/archives/20150
最近のリスト攻撃 公表日 事業者 サイト 事象期間 被害状況 2019-07-25 ヤマト運輸 クロネコメンバーズ 7/24
3467件の不正ログイン ログイン試行3万回 2019-07-25 ブックオフ ブックオフオンライン 7/23 パスワード再設定メール 4万4505件の送信 2019-07-24 コーナン コーナンPay 7/23 約100件の不正ログイン 2019-07-19 ドコモ dアカウント 7/19 セキュリティコード通知の送信 2019-07-12 中部電力 カエテネ 7/10~11 234件の不正ログイン 2019-07-03 セブン&アイ ホールディングス 7pay 7/3~11 1574件の不正ログイン 約3,240万円の不正利用金額 2019-06-13 イオン 暮らしのマネーサイト 5/28~6/3 1917件の不正ログイン カード不正利用708名 約2,200万円の不正利用金額 2019-06-10 ユニ・チャーム ベビータウン 5/9~5/28 非公表 2019-05-17 ファースト リテイリング ユニクロ・GU オンライン 4/23~5/10 46万件のパスワードリセット ※7payについては当初リスト攻撃と報道があったため掲載 検知から公表が早い!
7payの不正アクセス事案(1/2) 19 ▪参考情報 ・二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ(2019-07-29) https://www.itmedia.co.jp/news/articles/1907/29/news022.html ※「SMSとSNSの区別がつかない」 「二段階認証も知らんのか」と報道
7payの不正アクセス事案(2/3) 20 ▪7payの不正アクセスの原因は? ▪参考情報 ・【7pay セブンペイ】不正利用の個人的な背景予想 2013年系列15万件流出事件→オムニ7→7pay(2019-07-05) https://ppp-payland.com/cashless/7pay/fusei-seven-netshopping-ryusyutsu/ ・どさにっきキャッシュレス
~2019年7月上旬~(2019-07-09) http://ya.maya.st/d/201907a.html ・パスワードリマインダの脆弱性が悪用された? ⇒リセットされた際に元の登録メールアドレスにメール通知される ので、悪用されても気付くことは可能。(当事者がこの説を否定) ・「秘密の質問」の答えを忘れたとサポートチャットすると、認証パス ワードがリセットする仕様 ⇒第三者に認証パスワードを初期化され再設定された可能性。 (使いまわしではない16桁のパスワードを設定していた人が被害 に遭っている。ただし、チャットボットではなく人間が対応するよう になっていたらしいので、この可能性もなさそう) ・「7payはセブン-イレブンアプリと連携しているの で、二段階うんぬんと同じ土俵に比べられるの か、私自身は認識しておりません」の真意は?
7payの不正アクセス事案(3/3) 21 ▪参考情報 ・[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明(2019-07-12) https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ ・狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 - BI
(2019-07-16) https://www.businessinsider.jp/post-194660 ・【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか - BI(2019-07-24) https://www.businessinsider.jp/post-195187 ▪7payの不正アクセスは外部ID連携によるもの? idの検証が不十分 でなりすましが成立 Omni7 アプリの ソースがGitHubで 公開されており、 攻撃者が解析した のでは? 本事案の影響で、会社でGitHub禁止令が出て 困っている開発者が多いらしいという噂
22 5 情報漏えいへの備え
23 危ないサイトの見分け方(1/2) ▪メールでパスワードを平文で送ってくれるサイト ▪参考情報 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11) https://piyolog.hatenadiary.jp/entry/20170311/1489253880 ▪脆弱性が多い
Apache Struts 2 で構築されたサイト ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。 ⇒ハッシュ化していない又は共通鍵で暗号化している可能性。 ・ページのソースを見て、.actoin というURLが含まれるかを確認。
24 危ないサイトの見分け方(2/2) ▪パスワードリマインダーで秘密の質問聞いてくるサイト ・「あなたの好きな食べ物は?」、「あなたのお母さんの旧姓は?」 ⇒秘密になっていない。そもそも設計思想が古いサイト。 ▪参考情報 ・世界の電子認証基準が変わる:NIST SP800-63-3を読み解く(2019-04-15) https://support.trustlogin.com/hc/ja/articles/世界の電子認証基準が変わる-NIST-SP800-63-3を読み解く
NIST SP800-63-3 で使用すべきでない (SHALL NOT)とされ ました。
25 情報漏えいへの備え(1/5) ▪セキュリティソフトでは対応できない ▪参考情報 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) https://dapps.gamewith.jp/?p=28 ・サーバへの不正アクセスの場合、利用者側では対処できない。
セキュリティソフト(アンチウイルス、URLフィルタ)でも対応できない。 ▪Webサービスごとに違うパスワードを設定 ・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。 ・二要素認証が設定できる場合は、設定しましょう。 (Google認証システムでトークンを生成する。) どうしたらいいの? ・利用していたサービスが不正アクセスに遭って、ID(メールアドレス) とパスワードが漏れちゃった! ・ログインIDとなるメールアドレスもサービスごとに変えておくと、 リスト型攻撃には強くなる。(メールアドレス自体の漏えいには無意味)
26 情報漏えいへの備え(2/5) ▪Gmailでメールエイリアスを使う方法 ▪参考情報 ・Gmailのエイリアスで複数の差出人名やアドレスを使い分ける(前編)(2018-03-05) http://ascii.jp/elem/000/001/641/1641606/ ・アカウント名+任意の文字列 foobar123+Am4z0n#@gmail.com
(Amazon用) foobar123+App$t0r3@gmail.com(AppStore用) foobar123+ms%jp@gmail.com(Microsoft用) foo.bar.123@gmail.com f.o.o.b.a.r.123@gmail.com foo.bar.1.2.3+sample@gmail.com ・ドットも入れることが可能 ・+(プラス)やドットが使えない場合、@googlemail.comを使え! foobar123@googlemail.com 漏えいしたアドレス宛に メールが来た場合、どの サービスから漏えいした か分かって便利です!
27 情報漏えいへの備え(3/5) ▪退会する前に個人情報の見直しを ・退会処理では削除フラグが立っただけで、論理削除の状態。 ⇒退会時に、漏えいしても影響がない無意味な情報に書き換える。 例)クレジットカード情報や、氏名、住所、電話番号など。 書き換える内容は、退会したサイトで共通しても問題なし。
▪参考情報 ・日本人ならではの簡単で強固なパスワード設定方法(2018-06-09) http://www.motaci.com/archives/477 ・安全なパスワードのつくり方 漏洩対策や管理アプリ、流出チェック法まで紹介(2019-07-26) https://time-space.kddi.com/it-technology/20190726/2701 ▪複雑なパスワードより長く覚えやすいものを ・8文字程度のパスワードの一部を、記号や数字にすることはあまり 意味がない。(ハッシュ値を盗まれた場合、簡単に推測される) ⇒単語羅列ではなく、文章(パスフレーズ)にする。 歌の歌詞やサビのフレーズなども覚えやすくて おすすめです。
28 情報漏えいへの備え(4/5) ▪自分のメールアドレスが漏れているかチェック! ▪参考情報 ・メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス(2018-09-27) https://www.itmedia.co.jp/news/articles/1809/27/news065.html ・『';--have
i been pwned?』 https://haveibeenpwned.com/ ・Firefox Monitorのサービス https://monitor.firefox.com/
29 情報漏えいへの備え(5/5) ▪Money Forward MEのすすめ ▪参考情報 ・無料家計簿アプリ『マネーフォワードME』が便利すぎ!できることまとめ(2019-01-25) https://kyanana.com/moneyforward
・入出金を把握して、不明な取引がないかチェック! ・クレジットカードを紐づけておけば、クレジットカードのサイトに ログインしなくても、Money Forwardの画面だけで確認できる。 ・Amazonの購入履歴の連携も可能。 ※無料プランで連携できるのは、10口座まで。
30 5 まとめ
◆攻撃側の手法を理解して防御を検討しよう ◆普段から脆弱性情報やセキュリティ事故等 情報を収集し、分析しよう 31 まとめ ◆パスワードの定期変更は運用も考慮しよう ◆長いパスワードを設定しよう ◆二要素認証・二段階認証を設定しよう ◆担当システムが大丈夫か
振り返ろう
ご清聴ありがとうございました。 32 フォロー待ってるニャ! @catnap707