Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMに起こるセキュリティインシデントのリアル〜事業部と一緒にサブドメインテイクオーバーに対処した話

 DMMに起こるセキュリティインシデントのリアル〜事業部と一緒にサブドメインテイクオーバーに対処した話

De7a05d5711f22be3611277c8c9676a1?s=128

細野英朋 (h12o)

January 29, 2021
Tweet

Transcript

  1. DMMに起こる セキュリティインシデントのリアル 事業部と一緒にサブドメインテイクオーバーに対処した話 2021年1月29日 DMM meetup #24〜DMMのセキュリティ脅威への取り組み事例〜 合同会社DMM.com ITインフラ本部 セキュリティ部 推進グループ内部統制チーム 細野英朋 , CISSP

  2. 本日の内容
 1. DMMの事業環境とセキュリティ
 2. 事業部が遭遇したインシデント
 〜サブドメインテイクオーバー
 3. 事業部とDMM.CSIRTの対応
 〜セキュリティインシデント対応のリアル
 4.

    セキュリティがDMMにできること
 〜セキュリティ部とDMM.CSIRTが目指すもの

  3. DMMの事業環境とセキュリティ DMMセキュリティ部とDMM.CSIRT 3 Copyright © since 1998 DMM All Rights

    Reserved.
  4. 細野 英朋 〜2016 大手ISP/SIerでウェブアプリ開発、 情報セキュリティアナリスト、 MVNOのテクニカルサポートなどを担当 2016〜2019 セキュリティコンサルティング会社で コンサルティングや脆弱性診断に従事 2019/11〜 合同会社DMM.com

    セキュリティ部 内部統制チーム • 法令やガイドライン遵守 (資金決済法やPCI DSS、GDPRなど) • DMM.CSIRT運営・運用・インシデント対応 • 個人情報等漏えい事案対応 • 社内セキュリティコンサルティング • 社内セキュリティ教育 • 社内セキュリティ勉強会の企画・運営 • その他セキュリティ関連情報の社内提供 4 Copyright © since 1998 DMM All Rights Reserved.
  5. セキュリティ部 ITインフラ本部の一部署、 以下3チームと部付メンバーで構成 • SOC/IRチーム • 脆弱性診断チーム • 内部統制チーム DMM.CSIRT

    セキュリティ部が中心ではあるが、 別組織(仮想組織) Copyright © since 1998 DMM All Rights Reserved. 5 セキュリティ部とDMM.CSIRT https://www.nca.gr.jp/member/dmm-csirt.html
  6. 6 58の事業を支えるDMM TECH VALUE DMMのセキュリティ部とDMM.CSIRTが守るもの。 https://www.youtube.com/user/dmmofficialchannel Copyright © since 1998

    DMM All Rights Reserved. https://inside.dmm.com/entry/12/12/dmm-techvision
  7. 事業部が遭遇した セキュリティインシデント サブドメインテイクオーバー 7 Copyright © since 1998 DMM All

    Rights Reserved.
  8. cdn0129.example.net(CDN事業者のサーバ) Host: example.dmm.com →   攻撃者のコンテンツ Host: assets.example.co.jp → 日本のA社のコンテンツ Host:

    js.example.com → アメリカのB社のコンテンツ 8 サブドメインテイクオーバーとは CDNなどのVirtualHost設定の乗っ取りを指す。DNSの乗っ取りではない。 example IN CNAME cdn0129.example.net. DMM.comのDNSサーバ cdn0129.example.net(CDN事業者のサーバ) Host: example.dmm.com →   DMMのコンテンツ Host: assets.example.co.jp → 日本のA社のコンテンツ Host: js.example.com → アメリカのB社のコンテンツ example IN CNAME cdn0129.example.net. 消し忘れ Copyright © since 1998 DMM All Rights Reserved. example IN CNAME cdn0129.example.net. DMM.comのDNSサーバ cdn0129.example.net(CDN事業者のサーバ) Host: example.dmm.com → (設定なし) Host: assets.example.co.jp → 日本のA社のコンテンツ Host: js.example.com → アメリカのB社のコンテンツ
  9. 9 Github Pagesとは Copyright © since 1998 DMM All Rights

    Reserved. Githubのウェブサイトホスティングサービス。 2ステップで独自ドメインに対応。 1. Githubにドメイン名を登録 2. Githubに登録したドメイン名を DNSでexample.github.ioのCNAMEにする。 素早く静的なページの公開が可能なので、 プロジェクトなどのウェブサイト構築に便利。 Github Pagesで事業部のウェブサイトを 構築しようとした。
  10. 10 発覚までのタイムライン 8月上旬 Github PagesでDMMのサブドメインを使用するため、 DNSに CNAMEを追加 Github Pagesに仮データをpushして、目的のサブドメインでア クセスできることを確認

    リリース前だったため、 Github Pagesの独自ドメイン設定を いったん削除 9月下旬 リリース作業として、 Github Pagesの独自ドメイン設定を再度 有効化しようとして失敗 目的のサブドメインがテイクオーバーされていることを事業部 側で確認したため、社内のセキュリティ部問合せ用 Slackチャ ンネルに報告 Copyright © since 1998 DMM All Rights Reserved.
  11. 11 乗っ取られたサブドメイン(一部再現映像) Copyright © since 1998 DMM All Rights Reserved.

  12. 事業部とDMM.CSIRTの対応 セキュリティインシデント対応のリアル 12 Copyright © since 1998 DMM All Rights

    Reserved.
  13. 事業部と相談して 実施したこと • インシデントそのものの収束 • DNSのCNAMEエントリを削除 • 事後対応 • 再発防止策の確認

    • 攻撃者のGithubレポジトリを 監視 • *.github.io/CNAMEが変わる =Github Pagesの設定が変わる。 Copyright © since 1998 DMM All Rights Reserved. 13 CSIRTの初動 - 実施したこと (画像は再現)
  14. 実施しなかったこと • 対外リリース • リリース前で 実害がなく、お客様もいない。 • Githubへのabuse対応依頼 • Githubいわく

    「URL やドメイン名も一般に 著作権の対象ではない」 • 攻撃者との直接交渉 • 実は「非」はない。 • DMCAテイクダウン(禁じ手) Copyright © since 1998 DMM All Rights Reserved. 14 CSIRTの初動 - 実施しなかったこと
  15. 15 攻撃者が標的を変更したため、奪還成功 Copyright © since 1998 DMM All Rights Reserved.

  16. サブドメインテイクオーバーの再発防止策(予防策) CDNの仕様を予め把握する。(Github Pagesの他、S3などはドメインの所有権等確認をしていない様子) Copyright © since 1998 DMM All Rights

    Reserved. 16 CDNの仕様を把握 設定しようとしている ドメインの所有権ないし 管理権限を確かめているか? CDNを先に登録 そのCDNで目的のドメインが 使えるかどうか、 実際に設定して確認する。 DNS登録を先に削除 実際に狙われるのは、 DNSに残ったままの CNAME。 CDN側のホスト名設定を登録してからDNSにCNAMEを追加する。 DNSのCNAMEを削除してからCDN側のホスト名設定を登録解除する。
  17. セキュリティがDMMにできること セキュリティ部とDMM.CSIRTが目指すもの 17 Copyright © since 1998 DMM All Rights

    Reserved.
  18. 18 再現と社内勉強会での啓発 Copyright © since 1998 DMM All Rights Reserved.

  19. セキュリティ部とDMM.CSIRTが目指すもの 事業部とともに対応し、対策するCSIRT Copyright © since 1998 DMM All Rights Reserved.

    19 事業部とCSIRT 対応主体は事業部だが、 最後まで伴走する。 事業部との信頼関係 真摯な対応と確かな知見 シフトレフト 設計・開発のセキュリティ参画 構築のセキュリティ参画 運用・監視・検知体制への参画 真摯な対応と確かな知見の両輪で築く、事業部との信頼関係 事業部との信頼関係に基づくシフトレフト ×58 ×58 ×58
  20. 最後に 毎日、採用中。面接ではなくカジュアル面談から、大歓迎。 • セキュリティエンジニア オープンポジション https://dmm-corp.com/recruit/548 • 情報セキュリティ推進担当 https://dmm-corp.com/recruit/549 Copyright

    © since 1998 DMM All Rights Reserved. 20 58の事業のセキュリティに関われるのは、DMMだけ