Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMに起こるセキュリティインシデントのリアル〜事業部と一緒にサブドメインテイクオーバーに対処した話

De7a05d5711f22be3611277c8c9676a1?s=47 細野英朋 (h12o)
January 29, 2021
Technology
0
470

 DMMに起こるセキュリティインシデントのリアル〜事業部と一緒にサブドメインテイクオーバーに対処した話

2021年1月29日 DMM meetup #24〜DMMのセキュリティ脅威への取り組み事例〜』登壇資料

De7a05d5711f22be3611277c8c9676a1?s=128

細野英朋 (h12o)

January 29, 2021
Tweet

Other Decks in Technology

See All in Technology
7cd783377515bdf8207062840b7b2f4e?s=48 soracom
0
240
Ad2155c75c67c0100dd008ad10858de5?s=48 legalforce
PRO
0
200
19fc8f6113c5c3d86e6176362ff29479?s=48 kanaugust
PRO
0
120
40301c0affdf359eaca771713e22b71a?s=48 harshbothra
0
240
3373c144fef1d3518b9b3f24a6b46ad0?s=48 lmi
5
3.7k
8aba6de431668fc8d09977c0e33c63c1?s=48 jaguar_imo
0
120
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
2
390
567600e04dbcb14d6bd8f120e6625a27?s=48 tsuyo
0
750
Fe475df4e28cef1175a787fb032e0489?s=48 bolonio
4
580
19fc8f6113c5c3d86e6176362ff29479?s=48 kanaugust
PRO
0
110
Abea0dcdfdd2fccad64461d1e2798864?s=48 hacker2202
0
110
8065fe5a0d33908c6f71c5ae28939dcd?s=48 ayatokura
1
190

Featured

See All Featured
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
267
17k
7653c7c449918ff6542880a8c284f5e7?s=48 jponch
103
5.1k
D8fc2580cfaca035f666d9e4ee79a7f7?s=48 mongodb
23
3.9k
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
66
3k
7fa6101cd43067653cf4ac6c7ca54305?s=48 akmur
252
19k
C7393b7ba7ec9c8890dd77d209fbb3c9?s=48 maltzj
502
36k
168ccec72eee0530b818d44f3fedaacf?s=48 shlominoach
176
7.6k
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
297
40k
282d599b414022eba5096510f675b6e2?s=48 chrislema
231
16k
Af6a12710770ad9a7cfd08c97efd40d3?s=48 pedronauck
652
110k
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
322
53k
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
20
770

Transcript

  1. DMMに起こる セキュリティインシデントのリアル 事業部と一緒にサブドメインテイクオーバーに対処した話 2021年1月29日 DMM meetup #24〜DMMのセキュリティ脅威への取り組み事例〜 合同会社DMM.com ITインフラ本部 セキュリティ部 推進グループ内部統制チーム 細野英朋 , CISSP

  2. 本日の内容
 1. DMMの事業環境とセキュリティ
 2. 事業部が遭遇したインシデント
 〜サブドメインテイクオーバー
 3. 事業部とDMM.CSIRTの対応
 〜セキュリティインシデント対応のリアル
 4.

    セキュリティがDMMにできること
 〜セキュリティ部とDMM.CSIRTが目指すもの


  3. DMMの事業環境とセキュリティ DMMセキュリティ部とDMM.CSIRT 3 Copyright © since 1998 DMM All Rights

    Reserved.

  4. 細野 英朋 〜2016 大手ISP/SIerでウェブアプリ開発、 情報セキュリティアナリスト、 MVNOのテクニカルサポートなどを担当 2016〜2019 セキュリティコンサルティング会社で コンサルティングや脆弱性診断に従事 2019/11〜 合同会社DMM.com

    セキュリティ部 内部統制チーム • 法令やガイドライン遵守 (資金決済法やPCI DSS、GDPRなど) • DMM.CSIRT運営・運用・インシデント対応 • 個人情報等漏えい事案対応 • 社内セキュリティコンサルティング • 社内セキュリティ教育 • 社内セキュリティ勉強会の企画・運営 • その他セキュリティ関連情報の社内提供 4 Copyright © since 1998 DMM All Rights Reserved.

  5. セキュリティ部 ITインフラ本部の一部署、 以下3チームと部付メンバーで構成 • SOC/IRチーム • 脆弱性診断チーム • 内部統制チーム DMM.CSIRT

    セキュリティ部が中心ではあるが、 別組織(仮想組織) Copyright © since 1998 DMM All Rights Reserved. 5 セキュリティ部とDMM.CSIRT https://www.nca.gr.jp/member/dmm-csirt.html

  6. 6 58の事業を支えるDMM TECH VALUE DMMのセキュリティ部とDMM.CSIRTが守るもの。 https://www.youtube.com/user/dmmofficialchannel Copyright © since 1998

    DMM All Rights Reserved. https://inside.dmm.com/entry/12/12/dmm-techvision

  7. 事業部が遭遇した セキュリティインシデント サブドメインテイクオーバー 7 Copyright © since 1998 DMM All

    Rights Reserved.

  8. cdn0129.example.net(CDN事業者のサーバ) Host: example.dmm.com →   攻撃者のコンテンツ Host: assets.example.co.jp → 日本のA社のコンテンツ Host:

    js.example.com → アメリカのB社のコンテンツ 8 サブドメインテイクオーバーとは CDNなどのVirtualHost設定の乗っ取りを指す。DNSの乗っ取りではない。 example IN CNAME cdn0129.example.net. DMM.comのDNSサーバ cdn0129.example.net(CDN事業者のサーバ) Host: example.dmm.com →   DMMのコンテンツ Host: assets.example.co.jp → 日本のA社のコンテンツ Host: js.example.com → アメリカのB社のコンテンツ example IN CNAME cdn0129.example.net. 消し忘れ Copyright © since 1998 DMM All Rights Reserved. example IN CNAME cdn0129.example.net. DMM.comのDNSサーバ cdn0129.example.net(CDN事業者のサーバ) Host: example.dmm.com → (設定なし) Host: assets.example.co.jp → 日本のA社のコンテンツ Host: js.example.com → アメリカのB社のコンテンツ

  9. 9 Github Pagesとは Copyright © since 1998 DMM All Rights

    Reserved. Githubのウェブサイトホスティングサービス。 2ステップで独自ドメインに対応。 1. Githubにドメイン名を登録 2. Githubに登録したドメイン名を DNSでexample.github.ioのCNAMEにする。 素早く静的なページの公開が可能なので、 プロジェクトなどのウェブサイト構築に便利。 Github Pagesで事業部のウェブサイトを 構築しようとした。

  10. 10 発覚までのタイムライン 8月上旬 Github PagesでDMMのサブドメインを使用するため、 DNSに CNAMEを追加 Github Pagesに仮データをpushして、目的のサブドメインでア クセスできることを確認

    リリース前だったため、 Github Pagesの独自ドメイン設定を いったん削除 9月下旬 リリース作業として、 Github Pagesの独自ドメイン設定を再度 有効化しようとして失敗 目的のサブドメインがテイクオーバーされていることを事業部 側で確認したため、社内のセキュリティ部問合せ用 Slackチャ ンネルに報告 Copyright © since 1998 DMM All Rights Reserved.

  11. 11 乗っ取られたサブドメイン(一部再現映像) Copyright © since 1998 DMM All Rights Reserved.

  12. 事業部とDMM.CSIRTの対応 セキュリティインシデント対応のリアル 12 Copyright © since 1998 DMM All Rights

    Reserved.

  13. 事業部と相談して 実施したこと • インシデントそのものの収束 • DNSのCNAMEエントリを削除 • 事後対応 • 再発防止策の確認

    • 攻撃者のGithubレポジトリを 監視 • *.github.io/CNAMEが変わる =Github Pagesの設定が変わる。 Copyright © since 1998 DMM All Rights Reserved. 13 CSIRTの初動 - 実施したこと (画像は再現)

  14. 実施しなかったこと • 対外リリース • リリース前で 実害がなく、お客様もいない。 • Githubへのabuse対応依頼 • Githubいわく

    「URL やドメイン名も一般に 著作権の対象ではない」 • 攻撃者との直接交渉 • 実は「非」はない。 • DMCAテイクダウン(禁じ手) Copyright © since 1998 DMM All Rights Reserved. 14 CSIRTの初動 - 実施しなかったこと

  15. 15 攻撃者が標的を変更したため、奪還成功 Copyright © since 1998 DMM All Rights Reserved.

  16. サブドメインテイクオーバーの再発防止策(予防策) CDNの仕様を予め把握する。(Github Pagesの他、S3などはドメインの所有権等確認をしていない様子) Copyright © since 1998 DMM All Rights

    Reserved. 16 CDNの仕様を把握 設定しようとしている ドメインの所有権ないし 管理権限を確かめているか? CDNを先に登録 そのCDNで目的のドメインが 使えるかどうか、 実際に設定して確認する。 DNS登録を先に削除 実際に狙われるのは、 DNSに残ったままの CNAME。 CDN側のホスト名設定を登録してからDNSにCNAMEを追加する。 DNSのCNAMEを削除してからCDN側のホスト名設定を登録解除する。

  17. セキュリティがDMMにできること セキュリティ部とDMM.CSIRTが目指すもの 17 Copyright © since 1998 DMM All Rights

    Reserved.

  18. 18 再現と社内勉強会での啓発 Copyright © since 1998 DMM All Rights Reserved.

  19. セキュリティ部とDMM.CSIRTが目指すもの 事業部とともに対応し、対策するCSIRT Copyright © since 1998 DMM All Rights Reserved.

    19 事業部とCSIRT 対応主体は事業部だが、 最後まで伴走する。 事業部との信頼関係 真摯な対応と確かな知見 シフトレフト 設計・開発のセキュリティ参画 構築のセキュリティ参画 運用・監視・検知体制への参画 真摯な対応と確かな知見の両輪で築く、事業部との信頼関係 事業部との信頼関係に基づくシフトレフト ×58 ×58 ×58

  20. 最後に 毎日、採用中。面接ではなくカジュアル面談から、大歓迎。 • セキュリティエンジニア オープンポジション https://dmm-corp.com/recruit/548 • 情報セキュリティ推進担当 https://dmm-corp.com/recruit/549 Copyright

    © since 1998 DMM All Rights Reserved. 20 58の事業のセキュリティに関われるのは、DMMだけ