Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

Yasuhiro Matsuda

November 13, 2021
Tweet

More Decks by Yasuhiro Matsuda

Other Decks in Technology

Transcript

  1. JAWS-UG金沢 #74  セキュリティパネルディスカッション
    JAWS-UG 金沢 × みんなのCSIRT
    2021/11/13

    View Slide

  2. タイムテーブル
    15:00〜15:10 オープニング
    15:10〜16:10 パネルディスカッション
    ・パネリストの紹介
    ・今日の本題
    16:10〜16:40 質疑応答
    16:40〜16:50 クロージング

    View Slide

  3. アンケート
    是非アンケートへのご協力をお願いします!
    http://bit.ly/jawsug_kanzawa74
    運営メンバーの励みになりますので、イベント終了後に入力ください。

    View Slide

  4. パネリストの紹介
    小西さん ふぁらお加藤 松田 康宏

    View Slide

  5. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     みんなのCSIRTの紹介


    View Slide

  6. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     小西 享 (みんなのCSIRT)

    小西 享 (こにし とおる)

    [所属]
     アライドテレシス株式会社

     ※ここでの発言と、所属会社は関係ありません。


    [こんな人です]
     金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構
    築・運用までを経験。

     ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、
    北陸を中心としたセキュリティの底上げを目指して活動を行っている。

    T.Konishi

    View Slide

  7. ふぁらお加藤(金沢支部)
    金沢市を中心に設計・実装・運用・
    保守をするフリーランスプログラマ
    3+7年、リーマン歴は5+3+3年
    JAWS-UG金沢(AWS Samurai 2019受
    賞)Kanazawa.rbコアメンバー
    Code for Kanazawa Civic Hack Night 運営

    View Slide

  8. 松田 康宏(金沢支部)
    石川県在住。2020年まで金沢市内の印刷会社
    でインフラエンジニアとして、AWSを利用し
    たインフラの概念実証を実施したのち、
    2021年1月よりイースト株式会社に転籍。
    金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ
    モートワークで業務をする傍ら、コミュニティの運営に携わる。2
    級ファイナンシャルプランニング技能士(AFP)としても活躍中。
    趣味はランニングとボウリングと家庭菜園。

    View Slide

  9. 金沢支部紹介

    View Slide

  10. 金沢支部の紹介
    石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日
    に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。
    「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい
    方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し
    ました!

    View Slide

  11. View Slide

  12. 行動規範
    https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md
    JAWS-UGコミュニティの理念
    • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web
    Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ
    さい。
    過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用
    することは決して許されません。

    View Slide

  13. 行動規範
    期待される行為
    • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ
    い。
    あなたの貢献があってこそのコミュニティです。
    • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない
    ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの
    だ、ということを忘れないで下さい。
    • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参
    加できるよう、出来る限りのご配慮をおねがいします。

    View Slide

  14. 行動規範
    期待されない行為
    • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力
    を誇示することは、適切ではありません。
    • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で
    盛り上がるのは、適切ではありません。
    • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
    ではありません。
    • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無
    宗教)などに係る表現は、いかなる場合も適切ではありません。

    View Slide

  15. Twitterにつぶやこう!
    Twitterにつぶやく際は是非ハッシュタグつけて共
    有しましょう
    同じ考えや興味を持った人とつながる機会になり
    ます
    #jawsug
    #jawsug_kanazawa

    View Slide

  16. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● HTTPS化されていないサイトはいけない?

    ● 電子メールで流行っているPPAPって?

    ● 管理者アカウントの共有は問題がある?

    ● 管理者用ログインページは公開しちゃダメ?

     アジェンダ


    View Slide

  17. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● HTTPS化されていないサイトはいけない?

    ● 電子メールで流行っているPPAPって?

    ● 管理者アカウントの共有は問題がある?

    ● 管理者用ログインページは公開しちゃダメ?


     


    View Slide

  18. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     HTTP = 平文通信

    3way ハンドシェイク
    平文でのデータ通信
    簡単に読める

    簡単に情報が盗める

    =

    View Slide

  19. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     HTTPS = 暗号文通信

    3way ハンドシェイク
    暗号化されたデータ通信
    SSL/TLS ハンドシェイク
    暗号文は読めない

    通信内容を守れる!

    =

    View Slide

  20. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     HTTPS暗号化までの流れ

    3way ハンドシェイク
    暗号化されたデータ通信
    SSL/TLS ハンドシェイク
    ※ TLS1.3の場合
    僕は こんな暗号化方式が使えるよ。
    OK! じゃあ この暗号化方式を使うね。
    この通信から暗号化するよ。 僕の証明書を送るね。
    OK!

    View Slide

  21. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     機会損失を防ぐ

    Google
     検索結果の順位判定にHTTPS化の有無を考慮する

     HTTPS混合コンテンツをブロックする

    
Apple
     有効期限が398日を超える証明書を信頼しない


    View Slide

  22. AWSでの解決アプローチ
    https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より

    View Slide

  23. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● HTTPS化されていないサイトはいけない?

    ● 電子メールで流行っているPPAPって?

    ● 管理者アカウントの共有は問題がある?

    ● 管理者用ログインページは公開しちゃダメ?


     


    View Slide

  24. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     PPAP
    メールでzipファイルを送付
        ファイルを

         作成

        ファイルを

       Pass付zip化

    メールで zipファイルのPassを送付
    P:Password付きZIP暗号化ファイルを送る
    P:Passwordを送る
    A:Angoka(暗号化)する
    P:Protocol(プロトコル=手順)

    View Slide

  25. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     PPAP
    メールでzipファイルを送付
        ファイルを

         作成

        ファイルを

       Pass付zip化

    メールで zipファイルのPassを送付
    メールが盗聴されれば
    zipだけでなく
    Passも盗まれる

    View Slide

  26. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     PPAP
    メールでzipファイルを送付
        ファイルを

         作成

        ファイルを

       Pass付zip化

    メールで zipファイルのPassを送付
    Passがついているので
    セキュリティ対策製品での
    チェックができない

    View Slide

  27. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     PPAP
    メールでzipファイルを送付
        ファイルを

         作成

        ファイルを

       Pass付zip化

    メールで zipファイルのPassを送付
    誤送信先に ファイルとPassを送ってしま

    View Slide

  28. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     PPAPをやめよう!

    日本政府

     セキュリティ対策や受け取り手の利便性の観点から

     適切ではない

    PPAPやめます!

    だけど 次の手はありません!


    View Slide

  29. AWSでの解決アプローチ

    View Slide

  30. AWSでの解決アプローチ
    S3よりファイルをダウンロード(HTTPS)
        ファイルを

         作成

        ファイルを

       Pass無zip化

    メールで 署名付きURLを送付
    Passがついていないので
    セキュリティ対策製品での
    チェックができる
    S3にアップロードして
    署名付きURL発行


    View Slide

  31. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● HTTPS化されていないサイトはいけない?

    ● 電子メールで流行っているPPAPって?

    ● 管理者アカウントの共有は問題がある?

    ● 管理者用ログインページは公開しちゃダメ?


     


    View Slide

  32. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     管理者アカウントって何ができる


    管理者アカウントは

    何でもできる


    View Slide

  33. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     なんでもできる

    OS・ファイル

    データベース

    ログ

    インストール

    アップデート

    参照・追加

    更新・削除

    破壊

    マルウェア設置

    窃取・改ざん

    破壊

    削除・改ざん

    参照・更新


    View Slide

  34. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     もし同じアカウントで操作していたら

    OS・ファイル

    データベース

    ログ

    インストール

    アップデート

    参照・追加

    更新・削除

    破壊

    マルウェア設置

    窃取・改ざん

    破壊

    削除・改ざん

    参照・更新

    誰が操作したか分からない


    あらぬ疑いがかかるかも

    ⇒


    View Slide

  35. AWSでの解決アプローチ

    View Slide

  36. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    ● HTTPS化されていないサイトはいけない?

    ● 電子メールで流行っているPPAPって?

    ● 管理者アカウントの共有は問題がある?

    ● 管理者用ログインページは公開しちゃダメ?


     


    View Slide

  37. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     見えるものは攻撃される

    調査

    攻撃

    DoS/DDoS
    ブルートフォース
    SQLインジェクション
    たとえば
    沢山の人にきてほしい!

    便利に使いたい!


    攻撃者もやってきます

    ⇒


    View Slide

  38. Copyright© 2021 みんなのCSIRT All Rights Reserved.
     公開サーバへの攻撃 (リバースブルートフォース攻撃)

    konishi
    matsuda

    matsumoto

    hamada
    tanaka

    endou

    Housei

    Yamamoto
    saito

    password
    11/13 15:01 konishi login failed
    11/13 15:01 ***** login successful
    11/13 15:02 matsuda login failed
    11/13 15:02 ***** login failed
    11/13 15:02 ***** login successful
    11/13 15:03 ***** login failed
    11/13 15:03 matsumoto login failed
    11/13 15:04 ***** login successful
    11/13 15:04 hamada login failed
    11/13 15:05 tanakalogin failed
    11/13 15:05 ***** login successful
    11/13 15:06 ***** login failed
    11/13 15:06 endou login failed
    11/13 15:07 ***** login successful
    11/13 15:07 housei login successful
    ログを見ても気づきにくい

    パスワードは固定し、アカウントを順に変更しながらアク
    セスを試みる


    View Slide

  39. AWSでの解決アプローチ
    皆さんで考えてみましょう
    ・予防的な統制
    (どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?)
    ・発見的な統制
    (どのようにしたらリバースブルートフォース攻撃に気づけるか?)

    View Slide

  40. Copyright© 2021 みんなのCSIRT All Rights Reserved.
    おしまい


    View Slide

  41. アンケート
    是非アンケートへのご協力をお願いします!
    http://bit.ly/jawsug_kanzawa74
    運営メンバーの励みになりますので、イベント終了後に入力ください。

    View Slide

  42. ここからの時間は… DEVREL/JAPAN 2021

    View Slide