Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

Yasuhiro Matsuda

November 13, 2021
Tweet

More Decks by Yasuhiro Matsuda

Other Decks in Technology

Transcript

  1. Copyright© 2021 みんなのCSIRT All Rights Reserved.  小西 享 (みんなのCSIRT)
 小西 享

    (こにし とおる)
 [所属]  アライドテレシス株式会社
  ※ここでの発言と、所属会社は関係ありません。 
 
 [こんな人です]  金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。
  ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。
 T.Konishi
  2. 金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を

    ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
  3. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
  アジェンダ

  4. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  

  5. Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTP = 平文通信
 3way

    ハンドシェイク 平文でのデータ通信 簡単に読める
 簡単に情報が盗める
 =
  6. Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTPS = 暗号文通信
 3way

    ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない
 通信内容を守れる!
 =
  7. Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTPS暗号化までの流れ
 3way ハンドシェイク 暗号化されたデータ通信

    SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK! じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK!
  8. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  

  9. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 P:Password付きZIP暗号化ファイルを送る P:Passwordを送る A:Angoka(暗号化)する P:Protocol(プロトコル=手順)
  10. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる
  11. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない
  12. Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを


         作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う
  13. AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS)     ファイルを
      作成
     ファイルを
    Pass無zip化
 メールで 署名付きURLを送付

    Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行

  14. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  

  15. Copyright© 2021 みんなのCSIRT All Rights Reserved.  なんでもできる
 OS・ファイル
 データベース
 ログ


    インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新

  16. Copyright© 2021 みんなのCSIRT All Rights Reserved.  もし同じアカウントで操作していたら
 OS・ファイル
 データベース
 ログ


    インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新
 誰が操作したか分からない
 
 あらぬ疑いがかかるかも
 ⇒

  17. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない?
 • 電子メールで流行っているPPAPって?


    • 管理者アカウントの共有は問題がある?
 • 管理者用ログインページは公開しちゃダメ?
 
  

  18. Copyright© 2021 みんなのCSIRT All Rights Reserved.  見えるものは攻撃される
 調査
 攻撃
 DoS/DDoS

    ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい!
 便利に使いたい!
 
 攻撃者もやってきます
 ⇒

  19. Copyright© 2021 みんなのCSIRT All Rights Reserved.  公開サーバへの攻撃 (リバースブルートフォース攻撃)
 konishi matsuda


    matsumoto
 hamada tanaka
 endou
 Housei
 Yamamoto saito
 password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい
 パスワードは固定し、アカウントを順に変更しながらアク セスを試みる