JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション

Transcript

1. JAWS-UG金沢 #74　 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2021/11/13

2. タイムテーブル 15:00〜15:10 オープニング 15:10〜16:10 パネルディスカッション ・パネリストの紹介 ・今日の本題 16:10〜16:40 質疑応答 16:40〜16:50

   クロージング

3. アンケート 是非アンケートへのご協力をお願いします！ http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。

4. パネリストの紹介 小西さん ふぁらお加藤 松田 康宏

5. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　みんなのCSIRTの紹介


6. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　小西 享 (みんなのCSIRT)
 小西　享

   (こにし　とおる)
 [所属] 　アライドテレシス株式会社
 　※ここでの発言と、所属会社は関係ありません。 
 
 [こんな人です] 　金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。
 　ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。
 T.Konishi

7. ふぁらお加藤（金沢支部） 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for

   Kanazawa Civic Hack Night 運営

8. 松田 康宏（金沢支部） 石川県在住。2020年まで金沢市内の印刷会社 でインフラエンジニアとして、AWSを利用し たインフラの概念実証を実施したのち、 2021年1月よりイースト株式会社に転籍。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。２

   級ファイナンシャルプランニング技能士（AFP）としても活躍中。 趣味はランニングとボウリングと家庭菜園。

9. 金沢支部紹介

10. 金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を

    ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください！ 2019年にAWS Community Day Kanazawaを開催し ました！
11. None

12. 行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。

    過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。

13. 行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。

    • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。

14. 行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切

    ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教（または無 宗教）などに係る表現は、いかなる場合も適切ではありません。

15. Twitterにつぶやこう！ Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa

16. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない？
 • 電子メールで流行っているPPAPって？


    • 管理者アカウントの共有は問題がある？
 • 管理者用ログインページは公開しちゃダメ？
 　アジェンダ


17. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない？
 • 電子メールで流行っているPPAPって？


    • 管理者アカウントの共有は問題がある？
 • 管理者用ログインページは公開しちゃダメ？
 
 　


18. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　HTTP ＝ 平文通信
 3way

    ハンドシェイク 平文でのデータ通信 簡単に読める
 簡単に情報が盗める
 =

19. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　HTTPS ＝ 暗号文通信
 3way

    ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない
 通信内容を守れる！
 =

20. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　HTTPS暗号化までの流れ
 3way ハンドシェイク 暗号化されたデータ通信

    SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK！ じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK！

21. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　機会損失を防ぐ
 Google 　検索結果の順位判定にHTTPS化の有無を考慮する
 　HTTPS混合コンテンツをブロックする


    
Apple 　有効期限が398日を超える証明書を信頼しない


22. AWSでの解決アプローチ https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html　より

23. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない？
 • 電子メールで流行っているPPAPって？


    • 管理者アカウントの共有は問題がある？
 • 管理者用ログインページは公開しちゃダメ？
 
 　


24. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　PPAP メールでzipファイルを送付 　　　 ファイルを


    　　　　　作成
 　　　 ファイルを
 　　　Pass付zip化
 メールで zipファイルのPassを送付 P：Password付きZIP暗号化ファイルを送る P：Passwordを送る A：Angoka（暗号化）する P：Protocol（プロトコル＝手順）

25. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　PPAP メールでzipファイルを送付 　　　 ファイルを


    　　　　　作成
 　　　 ファイルを
 　　　Pass付zip化
 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる

26. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　PPAP メールでzipファイルを送付 　　　 ファイルを


    　　　　　作成
 　　　 ファイルを
 　　　Pass付zip化
 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない

27. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　PPAP メールでzipファイルを送付 　　　 ファイルを


    　　　　　作成
 　　　 ファイルを
 　　　Pass付zip化
 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う

28. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　PPAPをやめよう！
 日本政府
 　セキュリティ対策や受け取り手の利便性の観点から
 　適切ではない


    PPAPやめます！
 だけど 次の手はありません！


29. AWSでの解決アプローチ

30. AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS) 　　　 ファイルを
 　　　　　作成
 　　　 ファイルを
 　　　Pass無zip化
 メールで 署名付きURLを送付

    Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行


31. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない？
 • 電子メールで流行っているPPAPって？


    • 管理者アカウントの共有は問題がある？
 • 管理者用ログインページは公開しちゃダメ？
 
 　


32. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　管理者アカウントって何ができる
 
 管理者アカウントは
 何でもできる


33. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　なんでもできる
 OS・ファイル
 データベース
 ログ


    インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新


34. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　もし同じアカウントで操作していたら
 OS・ファイル
 データベース
 ログ


    インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新
 誰が操作したか分からない
 
 あらぬ疑いがかかるかも
 ⇒


35. AWSでの解決アプローチ

36. Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない？
 • 電子メールで流行っているPPAPって？


    • 管理者アカウントの共有は問題がある？
 • 管理者用ログインページは公開しちゃダメ？
 
 　


37. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　見えるものは攻撃される
 調査
 攻撃
 DoS/DDoS

    ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい！
 便利に使いたい！
 
 攻撃者もやってきます
 ⇒


38. Copyright© 2021 みんなのCSIRT All Rights Reserved. 　公開サーバへの攻撃 (リバースブルートフォース攻撃)
 konishi matsuda


    matsumoto
 hamada tanaka
 endou
 Housei
 Yamamoto saito
 password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい
 パスワードは固定し、アカウントを順に変更しながらアク セスを試みる


39. AWSでの解決アプローチ 皆さんで考えてみましょう ・予防的な統制 （どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか？） ・発見的な統制 （どのようにしたらリバースブルートフォース攻撃に気づけるか？）

40. Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい


41. アンケート 是非アンケートへのご協力をお願いします！ http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。

42. ここからの時間は…　DEVREL/JAPAN 2021