Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Yasuhiro MATSUDA
November 13, 2021
Technology
0
45
JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
https://jawsug-kanazawa.doorkeeper.jp/events/128284
Yasuhiro MATSUDA
November 13, 2021
Tweet
Share
More Decks by Yasuhiro MATSUDA
See All by Yasuhiro MATSUDA
小学生へ伝える金融教育について
matyuda
0
41
【Amplify Studio×LIFF×Figma】ローコードで電子チケットアプリを作るハンズオン
matyuda
0
310
AWSサービスを利用した認証の実現方法
matyuda
0
450
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
matyuda
0
89
What I forgot to consider when changing into serverless with Lambda
matyuda
0
72
Lambdaでサーバレス化した時に考慮し忘れちゃったこと
matyuda
1
270
JAWS-UG金沢 #66 [JAWS-UG 金沢 × 札幌 × 千葉 × 浜松 × 大分] 合同パネルディスカッション
matyuda
0
100
JAWS-UG金沢 #66 re:Cap LT 「Security Jamに参加してみた」
matyuda
0
110
JAWS-UG支部活動活性化のヒントを得る!
matyuda
0
440
Other Decks in Technology
See All in Technology
【Λ(らむだ)】WinActorから始めるいつのまにリスキリング / WinAtorライトニングトーク大会20230123
lambda
0
120
書籍を書きました。 そう、VS Codeで。
takumanakagame
4
4.5k
FlexScan HD2452Wの 後継を探して
tring
0
6.4k
イ良い日ンマを作る(USBストレージ容量偽装の手法) / USB Storage Capacity Faking Techniques
shutingrz
0
220
KyvernoとRed Hat ACMを用いたマルチクラスターの一元的なポリシー制御
ry
0
190
CES_2023_FleetWise_demo.pdf
sparkgene
0
120
Hatena Engineer Seminar #23 「チームとプロダクトを育てる Mackerel 開発合宿」
arthur1
0
550
もし本番ネットワークをまるごと仮想環境に”コピー”できたらうれしいですか? / janog51
corestate55
0
380
02_プロトタイピングの進め方
kouzoukaikaku
0
550
IoTを始めたきっかけの話と個人でできるIoTの今後 / 新年LT会「私の愛するIoT 2023」
you
0
240
IoT から見る AWS re:invent 2022 ― AWSのIoTの歴史を添えて/Point of view the AWS re:invent 2022 with IoT - with a history of IoT in AWS
ma2shita
0
270
230125 モニターマウントLT ITガジェット翁(Ryu.Cyber)さん
comucal
PRO
0
4.7k
Featured
See All Featured
Designing for Performance
lara
600
65k
Infographics Made Easy
chrislema
235
17k
Bash Introduction
62gerente
601
210k
Intergalactic Javascript Robots from Outer Space
tanoku
261
26k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
Web development in the modern age
philhawksworth
197
9.6k
Testing 201, or: Great Expectations
jmmastey
25
5.7k
The Invisible Customer
myddelton
113
12k
Docker and Python
trallard
30
1.9k
Support Driven Design
roundedbygravity
88
8.9k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
7
580
Transcript
JAWS-UG金沢 #74 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2021/11/13
タイムテーブル 15:00〜15:10 オープニング 15:10〜16:10 パネルディスカッション ・パネリストの紹介 ・今日の本題 16:10〜16:40 質疑応答 16:40〜16:50
クロージング
アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享
(こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] 金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。 ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 T.Konishi
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for
Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部) 石川県在住。2020年まで金沢市内の印刷会社 でインフラエンジニアとして、AWSを利用し たインフラの概念実証を実施したのち、 2021年1月よりイースト株式会社に転籍。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2
級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を
ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
None
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。
過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。
• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTP = 平文通信 3way
ハンドシェイク 平文でのデータ通信 簡単に読める 簡単に情報が盗める =
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS = 暗号文通信 3way
ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない 通信内容を守れる! =
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS暗号化までの流れ 3way ハンドシェイク 暗号化されたデータ通信
SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK! じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK!
Copyright© 2021 みんなのCSIRT All Rights Reserved. 機会損失を防ぐ Google 検索結果の順位判定にHTTPS化の有無を考慮する HTTPS混合コンテンツをブロックする
Apple 有効期限が398日を超える証明書を信頼しない
AWSでの解決アプローチ https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 P:Password付きZIP暗号化ファイルを送る P:Passwordを送る A:Angoka(暗号化)する P:Protocol(プロトコル=手順)
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPをやめよう! 日本政府 セキュリティ対策や受け取り手の利便性の観点から 適切ではない
PPAPやめます! だけど 次の手はありません!
AWSでの解決アプローチ
AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS) ファイルを 作成 ファイルを Pass無zip化 メールで 署名付きURLを送付
Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 管理者アカウントって何ができる 管理者アカウントは 何でもできる
Copyright© 2021 みんなのCSIRT All Rights Reserved. なんでもできる OS・ファイル データベース ログ
インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新
Copyright© 2021 みんなのCSIRT All Rights Reserved. もし同じアカウントで操作していたら OS・ファイル データベース ログ
インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新 誰が操作したか分からない あらぬ疑いがかかるかも ⇒
AWSでの解決アプローチ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 見えるものは攻撃される 調査 攻撃 DoS/DDoS
ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい! 便利に使いたい! 攻撃者もやってきます ⇒
Copyright© 2021 みんなのCSIRT All Rights Reserved. 公開サーバへの攻撃 (リバースブルートフォース攻撃) konishi matsuda
matsumoto hamada tanaka endou Housei Yamamoto saito password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい パスワードは固定し、アカウントを順に変更しながらアク セスを試みる
AWSでの解決アプローチ 皆さんで考えてみましょう ・予防的な統制 (どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?) ・発見的な統制 (どのようにしたらリバースブルートフォース攻撃に気づけるか?)
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい
アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。
ここからの時間は… DEVREL/JAPAN 2021