Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
Yasuhiro MATSUDA
November 13, 2021
Technology
0
39
JAWS-UG金沢 #74 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
https://jawsug-kanazawa.doorkeeper.jp/events/128284
Yasuhiro MATSUDA
November 13, 2021
Tweet
Share
More Decks by Yasuhiro MATSUDA
See All by Yasuhiro MATSUDA
【Amplify Studio×LIFF×Figma】ローコードで電子チケットアプリを作るハンズオン
matyuda
0
240
AWSサービスを利用した認証の実現方法
matyuda
0
390
JAWS-UG金沢 #76 JAWS-UG金沢支部×みんなのCSIRT セキュリティパネルディスカッション
matyuda
0
54
What I forgot to consider when changing into serverless with Lambda
matyuda
0
54
Lambdaでサーバレス化した時に考慮し忘れちゃったこと
matyuda
1
240
JAWS-UG金沢 #66 [JAWS-UG 金沢 × 札幌 × 千葉 × 浜松 × 大分] 合同パネルディスカッション
matyuda
0
72
JAWS-UG金沢 #66 re:Cap LT 「Security Jamに参加してみた」
matyuda
0
80
JAWS-UG支部活動活性化のヒントを得る!
matyuda
0
380
oViceコミュニケーションスペースアトラクション説明
matyuda
0
98
Other Decks in Technology
See All in Technology
Micro frontends and micro services
kashif98
0
160
ぼくらが選んだ次のMySQL 8.0 / MySQL80 Which We Choose
line_developers
PRO
7
3.3k
20220803投資先CXO候補者向け 会社紹介資料_合同会社BLUEPRINT
hik
0
620
psql, my favorite tool!
nuko_yokohama
1
180
データをコネコネ!メール配信用データ生成の仕組み
kappezoro
0
130
Life Hacker with LINE Bot and GitHub API
line_developers_tw
PRO
0
5.7k
プロダクトマネージャーの役割と育成、評価
middleokada
18
12k
殺虫剤のパラドックスの真実 / The Truth of The Pesticide Paradox
kzsuzuki
1
210
大声で伝えたい!定時に帰る方法
sbtechnight
0
260
Reactivity Transform
kazupon
1
420
品質特性のすすめ
honamin09
0
180
増田亨さんによる 「設計の考え方とやり方」勉強会オープニング
tsuyok
0
230
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1020
420k
StorybookのUI Testing Handbookを読んだ
zakiyama
6
2.5k
Making the Leap to Tech Lead
cromwellryan
113
7.4k
Web development in the modern age
philhawksworth
197
9.4k
Done Done
chrislema
174
14k
Become a Pro
speakerdeck
PRO
3
910
How to train your dragon (web standard)
notwaldorf
60
3.9k
10 Git Anti Patterns You Should be Aware of
lemiorhan
638
53k
Art, The Web, and Tiny UX
lynnandtonic
280
18k
Learning to Love Humans: Emotional Interface Design
aarron
261
37k
Building Applications with DynamoDB
mza
84
4.8k
How GitHub (no longer) Works
holman
297
140k
Transcript
JAWS-UG金沢 #74 セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2021/11/13
タイムテーブル 15:00〜15:10 オープニング 15:10〜16:10 パネルディスカッション ・パネリストの紹介 ・今日の本題 16:10〜16:40 質疑応答 16:40〜16:50
クロージング
アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介 小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享
(こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] 金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。 ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。 T.Konishi
ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for
Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部) 石川県在住。2020年まで金沢市内の印刷会社 でインフラエンジニアとして、AWSを利用し たインフラの概念実証を実施したのち、 2021年1月よりイースト株式会社に転籍。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2
級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を
ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!
None
行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。
過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。
行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。
• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。
行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切
ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTP = 平文通信 3way
ハンドシェイク 平文でのデータ通信 簡単に読める 簡単に情報が盗める =
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS = 暗号文通信 3way
ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない 通信内容を守れる! =
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS暗号化までの流れ 3way ハンドシェイク 暗号化されたデータ通信
SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK! じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK!
Copyright© 2021 みんなのCSIRT All Rights Reserved. 機会損失を防ぐ Google 検索結果の順位判定にHTTPS化の有無を考慮する HTTPS混合コンテンツをブロックする
Apple 有効期限が398日を超える証明書を信頼しない
AWSでの解決アプローチ https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 P:Password付きZIP暗号化ファイルを送る P:Passwordを送る A:Angoka(暗号化)する P:Protocol(プロトコル=手順)
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAP メールでzipファイルを送付 ファイルを
作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPをやめよう! 日本政府 セキュリティ対策や受け取り手の利便性の観点から 適切ではない
PPAPやめます! だけど 次の手はありません!
AWSでの解決アプローチ
AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS) ファイルを 作成 ファイルを Pass無zip化 メールで 署名付きURLを送付
Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 管理者アカウントって何ができる 管理者アカウントは 何でもできる
Copyright© 2021 みんなのCSIRT All Rights Reserved. なんでもできる OS・ファイル データベース ログ
インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新
Copyright© 2021 みんなのCSIRT All Rights Reserved. もし同じアカウントで操作していたら OS・ファイル データベース ログ
インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新 誰が操作したか分からない あらぬ疑いがかかるかも ⇒
AWSでの解決アプローチ
Copyright© 2021 みんなのCSIRT All Rights Reserved. • HTTPS化されていないサイトはいけない? • 電子メールで流行っているPPAPって?
• 管理者アカウントの共有は問題がある? • 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. 見えるものは攻撃される 調査 攻撃 DoS/DDoS
ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい! 便利に使いたい! 攻撃者もやってきます ⇒
Copyright© 2021 みんなのCSIRT All Rights Reserved. 公開サーバへの攻撃 (リバースブルートフォース攻撃) konishi matsuda
matsumoto hamada tanaka endou Housei Yamamoto saito password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい パスワードは固定し、アカウントを順に変更しながらアク セスを試みる
AWSでの解決アプローチ 皆さんで考えてみましょう ・予防的な統制 (どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?) ・発見的な統制 (どのようにしたらリバースブルートフォース攻撃に気づけるか?)
Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい
アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。
ここからの時間は… DEVREL/JAPAN 2021