https://jawsug-kanazawa.doorkeeper.jp/events/128284
JAWS-UG金沢 #74 セキュリティパネルディスカッションJAWS-UG 金沢 × みんなのCSIRT2021/11/13
View Slide
タイムテーブル15:00〜15:10 オープニング15:10〜16:10 パネルディスカッション・パネリストの紹介・今日の本題16:10〜16:40 質疑応答16:40〜16:50 クロージング
アンケート是非アンケートへのご協力をお願いします!http://bit.ly/jawsug_kanzawa74運営メンバーの励みになりますので、イベント終了後に入力ください。
パネリストの紹介小西さん ふぁらお加藤 松田 康宏
Copyright© 2021 みんなのCSIRT All Rights Reserved. みんなのCSIRTの紹介
Copyright© 2021 みんなのCSIRT All Rights Reserved. 小西 享 (みんなのCSIRT) 小西 享 (こにし とおる) [所属] アライドテレシス株式会社 ※ここでの発言と、所属会社は関係ありません。 [こんな人です] 金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構築・運用までを経験。 ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、北陸を中心としたセキュリティの底上げを目指して活動を行っている。 T.Konishi
ふぁらお加藤(金沢支部)金沢市を中心に設計・実装・運用・保守をするフリーランスプログラマ3+7年、リーマン歴は5+3+3年JAWS-UG金沢(AWS Samurai 2019受賞)Kanazawa.rbコアメンバーCode for Kanazawa Civic Hack Night 運営
松田 康宏(金沢支部)石川県在住。2020年まで金沢市内の印刷会社でインフラエンジニアとして、AWSを利用したインフラの概念実証を実施したのち、2021年1月よりイースト株式会社に転籍。金沢支部には第22回 Alexa Days(2017年)より参加し、フルリモートワークで業務をする傍ら、コミュニティの運営に携わる。2級ファイナンシャルプランニング技能士(AFP)としても活躍中。趣味はランニングとボウリングと家庭菜園。
金沢支部紹介
金沢支部の紹介石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催しました!
行動規範https://github.com/jaws-ug/manifesto/blob/master/for-contributors.mdJAWS-UGコミュニティの理念• JAWS-UGの名のもとに運営されるコミュニティは、Amazon WebServices, Inc. が提供するAWSに愛を持って接することを心がけてください。過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用することは決して許されません。
行動規範期待される行為• 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してください。あなたの貢献があってこそのコミュニティです。• いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れないようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いものだ、ということを忘れないで下さい。• 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参加できるよう、出来る限りのご配慮をおねがいします。
行動規範期待されない行為• コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力を誇示することは、適切ではありません。• 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で盛り上がるのは、適切ではありません。• 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切ではありません。• 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無宗教)などに係る表現は、いかなる場合も適切ではありません。
Twitterにつぶやこう!Twitterにつぶやく際は是非ハッシュタグつけて共有しましょう同じ考えや興味を持った人とつながる機会になります#jawsug#jawsug_kanazawa
Copyright© 2021 みんなのCSIRT All Rights Reserved.● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ? アジェンダ
Copyright© 2021 みんなのCSIRT All Rights Reserved.● HTTPS化されていないサイトはいけない? ● 電子メールで流行っているPPAPって? ● 管理者アカウントの共有は問題がある? ● 管理者用ログインページは公開しちゃダメ?
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTP = 平文通信 3way ハンドシェイク平文でのデータ通信簡単に読める 簡単に情報が盗める =
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS = 暗号文通信 3way ハンドシェイク暗号化されたデータ通信SSL/TLS ハンドシェイク暗号文は読めない 通信内容を守れる! =
Copyright© 2021 みんなのCSIRT All Rights Reserved. HTTPS暗号化までの流れ 3way ハンドシェイク暗号化されたデータ通信SSL/TLS ハンドシェイク※ TLS1.3の場合僕は こんな暗号化方式が使えるよ。OK! じゃあ この暗号化方式を使うね。この通信から暗号化するよ。 僕の証明書を送るね。OK!
Copyright© 2021 みんなのCSIRT All Rights Reserved. 機会損失を防ぐ Google 検索結果の順位判定にHTTPS化の有無を考慮する HTTPS混合コンテンツをブロックする Apple 有効期限が398日を超える証明書を信頼しない
AWSでの解決アプローチhttps://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPメールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付P:Password付きZIP暗号化ファイルを送るP:Passwordを送るA:Angoka(暗号化)するP:Protocol(プロトコル=手順)
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPメールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付メールが盗聴されればzipだけでなくPassも盗まれる
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPメールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付Passがついているのでセキュリティ対策製品でのチェックができない
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPメールでzipファイルを送付 ファイルを 作成 ファイルを Pass付zip化 メールで zipファイルのPassを送付誤送信先に ファイルとPassを送ってしまう
Copyright© 2021 みんなのCSIRT All Rights Reserved. PPAPをやめよう! 日本政府 セキュリティ対策や受け取り手の利便性の観点から 適切ではない PPAPやめます! だけど 次の手はありません!
AWSでの解決アプローチ
AWSでの解決アプローチS3よりファイルをダウンロード(HTTPS) ファイルを 作成 ファイルを Pass無zip化 メールで 署名付きURLを送付Passがついていないのでセキュリティ対策製品でのチェックができるS3にアップロードして署名付きURL発行
Copyright© 2021 みんなのCSIRT All Rights Reserved. 管理者アカウントって何ができる 管理者アカウントは 何でもできる
Copyright© 2021 みんなのCSIRT All Rights Reserved. なんでもできる OS・ファイル データベース ログ インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新
Copyright© 2021 みんなのCSIRT All Rights Reserved. もし同じアカウントで操作していたら OS・ファイル データベース ログ インストール アップデート 参照・追加 更新・削除 破壊 マルウェア設置 窃取・改ざん 破壊 削除・改ざん 参照・更新 誰が操作したか分からない あらぬ疑いがかかるかも ⇒
Copyright© 2021 みんなのCSIRT All Rights Reserved. 見えるものは攻撃される 調査 攻撃 DoS/DDoSブルートフォースSQLインジェクションたとえば沢山の人にきてほしい! 便利に使いたい! 攻撃者もやってきます ⇒
Copyright© 2021 みんなのCSIRT All Rights Reserved. 公開サーバへの攻撃 (リバースブルートフォース攻撃) konishimatsuda matsumoto hamadatanaka endou Housei Yamamotosaito password11/13 15:01 konishi login failed11/13 15:01 ***** login successful11/13 15:02 matsuda login failed11/13 15:02 ***** login failed11/13 15:02 ***** login successful11/13 15:03 ***** login failed11/13 15:03 matsumoto login failed11/13 15:04 ***** login successful11/13 15:04 hamada login failed11/13 15:05 tanakalogin failed11/13 15:05 ***** login successful11/13 15:06 ***** login failed11/13 15:06 endou login failed11/13 15:07 ***** login successful11/13 15:07 housei login successfulログを見ても気づきにくい パスワードは固定し、アカウントを順に変更しながらアクセスを試みる
AWSでの解決アプローチ皆さんで考えてみましょう・予防的な統制(どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?)・発見的な統制(どのようにしたらリバースブルートフォース攻撃に気づけるか?)
Copyright© 2021 みんなのCSIRT All Rights Reserved.おしまい
ここからの時間は… DEVREL/JAPAN 2021