脆弱性とこれからの話 ソフトウェアサプライチェインリスク

Transcript

1. ੬ऑੑͱ͜Ε͔Βͷ࿩ ιϑτ΢ΣΞαϓϥΠνΣΠϯϦεΫ Ԭాྑଠ࿠ 2024/2 Update: 2024/2/7 Release: 2024/2/3

2. Ԭా ྑଠ࿠Ͱ͢ ೥ɺΞϓϦέʔγϣϯηΩϡϦςΟɾΨόφϯεʹؔΘΔϦαʔνͱاۀͷηΩϡϦςΟڧԽ ͷΞυόΠβϦͳͲΛߦ͏ ג ΞελϦεΫɾϦαʔνΛ૑ۀɻاۀͷηΩϡϦςΟ࣮ફΛखֻ͚Δɻ େֶɺاۀɺ੓෎ͷݚڀػؔɺ࢈׭ֶ࿈ܞͨ͠ίϛϡχςΟʹΑΓɺϓϩϑΣογϣφϧਓࡐͷҭ੒ ʹܞΘ͍ͬͯΔɻ೥݄ʹग़൛͞Εͨʮ$*40ϋϯυϒοΫʯͷࣥචऀͷதʹ໊Λ࿈ͶΔɻ גࣜձࣾΞελϦεΫɾϦαʔν 08"41
   -JGFUJNF
   .FNCFS
   
   +BQBO
   $IBQUFS
   MFBE

   Ԭాྑଠ࿠ SJPUBSP!STSDIKQ SJPUBSP!PXBTQPSH 2024/2

3. https://www.youtube.com/watch?v=Rp9uPVahpUw https://www.youtube.com/watch?v=OCWTNP6hCck https://www.youtube.com/watch?v=2jwnjEdDacA IPA シンポジウム DXとセキュリティ ITmedia Security Days CISOのセキュリティ

   マジセミ：いまさら聞けない脆弱性⼊⾨ Ϣʔνϡʔόʔʹ ͳͬͯ͠·ͬͨʁ 2024/2

4. ηΩϡϦςΟϓϩϑΣογϣφϧͷ൵ئʁ  ηΩϡϦςΟٕज़ʹΑͬͯਓྨࣾձͷਐาʹߩݙ͍ͨ͠  ҆શͳΠϯλʔωοτࣾձΛ࣮ݱ͍ͨ͠  αΠόʔηΩϡϦςΟ৵֐͔Β฻Β͠ΛकΓ͍ͨ  ηΩϡϦςΟΛݱ࣮తʹɺ୭Ͱ΋࣮ફͰ͖ΔΑ͏ʹ͍ͨ͠ 

   ྑ͍΋ͷΛ࡞ΔਓΛཪํͱͯ͠ࢧ͍͑ͨ  ະղܾͷ໰୊ʹ௅Έ͍ͨ  ͳʹ͔ͷਐาΛମײ͍ͨ͠ 2024/2

5. ΞελϦεΫɾϦαʔν اۀʹ͓͚ΔηΩϡϦςΟ࣮ફࢧԉاۀ BTUFSJTLSFTFBSDIDPN 2024/2 Professional Tools 実践段階のQCDを⾼める道具 ・開発環境向けツール(CI/CD) ・トレーニングデザイン ・リスクプロファイルト

   ・脅威分析トレーニング ・SAST/SCA/IaC/API Advisory Service 経営陣の⾼速な意思決定を実現するアドバイザリ ・PSIRT/CSIRT Advisory ・DevOps Transformation ・セキュリティ・スコアカード分析 ・エグゼクティブ向けブリーフィング ・CISO, CTO, CROハンズオン Security Test Managed Service セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis ・コンポーネント分析 SCA ・ソースコード分析 SAST ・システム脆弱性テスト DAST ・プラットフォームテスト NST

6. セキュリティ版 家庭の医学 • ʮ΋͸΍ܦݧͷ͋ΔϕςϥϯͷצͰܦӦ൑ அͰ͖Δঢ়گͰ͸ͳ͘ɺ࣋ͯΔݶΓͷσʔ λΛ׆༻͠ɺਝ଎ʹ൑அ͠ɺΞΫγϣϯΛ औΒͳ͚Ε͹ͳΓ·ͤΜʯ • ʮҰํͰɺະ੒ख़ͳٕज़ʹ؁Μ͡ͳ͚Ε͹ ͳΒͳ͍ଆ໘΋͋Γ·͢ʯ

   • ʮͦ͜Ͱɺ%9ΛਐΊΔ্Ͱͷલఏ͸ʯ 2024/2

7. OWASP.org Open Worldwide Application Security Project • AppSec （アプリケーションセ キュリティ）にフォーカス

   ここ数年で - • コミュニケーションはメーリ ングリストからSlackに変更 • 活動はSlackとGithubに • AppSecコンファレンスは 都市開催 + オンライン 2024/2

8. OWASP Japan • https://github.com/owasp-ja • OWASPトップ10 for LLM⽇本語 • OWASPトップ10

   2021⽇本語 • OWASP Proactive Controls 2018⽇本語 • OWASP ASVS 4.0 ⽇本語 • Mobile ASVS⽇本語 • 開発者のためのOWASPチートシート ⼀覧表 2024/2

9. 2024/2 Hardening Project

10. 2023年全体 2024/2

11. 2024/2 ೥શମ

12. ݦࡏԽ͖ͯͨ͠ڴҖΞΫλʔͷྨܕ ⾏動 内容 ツール サイバーテロ 戦争⾏為・テロ⾏為 / サイバー空間は、「第5の戦場」 DDoS攻撃、ウイルス/マルウェア、ウェブ改ざん、情報窃 取・破壊

    サイバー・インテリジェンス 脆弱性など情報収集活動、諜報活動、スパイ⾏為 フィッシング、キーロギング、スパイウェア、インフォス ティーラ サイバー脅迫 主に⾦銭を⽬的とした犯罪。企業への脅迫が進展 ランサムウェア、データの暗号化、⾝代⾦要求 、 リークサイト サイバー詐欺 消費者、企業ともにターゲットとしたコソ泥 BEC、フィッシング、サポート詐欺（広告） ハクティビズム サイバー上で⾏う政治活動 DoS攻撃、データ漏洩、ウェブ改ざん 悪ふざけ・SNSナンパ・ 偽情報の流布 個⼈攻撃・名誉毀損・ストーカー・拉致・インプレッション獲得 ソーシャルエンジニアリング、サイバーストーキング、ソー シャルネットワーク、広告の悪⽤ 

13. &/*4"
    5ISFBU
    -BOETDBQF
     • ϥϯαϜ΢ΣΞ • Ϛϧ΢ΣΞ • ιʔγϟϧΤϯδχΞϦϯά • σʔλ΁ͷڴҖ •

    Քಇ΁ͷڴҖ %P4 • ωοτ઀ଓ΁ͷڴҖ • ৘ใૢ࡞ • αϓϥΠνΣΠϯ߈ܸ 2024/2

14. 脆弱性の解像度をあげよう 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン アプリケーションソフトウェア ネットワーク機器、デバイス システム：オープンソースや

    サードパーティAPIなど システム：プログラムコード システム：クラウドサービス、 アプリケーションの設定 ユーザ、オペレータ 2024/2

15. 脆弱性の解像度をあげよう 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン デバイスのOSに問題があり、保護が⼿ 薄、あるいは脆弱な状態になっている プラットフォーマ

    (Apple, Googleなど) アップデート適⽤、 設定調整 ⾃動アップデート活⽤、 更新情報プロセス強化 アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社 アップデート適⽤、設定 調整、 アップデートあるいは アンインストール ネットワーク機器、デバイス 装置のファームウェアが古いあるいは 悪⽤されやすい設定になっているため 脆弱な状態 メーカー アップデート適⽤ ネットワーク機器や 構成の⾒直し システム：オープンソースや サードパーティAPIなど システム：プログラムコード システム：クラウドサービス、 アプリケーションの設定 ユーザ、オペレータ 2024/2

16. 脆弱性の解像度をあげよう 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン デバイスのOSに問題があり、保護が⼿ 薄、あるいは脆弱な状態になっている プラットフォーマ

    (Apple, Googleなど) アップデート適⽤、 設定調整 ⾃動アップデート活⽤、 更新情報プロセス強化 アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社 アップデート適⽤、設定 調整、 アップデートあるいは アンインストール ネットワーク機器、デバイス 装置のファームウェアが古いあるいは 悪⽤されやすい設定になっているため 脆弱な状態 メーカー アップデート適⽤ ネットワーク機器や 構成の⾒直し システム：オープンソースや サードパーティAPIなど システムで利⽤しているOSで使われて いるOSSのソースコードに問題が発⾒ され脆弱性があるということが広く知 られる OSSプロジェクト、 LinuxやMicrosoftなど OSベンダー 動作検証と アップデート適⽤ ソフトウェア構成分析SCA の導⼊、SBOM システム：プログラムコード ⾃社あるいはSIerが開発したコードに問 題があり、脆弱になっている コードを書いた⼈ない し、開発プロジェクト チーム プログラムの修正 SAST、ハンズオン 教育訓練、検査ツールの強 化など⽣産技術的強化 システム：クラウドサービス、 アプリケーションの設定 コンフィギュレーションの問題で、 データが侵害されやすい状態などで脆 弱になっている クラウドベンダーある いはその先進的なユー ザ 設定の修正 適切な脆弱性検査や モニタリングの強化 ユーザ、オペレータ 2024/2

17. 脆弱性の解像度をあげよう 脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト デスクトップやスマートフォン デバイスのOSに問題があり、保護が⼿ 薄、あるいは脆弱な状態になっている プラットフォーマ

    (Apple, Googleなど) アップデート適⽤、 設定調整 ⾃動アップデート活⽤、 更新情報プロセス強化 アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社 アップデート適⽤、設定 調整、 アップデートあるいは アンインストール ネットワーク機器、デバイス 装置のファームウェアが古いあるいは 悪⽤されやすい設定になっているため 脆弱な状態 メーカー アップデート適⽤ ネットワーク機器や 構成の⾒直し システム：オープンソースや サードパーティAPIなど システムで利⽤しているOSで使われて いるOSSのソースコードに問題が発⾒ され脆弱性があるということが広く知 られる OSSプロジェクト、 LinuxやMicrosoftなど OSベンダー 動作検証と アップデート適⽤ ソフトウェア構成分析SCA の導⼊、SBOM システム：プログラムコード ⾃社あるいはSIerが開発したコードに問 題があり、脆弱になっている コードを書いた⼈ない し、開発プロジェクト チーム プログラムの修正 SAST、ハンズオン 教育訓練、検査ツールの強 化など⽣産技術的強化 システム：クラウドサービス、 アプリケーションの設定 コンフィギュレーションの問題で、 データが侵害されやすい状態などで脆 弱になっている クラウドベンダーある いはその先進的なユー ザ 設定の修正 適切な脆弱性検査や モニタリングの強化 ユーザ、オペレータ 利⽤が許可されている機能あるいは データの取り扱いを誤⽤してしまう ユーザ⾃⾝、ならびに その組織 応急対応と原因究明 ⾮常事態の対応訓練 業務データ取り扱い訓練 ユーザビリティ向上 モニタリングの強化 2024/2

18. ະղܾͷ໰୊ɿαϓϥΠνΣΠϯϦεΫɺ ͜ΕɺͲ͏͠·͠ΐ͏ ຊ౰ʹɺύοέʔδ΍ͦͷΞοϓσʔτΛ ৴པͰ͖Δ΋ͷʹ͢Δʹ͸Ͳ͏ͨ͠Βྑ͍ͷ͔ 2024/2

19. ιϑτ΢ΣΞʹ͓͚Δਂࠁͳ αϓϥΠνΣΠϯϦεΫ ఢରऀ͕ѱҙͷ͋Δίʔυ΍ѱҙͷ͋Δίϯϙʔωϯ τશମΛɺ৴པ͞Ε͍ͯΔιϑτ΢ΣΞ΍ϋʔυ΢Σ Ξͷ಺෦ʹฆΕࠐ·ͤΔख๏ʹΑΓൃੜ͢ΔϦεΫ 2024/2

20. ҙਤతʹʁ • 1Z1* ʹొ࿥͞ΕͨϓϩδΣΫτʹϚϧ ΢ΣΞ͕ࠞೖ • 04͝ͱʹద֨ͳJOGPTUFBMFS͕μ΢ϯ ϩʔυ͞ΕΔTFUVQQZ • ݟ͔͚ɺͪΌΜͱͨ͠ύοέʔδ

    2024/2

21. ΦϑΟγϟϧίϛολ͕ҙਤతʹʂ • 1SPUFTUXBSF OPEFJQD • OQNͰ഑෍͞Ε͍ͯΔଟ͘ͷϢʔ β͕͍Δύοέʔδ • ઓ૪൓ରʂͷҙਤ͔Βίϛολʔ͕ ίʔυʹ࢓ֻ͚ͨ

    • ϩγΞͱϕϥϧʔγ͔Βͷ ϢʔβͷΈΛλʔήοτʹ • ϫΠύʔ͕ೖ͍ͬͯͨʂ ߈ܸత 2024/2

22. OQNʹ΋ҙਤతʹࠞೖʂ • ʹOQNʹΞοϓ ϩʔυ • 
    ΋ͷݸผύοέʔδʹ೉ಡԽ͞ ΕͨϦόʔεγΣϧ͕ల։͞Εͨ • ݱࡏ΋ઈࢍ׆ಈத 2024/2

    https://blog.phylum.io/dozens-of-npm-packages-caught-attempting-to-deploy-reverse-shell/

23. ҙਤతͳαϓϥΠνΣΠϯϦεΫ͸༧૝Ҏ্ ڴҖͱͳΔख๏ • EBZ • λΠϙεΫϫοςΟϯά • ϓϩδΣΫτϋΠδϟοΫ • ϚεΧϨʔυ߈ܸ

    • ґଘؔ܎σʔλͷഁյ • ੬ऑੑͷҙਤతͳ์ஔɾࠞೖ • 1SPUFTUXBSF λʔήοτʂ • αʔυύʔςΟɾ044ϨϙδτϦαʔϏε • /1.
    1Z1*
    3VCZ(FNT
    .BWFO
    /V(FU
    $1"/ • ։ൃϓϥοτϑΥʔϜ
    ։ൃऀΞΧ΢ϯτ • (JUIVC
    (JUMBC
    ΄͔ 2024/2

24. αϓϥΠνΣΠϯϦεΫͱରԠ 攻撃タイプ 説明 対策 AIによる対策の例 ゼロデイ 0-day 未知の脆弱性を利⽤する攻撃で、 対策が困難。 定期的な脆弱性スキャンとパッチ

    適⽤、脅威インテリジェンスの活 ⽤、セキュリティリサーチとコ ミュニティとの連携。 未知の攻撃パターンを検出するた めの異常検出システムに深層学習 を適⽤。 タイポスクワッティング Typosquatting ユーザーがよく知られたパッケー ジ名をタイプミスすることを利⽤ し、似たような名前の偽パッケー ジを公開する攻撃。 パッケージ名を慎重に確認、公式 ソースからのみダウンロード、信 頼できるリポジトリの使⽤ ドメイン名やパッケージ名の類似 性を分析し、潜在的なタイポスク ワッティングを検出するためにAIを 利⽤ プロジェクトハイジャック Hijacking メンテナーや貢献者のアカウント が乗っ取られ、プロジェクトに悪 意あるコードが挿⼊される。 マルチファクタ認証の強化、アク セス権限の厳格な管理、定期的な セキュリティレビュー。 不正なアクセスや異常なコミット パターンの検出に機械学習モデル を使⽤。 Protestware 開発者が政治的または社会的メッ セージをコードに挿⼊し、使⽤者 に意図しない影響を与える。 コミュニティガイドラインの策定 と遵守、コードレビュープロセス の厳格化。 ⾃然⾔語処理（NLP）を⽤いてコー ド内の不適切なメッセージを識別。 2024/2 つづく

25. αϓϥΠνΣΠϯϦεΫͱରԠ DPOU 2024/2 攻撃タイプ 説明 対策 AIによる対策の例 マスカレード攻撃 Masquerading Project

    正規のパッケージや開発者で あるかのように偽装し、ユー ザーを騙して悪意あるコード をダウンロードさせる攻撃 パッケージの信頼性と起源を確認、 開発者の署名や認証をチェック、 コミュニティのフィードバックや レビューを参照 開発者の⾏動パターンやコミット 履歴を分析し、異常があれば警告 するAIシステムを導⼊ 依存関係への攻撃 Attack to Dependency data Cf. Dependency Confusion オープンソースプロジェクトが依 存する外部ライブラリやパッケー ジに悪意のあるコードが挿⼊され、 それがプロジェクトに引き継がれ る攻撃 依存関係の定期的な監査と更新、 ⾃動化されたセキュリティスキャ ンツールの使⽤、最⼩限の依存関 係の原則、信頼できるソースから のみ依存関係を使⽤ 依存関係のグラフを分析し、異常 な依存パターンや突然の変更を検 出するAIアルゴリズムを適⽤ 脆弱性の意図的な混⼊放置 Sabotage セキュリティ上の問題が認識され ているにも関わらず、修正が遅延 されるか完全に無視される。 オープンソースプロジェクトにお けるセキュリティポリシーの策定 と適⽤、脆弱性に対する迅速な対 応とコミュニケーションの強化。 プロジェクトのコミット履歴と議 論を分析し、脆弱性に対する対応 の遅れを検出。

26. ఏҊɿ4$" 4PGUXBSF
    $PNQPTJUJPO
    "OBMZTJT ιϑτ΢ΣΞߏ੒෼ੳΛݟ௚ͦ͏ • γεςϜ಺ʹΞοϓσʔτͰ͖͍ͯͳ͍ίϯϙʔωϯτΛՄࢹԽͰ͖Δ͚ͩͰ͸ ͩΊͩΖ͏ • ͭ·Γ • ίϯϙʔωϯτͷΞοϓσʔτ࿙Εͷྻڍ͚ͩͰ͸ͳ͘ɺਂࠁ౓͕໌Β͔ʹΘ͔Δඞཁ͕͋

    ΔͩΖ͏ • ࢒ଘ͍ͯ͠Διϑτ΢ΣΞͷ੬ऑੑ͕߈ܸՄೳͳ10$ͷଘࡏ͸Θ͔Δ΂͖ͩΖ͏ • 4#0.ग़ྗ͸΋ͪΖΜ͕ͩɺͦͷධՁ΋Ͱ͖Δඞཁ͕͋ΔͩΖ͏ • ͞Βʹ • $7&ʹࡌΒͳ͍໰୊ ҙਤత߈ܸ͸ࡌΒͳ͍܏޲ ΛΧόʔͰ͖Δඞཁ͕͋ΔͩΖ͏ • ར༻͍ͯ͠Δίʔυͱͷؔ܎ੑΛ෼ੳͰ͖Δඞཁ͕͋ΔͩΖ͏ 4"45 • ૉߦͷ͋΍͍͠ϓϩδΣΫτɺ։ൃऀɺίʔυͷ܏޲ͳͲͷΠϯςϦδΣϯε͕૊Έࠐ·Ε ͍ͯΔ͜ͱ͕ඞਢʹͳΔͩΖ͏ 2024/2

27. αϓϥΠνΣΠϯϦεΫʹཱͪ޲͔͏ͨΊʹ • ஍੓ֶϦεΫ͕αϓϥΠνΣΠϯʹେ͖ͳӨڹ • ։ൃऀͷ։ൃ؀ڥͷηΩϡϦςΟͷՁ஋ͱख๏Λࠜؾڧ͘ڭ ͍͑ͯ͜͏ • ύοέʔδɾ඼࣭ɺίʔυͷղ૾౓Λڍ͍͛ͯ͜͏ • ༏Εٕͨज़ɺߴ͍ྙཧ؍ɺࢤͷΑ͏ͳ΋ͷΛڞ༗͍ͯ͜͠͏

    • ੜ͖ํͷษڧ΋͠Α͏ 2024/2 相談に乗りますよ @okdt