Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性とこれからの話 ソフトウェアサプライチェインリスク

脆弱性とこれからの話 ソフトウェアサプライチェインリスク

Speaker 岡田良太郎

update: 2024.2.7 サプライチェインリスクケースを追記
update: 2024.2.5 SCAによる対応手法についての提案を追加
release: 2024.2.3 塩尻サイバーセキュリティ勉強会

Riotaro OKADA

February 03, 2024
Tweet

More Decks by Riotaro OKADA

Other Decks in Technology

Transcript

  1. ੬ऑੑͱ͜Ε͔Βͷ࿩
    ιϑτ΢ΣΞαϓϥΠνΣΠϯϦεΫ
    Ԭాྑଠ࿠
    2024/2
    Update: 2024/2/7
    Release: 2024/2/3

    View full-size slide

  2. Ԭా ྑଠ࿠Ͱ͢
    ೥ɺΞϓϦέʔγϣϯηΩϡϦςΟɾΨόφϯεʹؔΘΔϦαʔνͱاۀͷηΩϡϦςΟڧԽ
    ͷΞυόΠβϦͳͲΛߦ͏ ג
    ΞελϦεΫɾϦαʔνΛ૑ۀɻاۀͷηΩϡϦςΟ࣮ફΛखֻ͚Δɻ
    େֶɺاۀɺ੓෎ͷݚڀػؔɺ࢈׭ֶ࿈ܞͨ͠ίϛϡχςΟʹΑΓɺϓϩϑΣογϣφϧਓࡐͷҭ੒
    ʹܞΘ͍ͬͯΔɻ೥݄ʹग़൛͞Εͨʮ$*40ϋϯυϒοΫʯͷࣥචऀͷதʹ໊Λ࿈ͶΔɻ
    גࣜձࣾΞελϦεΫɾϦαʔν
    08"41-JGFUJNF.FNCFS+BQBO$IBQUFSMFBE
    Ԭాྑଠ࿠
    SJPUBSP!STSDIKQ
    SJPUBSP!PXBTQPSH
    2024/2

    View full-size slide

  3. https://www.youtube.com/watch?v=Rp9uPVahpUw
    https://www.youtube.com/watch?v=OCWTNP6hCck
    https://www.youtube.com/watch?v=2jwnjEdDacA
    IPA シンポジウム DXとセキュリティ
    ITmedia Security Days CISOのセキュリティ
    マジセミ:いまさら聞けない脆弱性⼊⾨
    Ϣʔνϡʔόʔʹ
    ͳͬͯ͠·ͬͨʁ
    2024/2

    View full-size slide

  4. ηΩϡϦςΟϓϩϑΣογϣφϧͷ൵ئʁ
    ηΩϡϦςΟٕज़ʹΑͬͯਓྨࣾձͷਐาʹߩݙ͍ͨ͠
    ҆શͳΠϯλʔωοτࣾձΛ࣮ݱ͍ͨ͠
    αΠόʔηΩϡϦςΟ৵֐͔Β฻Β͠ΛकΓ͍ͨ
    ηΩϡϦςΟΛݱ࣮తʹɺ୭Ͱ΋࣮ફͰ͖ΔΑ͏ʹ͍ͨ͠
    ྑ͍΋ͷΛ࡞ΔਓΛཪํͱͯ͠ࢧ͍͑ͨ
    ະղܾͷ໰୊ʹ௅Έ͍ͨ
    ͳʹ͔ͷਐาΛମײ͍ͨ͠
    2024/2

    View full-size slide

  5. ΞελϦεΫɾϦαʔν اۀʹ͓͚ΔηΩϡϦςΟ࣮ફࢧԉاۀ
    BTUFSJTLSFTFBSDIDPN
    2024/2
    Professional Tools
    実践段階のQCDを⾼める道具
    ・開発環境向けツール(CI/CD)
    ・トレーニングデザイン
    ・リスクプロファイルト
    ・脅威分析トレーニング
    ・SAST/SCA/IaC/API
    Advisory Service
    経営陣の⾼速な意思決定を実現するアドバイザリ
    ・PSIRT/CSIRT Advisory
    ・DevOps Transformation
    ・セキュリティ・スコアカード分析
    ・エグゼクティブ向けブリーフィング
    ・CISO, CTO, CROハンズオン
    Security Test Managed Service
    セキュリティ脆弱性発⾒から改善に効くサービス ・設計の脅威対応分析 Threat Analysis
    ・コンポーネント分析 SCA
    ・ソースコード分析 SAST
    ・システム脆弱性テスト DAST
    ・プラットフォームテスト NST

    View full-size slide

  6. セキュリティ版
    家庭の医学
    • ʮ΋͸΍ܦݧͷ͋ΔϕςϥϯͷצͰܦӦ൑
    அͰ͖Δঢ়گͰ͸ͳ͘ɺ࣋ͯΔݶΓͷσʔ
    λΛ׆༻͠ɺਝ଎ʹ൑அ͠ɺΞΫγϣϯΛ
    औΒͳ͚Ε͹ͳΓ·ͤΜʯ
    • ʮҰํͰɺະ੒ख़ͳٕज़ʹ؁Μ͡ͳ͚Ε͹
    ͳΒͳ͍ଆ໘΋͋Γ·͢ʯ
    • ʮͦ͜Ͱɺ%9ΛਐΊΔ্Ͱͷલఏ͸ʯ
    2024/2

    View full-size slide

  7. OWASP.org
    Open
    Worldwide
    Application
    Security
    Project
    • AppSec (アプリケーションセ
    キュリティ)にフォーカス
    ここ数年で -
    • コミュニケーションはメーリ
    ングリストからSlackに変更
    • 活動はSlackとGithubに
    • AppSecコンファレンスは
    都市開催 + オンライン
    2024/2

    View full-size slide

  8. OWASP
    Japan
    • https://github.com/owasp-ja
    • OWASPトップ10 for LLM⽇本語
    • OWASPトップ10 2021⽇本語
    • OWASP Proactive Controls 2018⽇本語
    • OWASP ASVS 4.0 ⽇本語
    • Mobile ASVS⽇本語
    • 開発者のためのOWASPチートシート
    ⼀覧表
    2024/2

    View full-size slide

  9. 2024/2
    Hardening Project

    View full-size slide

  10. 2023年全体
    2024/2

    View full-size slide

  11. 2024/2
    ೥શମ

    View full-size slide

  12. ݦࡏԽ͖ͯͨ͠ڴҖΞΫλʔͷྨܕ
    ⾏動 内容 ツール
    サイバーテロ 戦争⾏為・テロ⾏為 / サイバー空間は、「第5の戦場」
    DDoS攻撃、ウイルス/マルウェア、ウェブ改ざん、情報窃
    取・破壊
    サイバー・インテリジェンス 脆弱性など情報収集活動、諜報活動、スパイ⾏為
    フィッシング、キーロギング、スパイウェア、インフォス
    ティーラ
    サイバー脅迫 主に⾦銭を⽬的とした犯罪。企業への脅迫が進展
    ランサムウェア、データの暗号化、⾝代⾦要求 、
    リークサイト
    サイバー詐欺 消費者、企業ともにターゲットとしたコソ泥 BEC、フィッシング、サポート詐欺(広告)
    ハクティビズム サイバー上で⾏う政治活動 DoS攻撃、データ漏洩、ウェブ改ざん
    悪ふざけ・SNSナンパ・
    偽情報の流布
    個⼈攻撃・名誉毀損・ストーカー・拉致・インプレッション獲得
    ソーシャルエンジニアリング、サイバーストーキング、ソー
    シャルネットワーク、広告の悪⽤

    View full-size slide

  13. &/*4"5ISFBU-BOETDBQF
    • ϥϯαϜ΢ΣΞ
    • Ϛϧ΢ΣΞ
    • ιʔγϟϧΤϯδχΞϦϯά
    • σʔλ΁ͷڴҖ
    • Քಇ΁ͷڴҖ %P4

    • ωοτ઀ଓ΁ͷڴҖ
    • ৘ใૢ࡞
    • αϓϥΠνΣΠϯ߈ܸ
    2024/2

    View full-size slide

  14. 脆弱性の解像度をあげよう
    脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
    デスクトップやスマートフォン
    アプリケーションソフトウェア
    ネットワーク機器、デバイス
    システム:オープンソースや
    サードパーティAPIなど
    システム:プログラムコード
    システム:クラウドサービス、
    アプリケーションの設定
    ユーザ、オペレータ
    2024/2

    View full-size slide

  15. 脆弱性の解像度をあげよう
    脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
    デスクトップやスマートフォン
    デバイスのOSに問題があり、保護が⼿
    薄、あるいは脆弱な状態になっている
    プラットフォーマ
    (Apple, Googleなど)
    アップデート適⽤、
    設定調整
    ⾃動アップデート活⽤、
    更新情報プロセス強化
    アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
    アップデート適⽤、設定
    調整、
    アップデートあるいは
    アンインストール
    ネットワーク機器、デバイス
    装置のファームウェアが古いあるいは
    悪⽤されやすい設定になっているため
    脆弱な状態
    メーカー アップデート適⽤
    ネットワーク機器や
    構成の⾒直し
    システム:オープンソースや
    サードパーティAPIなど
    システム:プログラムコード
    システム:クラウドサービス、
    アプリケーションの設定
    ユーザ、オペレータ
    2024/2

    View full-size slide

  16. 脆弱性の解像度をあげよう
    脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
    デスクトップやスマートフォン
    デバイスのOSに問題があり、保護が⼿
    薄、あるいは脆弱な状態になっている
    プラットフォーマ
    (Apple, Googleなど)
    アップデート適⽤、
    設定調整
    ⾃動アップデート活⽤、
    更新情報プロセス強化
    アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
    アップデート適⽤、設定
    調整、
    アップデートあるいは
    アンインストール
    ネットワーク機器、デバイス
    装置のファームウェアが古いあるいは
    悪⽤されやすい設定になっているため
    脆弱な状態
    メーカー アップデート適⽤
    ネットワーク機器や
    構成の⾒直し
    システム:オープンソースや
    サードパーティAPIなど
    システムで利⽤しているOSで使われて
    いるOSSのソースコードに問題が発⾒
    され脆弱性があるということが広く知
    られる
    OSSプロジェクト、
    LinuxやMicrosoftなど
    OSベンダー
    動作検証と
    アップデート適⽤
    ソフトウェア構成分析SCA
    の導⼊、SBOM
    システム:プログラムコード
    ⾃社あるいはSIerが開発したコードに問
    題があり、脆弱になっている
    コードを書いた⼈ない
    し、開発プロジェクト
    チーム
    プログラムの修正
    SAST、ハンズオン
    教育訓練、検査ツールの強
    化など⽣産技術的強化
    システム:クラウドサービス、
    アプリケーションの設定
    コンフィギュレーションの問題で、
    データが侵害されやすい状態などで脆
    弱になっている
    クラウドベンダーある
    いはその先進的なユー

    設定の修正
    適切な脆弱性検査や
    モニタリングの強化
    ユーザ、オペレータ
    2024/2

    View full-size slide

  17. 脆弱性の解像度をあげよう
    脆弱性発⽣箇所 どんな状態か 対応⼿段の提供者 すぐ対応 シフトレフト
    デスクトップやスマートフォン
    デバイスのOSに問題があり、保護が⼿
    薄、あるいは脆弱な状態になっている
    プラットフォーマ
    (Apple, Googleなど)
    アップデート適⽤、
    設定調整
    ⾃動アップデート活⽤、
    更新情報プロセス強化
    アプリケーションソフトウェア バグや、踏み台などの脆弱性 開発会社、販売会社
    アップデート適⽤、設定
    調整、
    アップデートあるいは
    アンインストール
    ネットワーク機器、デバイス
    装置のファームウェアが古いあるいは
    悪⽤されやすい設定になっているため
    脆弱な状態
    メーカー アップデート適⽤
    ネットワーク機器や
    構成の⾒直し
    システム:オープンソースや
    サードパーティAPIなど
    システムで利⽤しているOSで使われて
    いるOSSのソースコードに問題が発⾒
    され脆弱性があるということが広く知
    られる
    OSSプロジェクト、
    LinuxやMicrosoftなど
    OSベンダー
    動作検証と
    アップデート適⽤
    ソフトウェア構成分析SCA
    の導⼊、SBOM
    システム:プログラムコード
    ⾃社あるいはSIerが開発したコードに問
    題があり、脆弱になっている
    コードを書いた⼈ない
    し、開発プロジェクト
    チーム
    プログラムの修正
    SAST、ハンズオン
    教育訓練、検査ツールの強
    化など⽣産技術的強化
    システム:クラウドサービス、
    アプリケーションの設定
    コンフィギュレーションの問題で、
    データが侵害されやすい状態などで脆
    弱になっている
    クラウドベンダーある
    いはその先進的なユー

    設定の修正
    適切な脆弱性検査や
    モニタリングの強化
    ユーザ、オペレータ 利⽤が許可されている機能あるいは
    データの取り扱いを誤⽤してしまう
    ユーザ⾃⾝、ならびに
    その組織
    応急対応と原因究明
    ⾮常事態の対応訓練
    業務データ取り扱い訓練
    ユーザビリティ向上
    モニタリングの強化
    2024/2

    View full-size slide

  18. ະղܾͷ໰୊ɿαϓϥΠνΣΠϯϦεΫɺ
    ͜ΕɺͲ͏͠·͠ΐ͏
    ຊ౰ʹɺύοέʔδ΍ͦͷΞοϓσʔτΛ
    ৴པͰ͖Δ΋ͷʹ͢Δʹ͸Ͳ͏ͨ͠Βྑ͍ͷ͔
    2024/2

    View full-size slide

  19. ιϑτ΢ΣΞʹ͓͚Δਂࠁͳ
    αϓϥΠνΣΠϯϦεΫ
    ఢରऀ͕ѱҙͷ͋Δίʔυ΍ѱҙͷ͋Δίϯϙʔωϯ
    τશମΛɺ৴པ͞Ε͍ͯΔιϑτ΢ΣΞ΍ϋʔυ΢Σ
    Ξͷ಺෦ʹฆΕࠐ·ͤΔख๏ʹΑΓൃੜ͢ΔϦεΫ
    2024/2

    View full-size slide

  20. ҙਤతʹʁ
    • 1Z1* ʹొ࿥͞ΕͨϓϩδΣΫτʹϚϧ
    ΢ΣΞ͕ࠞೖ
    • 04͝ͱʹద֨ͳJOGPTUFBMFS͕μ΢ϯ
    ϩʔυ͞ΕΔTFUVQQZ
    • ݟ͔͚ɺͪΌΜͱͨ͠ύοέʔδ
    2024/2

    View full-size slide

  21. ΦϑΟγϟϧίϛολ͕ҙਤతʹʂ
    • 1SPUFTUXBSF OPEFJQD
    • OQNͰ഑෍͞Ε͍ͯΔଟ͘ͷϢʔ
    β͕͍Δύοέʔδ
    • ઓ૪൓ରʂͷҙਤ͔Βίϛολʔ͕
    ίʔυʹ࢓ֻ͚ͨ
    • ϩγΞͱϕϥϧʔγ͔Βͷ
    ϢʔβͷΈΛλʔήοτʹ
    • ϫΠύʔ͕ೖ͍ͬͯͨʂ ߈ܸత

    2024/2

    View full-size slide

  22. OQNʹ΋ҙਤతʹࠞೖʂ
    • ʹOQNʹΞοϓ
    ϩʔυ
    • ΋ͷݸผύοέʔδʹ೉ಡԽ͞
    ΕͨϦόʔεγΣϧ͕ల։͞Εͨ
    • ݱࡏ΋ઈࢍ׆ಈத
    2024/2
    https://blog.phylum.io/dozens-of-npm-packages-caught-attempting-to-deploy-reverse-shell/

    View full-size slide

  23. ҙਤతͳαϓϥΠνΣΠϯϦεΫ͸༧૝Ҏ্
    ڴҖͱͳΔख๏
    • EBZ
    • λΠϙεΫϫοςΟϯά
    • ϓϩδΣΫτϋΠδϟοΫ
    • ϚεΧϨʔυ߈ܸ
    • ґଘؔ܎σʔλͷഁյ
    • ੬ऑੑͷҙਤతͳ์ஔɾࠞೖ
    • 1SPUFTUXBSF
    λʔήοτʂ
    • αʔυύʔςΟɾ044ϨϙδτϦαʔϏε
    • /1. 1Z1* 3VCZ(FNT .BWFO /V(FU
    $1"/
    • ։ൃϓϥοτϑΥʔϜ ։ൃऀΞΧ΢ϯτ
    • (JUIVC (JUMBC ΄͔
    2024/2

    View full-size slide

  24. αϓϥΠνΣΠϯϦεΫͱରԠ
    攻撃タイプ 説明 対策 AIによる対策の例
    ゼロデイ
    0-day
    未知の脆弱性を利⽤する攻撃で、
    対策が困難。
    定期的な脆弱性スキャンとパッチ
    適⽤、脅威インテリジェンスの活
    ⽤、セキュリティリサーチとコ
    ミュニティとの連携。
    未知の攻撃パターンを検出するた
    めの異常検出システムに深層学習
    を適⽤。
    タイポスクワッティング
    Typosquatting
    ユーザーがよく知られたパッケー
    ジ名をタイプミスすることを利⽤
    し、似たような名前の偽パッケー
    ジを公開する攻撃。
    パッケージ名を慎重に確認、公式
    ソースからのみダウンロード、信
    頼できるリポジトリの使⽤
    ドメイン名やパッケージ名の類似
    性を分析し、潜在的なタイポスク
    ワッティングを検出するためにAIを
    利⽤
    プロジェクトハイジャック
    Hijacking
    メンテナーや貢献者のアカウント
    が乗っ取られ、プロジェクトに悪
    意あるコードが挿⼊される。
    マルチファクタ認証の強化、アク
    セス権限の厳格な管理、定期的な
    セキュリティレビュー。
    不正なアクセスや異常なコミット
    パターンの検出に機械学習モデル
    を使⽤。
    Protestware
    開発者が政治的または社会的メッ
    セージをコードに挿⼊し、使⽤者
    に意図しない影響を与える。
    コミュニティガイドラインの策定
    と遵守、コードレビュープロセス
    の厳格化。
    ⾃然⾔語処理(NLP)を⽤いてコー
    ド内の不適切なメッセージを識別。
    2024/2
    つづく

    View full-size slide

  25. αϓϥΠνΣΠϯϦεΫͱରԠ DPOU

    2024/2
    攻撃タイプ 説明 対策 AIによる対策の例
    マスカレード攻撃
    Masquerading Project
    正規のパッケージや開発者で
    あるかのように偽装し、ユー
    ザーを騙して悪意あるコード
    をダウンロードさせる攻撃
    パッケージの信頼性と起源を確認、
    開発者の署名や認証をチェック、
    コミュニティのフィードバックや
    レビューを参照
    開発者の⾏動パターンやコミット
    履歴を分析し、異常があれば警告
    するAIシステムを導⼊
    依存関係への攻撃
    Attack to Dependency data
    Cf. Dependency Confusion
    オープンソースプロジェクトが依
    存する外部ライブラリやパッケー
    ジに悪意のあるコードが挿⼊され、
    それがプロジェクトに引き継がれ
    る攻撃
    依存関係の定期的な監査と更新、
    ⾃動化されたセキュリティスキャ
    ンツールの使⽤、最⼩限の依存関
    係の原則、信頼できるソースから
    のみ依存関係を使⽤
    依存関係のグラフを分析し、異常
    な依存パターンや突然の変更を検
    出するAIアルゴリズムを適⽤
    脆弱性の意図的な混⼊放置
    Sabotage
    セキュリティ上の問題が認識され
    ているにも関わらず、修正が遅延
    されるか完全に無視される。
    オープンソースプロジェクトにお
    けるセキュリティポリシーの策定
    と適⽤、脆弱性に対する迅速な対
    応とコミュニケーションの強化。
    プロジェクトのコミット履歴と議
    論を分析し、脆弱性に対する対応
    の遅れを検出。

    View full-size slide

  26. ఏҊɿ4$" 4PGUXBSF$PNQPTJUJPO"OBMZTJT

    ιϑτ΢ΣΞߏ੒෼ੳΛݟ௚ͦ͏
    • γεςϜ಺ʹΞοϓσʔτͰ͖͍ͯͳ͍ίϯϙʔωϯτΛՄࢹԽͰ͖Δ͚ͩͰ͸
    ͩΊͩΖ͏
    • ͭ·Γ
    • ίϯϙʔωϯτͷΞοϓσʔτ࿙Εͷྻڍ͚ͩͰ͸ͳ͘ɺਂࠁ౓͕໌Β͔ʹΘ͔Δඞཁ͕͋
    ΔͩΖ͏
    • ࢒ଘ͍ͯ͠Διϑτ΢ΣΞͷ੬ऑੑ͕߈ܸՄೳͳ10$ͷଘࡏ͸Θ͔Δ΂͖ͩΖ͏
    • 4#0.ग़ྗ͸΋ͪΖΜ͕ͩɺͦͷධՁ΋Ͱ͖Δඞཁ͕͋ΔͩΖ͏
    • ͞Βʹ
    • $7&ʹࡌΒͳ͍໰୊ ҙਤత߈ܸ͸ࡌΒͳ͍܏޲
    ΛΧόʔͰ͖Δඞཁ͕͋ΔͩΖ͏
    • ར༻͍ͯ͠Δίʔυͱͷؔ܎ੑΛ෼ੳͰ͖Δඞཁ͕͋ΔͩΖ͏ 4"45

    • ૉߦͷ͋΍͍͠ϓϩδΣΫτɺ։ൃऀɺίʔυͷ܏޲ͳͲͷΠϯςϦδΣϯε͕૊Έࠐ·Ε
    ͍ͯΔ͜ͱ͕ඞਢʹͳΔͩΖ͏
    2024/2

    View full-size slide

  27. αϓϥΠνΣΠϯϦεΫʹཱͪ޲͔͏ͨΊʹ
    • ஍੓ֶϦεΫ͕αϓϥΠνΣΠϯʹେ͖ͳӨڹ
    • ։ൃऀͷ։ൃ؀ڥͷηΩϡϦςΟͷՁ஋ͱख๏Λࠜؾڧ͘ڭ
    ͍͑ͯ͜͏
    • ύοέʔδɾ඼࣭ɺίʔυͷղ૾౓Λڍ͍͛ͯ͜͏
    • ༏Εٕͨज़ɺߴ͍ྙཧ؍ɺࢤͷΑ͏ͳ΋ͷΛڞ༗͍ͯ͜͠͏
    • ੜ͖ํͷษڧ΋͠Α͏
    2024/2
    相談に乗りますよ
    @okdt

    View full-size slide