Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ざっくりわかるインシデントレスポンス#owaspnight18th

OWASP Japan
July 29, 2015
Technology
7
3k

 ざっくりわかるインシデントレスポンス#owaspnight18th

presented by 玉木誠(SCSK)
OWASP Night 18th

OWASP Japan

July 29, 2015
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
300
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
840
20190107_AbuseCaseCheatSheet
owaspjapan
0
150
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
780
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3k
Shifting Left Like a Boss
owaspjapan
2
270
OWASP Top 10 and Your Web Apps
owaspjapan
2
360
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
200
elegance_of_OWASP_Top10_2017
owaspjapan
2
480

Other Decks in Technology

See All in Technology
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
1
600
Além do else! Categorizando Pokemóns com Pattern Matching no JavaScript
wmsbill
0
690
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
150
.NET Profiler in 2024.
kkamegawa
2
810
いつか使うかも貯金してたらめちゃめちゃ機能が増えてた話
riyaamemiya
0
570
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
17k
On Your Data を超えていく!
hirotomotaguchi
2
750
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
750
Cloud Service Mesh に触れ合う
phaya72
1
120
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
200
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
150
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
2
250

Featured

See All Featured
In The Pink: A Labor of Love
frogandcode
138
21k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
21
6.4k
Visualization
eitanlees
137
14k
Teambox: Starting and Learning
jrom
128
8.4k
Testing 201, or: Great Expectations
jmmastey
29
6.4k
Happy Clients
brianwarren
92
6.4k
The Pragmatic Product Professional
lauravandoore
26
5.8k
Fireside Chat
paigeccino
22
2.6k

Transcript

  1. None

  2. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2

  3. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 3

  4. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    最近のWebサイトに対するサイバー攻撃の報道 4 2015/07/27 日本VC協会が改ざん被害 - 閲覧でマル ウェア感染のおそれ Security NEXT 日本ベンチャーキャピタル協会(JVCA)のウェブサイト が改ざんされ、閲覧によってマルウェアへ感染する可 能性のあったことがわかった。 2015/07/23 日産販売会社の採用サイト改ざんをま とめてみた piyolog 日産グループの複数の販売会社で採用者向けに公 開しているWebサイトが改ざんされたことを発表した。 2015/07/25 10日間で国内25サイトが改ざん - 閲覧 で「Emdivi」などへ感染のおそれ Security NEXT 正規サイトの改ざんにより、Adobe Flash Playerの脆 弱性を狙う攻撃が多発している。 2015/07/21 タミヤに不正アクセス - ネットショップ登 録者など最大10.7万件が流出の可能性 Security NEXT 同社のウェブサーバが不正アクセスを受け、顧客の 個人情報が外部へ漏洩した可能性がある。 2015/07/17 通販サイト「セシール」で不正ログイン - 不正受注や個人情報改ざん Security NEXT 大手通販サイト「セシール」において、本人以外の第 三者による不正ログインが確認された。不正受注や 個人情報の改ざんが発生したという。 2015/07/17 学研、Webサイトへの不正アクセスで最 大2万2108人の情報が流出か 日経コン ピュータ 学研ホールディングスは、Webサーバーへの不正ア クセスにより最大2万2108人の情報が流出した恐れ があると発表した。 2015/07/17 法学部サイトに不正アクセス、CMSの脆 弱性突かれる - 福岡大 Security NEXT 福岡大学のウェブサイトが不正アクセスを受け、コン テンツ管理用のIDとパスワードが流出した。サイト改 ざんは確認されていないという。 2015/07/16 都立校サイトが改ざん被害、閲覧でマ ルウェア感染 - 教職員PC感染で発覚 Security NEXT 中高一貫校である都立立川国際中等教育学校の ウェブサイトが改ざんされ、閲覧者がマルウェアへ感 染している可能性があることがわかった。 2015/07/08 サイトが改ざん、閲覧でマルウェア感染 の可能性 - 千鳥橋病院 Security NEXT 福岡市所在の千鳥橋病院と千代診療所のウェブサイ トが不正アクセスを受け、改ざんされていたことがわ かった。

  5. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    最近のWebサイトに対する攻撃の目的 5 分類 最終目的 攻撃インフラとして利用 不正送金マルウェアの配布 Crypto ランサムウェア配布 標的型攻撃マルウェア配布 C&Cサーバとして利用 利用者情報の窃取 個人情報の窃取 クレジットカード情報の窃取 認証情報の窃取 決済情報の窃取 クレジットカード情報の窃取

  6. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    攻撃手段とその対策責任の所在 6 攻撃手段の分類 誰の問題 Webアプリケーションの脆弱性利用 • 運営者 • 開発者 Webサーバの脆弱性利用 • 運営者 CMS(やプラグイン)の脆弱性利用 • 開発者 • 運営者 パスワードリスト攻撃 • 利用者 • 運営者 管理者への標的型攻撃によるログイン情報 の窃取 • 運営者

  7. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    脆弱性対策の実際 7

  8. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    インシデントレスポンスの必要性 Webサイトの重 要性の高まり Webサイトへの 脅威拡大と変化 Webサイトへの 対策の遅れ 2020年に向けて 攻撃目標として の注目度向上 インシデントレスポンスの必要性 8

  9. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    インシデントレスポンスとして何をするべきか 9

  10. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 10

  11. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    • Webアプリケーションに対するエンジニアの役割 想定するWebアプリケーションエンジニア 11 Webアプリケーション開発者 • Webアプリケーションの開発・ 保守を行う • Webアプリケーションのトラブル シューティングの実施 • Webサイト所管部門とやり取り をする • Webサイトの機能に責任を持つ • Webアプリケーションの脆弱性 対策の実施 • Webアプリケーションのアカウ ント管理 Webサイト管理者 • Webサイトの監視・脆弱性管理 を行う • Webサイト管理運用にかかるオ ペレーションの実施 • Webサイトのインフラの安定性 に責任を持つ • Webサイトインフラへの脆弱性 対策の実施 • Webサイトインフラのアカウント 管理

  12. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    既存の組織とインシデントレスポンス体制の関係 12 インシデントレスポンス体制として活動

  13. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    NIST Incident Response Life Cycle SP800-61:Computer Security Incident Handling Guide 13

  14. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    Webアプリケーションエンジニアが担う役割 14 有事 平時

  15. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    Webアプリケーションエンジニアが担う役割 15

  16. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/インシデントの初期調査(1) 16 • Security Incident Survey Cheat Sheet for Server Administrators https://zeltser.com/security-incident-survey-cheat-sheet/ • IRM (Incident Response Methodologies) IRM-6: Website Defacement https://cert.societegenerale.com/resources/files/IRM/EN/IRM-6-Website-Defacement.pdf

  17. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/インシデントの初期調査(2) 17 • サイバー攻撃対処マニュアル 不正アクセス(Web 改ざん)編 (サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会 サイバー攻撃対策分科会) http://www.agent.cyber.niigata.jp/pdf/attack/cyberattack01.pdf

  18. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/インシデントの初期調査(3) 18 • Critical Log Review Checklist for Security Incidents https://zeltser.com/security-incident-log-review-checklist/ • Excessive access attempts to non-existent files (存在しないファイル) • Code (SQL, HTML) seen as part of the URL (URLに埋め込まれたコード) • Access to extensions you have not implemented (実装していない拡張機能へのアクセス) • Web service stopped/started/failed messages (Webサービスの停止、開始、エラー) • Access to “risky” pages that accept user input (ユーザ入力を処理する危険なページ) • Look at logs on all servers in the load balancer pool (ロードバランサ内の全てを対象) • Error code 200 on files that are not yours (エラーコード200) • Failed user authentication (認証失敗:エラーコード401、403) • Error code 401, 403 • Invalid request (無効なリクエスト:エラーコード400) • Error code 400 • Internal server error (サーバエラー:エラーコード500) • Error code 500

  19. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/調査結果の報告(1) 19

  20. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/調査結果の報告(2) 20 報告項目例 内容例 インシデントの現在のステータス • Xか月前から発生しており、現在継続中。 インシデントの概要 • Webサイトの問い合わせページが改ざんされており、該当 ページを閲覧するとiframeによって、マルウェア配布サイト へアクセスが誘導され、マルウェア感染がされる。 インシデントに関連する前兆 • 外部の第三者機関からの指摘によって発覚。 該当インシデントと他のインシデントの関連性 • コールセンタへの問い合わせにより調査したウィルス感染 事象の原因である可能性がある。 インシデントに対して実施した行動内容 • 現状はログの調査のみ、ファイルの改ざんの試行と思われ るエラーログが3か月前に発生していることをログから発見 した。 インシデントによる影響度の評価 • 問い合わせページへのアクセスは、Xか月間で、XXX件あっ た、アクセス元の端末やIPの特定はできない。 • 利用者はウィルス感染をしている可能性がある。 • その他の影響は未調査。 他の関連者への協力の必要性 • Xか月前から現在まで、問い合わせページを閲覧した利用 者に対して、ウィルスチェックの実施依頼。 • 改ざんされたページの専門家への調査依頼。 報告者のコメント (分かれば今後の方針) • 早急に問い合わせページへのアクセスを遮断する必要が ある。そのためには、XXX時間かかる。一時的には問合せ は受け付けられないが、営業的な窓口は別途あるため機 会損失等は軽微と考えられる。復旧は、およそXXX時間後 を想定している。

  21. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/調査結果の報告(3) 21

  22. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/初動対処(1) 22

  23. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/初動対処(2) 23

  24. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/対策の実施(1) 24

  25. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/対策の実施(2) 25

  26. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/サイトの復旧(1) 26 • IRM (Incident Response Methodologies) IRM-6: Website Defacement https://cert.societegenerale.com/resources/files/IRM/EN/IRM-6-Website-Defacement.pdf • IT システムにおける緊急時対応計画ガイド:NIST SP800-34 https://www.ipa.go.jp/files/000025327.pdf

  27. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/サイトの復旧(2) 27

  28. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    結論 28

  29. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 29

  30. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    まとめ 30 Webサイトに対するインシデントレスポンスが 重要になって来ています Webアプリケーションエンジニアは、インシデ ントの調査・対応・復旧を行う実働主体です インシデント対応の参考になるリソースが複数 あるので参考にどうぞ

  31. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 31

  32. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    • 安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~ (IPA) < https://www.ipa.go.jp/security/vuln/websitecheck.html > • ウェブサイト改ざんの脅威と対策~ 企業の信頼を守るために求められること ~ (IPA) < https://www.ipa.go.jp/files/000041364.pdf > • NIST-SP800-61:Computer Security Incident Handling Guide (NIST) < http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf > • NIST-SP800-34:Contingency Planning Guide for Federal Information Systems (NIST) < http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-Nov11-2010.pdf > • IT and Information Security Cheat Sheets (Lenny Zeltser氏) < https://zeltser.com/cheat-sheets/>  Critical Log Review Checklist for Security Incidents  Security Incident Survey Cheat Sheet for Server Administrators  Initial Security Incident Questionnaire for Responders  Reverse-Engineering Malware Cheat Sheet • IRM (Incident Response Methodologies) (CERT) < https://cert.societegenerale.com/en/publications.html> • インシデントハンドリングマニュアル(JPCERT/CC) < https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0.pdf > • サイバー攻撃対処マニュアル 不正アクセス(Web 改ざん)編 (サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会 サイバー攻撃対策分科会) < http://www.agent.cyber.niigata.jp/pdf/attack/cyberattack01.pdf > 参考:インシデントハンドリングの参考 32

  33. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    • WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も(ScanNetsecurity社) < http://scan.netsecurity.ne.jp/article/2015/07/27/36968.html > • 継続中の大規模な同時多発Web改ざん攻撃を詳細分析(トレンドマイクロ社) < http://blog.trendmicro.co.jp/archives/12017> • コンピュータウイルス・不正アクセスの届出状況および相談状況[2015年第2四半期(4月~6月)](IPA) < https://www.ipa.go.jp/security/txt/2015/q2outline.html> • 不正アクセス行為対策等の実態調査 調査報告書 (警察庁) < http://www.npa.go.jp/cyber/research/h26/h26countermeasures.pdf> • インターネットセキュリティ脅威レポート第 20 巻(Symantec 社) < http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp > 参考:ニュースや統計情報 33

  34. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    参考:インターネット取引の重要性の高まり 34

  35. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    参考:ロンドンオリンピックの大会公式サイトへの アクセス状況 35

  36. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    36