「セキュリティボードゲームを やってみた」OWASP Kansai

Transcript

1. ηΩϡϦςΟϘʔυήʔϜΛ
 ΍ͬͯΈͨ 2017/09/02 OWASP Kansai JNSA੢೔ຊࢧ෦ɹMinoru Imai

2. ࠷ॳʹࣗݾ঺հ ৬ۀɿ๭ऑখ঎ࣾͷӦۀ ঎ࡐɿωοτϫʔΫηΩϡϦςΟ੡඼ ɹɹɹ(޾ͤͷന͍ശɿੈؒͰ͸UTMͱ͍͏Β͍͠Ͱ͢) ʲཪͷإʳ ʲදͷإʳ JNSA(೔ຊωοτϫʔΫηΩϡϦςΟڠձ) ؔ੢ࢧ෦ϝϯόʔ

3. JNSAͱ͸ ಛఆඇӦར׆ಈ๏ਓ೔ຊωοτϫʔΫηΩϡϦςΟڠձ ʢʹ΄ΜωοτϫʔΫηΩϡϦςΟ͖ΐ͏͔͍ɺ Japan Network Security AssociationʣɺωοτϫʔΫ ηΩϡϦςΟʹؔ͢Δܒൃɺڭҭɺௐࠪݚڀٴͼ৘ใఏڙ ʹؔ͢ΔࣄۀΛߦ͏ɺಛఆඇӦར׆ಈ๏ਓɻ ηΩϡϦςΟʹ͔͔ΘΔاۀٴͼݸਓ͕ࢀՃ͓ͯ͠Γ·͢ɻ

4. ૊৫ਤ

5. ηΩϡϦςΟϘʔυήʔϜͱ͸ Ϛϧ΢ΞΣΞɺ৘ใ࿙Ӯɺ಺෦ෆਖ਼ͳͲاۀͰ ൃੜ͢ΔͰ͋Ζ͏ΠϯγσϯτͷରԠΛήʔϜ ܗࣜͰֶͿ΋ͷͰ͢ɻ ήʔϜܗࣜͳͷͰ࣮ࡍͷΠϯγσϯτରԠʹ׆༻ ग़དྷΔͱ͸ݶΓ·ͤΜ͕ೖ໳ɺ܁Γฦ͠ʹ͸໾ཱ ͭͱࢥ͍·͢ɻ(ݸਓతҙݟ)

6. ਺ʑͷاۀɾஂମ͔ΒήʔϜ͕ग़ ͓ͯΓ·͕༗໊ͳ΋ͷΛ̎ͭ঺հ ͠·͢ɻ

7. τϨϯυϚΠΫϩιϑτࣾ੡
 ʮΠϯγσϯτରԠήʔϜʯ ήʔϜ಺Ͱൃੜ͢ΔηΩϡϦςΟΠϯγσϯτʹରͯ͠ɺاۀͷ ΠϯγσϯτରԠʹؔ༩͢Δϝϯόʔʹกͨ͠ϓϨΠϠʔ͸ͦΕ ͧΕͷཱ৔ɾࢹ఺Ͱٞ࿦͠ͳ͕ΒɺΠϯγσϯτରԠͷํ਑Λ ܾఆ͍͖ͯ͠·͢ɻ ϓϨʔϠʔ਺ 4ʙ6໊ ࣌ؒ 40෼(ਪ঑2ճ)

   ʲήʔϜ಺༰ʳ ήʔϜͷϙΠϯτ νʔϜϝϯόʔͷίϛϡχέʔγϣϯ

8. JNSAʮηΩϡϦςΟઐ໳Ո ਓ࿛ʯ (ུͯ͠ηΩϡ࿛) ެࣜTwitterΞΧ΢ϯτʮ@_Sec_JINROHʯ ϓϨΠϠʔ͸CSIRTਞӦʹॴଐ͢Δ͔ɺ൜ࡑऀͱͯ͠಺෦ Ͱෆਖ਼Λಇ͘൜ࡑऀਞӦʹ෼͔Ε·͢ɻ CSIRTਞӦ͸ෆਖ਼ௐࠪͷख൪ʢ࿩͠߹͍ʣͰʮ൜ࡑऀʯ ͱࢥΘΕΔਓ෺Λղޏɻ ʮ൜ࡑऀʯਞӦ͸ෆਖ਼࣮ߦͷख൪ʢ໾৬ͷೳྗൃشʣ ͰࡑΛసՇ͠ɺղޏʹ௥͍ࠐΉैۀһΛબͼ·͢ɻ

   ͜ΕΛ܁Γฦͯ͠ɺࣗ෼ͷਞӦΛউརʹಋ͘͜ͱΛ ໨తͱͨ͠ήʔϜͰ͢ɻ

9. 2017೥6݄ JNSAڭҭ෦ձ JPCERT/CC ίϥϘʹΑΔ৽ϘʔυήʔϜ͕ొ৔

10. Malware Containment ʲϚϧ΢ΣΞ෧͡ࠐΊʳ ུͯ͠ʮϚϧίϯʯ

11. Ϛϧίϯͱ͸ͲͷΑ͏ͳήʔϜͳͷ͔ʁ ʮ૊৫ͷ୺຤͕Ϛϧ΢ΣΞ(=ίϯϐϡʔλ΢Πϧε)ʹײછͨ͠ʯ γνϡΤʔγϣϯ ࣄ࣮֬ೝΛߦ͕ͬͨͲ͏΍Βࣾ಺ͷ୺຤͕֎෦͔Βԕִૢ࡞͞Ε ͍ͯΔΒ͍͠ɻCSIRT(γʔαʔτ)ʹกͨ͠ϓϨΠϠʔ͕ͦΕͧΕ ͷઐ໳ੑΛ׆͔͠ͳ͕ΒɺϚϧ΢ΣΞʹײછͨ͠୺຤Λ૞ࠪ͢Δɻ 3೔ޙʹ͸ɺ͓٬༷ʹର͢Δઆ໌ձΛ։͔ͳ͚Ε͹ͳΒͳ͍ɻ ͦΕ·ͰʹCSIRT͸ɺϚϧ΢ΣΞʹײછͨ͠୺຤ Λಛఆ͠ɺ෧͡ࠐΊΔ͜ͱ͕Ͱ͖Δ͔ʁ Πϯγσϯτʹ͓͚ΔʮॳಈରԠʯΛ࠶ݱͨ͠

    ήʔϜͰ͢ɻ

12. ഊ๺ͨ͠৔߹͸ ʮँࡑձݟʯ͕଴͓ͬͯΓ·͢ɻ ʲউར৚݅ʳ ୺຤Χʔυʮԕִૢ࡞Ϛϧ΢ΣΞʯΛ2ຕͱ΋ ෧͡ࠐΊΒΕΔ͍ͯΔ ʲഊ๺৚݅ʳ • ୺຤Χʔυʮԕִૢ࡞Ϛϧ΢ΣΞʯΛ2 ຕͱ΋෧͡ ɹࠐΊΒΕ͍ͯͳ͍

    • ΠϕϯτΧʔυʮઃఆมߋͷґཔʯͷޮՌΛ ɹୡ੒Ͱ͖͍ͯͳ͍ • ϊʔςΟϑΟέʔγϣϯ͕୺຤Χʔυʮਖ਼ৗͳ୺຤ʯ ɹ΋͘͠͸ΠϕϯτΧʔυΛ෧͡ࠐΊͯ͠·͏ ήʔϜͷউഊͷ൑ఆ

13. ࣮ࡍͷँࡑձݟͷը૾

14. ήʔϜͷྲྀΕͱ֤Χʔυͷ໾ׂʹ͍ͭͯ

15. ήʔϜʹඞཁͳ࣌ؒͱϝϯόʔ ਓ਺(1νʔϜ)ɹɿ̐ʙ໊̑(ཧ૝͸໊̑) ਐߦ໾ɹɹɹɹ ɿ1໊Ҏ্ ϓϨΠ࣌ؒ(λʔϯ) ɿ30ʙ60෼ ※ཧ૝͸ϝϯόʔΛม͑ͯ2λʔϯҎ্ ※ਐߦ໾͕౷ׅͰ͖Δൣғ͕࠷େ3νʔϜͳͨΊ ɹ ϓϨΠϠʔ͸15໊͕Max͔ͱࢥ͍·͢ɻ

    ͋ͱඞཁͳ΋ͷ ϙετΠοτɿ௨৴ྔͷ৘ใΛهࡌͯ͠ ுΓ෇͚ΔͨΊඞཁ

16. CSIRT͸ɺ֤ϓϨΠϠʔͷೳྗΛ࠶֬ೝͨ͠Γɺ֤ϓϨΠϠʔ͸ Ͳͷ෦ॺʹߦ͔͘౳ࣗ༝ʹ࿩͢͜ͱ͕Ͱ͖·͢ɻ3෼ؒͷϑϦʔτʔΫ CSIRT͸ɺ֤ۈ຿࣌ؒʹɺ2छྨͷߦಈͷ ͲͪΒ͔ΛબΜͰɺ1ճ࣮ߦ͢Δ͜ͱ͕Ͱ͖·͢ɻ ◆ ෦ॺΛҠಈ͢Δ ɹ ྡΓ߹͏෦ॺ΁1ճҠಈͰ͖·͢ɻ ◆ ೳྗΛ࢖͏

    ɹɹɹ ໾৬ΧʔυͷೳྗΛ࢖༻Ͱ͖·͢ɻ ߦಈॱ͸ɺίϚϯμʔ͔Β࣌ܭճΓʹͳΓ·͢ɻۈ຿࣌ؒͷؒίϚϯμʔ Ҏ֎ͷϓϨΠϠʔ͸ൃݴ͢Δ͜ͱ͕Ͱ͖·ͤΜɻ͔͠͠ɺಉ͡෦ॺʹ͍ ΔϓϨΠϠʔͱ͸ήʔϜϝϞΛަ׵͢Δ͜ͱ͕Ͱ͖·͢ɻ ਐߦ໾͸CSIRTͷߦಈʹԠͯ͡ɺมԽͨ͠ෆ৹ͳ௨৴Λ࠶ ܭࢉ͠ɺมԽ͕͋Δ৔߹͸ϙετΠοτͷ਺஋Λߋ৽͠·͢ɻ ํ਑ܾఆձٞ ۈ຿࣌ؒ (ޕલ) ۈ຿࣌ؒ (ޕޙ) ۈ຿࣌ؒ (࢒ۀ) 1೔ͷऴΓ 3೔ؒ܁Γฦ͠ • ϓϨʔϠʔͷ໾৬ͷܾఆ • ઃஔ͢ΔΧʔυͷ഑ஔܾఆ • ෆ৹ͳ௨৴ͷྲྀΕͷܾఆ • ϘʔυʹҰ෦ͷ৘ใΛެ։ উഊΛ൑அɻ ऴྃ ήʔϜͷྲྀΕ ४උ

17. ϓϨʔϠʔ͕ก͢ΔCSIRTϝϯόʔ ίϚϯμʔɹ(1໊) ۈ຿࣌ؒதͷൃݴ͸OKɻ ֤ϝϯόʔʹࢦࣔΛग़͢͜ͱ͕Ͱ͖Δɻ ϦαʔνϟʔɾϑΥϨϯδοΫΤϯδχΞͷೳྗ΋࢖͑Δ Ϧαʔνϟʔ (1໊) • ࣗ਎͕͍Δ෦ॺͱରࡦࣨͷؒͷ௨৴ྔٴͼ௨৴ͷ޲͖͕Θ͔Δ •

    ࣗ਎͕͍Δ෦ॺͷͲͷΧʔυ͕ΠϕϯτΧʔυͳͷ͔Θ͔Δ ɹɹ※௨৴ͷ޲͖ͱΠϕϯτΧʔυ͸Ϧαʔνϟʔ͔͠Θ͔Βͳ͍ ϑΥϨϯδοΫΤϯδχΞ (1໊) ࣗ਎͕͍Δ෦ॺͷࢦఆͨ͠ΧʔυΛ1ຕΊ͘ΓɺΧʔυΛ֬ೝͰ͖Δ ɹ※Χʔυͷ֬ೝ͸ϑΥϨϯδοΫΤϯδχΞ͔͠Ͱ͖ͳ͍ ※֬ೝͨ͠Χʔυ͕ΠϕϯτΧʔυͩͬͨ৔߹ɺͦͷޮՌ͕ൃಈͰ͖Δ) ϊʔςΟϑΟέʔγϣϯ (ෳ਺໊Մ) ࣗ਎͕͍Δ෦ॺͷΧʔυ1ຕΛશମʹެ։͢ΔࣄͰΧʔυ෧͡ࠐΊ͕Ͱ͖Δ ɹ※ΠϕϯτΧʔυ͕ʮਖ਼ৗͳ୺຤ʯͩͬͨ৔߹ഊ๺ͱͳΔ ɹ※ϊʔςΟϑΟέʔγϣϯͷΈ࢒ۀ͕Ͱ͖Δ ʲϊʔςΟϑΟέʔγϣϯʳɿ௨஌ɾࠂ஌

18. ࣮ࡍͷCSIRTͷ໾ׂͱॏͶͯΈ·ͨ͠

19. ୺຤ɾΠϕϯτΧʔυʹ͍ͭͯ ϥϯαϜ΢ΣΞ ◆ ෆ৹ͳ௨৴ɿ̍ ̫ ԕִૢ࡞Ϛϧ΢ΣΞ ◆ ෆ৹ͳ௨৴ɿ1 ͜ͷΧʔυ͔Βൃ৴͞ΕΔෆ৹ͳ௨৴͸ରࡦࣨ Λ௨ͬͯɺਖ਼ৗͳ୺຤Χʔυ΁޲͍·͢ɻ

    ͦͷਖ਼ৗͳΧʔυ͕͋Δ෦ॺ ͷෆ৹ͳ௨৴ྔͷ૯ྔ͕1Ճࢉ͞Ε·͢ɻ ̫ ਖ਼ৗͳ୺຤ ◆ ෆ৹ͳ௨৴ɿ0 ̫ εύΠ΢ΣΞ ◆ ෆ৹ͳ௨৴ɿ2 ̫ ୺຤Χʔυʹ͸ɺෆ৹ͳ௨৴ྔΛ࣋ͭΧʔυ͕͋Γ·͢ɻ ϊʔςΟϑΟέʔγϣϯʹΑͬͯɺෆ৹ͳ௨৴Λ࣋ͭ Χʔυ͕෧͡ࠐΊΒΕͨ࣌఺Ͱɺෆ৹ͳ௨৴͸ແ͘ͳΓ·͢ɻ ʲ୺຤Χʔυʹ͍ͭͯʳ

20. ୺຤ɾΠϕϯτΧʔυʹ͍ͭͯ ʲΠϕϯτΧʔυʹ͍ͭͯʳ ΠϕϯτΧʔυʹ͸ɺෆ৹ͳ௨৴ྔΛ࣋ͭΧʔυ͕͋Γ·͢ɻ ·ͨɺΠϕϯτΧʔυʹ͸ಛผͳޮՌΛ࣋ͭΧʔυ΋͋Γɺ ϑΥϨϯδοΫΤϯδχΞ΍ίϚϯμʔʹΑͬͯΊ͘ΒΕͨࡍʹɺ ޮՌ͕ൃੜ͠·͢ɻʢϊʔςΟϑΟέʔγϣϯʹΑͬͯΊ͘ΒΕͨ ৔߹ɺϓϨΠϠʔͷഊ๺ͱͳΔͨΊɺޮՌ͸ൃੜ͠·ͤΜʣ ޮՌ͸ൃੜͨ͠ࡍʹશһʹ఻͑ΒΕɺΊͬͨ͘Χʔυ͸෧͡ࠐ ΊΒΕ·͢ɻ

21. ̫ ૬ஊʹ৐ͬͯ΄͍͠ ◆ ෆ৹ͳ௨৴ɿ̍ ɹ ͜ͷΧʔυΛΊͬͨ͘ϓϨΠϠʔ͸ɺ ɹ ࣍ͷۈ຿λʔϯ̍ճ͕ٳΈͱͳΔ ઃఆมߋͷґཔ ◆

    ෆ৹ͳ௨৴ɿ̍ ɹ͜ͷΧʔυΛΊͬͨ͘৔߹ɺήʔϜΫϦΞ·Ͱʹɺ Ϧαʔνϟʔ΋͘͠͸ίϚϯμʔΛ͜ͷ෦԰·Ͱ ɹ޲͔Θͤͳ͚Ε͹ͳΒͳ͍ɻ޲͔ΘͤΔ͜ͱ͕ ɹͰ͖ͳ͔ͬͨ৔߹ɺϓϨΠϠʔͷഊ๺ͱͳΔ ̫ ̫ ࠩ͠ೖΕ ◆ ෆ৹ͳ௨৴ɿ0 ɹ͜ͷΧʔυΛΊͬͨ͘ϓϨΠϠʔ͸ɺ ͦͷλʔϯʹ௥ՃͰ̎ճߦಈͰ͖Δ ୺຤ɾΠϕϯτΧʔυʹ͍ͭͯ

22. ήʔϜΛ࢝ΊͯΈ·͠ΐ͏

23. ਐߦ໾͸ήʔϜϘʔυʹ୺຤ɾΠϕϯτΧʔυΛ഑ஔɺ ͦͷ഑ஔΛه࿥͠·͢ɻ ※Χʔυ͸֤෦ॺʹ1ʙ3ຕ഑ஔ͢ΔΑ͏ʹ͠·͢ɻ

24. ਐߦ໾͸഑ஔͨ͠୺຤ɾΠϕϯτΧʔυ͔Β ෆਖ਼ͳ௨৴ྔΛܭࢉ͠·͢ɻ • ԕִૢ࡞Ϛϧ΢ΣΞҎ֎ɿ୺຤͔Βରࡦࣨ΁௨৴͕ൃੜ͠·͢(OUT) • ԕִૢ࡞Ϛϧ΢ΣΞɹɹɿରࡦࣨΛܦ༝ͯ͠୺຤͔Β୺຤΁ ௨৴͕ൃੜ͠·͢(IN) ϥϯαϜ΢ΣΞΧʔυ ԕִૢ࡞Ϛϧ΢ΣΞΧʔυ ରࡦࣨ

    ෆ৹ͳ௨৴1 ෆ৹ͳ௨৴1 OUT1 OUT1 IN1 ਖ਼ৗͳ୺຤Χʔυ ੡඼બఆͷ͓ئ͍Χʔυ OUT1 ෆ৹ͳ௨৴1 ෆ৹ͳ௨৴0 TOTAL:2 TOTAL:1 ʲྫɿ௨৴ྔͷܭࢉʳ

25. IN :1 OUT :2 TOTAL:2 IN :0 OUT :2 TOTAL:2

    IN :1 OUT :1 TOTAL:2 IN :1 OUT :2 TOTAL:3 IN :0 OUT :1 TOTAL:1 ࡞ྫͷ௨৴ྔ͸͜ͷΑ͏ʹͳΓ·͢ɻ ਐߦ໾͸͜ͷ ݁ՌΛϙετ Ποτʹهࡌ ͯ͠Ϙʔυʹ షΓ·͢ɻಉ࣌ ʹه࿥΋͠·͢ɻ

26. σϞ

27. ํ਑ܾఆձٞ(3෼) CSIRTϝϯόʔશһ͕ಛผձٞҎ֎Ͱ །Ұձ࿩͕Ͱ͖Δ࣌ؒͰ͢ɻ ·͓ͨޓ͍ͷϓϨΠϠʔ༻ήʔϜϝϞΛݟͤ߹͏͜ͱ͕Ͱ͖·͢ɻ ͜ͷ࣌ؒͰϝϯόʔ͕ڞ༗͢Δ΂͖͜ͱ ◆ϝϯόʔ֤͕ࣗ࣋ͭೳྗ ◆ࣗ෼͕Ͳͷ෦ॺʹߦ͖ɺԿΛ͢Δͷ͔ ◆͍ͭࠒ৘ใΛڞ༗͍͔ͨ͠ ɹɹ(͍ͭͰ͋Ε͹༗ӹͳ৘ใΛ͍࣋ͬͯΔͷ͔ʁ) CSIRTελʔτ

28. 1೔໨

29. ߦಈ։࢝(ޕલɾޕޙɺͦͯ͠࢒ۀ) ϝϯόʔ͸֤ۈ຿࣌ؒʹ2छྨͷߦಈΛߦ͏͜ͱ͕ग़དྷ·͢ɻ ◆ ෦ॺҠಈ ɹɹɹྡΓ߹͏෦ॺ΁1ճҠಈ͕Ͱ͖·͢ɻ ◆ ϝϯόʔͷೳྗΛ࢖͏ ɹɹɹ໾৬Χʔυʹهࡌ͞Ε͍ͯΔೳྗΛ࣮ߦͰ͖Δɻ ※࢒ۀʹ͍ͭͯ ࢒ۀΛࢦࣔͰ͖Δͷ͸ίϚϯμʔͷΈɺ

    ͦͯ͠1ճ͚ͩࢦ͕ࣔͰ͖·͢ɻ

30. 1೔͕ऴྃ ਐߦ໾͸ϝϯόʔͷߦಈʹԠͯ͡ɺมԽͨ͠ ෆ৹ͳ௨৴Λ࠶ܭࢉΛ͠ɺมԽ͕͋ͬͨ৔߹ ͢Ͱʹషͬͯ͋ΔϙετΠοτͷ਺஋Λॻ͖͔͑·͢ɻ

31. 2೔໨

32. 3೔໨

33. 1೔໨ͱಉ͡ಈ͖Λߦ͍·͢ɻ

34. ήʔϜΛऴ͑ͯΈͯ

35. ຊήʔϜͷϙΠϯτ ͜ͷήʔϜ͸CSIRTͷྲྀΕΛԋश͢Δ΋ͷͰ͢ɻ ͜ͷதͰॏཁͳ໾໨ͱͳΔͷ͸ʮίϚϯμʔʯͰ͢ɻ CSIRTͷ໾ׂͰ΋ʮηΩϡϦςΟશମ౷ׅऀʯͰΠϯγ σϯτͷϋϯυϦϯάΛߦ͏ॏཁͳ໾ׂͰ͢ɻ ֤ϝϯόʔ΁ͷࢦࣔ΍֎෦ͱͷ΍ΓऔΓͳͲͷ ௐ੔ೳྗ͕ඞཁͱͳΓ·͢ɻ

36. εϖγϟϧϧʔϧ΋ྑ͍͔΋஌Ε·ͤΜ ϧʔϧʹԊͬͨઆ໌Λߦ͍·͕ͨ͠ɺ࣮ࡍϓϨΠΛ ͯ͠࢖͍ʹ͍͘ͱײͨ͡ΒಠࣗͷϧʔϧΛ࡞ͬͯΈ ͨΒͲ͏Ͱ͠ΐ͏ɻ ྫ͑͹ ɹνʔϜͷଧ߹ͤΛ࣍ͷ೔ͷλʔϯͷલʹߦ͍ νʔϜͷҙࢥૄ௨ΛਤΔɻ ࢖͍ํ͸օ༷࣍ୈͰ͢ɻ

37. ࠓޙͷ༧ఆ

38. օ༷ʹ΋ߦ͍͚ͬͯͨͩΔΑ͏ൢചΛ༧ఆ ͓ͯ͠Γ·͢ɻ ਃ͠༁͍͟͝·ͤΜ ݱࡏӶҙ੡࡞தͰ͢ɻ ΋͏͠͹Β͓͘଴͍ͪͩ͘͞

39. ࣌ظ͸ະఆͰ͕͢ େࡕͰΠϯγσϯτήʔϜͷاըΛܭը ͓ͯ͠Γ·͢ɻ ͓஌Βͤ ࠂ஌͸OWASP Kansaiͷϖʔδʹͯߦ͍·͢ɻ

40. ࠷ޙʹΞφ΢ϯε ࠓJNSAؔ੢ࢧ෦Ͱ͸اۀձһ·ͨ͸ ݸਓձһͷ͝ࢀՃΛ͓଴͓ͪͯ͠Γ·͢ɻ https://www.jnsa.org/aboutus/07.html ৄ͘͠͸

41. ͝ਗ਼ௌ͋Γ͕ͱ͏͍͟͝·͢ɻ