Slide 1

Slide 1 text

JAWS-UG金沢 #74  セキュリティパネルディスカッション JAWS-UG 金沢 × みんなのCSIRT 2021/11/13

Slide 2

Slide 2 text

タイムテーブル 15:00〜15:10 オープニング 15:10〜16:10 パネルディスカッション ・パネリストの紹介 ・今日の本題 16:10〜16:40 質疑応答 16:40〜16:50 クロージング

Slide 3

Slide 3 text

アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。

Slide 4

Slide 4 text

パネリストの紹介 小西さん ふぁらお加藤 松田 康宏

Slide 5

Slide 5 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  みんなのCSIRTの紹介


Slide 6

Slide 6 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  小西 享 (みんなのCSIRT)
 小西 享 (こにし とおる)
 [所属]  アライドテレシス株式会社
  ※ここでの発言と、所属会社は関係ありません。 
 
 [こんな人です]  金沢市を中心にインフラエンジニアに従事し、プレ・要件定義・設計・構 築・運用までを経験。
  ネットワーク・セキュリティに関する研修・演習の作成と講師を行う傍ら、 北陸を中心としたセキュリティの底上げを目指して活動を行っている。
 T.Konishi

Slide 7

Slide 7 text

ふぁらお加藤(金沢支部) 金沢市を中心に設計・実装・運用・ 保守をするフリーランスプログラマ 3+7年、リーマン歴は5+3+3年 JAWS-UG金沢(AWS Samurai 2019受 賞)Kanazawa.rbコアメンバー Code for Kanazawa Civic Hack Night 運営

Slide 8

Slide 8 text

松田 康宏(金沢支部) 石川県在住。2020年まで金沢市内の印刷会社 でインフラエンジニアとして、AWSを利用し たインフラの概念実証を実施したのち、 2021年1月よりイースト株式会社に転籍。 金沢支部には第22回 Alexa Days(2017年)より参加し、フルリ モートワークで業務をする傍ら、コミュニティの運営に携わる。2 級ファイナンシャルプランニング技能士(AFP)としても活躍中。 趣味はランニングとボウリングと家庭菜園。

Slide 9

Slide 9 text

金沢支部紹介

Slide 10

Slide 10 text

金沢支部の紹介 石川県金沢市を中心に、「1ヶ月ごとに 飲み会 - 翌月第二土曜に勉強会 - 翌月平日 に勉強会 - また飲み会に戻る」を ローテーションで行っていく予定です。 「AWSに興味のあるかた」「よりいっそう活用したい方」「使ってる仲間を見つけたい 方」ぜひともご参加ください! 2019年にAWS Community Day Kanazawaを開催し ました!

Slide 11

Slide 11 text

No content

Slide 12

Slide 12 text

行動規範 https://github.com/jaws-ug/manifesto/blob/master/for-contributors.md JAWS-UGコミュニティの理念 • JAWS-UGの名のもとに運営されるコミュニティは、Amazon Web Services, Inc. が提供するAWSに愛を持って接することを心がけてくだ さい。 過度な自社の宣伝、求人、その他営利目的でJAWS-UGの名前を利用 することは決して許されません。

Slide 13

Slide 13 text

行動規範 期待される行為 • 可能な範囲で、あなたの持つ能力をコミュニティに対して提供してくださ い。 あなたの貢献があってこそのコミュニティです。 • いつでも「初めてそのコミュニティに参加する方」への配慮を、忘れない ようにしてください。誰しも初めてコミュニティに触れる瞬間は怖いもの だ、ということを忘れないで下さい。 • 初めてその場に訪れた方を含め、すべての参加者が楽しくイベントに参 加できるよう、出来る限りのご配慮をおねがいします。

Slide 14

Slide 14 text

行動規範 期待されない行為 • コミュニティに対しての貢献がなく、JAWS-UGの名前だけを借りてその影響力 を誇示することは、適切ではありません。 • 一般的ではない略語や、内輪ネタなど自分たちだけに通じるような話で一部で 盛り上がるのは、適切ではありません。 • 批判や罵り・嘲りなどは、相互に愛や思い入れを持って行う場合を除き、適切 ではありません。 • 関係者の人種、性別、性的指向、身体的特徴、見た目、政治、宗教(または無 宗教)などに係る表現は、いかなる場合も適切ではありません。

Slide 15

Slide 15 text

Twitterにつぶやこう! Twitterにつぶやく際は是非ハッシュタグつけて共 有しましょう 同じ考えや興味を持った人とつながる機会になり ます #jawsug #jawsug_kanazawa

Slide 16

Slide 16 text

Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない?
 ● 電子メールで流行っているPPAPって?
 ● 管理者アカウントの共有は問題がある?
 ● 管理者用ログインページは公開しちゃダメ?
  アジェンダ


Slide 17

Slide 17 text

Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない?
 ● 電子メールで流行っているPPAPって?
 ● 管理者アカウントの共有は問題がある?
 ● 管理者用ログインページは公開しちゃダメ?
 
  


Slide 18

Slide 18 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTP = 平文通信
 3way ハンドシェイク 平文でのデータ通信 簡単に読める
 簡単に情報が盗める
 =

Slide 19

Slide 19 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTPS = 暗号文通信
 3way ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク 暗号文は読めない
 通信内容を守れる!
 =

Slide 20

Slide 20 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  HTTPS暗号化までの流れ
 3way ハンドシェイク 暗号化されたデータ通信 SSL/TLS ハンドシェイク ※ TLS1.3の場合 僕は こんな暗号化方式が使えるよ。 OK! じゃあ この暗号化方式を使うね。 この通信から暗号化するよ。 僕の証明書を送るね。 OK!

Slide 21

Slide 21 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  機会損失を防ぐ
 Google  検索結果の順位判定にHTTPS化の有無を考慮する
  HTTPS混合コンテンツをブロックする
 
Apple  有効期限が398日を超える証明書を信頼しない


Slide 22

Slide 22 text

AWSでの解決アプローチ https://jp.globalsign.com/ssl-pki-info/ssl_beginner/types-of-ssl.html より

Slide 23

Slide 23 text

Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない?
 ● 電子メールで流行っているPPAPって?
 ● 管理者アカウントの共有は問題がある?
 ● 管理者用ログインページは公開しちゃダメ?
 
  


Slide 24

Slide 24 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを
      作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 P:Password付きZIP暗号化ファイルを送る P:Passwordを送る A:Angoka(暗号化)する P:Protocol(プロトコル=手順)

Slide 25

Slide 25 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを
      作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 メールが盗聴されれば zipだけでなく Passも盗まれる

Slide 26

Slide 26 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを
      作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 Passがついているので セキュリティ対策製品での チェックができない

Slide 27

Slide 27 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAP メールでzipファイルを送付     ファイルを
      作成
     ファイルを
    Pass付zip化
 メールで zipファイルのPassを送付 誤送信先に ファイルとPassを送ってしま う

Slide 28

Slide 28 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  PPAPをやめよう!
 日本政府
  セキュリティ対策や受け取り手の利便性の観点から
  適切ではない
 PPAPやめます!
 だけど 次の手はありません!


Slide 29

Slide 29 text

AWSでの解決アプローチ

Slide 30

Slide 30 text

AWSでの解決アプローチ S3よりファイルをダウンロード(HTTPS)     ファイルを
      作成
     ファイルを
    Pass無zip化
 メールで 署名付きURLを送付 Passがついていないので セキュリティ対策製品での チェックができる S3にアップロードして 署名付きURL発行


Slide 31

Slide 31 text

Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない?
 ● 電子メールで流行っているPPAPって?
 ● 管理者アカウントの共有は問題がある?
 ● 管理者用ログインページは公開しちゃダメ?
 
  


Slide 32

Slide 32 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  管理者アカウントって何ができる
 
 管理者アカウントは
 何でもできる


Slide 33

Slide 33 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  なんでもできる
 OS・ファイル
 データベース
 ログ
 インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新


Slide 34

Slide 34 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  もし同じアカウントで操作していたら
 OS・ファイル
 データベース
 ログ
 インストール
 アップデート
 参照・追加
 更新・削除
 破壊
 マルウェア設置
 窃取・改ざん
 破壊
 削除・改ざん
 参照・更新
 誰が操作したか分からない
 
 あらぬ疑いがかかるかも
 ⇒


Slide 35

Slide 35 text

AWSでの解決アプローチ

Slide 36

Slide 36 text

Copyright© 2021 みんなのCSIRT All Rights Reserved. ● HTTPS化されていないサイトはいけない?
 ● 電子メールで流行っているPPAPって?
 ● 管理者アカウントの共有は問題がある?
 ● 管理者用ログインページは公開しちゃダメ?
 
  


Slide 37

Slide 37 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  見えるものは攻撃される
 調査
 攻撃
 DoS/DDoS ブルートフォース SQLインジェクション たとえば 沢山の人にきてほしい!
 便利に使いたい!
 
 攻撃者もやってきます
 ⇒


Slide 38

Slide 38 text

Copyright© 2021 みんなのCSIRT All Rights Reserved.  公開サーバへの攻撃 (リバースブルートフォース攻撃)
 konishi matsuda
 matsumoto
 hamada tanaka
 endou
 Housei
 Yamamoto saito
 password 11/13 15:01 konishi login failed 11/13 15:01 ***** login successful 11/13 15:02 matsuda login failed 11/13 15:02 ***** login failed 11/13 15:02 ***** login successful 11/13 15:03 ***** login failed 11/13 15:03 matsumoto login failed 11/13 15:04 ***** login successful 11/13 15:04 hamada login failed 11/13 15:05 tanakalogin failed 11/13 15:05 ***** login successful 11/13 15:06 ***** login failed 11/13 15:06 endou login failed 11/13 15:07 ***** login successful 11/13 15:07 housei login successful ログを見ても気づきにくい
 パスワードは固定し、アカウントを順に変更しながらアク セスを試みる


Slide 39

Slide 39 text

AWSでの解決アプローチ 皆さんで考えてみましょう ・予防的な統制 (どのようにしたらリバースブルートフォース攻撃を発生させないようにできるか?) ・発見的な統制 (どのようにしたらリバースブルートフォース攻撃に気づけるか?)

Slide 40

Slide 40 text

Copyright© 2021 みんなのCSIRT All Rights Reserved. おしまい


Slide 41

Slide 41 text

アンケート 是非アンケートへのご協力をお願いします! http://bit.ly/jawsug_kanzawa74 運営メンバーの励みになりますので、イベント終了後に入力ください。

Slide 42

Slide 42 text

ここからの時間は… DEVREL/JAPAN 2021