Slide 1
Slide 1 text
No content
Slide 2
Slide 2 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 2
Slide 3
Slide 3 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 3
Slide 4
Slide 4 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
最近のWebサイトに対するサイバー攻撃の報道
4
2015/07/27 日本VC協会が改ざん被害 - 閲覧でマル
ウェア感染のおそれ
Security NEXT 日本ベンチャーキャピタル協会(JVCA)のウェブサイト
が改ざんされ、閲覧によってマルウェアへ感染する可
能性のあったことがわかった。
2015/07/23 日産販売会社の採用サイト改ざんをま
とめてみた
piyolog 日産グループの複数の販売会社で採用者向けに公
開しているWebサイトが改ざんされたことを発表した。
2015/07/25 10日間で国内25サイトが改ざん - 閲覧
で「Emdivi」などへ感染のおそれ
Security NEXT 正規サイトの改ざんにより、Adobe Flash Playerの脆
弱性を狙う攻撃が多発している。
2015/07/21 タミヤに不正アクセス - ネットショップ登
録者など最大10.7万件が流出の可能性
Security NEXT 同社のウェブサーバが不正アクセスを受け、顧客の
個人情報が外部へ漏洩した可能性がある。
2015/07/17 通販サイト「セシール」で不正ログイン -
不正受注や個人情報改ざん
Security NEXT 大手通販サイト「セシール」において、本人以外の第
三者による不正ログインが確認された。不正受注や
個人情報の改ざんが発生したという。
2015/07/17 学研、Webサイトへの不正アクセスで最
大2万2108人の情報が流出か
日経コン
ピュータ
学研ホールディングスは、Webサーバーへの不正ア
クセスにより最大2万2108人の情報が流出した恐れ
があると発表した。
2015/07/17 法学部サイトに不正アクセス、CMSの脆
弱性突かれる - 福岡大
Security NEXT 福岡大学のウェブサイトが不正アクセスを受け、コン
テンツ管理用のIDとパスワードが流出した。サイト改
ざんは確認されていないという。
2015/07/16 都立校サイトが改ざん被害、閲覧でマ
ルウェア感染 - 教職員PC感染で発覚
Security NEXT 中高一貫校である都立立川国際中等教育学校の
ウェブサイトが改ざんされ、閲覧者がマルウェアへ感
染している可能性があることがわかった。
2015/07/08 サイトが改ざん、閲覧でマルウェア感染
の可能性 - 千鳥橋病院
Security NEXT 福岡市所在の千鳥橋病院と千代診療所のウェブサイ
トが不正アクセスを受け、改ざんされていたことがわ
かった。
Slide 5
Slide 5 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
最近のWebサイトに対する攻撃の目的
5
分類 最終目的
攻撃インフラとして利用 不正送金マルウェアの配布
Crypto ランサムウェア配布
標的型攻撃マルウェア配布
C&Cサーバとして利用
利用者情報の窃取 個人情報の窃取
クレジットカード情報の窃取
認証情報の窃取
決済情報の窃取 クレジットカード情報の窃取
Slide 6
Slide 6 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
攻撃手段とその対策責任の所在
6
攻撃手段の分類 誰の問題
Webアプリケーションの脆弱性利用 • 運営者
• 開発者
Webサーバの脆弱性利用 • 運営者
CMS(やプラグイン)の脆弱性利用 • 開発者
• 運営者
パスワードリスト攻撃 • 利用者
• 運営者
管理者への標的型攻撃によるログイン情報
の窃取 • 運営者
Slide 7
Slide 7 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
脆弱性対策の実際
7
Slide 8
Slide 8 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
インシデントレスポンスの必要性
Webサイトの重
要性の高まり
Webサイトへの
脅威拡大と変化
Webサイトへの
対策の遅れ
2020年に向けて
攻撃目標として
の注目度向上
インシデントレスポンスの必要性
8
Slide 9
Slide 9 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
インシデントレスポンスとして何をするべきか
9
Slide 10
Slide 10 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 10
Slide 11
Slide 11 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
• Webアプリケーションに対するエンジニアの役割
想定するWebアプリケーションエンジニア
11
Webアプリケーション開発者
• Webアプリケーションの開発・
保守を行う
• Webアプリケーションのトラブル
シューティングの実施
• Webサイト所管部門とやり取り
をする
• Webサイトの機能に責任を持つ
• Webアプリケーションの脆弱性
対策の実施
• Webアプリケーションのアカウ
ント管理
Webサイト管理者
• Webサイトの監視・脆弱性管理
を行う
• Webサイト管理運用にかかるオ
ペレーションの実施
• Webサイトのインフラの安定性
に責任を持つ
• Webサイトインフラへの脆弱性
対策の実施
• Webサイトインフラのアカウント
管理
Slide 12
Slide 12 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
既存の組織とインシデントレスポンス体制の関係
12
インシデントレスポンス体制として活動
Slide 13
Slide 13 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
NIST Incident Response Life Cycle
SP800-61:Computer Security Incident Handling Guide
13
Slide 14
Slide 14 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
Webアプリケーションエンジニアが担う役割
14
有事
平時
Slide 15
Slide 15 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
Webアプリケーションエンジニアが担う役割
15
Slide 16
Slide 16 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
1.検知・分析/インシデントの初期調査(1)
16
• Security Incident Survey Cheat Sheet for Server Administrators
https://zeltser.com/security-incident-survey-cheat-sheet/
• IRM (Incident Response Methodologies) IRM-6: Website Defacement
https://cert.societegenerale.com/resources/files/IRM/EN/IRM-6-Website-Defacement.pdf
Slide 17
Slide 17 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
1.検知・分析/インシデントの初期調査(2)
17
• サイバー攻撃対処マニュアル 不正アクセス(Web 改ざん)編
(サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会 サイバー攻撃対策分科会)
http://www.agent.cyber.niigata.jp/pdf/attack/cyberattack01.pdf
Slide 18
Slide 18 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
1.検知・分析/インシデントの初期調査(3)
18
• Critical Log Review Checklist for Security Incidents
https://zeltser.com/security-incident-log-review-checklist/
• Excessive access attempts to non-existent files (存在しないファイル)
• Code (SQL, HTML) seen as part of the URL (URLに埋め込まれたコード)
• Access to extensions you have not implemented (実装していない拡張機能へのアクセス)
• Web service stopped/started/failed messages (Webサービスの停止、開始、エラー)
• Access to “risky” pages that accept user input (ユーザ入力を処理する危険なページ)
• Look at logs on all servers in the load balancer pool (ロードバランサ内の全てを対象)
• Error code 200 on files that are not yours (エラーコード200)
• Failed user authentication (認証失敗:エラーコード401、403)
• Error code 401, 403
• Invalid request (無効なリクエスト:エラーコード400)
• Error code 400
• Internal server error (サーバエラー:エラーコード500)
• Error code 500
Slide 19
Slide 19 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
1.検知・分析/調査結果の報告(1)
19
Slide 20
Slide 20 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
1.検知・分析/調査結果の報告(2)
20
報告項目例 内容例
インシデントの現在のステータス • Xか月前から発生しており、現在継続中。
インシデントの概要 • Webサイトの問い合わせページが改ざんされており、該当
ページを閲覧するとiframeによって、マルウェア配布サイト
へアクセスが誘導され、マルウェア感染がされる。
インシデントに関連する前兆 • 外部の第三者機関からの指摘によって発覚。
該当インシデントと他のインシデントの関連性 • コールセンタへの問い合わせにより調査したウィルス感染
事象の原因である可能性がある。
インシデントに対して実施した行動内容 • 現状はログの調査のみ、ファイルの改ざんの試行と思われ
るエラーログが3か月前に発生していることをログから発見
した。
インシデントによる影響度の評価 • 問い合わせページへのアクセスは、Xか月間で、XXX件あっ
た、アクセス元の端末やIPの特定はできない。
• 利用者はウィルス感染をしている可能性がある。
• その他の影響は未調査。
他の関連者への協力の必要性 • Xか月前から現在まで、問い合わせページを閲覧した利用
者に対して、ウィルスチェックの実施依頼。
• 改ざんされたページの専門家への調査依頼。
報告者のコメント
(分かれば今後の方針)
• 早急に問い合わせページへのアクセスを遮断する必要が
ある。そのためには、XXX時間かかる。一時的には問合せ
は受け付けられないが、営業的な窓口は別途あるため機
会損失等は軽微と考えられる。復旧は、およそXXX時間後
を想定している。
Slide 21
Slide 21 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
1.検知・分析/調査結果の報告(3)
21
Slide 22
Slide 22 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
2.封じ込め・根絶・復旧/初動対処(1)
22
Slide 23
Slide 23 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
2.封じ込め・根絶・復旧/初動対処(2)
23
Slide 24
Slide 24 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
2.封じ込め・根絶・復旧/対策の実施(1)
24
Slide 25
Slide 25 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
2.封じ込め・根絶・復旧/対策の実施(2)
25
Slide 26
Slide 26 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
2.封じ込め・根絶・復旧/サイトの復旧(1)
26
• IRM (Incident Response Methodologies) IRM-6: Website Defacement
https://cert.societegenerale.com/resources/files/IRM/EN/IRM-6-Website-Defacement.pdf
• IT システムにおける緊急時対応計画ガイド:NIST SP800-34
https://www.ipa.go.jp/files/000025327.pdf
Slide 27
Slide 27 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
有事における役割
2.封じ込め・根絶・復旧/サイトの復旧(2)
27
Slide 28
Slide 28 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
結論
28
Slide 29
Slide 29 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 29
Slide 30
Slide 30 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
まとめ
30
Webサイトに対するインシデントレスポンスが
重要になって来ています
Webアプリケーションエンジニアは、インシデ
ントの調査・対応・復旧を行う実働主体です
インシデント対応の参考になるリソースが複数
あるので参考にどうぞ
Slide 31
Slide 31 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 31
Slide 32
Slide 32 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
• 安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~ (IPA)
< https://www.ipa.go.jp/security/vuln/websitecheck.html >
• ウェブサイト改ざんの脅威と対策~ 企業の信頼を守るために求められること ~ (IPA)
< https://www.ipa.go.jp/files/000041364.pdf >
• NIST-SP800-61:Computer Security Incident Handling Guide (NIST)
< http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf >
• NIST-SP800-34:Contingency Planning Guide for Federal Information Systems (NIST)
< http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-Nov11-2010.pdf >
• IT and Information Security Cheat Sheets (Lenny Zeltser氏)
< https://zeltser.com/cheat-sheets/>
Critical Log Review Checklist for Security Incidents
Security Incident Survey Cheat Sheet for Server Administrators
Initial Security Incident Questionnaire for Responders
Reverse-Engineering Malware Cheat Sheet
• IRM (Incident Response Methodologies) (CERT)
< https://cert.societegenerale.com/en/publications.html>
• インシデントハンドリングマニュアル(JPCERT/CC)
< https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0.pdf >
• サイバー攻撃対処マニュアル 不正アクセス(Web 改ざん)編
(サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会 サイバー攻撃対策分科会)
< http://www.agent.cyber.niigata.jp/pdf/attack/cyberattack01.pdf >
参考:インシデントハンドリングの参考
32
Slide 33
Slide 33 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
• WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も(ScanNetsecurity社)
< http://scan.netsecurity.ne.jp/article/2015/07/27/36968.html >
• 継続中の大規模な同時多発Web改ざん攻撃を詳細分析(トレンドマイクロ社)
< http://blog.trendmicro.co.jp/archives/12017>
• コンピュータウイルス・不正アクセスの届出状況および相談状況[2015年第2四半期(4月~6月)](IPA)
< https://www.ipa.go.jp/security/txt/2015/q2outline.html>
• 不正アクセス行為対策等の実態調査 調査報告書 (警察庁)
< http://www.npa.go.jp/cyber/research/h26/h26countermeasures.pdf>
• インターネットセキュリティ脅威レポート第 20 巻(Symantec 社)
< http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp >
参考:ニュースや統計情報
33
Slide 34
Slide 34 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
参考:インターネット取引の重要性の高まり
34
Slide 35
Slide 35 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料
参考:ロンドンオリンピックの大会公式サイトへの
アクセス状況
35
Slide 36
Slide 36 text
2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 36