危ないサイトの見分け方 ～情報漏えい時代の自衛術～ 第21回セキュリティ共有勉強会@LIFULL 2019/02/28 hiro（@ctrl_z3r0） a.k.a ねこさん⚡（@catnap707）

アジェンダ １ 最近の個人情報漏えい事案 ２ 何が問題だったのか ３ 危ないサイトの見分け方 ４ 情報漏えいへの備え ５ まとめ 2

3 最近の情報漏えい事案① ■通販サイト「伊織ネットショップ」(2018-10-24) ・Webサイト改ざんで偽のクレジットカード決済入力画面が仕込まれた。 ・クレジットカード番号のほか、会員名、有効期限、セキュリティコードも 流出したおそれ。 ■参考情報 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘(2019-02-13) https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html

4 最近の情報漏えい事案② ■ファイル転送サービス「宅ふぁいる便」(2019-01-24) ・不正アクセスを受け480万件のメールアドレスとパスワード、 生年月日、氏名や性別、業種・職種などが漏えい。 ・パスワードは、ハッシュ化されず平文のまま保存されていた。 ・郵便番号など一定期間のみ取得していた情報も漏えい。 ■参考情報 ・宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓(2019-02-14) https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/01661/

5 最近の情報漏えい事案③ ■匿名質問サービス「Peing -質問箱-」（ペイング）(2019-02-18) ・Peingを利用しているTwitterユーザのトークンやメールアドレスなどが、 ブラウザの開発者ツールを用いるだけで誰でも閲覧できる状態。 ■参考情報 ・なぜ“情報漏えい”は繰り返されるのか 宅ふぁいる便、Peing事件が教えてくれたこと(2019-02-18) https://www.itmedia.co.jp/news/articles/1902/18/news028.html

6 最近の情報漏えい事案④ ■英国の航空会社「British Airways」(2018-09-06) ・サイバー犯罪グループ「Magecart(メイジカート)」が、複数のオンライン サイトで利用されているプラグインを改ざん（サプライチェーン攻撃） し、スキミングコードを混入させた。 ■参考情報 ・British Airwaysの情報流出、Ticketmaster事件のハッカーグループが関与か(2018-09-12) https://japan.zdnet.com/article/35125475/ ・サイバー犯罪集団「Magecart」の新しい攻撃を確認、広告配信サービスを侵害しスキミングコードを注入(2019-01-18) https://blog.trendmicro.co.jp/archives/20150

・攻撃者は、何かしらの脆弱性を悪用して、カード 情報の入力画面を改ざんできた。（SQLインジェク ション等でDBの中身を窃取している訳ではない。） ・利用者は改ざんされたことに気付けず、入力画 面へカード情報を入力すると、攻撃者が用意した サイトへデータが送信されていた。 7 何が問題だったのか① ■通販サイト「伊織ネットショップ」 ・当該サイトには、Webサイト改ざんを受ける脆弱性が存在した。 ・サーバにカード情報を記録させない非保持化を実装していても、 攻撃者はカード情報を盗むことができた。 なぜなのか？ ■参考情報 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘(2019-02-13) https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html

8 何が問題だったのか② ■ファイル転送サービス「宅ふぁいる便」 ・当該サイトのパスワードはハッシュ化されていなかった。 ・本来、不要となった情報も削除されず、保持されていた。 ■参考情報 ・「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた(2019-01-29) https://www.fnn.jp/posts/00417790HDK なぜなのか？ ・20年前のサービス。サービス当初からハッシュ化 はされていない。いつかハッシュ化しなければな らないという予定はあった。（なお、ユーザ情報 と、送受信ファイルがあるところは別とのこと。） ・退会済みの会員情報も、問合せ対応のために保 持していた。（論理削除のみ。） ・預けられていたファイルも暗号化されていなかった。

9 何が問題だったのか③ ■参考情報 ・質問箱「Peing」、第三者がなりすましツイートできてしまう脆弱性（2019-01-29） https://japan.cnet.com/article/35131968/ ・脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ（2019-01-29） https://www.itmedia.co.jp/news/articles/1901/29/news128.html ・なりすましに悪用できるAPIトークンが第三者に閲覧可能な状態に。 ■匿名質問サービス「Peing -質問箱-」（ペイング） なぜなのか？ ・修正後も、任意のPeingユーザーページのHTMLソースに、ユーザ のメールアドレス、ハッシュ化パスワード、ソルトと思われる文字列 が公開。（現在は修正済み。） ・トークン（許可）が第三者に窃取されると、認証さ れていなくても成り済まされてしまう状態だった。 ・開発者の認識不足？ ・セキュリティ知識や意識の不足？

10 何が問題だったのか④ ■英国の航空会社「British Airways」 ■参考情報 ・サブリソース完全性 - MDN web docs moz://a https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity ・Subresource Integrity enables browsers to verify that file is delivered without unexpected manipulation.(2019-01-30) https://caniuse.com/#feat=subresource-integrity ・外部から読み込まれる改ざんを検知する仕組みがなかった。 ・そもそも、外部スクリプトの改ざんを検知するのは難しい。 なぜなのか？ ・サブリソース完全性(Subresource Integrity)を活用するとよいかも。

11 危ないサイトの見分け方① ■メールでパスワードを平文で送ってくれるサイト ■参考情報 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11) https://piyolog.hatenadiary.jp/entry/20170311/1489253880 ■脆弱性が多い Apache Struts 2 で構築されたサイト ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。 ⇒ハッシュ化していない又は共通鍵で暗号化している可能性。 ・ページのソースを見て、.actoin というURLが含まれるかを確認。 .do が含まれている場合は、Apache Strus 1で、これも危ない。

12 危ないサイトの見分け方② ■パスワードリマインダーで秘密の質問聞いてくるサイト ■マルチテナントなのに壁が薄く仕切りがないサイト ・「あなたのお母さんの旧姓は？」、「あなたの好きな食べ物は？」 ⇒秘密になっていない。そもそも設計思想が古いサイト。 秘密の答えもハッシュ化されていない可能性大。 ・登録ID変えると管理コンソールが見えちゃうレオパレスみたいなサイト ⇒迷惑メールのリンクに多い。入力しちゃダメ。

13 情報漏えいへの備え① ■セキュリティソフトでは対応できない ■参考情報 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) https://dapps.gamewith.jp/?p=28 ・サーバへの不正アクセスの場合、利用者側では対処できない。 もちろん、セキュリティソフトでも対応することはできない。 ■Webサービスごとに違うパスワードを設定 ・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。 ・二要素認証が設定できる場合は、設定しましょう。 （Google認証システムでトークンを生成する。） どうしたらいいの？ ・利用していたサービスが不正アクセスに遭って、ID（メールアドレス） とパスワードが漏れちゃった！ ・ログインIDとなるメールアドレスもサービスごとに変えておくと、 リスト型攻撃には強くなる。（メールアドレス自体の漏えいには無意味）

14 情報漏えいへの備え② ■Gmailでメールエイリアスを使う方法 ■参考情報 ・Gmailのエイリアスで複数の差出人名やアドレスを使い分ける（前編）(2018-03-05) http://ascii.jp/elem/000/001/641/1641606/ ・アカウント名＋任意の文字列 foobar123+Am4z0n#@gmail.com （Amazon用） [email protected]（AppStore用） foobar123+ms%[email protected]（Microsoft用） [email protected] [email protected] [email protected] ・ドットも入れることが可能 ・＋（プラス）やドットが使えない場合、@googlemail.comを使え！ [email protected] 漏えいしたアドレス宛にメ ールが来た場合、どのサ ービスから漏えいしたか が分かって便利。

15 情報漏えいへの備え③ ■退会する前に個人情報の見直しを ・退会処理では削除フラグが立っただけで、論理削除の状態。 ⇒退会時に、漏えいしても影響がない無意味な情報に書き換える。 例）クレジットカード情報や、氏名、住所、電話番号など。 書き換える内容は、退会したサイトで共通しても問題なし。 ■参考情報 ・パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める(2017-08-10) https://gigazine.net/news/20170810-password/ ■複雑なパスワードより長く覚えやすいものを ・8文字程度のパスワードの一部を、記号や数字にすることはあまり 意味がない。（ハッシュ値を盗まれた場合、簡単に推測される） ⇒単語羅列ではなく、文章（パスフレーズ）にする。 歌の歌詞やサビのフレーズなども覚えやすくて おすすめです。

16 情報漏えいへの備え④ ■自分のメールアドレスが漏れているかチェック！ ■参考情報 ・メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス（2018-09-27） https://www.itmedia.co.jp/news/articles/1809/27/news065.html ・『';--have i been pwned?』 https://haveibeenpwned.com/ ・Firefox Monitorのサービス https://monitor.firefox.com/

17 情報漏えいへの備え⑤ ■Money Forward MEのすすめ ■参考情報 ・無料家計簿アプリ『マネーフォワードME』が便利すぎ！できることまとめ（2019-01-25） https://kyanana.com/moneyforward ・入出金を把握して、不明な取引がないかチェック！ ・クレジットカードを紐づけておけば、クレジットカードのサイトに ログインしなくても、Money Forwardの画面だけで確認できる。 ・Amazonの購入履歴の連携も可能。 ※無料プランで連携できるのは、１０口座まで。

18 まとめ ◆パスワードは漏れることを前提に、Webサービス ごとに違うものを、また短く複雑なパスワードより 長く覚えやすいものを設定しましょう。 ◆ブルートフォース攻撃（総当たり攻撃）に対しては、 長いパスワードもいつかは突破されるので、二要素 認証も組み合わせましょう。 ◆利用サービスを退会する場合は情報を無害なもの （漏えいしても無意味な内容）に変更しましょう。

ご清聴ありがとうございました。 19