Slide 1
Slide 1 text
不審アクセスポイントを狩る
- PCI DSS ケーススタディ -
2024-06-20 Welcome Fintech Community #1
Slide 2
Slide 2 text
「複雑で難しい決済代⾏サービス」という常識を変え、
スタートアップや決済代⾏初⼼者が、注⼒すべき事業により集中できる環境をつくる
もっともかんたんな決済サービス PAY.JP
Slide 3
Slide 3 text
PCI DSS
Slide 4
Slide 4 text
PCI DSS ?
● Payment Card Industry Data Security Standard
● クレジットカード業界のセキュリティ基準
● 世界のセキュリティ基準の中でも特に厳格
○ クレジットカード情報を保護するための施策を複数分野に
わたって網羅
○ 検査、保護、監視、記録
○ 年に⼀度のオンサイト監査を実施
○ 継続的に維持する
Slide 5
Slide 5 text
今回の話題
不審アクセスポイントの対処
PCI DSS 要件11.2.1 および 要件12.10.5 の実例紹介
Slide 6
Slide 6 text
PCI DSS 要件11.2.1について(抄)
11.2.1 ワイヤレスアクセスポイントを特定、監視し、不正な
ワイヤレスアクセスポイントに対処している。
承認されたワイヤレスアクセスポイントおよび許可されていないワイヤレスアクセス
ポイントは、以下のように管理される。
● ワイヤレス(Wi-Fi)アクセスポイントの存在が検査される。
● すべての承認されたワイヤレスアクセスポイントおよび承認されていない
ワイヤレスアクセスポイントが検出され、識別される。
● テスト、検出、識別は少なくとも3カ⽉に1回⾏われる。
● ⾃動監視を使⽤する場合は、⽣成されたアラートを介して担当者に通知する。
Slide 7
Slide 7 text
Phase 0. 普段の点検
Slide 8
Slide 8 text
アクションタイムライン
1. 検出
2. BASE情シスに報告
3. 現地調査を計画
4. 現地調査を開始
5. ???デバイスを発⾒
6. ???を???し、当該SSIDの消滅を確認
7. 対応完了
Slide 9
Slide 9 text
Phase 1. 検出
Slide 10
Slide 10 text
Phase 1. 検出
Cisco Meraki Air Marshal を使⽤し、リモート調査を実施
結果、未暗号化が疑われるアクセスポイントを発⾒
🤔
Slide 11
Slide 11 text
Phase 1. 検出
現地調査を⾏う前の考察
● 所属不明、正体不明
● セキュリティタイプは Open
○ ⾃社に未暗号化のアクセスポイントが存在することはにわかには信じがたい
○ WPA3-SAE が新しすぎるので、認識できなかっただけなのかもしれない
■ WPA3を使っていそうな周りの他社のSSIDも検出したが、
これらもOpen扱いだったので暫定的にこの説を⽀持
→結論は出せず、現地調査に踏み切った
UNIDENTIFIED
Slide 12
Slide 12 text
おさらい
未暗号化のアクセスポイントの何がいけないの?
● 通信内容が上下階を含む付近⼀帯に筒抜け
になりうる
● 誰でも付近から接続できるので、本体や
ネットワーク上の機器に脆弱性がある場合
に外部から悪⽤されうる
○ 従業員PCやオフィスIPアドレスからアクセス可能
なプライベートサイトなどが攻撃対象になりうる
● アクセスコントロールが無いので、偽の機
器へのすり替えが容易
Slide 13
Slide 13 text
Phase 2. 捜索‧現地調査
Slide 14
Slide 14 text
Phase 2. 捜索
Cisco Meraki Air Marshal の結果をフロアプランと照合
● Meraki 4台による測量
● S/N⽐をもとに補正しつつ、4
つのAPからの距離を推定
● 交点を推定
● 捜索の計画を⽴てる
Slide 15
Slide 15 text
Phase 2. 現地調査
スマートフォンアプリを使⽤し、現地調査を実施
スマートフォンを⼿に持
ち、⽬標の電波が強く⼊る
⽅向へひたすら移動した。
Slide 16
Slide 16 text
Phase 3. 確保
Slide 17
Slide 17 text
Phase 3. 確保
1. 予測円の中の電線をたどり、電源を要する電⼦機器を特定する
2. スクリーンキャスティングデバイスを発⾒!
3. 電線を抜くと、問題のSSIDも消滅した → この機器が発信源と特定!
4. 撤去、回収し問題解決
Slide 18
Slide 18 text
めでたし めでたし
と、その前に宿題は?
Slide 19
Slide 19 text
Phase 4. 振り返りと記録
Slide 20
Slide 20 text
Phase 4. 振り返りと記録
被害の有無の調査
カードデータ環境への影響はあるか?
● オフィスとカードデータ環境はネットワーク的に接続されていない
● スクリーンキャスティングデバイスはネットワーク接続を仲介する機材で
はない
● PAY社従業員が当該機材を使⽤した履歴がない
→ 直接的に不正アクセスの原因になった可能性は低い
Slide 21
Slide 21 text
Phase 4. 振り返りと記録
設置された経緯や類似事例を振り返る
● 正当な業務上の理由があって設置されたものか
● 社内ドキュメンテーションはあるか
● 社内ドキュメンテーションで定義されたとおりの設定がされているか
○ 定義から逸脱する設定がされていないか
○ 逸脱があった場合、いつ変更されたのか
○ (当該の機器が信⽤できない場合、この⼿順は危険すぎるため省いてもよい)
● ほかに同様の問題を呈している機器は検出されていないか
Slide 22
Slide 22 text
Phase 4. 振り返りと記録
対応の記録を作成する
証跡は⽂書化されている必要がある
● 宿題をしても⽂書が無いなら、していないのと同じ
● 作成した報告書は監査機関に提出する
Slide 23
Slide 23 text
めでたし めでたし
CDEの平和は守られた