627 Views
November 28, 14
スライド概要
神戸ITフェスティバル2014講演資料
OWASP Kansai Chapter Yosuke HASEGAWA Kobe IT Festival 2014
はせがわようすけ ▸ OWASP Kansai ▸ OWASP Japan 最近ではWebセキュリティを侵害するような事件が連日のようにメディアを賑わせていま すが、 何から手を付ければいいのか、どこまでを守ればいいのかといった指針についてはなかな か誰も教えてくれません。 OWASP Kansaiは、そういった問題点や疑問、技術や知識を相互に教えあい支えあうコミュ ニティです。 OWASP - Open Web Application Security Project - はWebアプリケーションセキュリティ をとりまく 課題を解決することを目的とする国際的なオープンなコミュニティであり、OWASP Kansai はそのOWASPの 日本で2番目の支部です。 本セッションでは、現在のWebセキュリティを取り巻く状況を改めて振り返り、Webセ キュリティのためにそれぞれの 立場で行うべきことを考えたいと思います。 チャプターリーダー アドバイザリボードメンバー ▸ ネットエージェント株式会社 サービス事業部 ▸ 株式会社セキュアスカイ・テクノロジー ▸ Microsoft MVP ▸ http://utf-8.jp/ Kobe IT Festival 2014 技術顧問 for Consumer Security Oct 2005- Oct 2015
Kobe IT Festival 2014
▸OWASP – Open Web Application Security Project ▸Webセキュリティを取り巻く問題を解決する ための国際的なコミュニティ ▸企業や国境の壁はもちろんのこと、あらゆる 専門知識と経験を持ったスペシャリスト、ま たユーザのコラボレーションにより、自由に 参加できる開放された活動を展開 ▸OWASP Foundation ▸2001年から活動開始 アメリカ政府認定NPO ▸200以上の拠点に支部 Kobe IT Festival 2014
OWASPに基づく様々なアウトプット ▸OWASP TOP 10 ▸3年に一度、Webアプリケーションの注意すべき 脆弱性と対策をまとめて公表 ▸OWASP ZAP ▸オープンソースの脆弱性診断ツール ▸その他多数の成果物 ▸ソフトウェア - オープンソース ▸ドキュメント -CC BY SA Kobe IT Festival 2014
▸Webアプリケーションの注意 すべき脆弱性と対処方法の まとめ ▸3年に一度リリース ▸モバイル分野にも対応するため『OWASP MobileSecurity Project』の一環として 「Top 10 Mobile Risks」の開発も進行中 https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf Kobe IT Festival 2014
▸OWASPによるオープン ソースの脆弱性診断 ツール ▸日本語にも対応、日本 語版の運用マニュアルもあり ▸誰にでも手軽に検査できることを重視した設 計 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit Kobe IT Festival 2014
▸OWASP Japan ▸2011年に国内にて活動開始(主に東京) ▸2014年3月、OWASP AppSec APAC 2014を 開催 ▸OWSP Kansai ▸2014年より関西にて 活動開始 Kobe IT Festival 2014
▸OWASP Japan ▸2011年に国内にて活動開始(主に東京) ▸2014年3月、OWASP AppSec APAC 2014を 開催 ▸OWSP Kansai ▸2014年より関西にて 活動開始 Kobe IT Festival 2014
自分たちの直面するWebセキュリティ の問題を自分たちの手で解決したい! ▸日本で2番目のOWASPローカルチャプ ター ▸2014年3月から活動開始 ▸3か月に1回のChapter Meeting(勉強会)を 開催 Kobe IT Festival 2014
自分たちの直面するWebセキュリティ の問題を自分たちの手で解決したい! ▸3か月に1回のChapter Meeting(勉強会)を 開催 ▸Webセキュリティの悩み事を気楽に相談 し情報共有できる場 ▸スキル、役職、業種、国籍、性別、年齢関係 なく、遠慮なくお越しください Kobe IT Festival 2014
Kobe IT Festival 2014
Kobe IT Festival 2014
▸ ▸ ▸ ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス 2014-04 Apache Strutsの脆弱性 2014-04 OpenSSL Heartbleed脆弱性 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年 不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
▸ ▸ ▸ ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス 2014-04 Apache Struts 2の脆弱性 2014-04 OpenSSL Heartbleed脆弱性 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年 不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
▸Apache Struts – Java Webアプリケー ションフレームワーク ▸2014年3-4月に脆弱性情報が公開 ▸任意コードの実行や機密情報の漏えいな ど ▸攻撃検証コードが広く流通、悪用が容易 Kobe IT Festival 2014
▸ 2014-03-05 Struts 2の脆弱性公表、修正版がリリース ▸ 2014-04-16 攻撃コード公開が確認される ▸ 2014-04-18, 04-22 Struts 2の対策漏れが発見、報告、公開される ▸ 2014-04-24 Struts 1にも同種の脆弱性があると公開される ▸ 2014-04-24 Struts 2の修正版がリリース Kobe IT Festival 2014
▸情報が錯綜 ▸断続的に公開される脆弱性情報 ▸3月-4月の人事異動シーズン ▸Struts 1はすでに公式にはサポートされて いない ▸RedHatやNTTデータによるサポート Kobe IT Festival 2014
▸ ▸ ▸ ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス 2014-04 Apache Strutsの脆弱性 2014-04 OpenSSL Heartbleed脆弱性 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年 不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
▸2014年4月に公表、修正版も公開 ▸SSLサーバの秘密鍵やユーザー名、通信内 容などを攻撃者はメモリ上から読み取り 可能 ▸攻撃ログがサーバ上に残らない ▸公開とほぼ同時に世界中で悪用の痕跡 ▸三菱UFJニコス、カナダ歳入庁で情報漏洩 Kobe IT Festival 2014
▸基幹で広く使用されるソフトウェアで影 響が大きい ▸OpenSSL単体だけではなく内部で使っている ソフトウェアが多数影響を受ける ▸Webサーバだけでなくメール(SMTP,POP3 over SSL)やFTPS、各種クライアントソフト ウェアも Kobe IT Festival 2014
▸脆弱性の公開から実際の攻撃までほぼ タイムロスなし ▸4月上旬、人事異動の時期 ▸Apache Strutsの脆弱性と同じタイミング Kobe IT Festival 2014
▸ ▸ ▸ ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス 2014-04 Apache Strutsの脆弱性 2014-04 OpenSSL Heatbleed脆弱性 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年 不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
▸コンテンツ配信用のサービスCDNetworks が改ざん ▸マルウェア配布に利用 される 企業Webサイト CDNetworks Kobe IT Festival 2014
▸CDNetworksを利用している企業のサイト やダウンロード用ファイル等が改ざん ▸JUGEMブログ、Buffalo、リクルートマーケ ティングパートナーズ他… ▸サイトを閲覧・ドライバをダウンロード するとマルウェアが落ちてくる Kobe IT Festival 2014
▸企業としてはCDNetworksのユーザーでし かなく、被害者でもある ▸エンドユーザーからは企業名しか見えな い ▸「Buffaloにアクセスしたら感染した」 Kobe IT Festival 2014
▸Buffaloの対応 ▸ファイル改ざんを把握後、速やかにサービス停止 ▸ログを解析、改ざんファイルのダウンロードした ユーザー(IPアドレス)を把握 ▸プロバイダを通じて連絡 ▸マルウェア感染には駆除のサポート ▸ダウンロードサーバを別業者に変更 ▸この間1週間 http://buffalo.jp/support_s/20140602.html http://buffalo.jp/support_s/20140602_2.html Kobe IT Festival 2014
▸ ▸ ▸ ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス 2014-04 Apache Strutsの脆弱性 2014-04 OpenSSL Heatbleed脆弱性 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年 不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
▸bash - UNIX環境で広く使われているシェル ▸Linux、Mac OS Xなどでも使用 ▸Red Hat、CentOSなどでは標準シェルに採用 ▸/bin/shがbashへのシンボリックリンク ▸2014年9月末に脆弱性情報が公開 ▸公開当初は複数の脆弱性が含まれていた Kobe IT Festival 2014
▸攻撃者が環境変数を設定させた状態で bashが起動するだけで任意コマンドが実 行可能 ▸多数の攻撃可能な経路 ▸Web(CGI, SSI)、メール、ssh、dhcp… ▸組み込み機器にも影響 ▸NAS、メディアプレイヤー、ルータなど ▸影響範囲が広範 Kobe IT Festival 2014
▸ ▸ ▸ ▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス 2014-04 Apache Strutsの脆弱性 2014-04 OpenSSL Heatbleed脆弱性 2014-06 CDNetworksでのコンテンツ改ざん ▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング パートナーズ、Buffaloダウンロードサイト… ▸ 2014-08 クラウド上からセレブの写真流出 ▸ 2014-09 GNU bash shellshock脆弱性 ▸ 通年 不正ログイン ▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、 Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、 JR東日本、NTT DoCoMo、etc… ▸ その他… Kobe IT Festival 2014
▸ありとあらゆるサービスで常に発生 ▸パスワードリスト攻撃 ▸事前に入手したIDとパスワードで不正ログイ ンを試行 ▸他の脆弱なサイトから流出したアカウント情 報など ▸ID、パスワードの使い回しが被害を増加 Kobe IT Festival 2014
被害企業 不正ログインの 試行件数(A) 不正ログインの 成立件数(B) 不正ログイン 成立率(B/A) A社 約4,600,000 78,361 約1.70% B社 2,293,543 38,280 1.67% C社 2,203,590 219,926 9.98% D社 約4,300,000 263,596 約6.13% E社 約1,600,000 2,398 約0.15% F社 3,420,000 15,092 0.44% G社 1,796,629 14,399 0.80% https://www.ipa.go.jp/about/press/20140917.html Kobe IT Festival 2014
▸主な原因はID、パスワードの使い回し ▸サイト側に明確な非はない ▸他のサイトから流出したアカウント情報 ▸ユーザーが自身で望んでパスワードを使い回 し ▸可能なら二要素認証の導入を ▸パスワード+携帯電話、トークン Kobe IT Festival 2014
▸報道されるのは氷山の一角 ▸あらゆるサイト、あらゆるソフトウェア、あ らゆる情報が狙われる ▸Webと実生活が密に結合するほど相対的に被 害は増加 ▸あらゆる人が被害者となり得る Kobe IT Festival 2014
Kobe IT Festival 2014
▸他人事ではいられない ▸運営者:自分の管理するサーバが攻撃される ▸開発者:自分の開発したWebアプリが攻撃さ れる ▸利用者:自分の利用しているサービスが攻撃 される Kobe IT Festival 2014
▸他人事ではいられない ▸運営者・開発者・利用者 ▸どの立場でも被害にあう可能性 ▸どうすればいいのか? ▸「こうすればよい」という銀の弾丸はない ▸地道な小さい対策の積み重ねあるのみ Kobe IT Festival 2014
▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
▸自社を守る。利用者を守る。 ▸サイト運営者が最低限すべきこと ▸サーバの設定の不備をなくす ▸使っているソフトウェアの更新 ▸自社専用ソフトウェアの脆弱性の検査 Kobe IT Festival 2014
▸積極的なセキュリティ情報の収集 ▸世間が騒ぎ始めてから脆弱性情報を知るようでは 遅い ▸使っているソフトウェアの脆弱性への対応体 制の構築 ▸入れ替え前の評価手順 ▸長期休暇中の体制 ▸使っている外部サービスの問題発生時の対応 体制の構築 ▸CDNやクラウド、ホスティングの変更など Kobe IT Festival 2014
▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
▸脆弱性=バグ。品質の向上を。 ▸Webアプリ開発者が最低限すべきこと ▸脆弱性の原理や対策を知る ▸使用している言語処理系やライブラリの更新 ▸開発完了後も言語処理系やライブラリ、新し い攻撃手法の動向を継続的に把握 Kobe IT Festival 2014
▸脆弱性はただのバグ。 脆弱性はバグの一種です。一般的なバグは「でき るはずのことができない」というものですが、脆 弱性は「できないはずのことができる」というバ グです。もっと言うと、「できてはいけないこと ができる」ということです HASHコンサルティング 徳丸さん ▸正しいWebアプリの作り方を知ること ▸我流の知識、我流の実装は避けよう Kobe IT Festival 2014
▸それぞれの立場で地道にできる対策を ▸運営者:自社を守る。利用者を守る。 ▸開発者:脆弱性=バグ。品質の向上を。 ▸利用者:自身を守る。自身で守る。 Kobe IT Festival 2014
▸自分を守る。自分で守る。 ▸Webサイトの利用者として最低限してお くこと ▸パスワードの使いまわしの禁止 ▸複雑なパスワードを採用 ▸アカウントの棚卸 使用しないサイトのサービスを脱退 ▸クレジットカード明細の確認 Kobe IT Festival 2014
▸ユーザーとして出来ることは多くはない ▸それでも警戒心を持つことで防げる事案は多 い ▸できる人は隣の人も守ってあげよう Kobe IT Festival 2014
Kobe IT Festival 2014
▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
▸Webアプリケーションの開発案件におけ るセキュリティ要件 ▸発注者 - 開発者がきちんとしてくれるだろう という思い込み ▸開発者 - 要件に入っていないしよくわからな い ▸あいまいなまま開発が進む Kobe IT Festival 2014
▸あいまいなセキュリティ要件 ▸開発側 セキュリティ対策、脆弱性診断を実施せずに コストダウン 要件に含まれていないので対価を請求できな い ▸発注側 見かけの金額だけで低コスト・低品質な開発 会社を選定 正常系の検査だけは実施、動いているように 見える Kobe IT Festival 2014
▸Webシステム/Webアプリケーションセ キュリティ要件書 ▸OWASP Japan発! とうぜん日本語! ▸発注者が開発会社に対して提示できるセキュ リティ上の要件をまとめた文書 ▸CC BY-SAで自由に改変・配布可 https://www.owasp.org/index.php/File:Web_applic ation_security_requirements.pdf Kobe IT Festival 2014
Kobe IT Festival 2014
Kobe IT Festival 2014
Kobe IT Festival 2014
▸フィードバック随時募集中 ▸OWASP Japan「Webシステム/Webアプリ ケーションセキュリティ要件書 」はみなさん の声でできています。 Kobe IT Festival 2014
▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
▸開発者 ▸「入り口が広すぎてどこから入ればいいかわ からない」 ▸守らなければいけない原則が多すぎる ▸学んでも学んでも追いつかない Kobe IT Festival 2014
▸最低限これだけは読んでおこう。 ▸「安全なウェブサイトの作り方」 ▸「安全なSQLの呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html Kobe IT Festival 2014
▸開発会社への要件定義の明確化 ▸開発者の教育 ▸脆弱性診断 ▸Web Application Firewall ▸脆弱性をなくすわけではない ▸被害は軽減する(可能性がある) Kobe IT Festival 2014
▸客観的な視点による品質の確認 …の前に自身でできることを。 ▸開発者自身による最低限の検査 ▸テストの一環として ▸「脆弱性はバグである」 Kobe IT Festival 2014
▸最低限これだけは読んでおこう。 ▸「ウェブ健康診断」 http://www.ipa.go.jp/security/vuln/websecurity.html Kobe IT Festival 2014
▸セキュリティ対策に「こうすればよい」 という銀の弾丸はない ▸地道な小さい対策の積み重ねあるのみ ▸それぞれの立場でできるベストを尽くす のみ ▸OWASPはみんなの技術・知恵・悩みを共 有できる場です Kobe IT Festival 2014
▸OWASPはみんなの技術・知恵・悩みを共 有できる場です ▸みなさんのご参加をお待ちしています。 OWASP Kansai Kobe IT Festival 2014 検索