他人事ではないWebセキュリティ

Kobe IT Festival 2014
OWASP Kansai Chapter
Yosuke HASEGAWA

はせがわようすけ
▸OWASP Kansai チャプターリーダー
▸OWASP Japan アドバイザリボードメンバー
▸ネットエージェント株式会社サービス事業部
▸株式会社セキュアスカイ・テクノロジー技術顧問
▸Microsoft MVP for Consumer Security Oct 2005- Oct 2015
▸http://utf-8.jp/

▸OWASP – Open Web Application Security Project
▸Webセキュリティを取り巻く問題を解決する
ための国際的なコミュニティ
▸企業や国境の壁はもちろんのこと、あらゆる
専門知識と経験を持ったスペシャリスト、ま
たユーザのコラボレーションにより、自由に
参加できる開放された活動を展開
▸OWASP Foundation
▸2001年から活動開始
アメリカ政府認定NPO
▸200以上の拠点に支部

OWASPに基づく様々なアウトプット
▸OWASP TOP 10
▸3年に一度、Webアプリケーションの注意すべき
脆弱性と対策をまとめて公表
▸OWASP ZAP
▸オープンソースの脆弱性診断ツール
▸その他多数の成果物
▸ソフトウェア- オープンソース
▸ドキュメント-CC BY SA

▸Webアプリケーションの注意
すべき脆弱性と対処方法の
まとめ
▸3年に一度リリース
▸モバイル分野にも対応するため『OWASP
MobileSecurity Project』の一環として
「Top 10 Mobile Risks」の開発も進行中
https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf

▸OWASPによるオープン
ソースの脆弱性診断
ツール
▸日本語にも対応、日本
語版の運用マニュアルもあり
▸誰にでも手軽に検査できることを重視した設
計
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit

▸OWASP Japan
▸2011年に国内にて活動開始(主に東京)
▸2014年3月、OWASP AppSec APAC 2014を
開催
▸OWSP Kansai
▸2014年より関西にて
活動開始

自分たちの直面するWebセキュリティ
の問題を自分たちの手で解決したい！
▸日本で2番目のOWASPローカルチャプ
ター
▸2014年3月から活動開始
▸3か月に1回のChapter Meeting(勉強会)を
開催

自分たちの直面するWebセキュリティ
の問題を自分たちの手で解決したい！
▸3か月に1回のChapter Meeting(勉強会)を
開催
▸Webセキュリティの悩み事を気楽に相談
し情報共有できる場
▸スキル、役職、業種、国籍、性別、年齢関係
なく、遠慮なくお越しください

▸ 2014-01 GOM Playerアップデートサーバへの不正アクセス
▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heartbleed脆弱性
▸ 2014-06 CDNetworksでのコンテンツ改ざん
▸ JUGEMブログ、Aimingオンラインゲーム、リクルートマーケティング
パートナーズ、Buffaloダウンロードサイト…
▸ 2014-08 クラウド上からセレブの写真流出
▸ 2014-09 GNU bash shellshock脆弱性
▸ 通年不正ログイン
▸ mixi、Softbank、Panasonic、チケットぴあ、Sony、バンダイナムコ、
Ameba、Suica、無印良品、佐川急便、クロネコメンバーズ、日本航空、
JR東日本、NTT DoCoMo、etc…
▸ その他…

▸ 2014-04 Apache Struts 2の脆弱性
▸ 2014-04 OpenSSL Heartbleed脆弱性
▸ その他…

▸Apache Struts – Java Webアプリケー
ションフレームワーク
▸2014年3-4月に脆弱性情報が公開
▸任意コードの実行や機密情報の漏えいな
ど
▸攻撃検証コードが広く流通、悪用が容易

▸2014-03-05
Struts 2の脆弱性公表、修正版がリリース
▸2014-04-16
攻撃コード公開が確認される
▸2014-04-18, 04-22
Struts 2の対策漏れが発見、報告、公開される
▸2014-04-24
Struts 1にも同種の脆弱性があると公開される
▸2014-04-24
Struts 2の修正版がリリース

▸情報が錯綜
▸断続的に公開される脆弱性情報
▸3月-4月の人事異動シーズン
▸Struts 1はすでに公式にはサポートされて
いない
▸RedHatやNTTデータによるサポート

▸2014年4月に公表、修正版も公開
▸SSLサーバの秘密鍵やユーザー名、通信内
容などを攻撃者はメモリ上から読み取り
可能
▸攻撃ログがサーバ上に残らない
▸公開とほぼ同時に世界中で悪用の痕跡
▸三菱UFJニコス、カナダ歳入庁で情報漏洩

▸基幹で広く使用されるソフトウェアで影
響が大きい
▸OpenSSL単体だけではなく内部で使っている
ソフトウェアが多数影響を受ける
▸Webサーバだけでなくメール(SMTP,POP3
over SSL)やFTPS、各種クライアントソフト
ウェアも

▸脆弱性の公開から実際の攻撃までほぼ
タイムロスなし
▸4月上旬、人事異動の時期
▸Apache Strutsの脆弱性と同じタイミング

▸ 2014-04 Apache Strutsの脆弱性
▸ 2014-04 OpenSSL Heatbleed脆弱性
▸ その他…

▸コンテンツ配信用のサービスCDNetworks
が改ざん
▸マルウェア配布に利用
される
企業Webサイト
CDNetworks

▸CDNetworksを利用している企業のサイト
やダウンロード用ファイル等が改ざん
▸JUGEMブログ、Buffalo、リクルートマーケ
ティングパートナーズ他…
▸サイトを閲覧・ドライバをダウンロード
するとマルウェアが落ちてくる

▸企業としてはCDNetworksのユーザーでし
かなく、被害者でもある
▸エンドユーザーからは企業名しか見えな
い
▸「Buffaloにアクセスしたら感染した」

▸Buffaloの対応
▸ファイル改ざんを把握後、速やかにサービス停止
▸ログを解析、改ざんファイルのダウンロードした
ユーザー(IPアドレス)を把握
▸プロバイダを通じて連絡
▸マルウェア感染には駆除のサポート
▸ダウンロードサーバを別業者に変更
▸この間1週間
http://buffalo.jp/support_s/20140602.html
http://buffalo.jp/support_s/20140602_2.html

▸bash - UNIX環境で広く使われているシェル
▸Linux、Mac OS Xなどでも使用
▸Red Hat、CentOSなどでは標準シェルに採用
▸/bin/shがbashへのシンボリックリンク
▸2014年9月末に脆弱性情報が公開
▸公開当初は複数の脆弱性が含まれていた

▸攻撃者が環境変数を設定させた状態で
bashが起動するだけで任意コマンドが実
行可能
▸多数の攻撃可能な経路
▸Web(CGI, SSI)、メール、ssh、dhcp…
▸組み込み機器にも影響
▸NAS、メディアプレイヤー、ルータなど
▸影響範囲が広範

▸ありとあらゆるサービスで常に発生
▸パスワードリスト攻撃
▸事前に入手したIDとパスワードで不正ログイ
ンを試行
▸他の脆弱なサイトから流出したアカウント情
報など
▸ID、パスワードの使い回しが被害を増加

被害企業
不正ログインの
試行件数（A）
不正ログインの
成立件数（B）
不正ログイン
成立率（B/A）
A社約4,600,000 78,361 約1.70%
B社2,293,543 38,280 1.67%
C社2,203,590 219,926 9.98%
D社約4,300,000 263,596 約6.13%
E社約1,600,000 2,398 約0.15%
F社3,420,000 15,092 0.44%
G社1,796,629 14,399 0.80%
https://www.ipa.go.jp/about/press/20140917.html

▸主な原因はID、パスワードの使い回し
▸サイト側に明確な非はない
▸他のサイトから流出したアカウント情報
▸ユーザーが自身で望んでパスワードを使い回
し
▸可能なら二要素認証の導入を
▸パスワード＋携帯電話、トークン

▸報道されるのは氷山の一角
▸あらゆるサイト、あらゆるソフトウェア、あ
らゆる情報が狙われる
▸Webと実生活が密に結合するほど相対的に被
害は増加
▸あらゆる人が被害者となり得る

▸他人事ではいられない
▸運営者：自分の管理するサーバが攻撃される
▸開発者：自分の開発したWebアプリが攻撃さ
れる
▸利用者：自分の利用しているサービスが攻撃
される

▸他人事ではいられない
▸運営者・開発者・利用者
▸どの立場でも被害にあう可能性
▸どうすればいいのか？
▸「こうすればよい」という銀の弾丸はない
▸地道な小さい対策の積み重ねあるのみ

▸それぞれの立場で地道にできる対策を
▸運営者：自社を守る。利用者を守る。
▸開発者：脆弱性＝バグ。品質の向上を。
▸利用者：自身を守る。自身で守る。

▸自社を守る。利用者を守る。
▸サイト運営者が最低限すべきこと
▸サーバの設定の不備をなくす
▸使っているソフトウェアの更新
▸自社専用ソフトウェアの脆弱性の検査

▸積極的なセキュリティ情報の収集
▸世間が騒ぎ始めてから脆弱性情報を知るようでは
遅い
▸使っているソフトウェアの脆弱性への対応体
制の構築
▸入れ替え前の評価手順
▸長期休暇中の体制
▸使っている外部サービスの問題発生時の対応
体制の構築
▸CDNやクラウド、ホスティングの変更など

▸脆弱性＝バグ。品質の向上を。
▸Webアプリ開発者が最低限すべきこと
▸脆弱性の原理や対策を知る
▸使用している言語処理系やライブラリの更新
▸開発完了後も言語処理系やライブラリ、新し
い攻撃手法の動向を継続的に把握

▸脆弱性はただのバグ。
脆弱性はバグの一種です。一般的なバグは「でき
るはずのことができない」というものですが、脆
弱性は「できないはずのことができる」というバ
グです。もっと言うと、「できてはいけないこと
ができる」ということです
▸正しいWebアプリの作り方を知ること
▸我流の知識、我流の実装は避けよう
HASHコンサルティング
徳丸さん

▸自分を守る。自分で守る。
▸Webサイトの利用者として最低限してお
くこと
▸パスワードの使いまわしの禁止
▸複雑なパスワードを採用
▸アカウントの棚卸
使用しないサイトのサービスを脱退
▸クレジットカード明細の確認

▸ユーザーとして出来ることは多くはない
▸それでも警戒心を持つことで防げる事案は多
い
▸できる人は隣の人も守ってあげよう

▸開発会社への要件定義の明確化
▸開発者の教育
▸脆弱性診断
▸Web Application Firewall
▸脆弱性をなくすわけではない
▸被害は軽減する(可能性がある)

▸Webアプリケーションの開発案件におけ
るセキュリティ要件
▸発注者- 開発者がきちんとしてくれるだろう
という思い込み
▸開発者- 要件に入っていないしよくわからな
い
▸あいまいなまま開発が進む

▸あいまいなセキュリティ要件
▸開発側
セキュリティ対策、脆弱性診断を実施せずに
コストダウン
要件に含まれていないので対価を請求できな
い
▸発注側
見かけの金額だけで低コスト・低品質な開発
会社を選定
正常系の検査だけは実施、動いているように
見える

▸Webシステム／Webアプリケーションセ
キュリティ要件書
▸OWASP Japan発！とうぜん日本語！
▸発注者が開発会社に対して提示できるセキュ
リティ上の要件をまとめた文書
▸CC BY-SAで自由に改変・配布可
https://www.owasp.org/index.php/File:Web_applic
ation_security_requirements.pdf

▸フィードバック随時募集中
▸OWASP Japan「Webシステム／Webアプリ
ケーションセキュリティ要件書」はみなさん
の声でできています。

▸開発者
▸「入り口が広すぎてどこから入ればいいかわ
からない」
▸守らなければいけない原則が多すぎる
▸学んでも学んでも追いつかない

▸最低限これだけは読んでおこう。
▸「安全なウェブサイトの作り方」
▸「安全なSQLの呼び出し方」
http://www.ipa.go.jp/security/vuln/websecurity.html

▸客観的な視点による品質の確認
…の前に自身でできることを。
▸開発者自身による最低限の検査
▸テストの一環として
▸「脆弱性はバグである」

▸最低限これだけは読んでおこう。
▸「ウェブ健康診断」
http://www.ipa.go.jp/security/vuln/websecurity.html

▸セキュリティ対策に「こうすればよい」
という銀の弾丸はない
▸地道な小さい対策の積み重ねあるのみ
▸それぞれの立場でできるベストを尽くす
のみ
▸OWASPはみんなの技術・知恵・悩みを共
有できる場です

▸OWASPはみんなの技術・知恵・悩みを共
有できる場です
▸みなさんのご参加をお待ちしています。
OWASP Kansai 検索

他人事ではないWebセキュリティ

More Related Content

他人事ではないWebセキュリティ