Upload
tama200x-kobayashi
View
583
Download
3
Embed Size (px)
Citation preview
WEBサイトを安全にするために
2013/10/19第22回 WORDBENCH 大阪
こばやし たけし (@tama200x)
13年10月19日土曜日
WEB改ざんの件数
IPA 独立行政法人 情報処理推進機構:ウェブサイト改ざん等のインシデントに対する注意喚起~
ウェブサイト改ざんが急激に増えています~http://www.ipa.go.jp/security/topics/alert20130906.html
13年10月19日土曜日
攻撃
13年10月19日土曜日
だれが攻撃するのか?
なぜ攻撃するのか?
13年10月19日土曜日
攻撃者の正体【2001年頃】
•主に個人
【現在】
•プロ集団
•国家的組織
セキュリティ上の脅威の進化と企業への影響 - The Official Microsoft Japan Blog -http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx
13年10月19日土曜日
攻撃者の目的【2001年頃】
•コミュニティ内の名声
•脆弱性の指摘
【現在】
•金銭目的
•知的財産や機密情報の入手
•サービス妨害
セキュリティ上の脅威の進化と企業への影響 - The Official Microsoft Japan Blog -http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx
13年10月19日土曜日
攻撃者の手口【2001年頃】
•無作為に攻撃
• Webサイトの書き換え
• DoS攻撃
【現在】
•ターゲットを絞り込む
•データの不正入手
• DDoS攻撃
•ボットネット
セキュリティ上の脅威の進化と企業への影響 - The Official Microsoft Japan Blog -http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx
13年10月19日土曜日
•電子メールアドレスのリスト
•クレジットカード番号のリスト
•ネットバンキングのID/PW
•攻撃用ツール
闇市場で取引されるもの
13年10月19日土曜日
なぜ気づかないのか
13年10月19日土曜日
埋め込まれている状況
0day.jp (ゼロデイ.JP):OCJP-115:本日の分マルウェア感染コードにインジェクションされた国内のサイト
http://unixfreaxjp.blogspot.jp/2013/07/ocjp-115i.html13年10月19日土曜日
PC遠隔事件犯のメッセージ
『iesys(トロイプログラム)については見つけられなくても仕方が無いです。
投入前に、主要なウイルス対策ソフトの体験版をいくつか試用し、検知に引っかからないことを確認しました。(以下略)』
【PC遠隔操作事件】ラストメッセージ全文(上)(江川 紹子) - 個人 - Yahoo!ニュースhttp://bylines.news.yahoo.co.jp/egawashoko/20130810-00027168/
13年10月19日土曜日
なぜWORDPRESSが狙われるのか?
•利用者が多い
•オープンソースである
•Webサイト上のWordPressのアップデートが行われていない
13年10月19日土曜日
Webサイトの 20.1% が WordPress(2013/10現在)
Historical trends in the usage of content management systems, October 2013http://w3techs.com/technologies/history_overview/content_management/all/
ということはWordPress用攻撃コードはWebサイトの20%に有効
13年10月19日土曜日
オープンソースのメリット・デメリット
•メリット多くのエンジニアがソースコードを参照することができるので脆弱性を発見しやすい
•デメリット攻撃者はソースコードを参照することで脆弱性を特定し、攻撃手法を確立することが可能
13年10月19日土曜日
WORDPRESSのアップデート状況
8割のWordPressサイトは既知の脆弱性を含んでいる
WordPress > About >>Statisticshttp://wordpress.org/about/stats/
13年10月19日土曜日
SECURITY FIX (2013~)
•WordPress 3.5.1 (2013/1/24) ... 3 security fix
•WordPress 3.5.2 (2013/6/21) ... 7 security fix
•WordPress 3.6.1 (2013/9/11) ... 3 security fix
13年10月19日土曜日
プラグインの脆弱性
The Security State of WordPress' Top 50 Plugins - Checkmarx'http://www.checkmarx.com/white_papers/the-security-state-of-wordpress-top-50-plugins/
•プラグインの20%に脆弱性
•eコマースプラグインの多くに脆弱性
13年10月19日土曜日
WORDPRESSへの攻撃例•脆弱性
• timthumb.phpの脆弱性(2011/8)任意のphpをアップロードして実行可能
•管理画面への攻撃
•ブルートフォース攻撃
13年10月19日土曜日
どんな攻撃があるのか
13年10月19日土曜日
FTPアカウント盗用攻撃
IPA 独立行政法人 情報処理推進機構:コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について
http://www.ipa.go.jp/security/txt/2010/02outline.html13年10月19日土曜日
パスワードリスト攻撃
IPA 独立行政法人 情報処理推進機構:2013年8月の呼びかけhttps://www.ipa.go.jp/security/txt/2013/08outline.html
13年10月19日土曜日
想定される攻撃
•WordPressへの攻撃
•Webサーバへの攻撃
•サーバ本体(OS等)への攻撃
13年10月19日土曜日
想定される攻撃
• WordPressへの攻撃•管理画面へのブルートフォース攻撃•既知の脆弱性への攻撃•未知の脆弱性への攻撃
• Webサーバへの攻撃• FTPアカウント盗用による攻撃
13年10月19日土曜日
防御
13年10月19日土曜日
WEBサイトを守るために
•サイトを守る
•改ざんを検知する
•アクセスを記録する
•サイトを復旧する
•改ざんに備える
13年10月19日土曜日
サイトを守る
• 一般的なWebサイトの防御
• WordPress固有の防御
13年10月19日土曜日
一般的なWEBサイトの防御
13年10月19日土曜日
一般的なWEBサイトの防御
【管理端末の防御】FTPアカウント盗用攻撃からの防御
• OS/アプリケーションのアップデート(特にAdobe Reader / Flash Player / Java(JRE))
• FTPS/SFTP/sshなどセキュアなプロトコルの使用• FTP/sshの接続元制限
13年10月19日土曜日
一般的なWEBサイトの防御
【 WAFの併用】不正なアクセスの検出と防御
• Web Application Firewallの略• Webサーバの手前に設置する• Webを経由した攻撃(SQLインジェクション・XSS等)を検出する
13年10月19日土曜日
WORDPRESSサイト固有の防御
13年10月19日土曜日
WORDPRESSサイト固有の防御
【管理画面への不正侵入防止】• ユーザーIDの変更(ADMINを使用しない)
→ 現在のブルートフォース攻撃には有効だが...• ユーザーIDのパスワードの複雑化 → ブルートフォース攻撃対策
• ユーザーIDとパスワードを他と同じにしない → パスワードリスト攻撃対策
• 管理画面へのIPアドレスでのアクセス制限
13年10月19日土曜日
WORDPRESSサイト固有の防御
【脆弱性への対応】• WordPress本体、テーマ、プラグインの更新 → 脆弱性への対応が含まれる場合がある
•野良テーマ、野良プラグインの使用は控える → 安全性をどこで担保するか?
13年10月19日土曜日
WORDPRESSサイト固有の防御
【更新端末の防御】ユーザーID/PWの盗聴防止
•管理画面のSSL化•ワンタイムパスワードの使用• OS/アプリケーションのアップデート
13年10月19日土曜日
改ざんを検知する
• IPA推奨の手順
• Google Webマスターツール
• Google セーフ ブラウジング診断ページ
•改ざん検知サービス
13年10月19日土曜日
IPAが推奨する検知手順
•オリジナルHTMLソースとの比較
• HTMLソースをセキュリティソフトでスキャン
• ftpアクセスログを確認
http://www.ipa.go.jp/security/txt/2013/06outline.html
13年10月19日土曜日
GOOGLE WEBマスターツール
• Webマスターツールに登録しておくと、悪意のあるソフトウェアをホストまたは配布しているサイトをしてGoogle側で認識すると、管理画面および関連のメールアドレスに通知がされる
• 被害拡大を抑えるため、 URL削除ツールにより一時的に検索結果から外すことが可能
• Fetch As Google ツールを使用すると随時検査が可能。完全に除去されたかを確認するために使用できる
13年10月19日土曜日
GOOGLE セーフ ブラウジング診断ページ
http://www.google.com/safebrowsing/diagnostic?site=www.example.com
13年10月19日土曜日
改ざん検知サービスの例
•「gredセキュリティサービス」( http://www.securebrain.co.jp/products/gred/ )
• HTMLのソースを解析し、改ざんによく使用される記述を検出
•ホスティング事業者でも採用(ファーストサーバ等)
13年10月19日土曜日
アクセスを記録する
•なにを記録するのか?•いつ、どこから、どのようなアクセスが発生したかを記録に残す
•なぜ記録するのか?•攻撃日時の特定•原因となった脆弱性の特定と再発防止
13年10月19日土曜日
CRAZY BONE(狂骨)
• @wokamotoさん作のWordPressのログイン履歴を記録するプラグイン
•攻撃者の侵入履歴が確認できる可能性がある
13年10月19日土曜日
サイトを復旧する
•被害から復旧までの流れ
1. サイトの停止2. 原因の調査と、攻撃ルートの確定3. 復旧作業4. サイト再開5. 利用者への告知
13年10月19日土曜日
復旧時の注意点
•信頼がおけないデータは使用しない → 攻撃用のプログラムが残置し再攻撃の可能性も
•いつのバックアップであれば信頼できるか → 攻撃をうけた時刻を記録することの重要性
•信頼がおけるデータをもとに復旧する → バックアップの重要性
13年10月19日土曜日
復旧あるある
•バックアップデータが戻せません!
•バックアップデータが不足しています!
• phpMyAdminがタイムアウトします!
•リストアするのに何時間かかるんだろう...
13年10月19日土曜日
インシデントに備える
•インシデント発生時の連絡体制•社内•お客様•制作会社•ホスティング事業者・サーバ運用会社
• Webサイトを停止する判断はだれがするのか?•インシデント発生時の復旧までの予行演習
13年10月19日土曜日
まとめ
•攻撃は他山の石。明日は我が身
•防御だけがセキュリティではない。 Webサイト再開までを視野に入れる
•インシデント発生時に慌てても遅い。 事前の準備が重要
13年10月19日土曜日
「まずは、最新OSを導入し、ファイアウォールをきちんと設定して、むやみやたらに公開サービスを動作させないこと。また、無償の適当なセキュリティ製品は使わない。結局セキュリティ対策は基本が重要ということだ。」
@IT「基本に勝る防御なし:直撃取材! 「たて」の裏側」http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html
13年10月19日土曜日
CMS管理画面
• GoogleにはCMSの管理画面URLがインデックスされている
MT約8千件
WordPress約191万件
13年10月19日土曜日
よくある質問
•以下の対策は効果があるのか?
•バージョン情報の削除
• DBプレフィックス(wp_)の変更
•管理者ユーザー名の変更
•管理画面の海外からのアクセス禁止
•管理画面のBasic認証適応
•管理画面のSSL化
13年10月19日土曜日
セキュリティ参考サイト
• IPA(独立行政法人 情報処理推進機構)セキュリティセンターhttp://www.ipa.go.jp/security/index.html
• NISC(内閣官房情報セキュリティセンター)http://www.nisc.go.jp
• @POLICE (警察庁セキュリティポータルサイト)http://www.npa.go.jp/cyberpolice/
• 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)http://www.jpcert.or.jp/
13年10月19日土曜日
セキュリティ参考サイト
• マルウェアとハッキングされたサイトについて - ウェブマスター ツール ヘルプhttps://support.google.com/webmasters/answer/163633?hl=ja&ref_topic=2365140
• WordPress の安全性を高める - WordPress Codex 日本語版http://wpdocs.sourceforge.jp/WordPress_%E3%81%AE%E5%AE%89%E5%85%A8%E6%80%A7%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B
13年10月19日土曜日
ご清聴ありがとうございました
13年10月19日土曜日