51
WEBサイトを安全にするために 2013/10/19 22WORDBENCH 大阪 こばやし たけし (@tama200x) 131019日土曜日

WordBench大阪#22資料「Webサイトを安全にするために」

Embed Size (px)

Citation preview

Page 1: WordBench大阪#22資料「Webサイトを安全にするために」

WEBサイトを安全にするために

2013/10/19第22回 WORDBENCH 大阪

こばやし たけし (@tama200x)

13年10月19日土曜日

Page 2: WordBench大阪#22資料「Webサイトを安全にするために」

WEB改ざんの件数

IPA 独立行政法人 情報処理推進機構:ウェブサイト改ざん等のインシデントに対する注意喚起~

ウェブサイト改ざんが急激に増えています~http://www.ipa.go.jp/security/topics/alert20130906.html

13年10月19日土曜日

Page 3: WordBench大阪#22資料「Webサイトを安全にするために」

攻撃

13年10月19日土曜日

Page 4: WordBench大阪#22資料「Webサイトを安全にするために」

だれが攻撃するのか?

なぜ攻撃するのか?

13年10月19日土曜日

Page 5: WordBench大阪#22資料「Webサイトを安全にするために」

攻撃者の正体【2001年頃】

•主に個人

【現在】

•プロ集団

•国家的組織

セキュリティ上の脅威の進化と企業への影響 - The Official Microsoft Japan Blog -http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx

13年10月19日土曜日

Page 6: WordBench大阪#22資料「Webサイトを安全にするために」

攻撃者の目的【2001年頃】

•コミュニティ内の名声

•脆弱性の指摘

【現在】

•金銭目的

•知的財産や機密情報の入手

•サービス妨害

セキュリティ上の脅威の進化と企業への影響 - The Official Microsoft Japan Blog -http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx

13年10月19日土曜日

Page 7: WordBench大阪#22資料「Webサイトを安全にするために」

攻撃者の手口【2001年頃】

•無作為に攻撃

• Webサイトの書き換え

• DoS攻撃

【現在】

•ターゲットを絞り込む

•データの不正入手

• DDoS攻撃

•ボットネット

セキュリティ上の脅威の進化と企業への影響 - The Official Microsoft Japan Blog -http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx

13年10月19日土曜日

Page 8: WordBench大阪#22資料「Webサイトを安全にするために」

•電子メールアドレスのリスト

•クレジットカード番号のリスト

•ネットバンキングのID/PW

•攻撃用ツール

闇市場で取引されるもの

13年10月19日土曜日

Page 9: WordBench大阪#22資料「Webサイトを安全にするために」

なぜ気づかないのか

13年10月19日土曜日

Page 10: WordBench大阪#22資料「Webサイトを安全にするために」

埋め込まれている状況

0day.jp (ゼロデイ.JP):OCJP-115:本日の分マルウェア感染コードにインジェクションされた国内のサイト

http://unixfreaxjp.blogspot.jp/2013/07/ocjp-115i.html13年10月19日土曜日

Page 11: WordBench大阪#22資料「Webサイトを安全にするために」

PC遠隔事件犯のメッセージ

『iesys(トロイプログラム)については見つけられなくても仕方が無いです。

投入前に、主要なウイルス対策ソフトの体験版をいくつか試用し、検知に引っかからないことを確認しました。(以下略)』

【PC遠隔操作事件】ラストメッセージ全文(上)(江川 紹子) - 個人 - Yahoo!ニュースhttp://bylines.news.yahoo.co.jp/egawashoko/20130810-00027168/

13年10月19日土曜日

Page 12: WordBench大阪#22資料「Webサイトを安全にするために」

なぜWORDPRESSが狙われるのか?

•利用者が多い

•オープンソースである

•Webサイト上のWordPressのアップデートが行われていない

13年10月19日土曜日

Page 13: WordBench大阪#22資料「Webサイトを安全にするために」

Webサイトの 20.1% が WordPress(2013/10現在)

Historical trends in the usage of content management systems, October 2013http://w3techs.com/technologies/history_overview/content_management/all/

ということはWordPress用攻撃コードはWebサイトの20%に有効

13年10月19日土曜日

Page 14: WordBench大阪#22資料「Webサイトを安全にするために」

オープンソースのメリット・デメリット

•メリット多くのエンジニアがソースコードを参照することができるので脆弱性を発見しやすい

•デメリット攻撃者はソースコードを参照することで脆弱性を特定し、攻撃手法を確立することが可能

13年10月19日土曜日

Page 15: WordBench大阪#22資料「Webサイトを安全にするために」

WORDPRESSのアップデート状況

8割のWordPressサイトは既知の脆弱性を含んでいる

WordPress > About >>Statisticshttp://wordpress.org/about/stats/

13年10月19日土曜日

Page 16: WordBench大阪#22資料「Webサイトを安全にするために」

SECURITY FIX (2013~)

•WordPress 3.5.1 (2013/1/24) ... 3 security fix

•WordPress 3.5.2 (2013/6/21) ... 7 security fix

•WordPress 3.6.1 (2013/9/11) ... 3 security fix

13年10月19日土曜日

Page 17: WordBench大阪#22資料「Webサイトを安全にするために」

プラグインの脆弱性

The Security State of WordPress' Top 50 Plugins - Checkmarx'http://www.checkmarx.com/white_papers/the-security-state-of-wordpress-top-50-plugins/

•プラグインの20%に脆弱性

•eコマースプラグインの多くに脆弱性

13年10月19日土曜日

Page 18: WordBench大阪#22資料「Webサイトを安全にするために」

WORDPRESSへの攻撃例•脆弱性

• timthumb.phpの脆弱性(2011/8)任意のphpをアップロードして実行可能

•管理画面への攻撃

•ブルートフォース攻撃

13年10月19日土曜日

Page 19: WordBench大阪#22資料「Webサイトを安全にするために」

どんな攻撃があるのか

13年10月19日土曜日

Page 20: WordBench大阪#22資料「Webサイトを安全にするために」

FTPアカウント盗用攻撃

IPA 独立行政法人 情報処理推進機構:コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について

http://www.ipa.go.jp/security/txt/2010/02outline.html13年10月19日土曜日

Page 21: WordBench大阪#22資料「Webサイトを安全にするために」

パスワードリスト攻撃

IPA 独立行政法人 情報処理推進機構:2013年8月の呼びかけhttps://www.ipa.go.jp/security/txt/2013/08outline.html

13年10月19日土曜日

Page 22: WordBench大阪#22資料「Webサイトを安全にするために」

想定される攻撃

•WordPressへの攻撃

•Webサーバへの攻撃

•サーバ本体(OS等)への攻撃

13年10月19日土曜日

Page 23: WordBench大阪#22資料「Webサイトを安全にするために」

想定される攻撃

• WordPressへの攻撃•管理画面へのブルートフォース攻撃•既知の脆弱性への攻撃•未知の脆弱性への攻撃

• Webサーバへの攻撃• FTPアカウント盗用による攻撃

13年10月19日土曜日

Page 24: WordBench大阪#22資料「Webサイトを安全にするために」

防御

13年10月19日土曜日

Page 25: WordBench大阪#22資料「Webサイトを安全にするために」

WEBサイトを守るために

•サイトを守る

•改ざんを検知する

•アクセスを記録する

•サイトを復旧する

•改ざんに備える

13年10月19日土曜日

Page 26: WordBench大阪#22資料「Webサイトを安全にするために」

サイトを守る

• 一般的なWebサイトの防御

• WordPress固有の防御

13年10月19日土曜日

Page 27: WordBench大阪#22資料「Webサイトを安全にするために」

一般的なWEBサイトの防御

13年10月19日土曜日

Page 28: WordBench大阪#22資料「Webサイトを安全にするために」

一般的なWEBサイトの防御

【管理端末の防御】FTPアカウント盗用攻撃からの防御

• OS/アプリケーションのアップデート(特にAdobe Reader / Flash Player / Java(JRE))

• FTPS/SFTP/sshなどセキュアなプロトコルの使用• FTP/sshの接続元制限

13年10月19日土曜日

Page 29: WordBench大阪#22資料「Webサイトを安全にするために」

一般的なWEBサイトの防御

【 WAFの併用】不正なアクセスの検出と防御

• Web Application Firewallの略• Webサーバの手前に設置する• Webを経由した攻撃(SQLインジェクション・XSS等)を検出する

13年10月19日土曜日

Page 30: WordBench大阪#22資料「Webサイトを安全にするために」

WORDPRESSサイト固有の防御

13年10月19日土曜日

Page 31: WordBench大阪#22資料「Webサイトを安全にするために」

WORDPRESSサイト固有の防御

【管理画面への不正侵入防止】• ユーザーIDの変更(ADMINを使用しない)

 → 現在のブルートフォース攻撃には有効だが...• ユーザーIDのパスワードの複雑化 → ブルートフォース攻撃対策

• ユーザーIDとパスワードを他と同じにしない → パスワードリスト攻撃対策

• 管理画面へのIPアドレスでのアクセス制限

13年10月19日土曜日

Page 32: WordBench大阪#22資料「Webサイトを安全にするために」

WORDPRESSサイト固有の防御

【脆弱性への対応】• WordPress本体、テーマ、プラグインの更新 → 脆弱性への対応が含まれる場合がある

•野良テーマ、野良プラグインの使用は控える → 安全性をどこで担保するか?

13年10月19日土曜日

Page 33: WordBench大阪#22資料「Webサイトを安全にするために」

WORDPRESSサイト固有の防御

【更新端末の防御】ユーザーID/PWの盗聴防止

•管理画面のSSL化•ワンタイムパスワードの使用• OS/アプリケーションのアップデート

13年10月19日土曜日

Page 34: WordBench大阪#22資料「Webサイトを安全にするために」

改ざんを検知する

• IPA推奨の手順

• Google Webマスターツール

• Google セーフ ブラウジング診断ページ

•改ざん検知サービス

13年10月19日土曜日

Page 35: WordBench大阪#22資料「Webサイトを安全にするために」

IPAが推奨する検知手順

•オリジナルHTMLソースとの比較

• HTMLソースをセキュリティソフトでスキャン

• ftpアクセスログを確認

http://www.ipa.go.jp/security/txt/2013/06outline.html

13年10月19日土曜日

Page 36: WordBench大阪#22資料「Webサイトを安全にするために」

GOOGLE WEBマスターツール

• Webマスターツールに登録しておくと、悪意のあるソフトウェアをホストまたは配布しているサイトをしてGoogle側で認識すると、管理画面および関連のメールアドレスに通知がされる

• 被害拡大を抑えるため、 URL削除ツールにより一時的に検索結果から外すことが可能

• Fetch As Google ツールを使用すると随時検査が可能。完全に除去されたかを確認するために使用できる

13年10月19日土曜日

Page 37: WordBench大阪#22資料「Webサイトを安全にするために」

GOOGLE セーフ ブラウジング診断ページ

http://www.google.com/safebrowsing/diagnostic?site=www.example.com

13年10月19日土曜日

Page 38: WordBench大阪#22資料「Webサイトを安全にするために」

改ざん検知サービスの例

•「gredセキュリティサービス」( http://www.securebrain.co.jp/products/gred/ )

• HTMLのソースを解析し、改ざんによく使用される記述を検出

•ホスティング事業者でも採用(ファーストサーバ等)

13年10月19日土曜日

Page 39: WordBench大阪#22資料「Webサイトを安全にするために」

アクセスを記録する

•なにを記録するのか?•いつ、どこから、どのようなアクセスが発生したかを記録に残す

•なぜ記録するのか?•攻撃日時の特定•原因となった脆弱性の特定と再発防止

13年10月19日土曜日

Page 40: WordBench大阪#22資料「Webサイトを安全にするために」

CRAZY BONE(狂骨)

• @wokamotoさん作のWordPressのログイン履歴を記録するプラグイン

•攻撃者の侵入履歴が確認できる可能性がある

13年10月19日土曜日

Page 41: WordBench大阪#22資料「Webサイトを安全にするために」

サイトを復旧する

•被害から復旧までの流れ

1. サイトの停止2. 原因の調査と、攻撃ルートの確定3. 復旧作業4. サイト再開5. 利用者への告知

13年10月19日土曜日

Page 42: WordBench大阪#22資料「Webサイトを安全にするために」

復旧時の注意点

•信頼がおけないデータは使用しない  → 攻撃用のプログラムが残置し再攻撃の可能性も

•いつのバックアップであれば信頼できるか  → 攻撃をうけた時刻を記録することの重要性

•信頼がおけるデータをもとに復旧する  → バックアップの重要性

13年10月19日土曜日

Page 43: WordBench大阪#22資料「Webサイトを安全にするために」

復旧あるある

•バックアップデータが戻せません!

•バックアップデータが不足しています!

• phpMyAdminがタイムアウトします!

•リストアするのに何時間かかるんだろう...

13年10月19日土曜日

Page 44: WordBench大阪#22資料「Webサイトを安全にするために」

インシデントに備える

•インシデント発生時の連絡体制•社内•お客様•制作会社•ホスティング事業者・サーバ運用会社

• Webサイトを停止する判断はだれがするのか?•インシデント発生時の復旧までの予行演習

13年10月19日土曜日

Page 45: WordBench大阪#22資料「Webサイトを安全にするために」

まとめ

•攻撃は他山の石。明日は我が身

•防御だけがセキュリティではない。      Webサイト再開までを視野に入れる

•インシデント発生時に慌てても遅い。             事前の準備が重要

13年10月19日土曜日

Page 46: WordBench大阪#22資料「Webサイトを安全にするために」

「まずは、最新OSを導入し、ファイアウォールをきちんと設定して、むやみやたらに公開サービスを動作させないこと。また、無償の適当なセキュリティ製品は使わない。結局セキュリティ対策は基本が重要ということだ。」

@IT「基本に勝る防御なし:直撃取材! 「たて」の裏側」http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html

13年10月19日土曜日

Page 47: WordBench大阪#22資料「Webサイトを安全にするために」

CMS管理画面

• GoogleにはCMSの管理画面URLがインデックスされている

MT約8千件

WordPress約191万件

13年10月19日土曜日

Page 48: WordBench大阪#22資料「Webサイトを安全にするために」

よくある質問

•以下の対策は効果があるのか?

•バージョン情報の削除

• DBプレフィックス(wp_)の変更

•管理者ユーザー名の変更

•管理画面の海外からのアクセス禁止

•管理画面のBasic認証適応

•管理画面のSSL化

13年10月19日土曜日

Page 49: WordBench大阪#22資料「Webサイトを安全にするために」

セキュリティ参考サイト

• IPA(独立行政法人 情報処理推進機構)セキュリティセンターhttp://www.ipa.go.jp/security/index.html

• NISC(内閣官房情報セキュリティセンター)http://www.nisc.go.jp

• @POLICE (警察庁セキュリティポータルサイト)http://www.npa.go.jp/cyberpolice/

• 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)http://www.jpcert.or.jp/

13年10月19日土曜日

Page 50: WordBench大阪#22資料「Webサイトを安全にするために」

セキュリティ参考サイト

• マルウェアとハッキングされたサイトについて - ウェブマスター ツール ヘルプhttps://support.google.com/webmasters/answer/163633?hl=ja&ref_topic=2365140

• WordPress の安全性を高める - WordPress Codex 日本語版http://wpdocs.sourceforge.jp/WordPress_%E3%81%AE%E5%AE%89%E5%85%A8%E6%80%A7%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B

13年10月19日土曜日

Page 51: WordBench大阪#22資料「Webサイトを安全にするために」

ご清聴ありがとうございました

13年10月19日土曜日