Upload
six-apartltd
View
659
Download
1
Embed Size (px)
Citation preview
2014 年 8 月 24 日シックス・アパート株式会社
長内 毅志
Movable Type と CMS のセキュリティ
•長内毅志–2011 年~ Movable Type プロダクトマネージャー
–2014 年~ ディベロッパーリレーションマネー
ジャー
エバンジェリスト
–ダンスとジョギングと家族が大好きです。
アジェンダ
•最近の Web 改ざん
•どのような攻撃が存在するか
•Movable Type の特徴と安全性
•安全性を高めるために
最近の Web 改ざん
データ出典: JPCERT/CC インシデント報告対応レポートグラフ: http://www.nca.gr.jp/2013/web201303/
ガンブラー
http://www.ipa.go.jp/security/txt/2013/07outline.html
最近の改ざん手法
http://www.ipa.go.jp/security/txt/2013/07outline.html
•CMS の管理権限を奪取してウェブサイ
トを改ざん
•CMS の公開ディレクトリに任意のファ
イルをアップロードしてウェブサイト
を改ざん
CMS に関するハッキングの傾向
•20% は CMS のコア部分にある脆弱性
への攻撃、 80% はプラグインなど周
辺プログラムの脆弱性を狙った攻撃
BSI 「 Content Management Syttem 」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.htmlVia http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
•http://jvndb.jvn.jp/
ここまでのまとめ
•最近のウェブ改ざんは、ウェブサー
バーや CMS の脆弱性を狙って攻撃す
るケースが多い
どのような攻撃が存在するか
もっとも多いパターン
•使用されている CMS を識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
ブルートフォースアタック ( 総当り攻撃 )
イラスト:「 2014 年版 情報セキュリティ 10 大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html
ファイルアップロード攻撃 ( バックドア )
イラスト:「 2014 年版 情報セキュリティ 10 大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
その他
•SQL インジェクション
•CSRF
•XSS
–主にソフトウェアの脆弱性を付くもの
ここまでのまとめ
•CMS が特定できると、攻撃しやすい
•総当たり攻撃やファイルアップロード
攻撃など、攻撃者は CMS とプラグイ
ンの脆弱性を狙って攻撃をおこなう
Movable Type の特徴と安全性
CMS サーバーと公開サーバーの分離
ロックアウト
アップロードファイルの制限設定
•AssetFileExtensions
–アップロードできるファイルの種類を制限
•DeniedAssetFileExtensions
–アップロードできないファイルを設定
ジェネレーター情報の消去
• https://www.ipa.go.jp/security/topics/alert20130913.html
ここまでのまとめ
•Movable Type は安全性を高めるため
の設定・機能が揃っている
Movable Type の安全性を
さらに高めるために
最新版を使う
•最新版を使う
管理画面に Basic 認証をかける
•管理画面に Basic 認証をかける
CGI スクリプトの名称を変える
•CGI スクリプトの名称を変える
–AdminScript
•管理プログラムの CGI スクリプト名を設定します
–UpgradeScript
•アップグレードスクリプトを設定します
使わない CGI スクリプトの権限を変える
•使わない CGI スクリプトの権限を変え
る
–MT のコメント機能を利用していない
•mt-comments.cgi の実行権限を無くす
–トラックバック機能を利用していない
•mt-tb.cgi の実行権限を無くす
例
–Data API 機能を利用していない
•mt-data-api.cgi の実行権限を無くす
–ログフィード機能を利用していない
•mt-feed.cgi の実行権限を無くす
–公開サイトで MT の検索機能を利用していな
い
•mt-search.cgi, mt-ftsearch.cgi の実行権限を無く
す
ロックアウト設定をする
パスワードの強度を上げる
•パスワードの強度を上げる
パスワードの桁数と組み合わせの種類
文字種の数 4 桁 6 桁 8 桁
10 種( 数字のみ )
1 万 100 万 1 億
26 種( 英小文字 )
約 46 万 約 3 億 約 2 千億
62 種( 英数字 )
約 1500 万 約 570 億 約 220 兆
94 種( 英数記号 )
約 7800 万 約 6900 億 約 6100 兆
「 Web 担当者フォーラム」よりhttp://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
参考
https://howsecureismypassword.net/
•Movable Type を
安全に利用するために
http://www.movabletype.jp/blog/
secure_movable_type.html
まとめ
•常に最新版へアップデートすることが
改善防止につながる
•Movable Type の設定を調整すること
で、さらに安全性は高まる