More Related Content
Similar to ~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由 (20)
More from グローバルセキュリティエキスパート株式会社(GSX) (7)
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
- 2. 設立 2000年4月
資本金 1億円
株主 株式会社ビジネスブレイン太田昭和
兼松エレクトロニクス株式会社
本社 東京都港区海岸1丁目15番1号
国内初の情報セキュリティ専門コンサルティング会社として2000年に設立され、脆弱性診断、
コンサルティング、サイバーセキュリティサービスにいたる広範な情報セキュリティサービスを提供しています。
グローバルセキュリティエキスパート株式会社 会社概要
http://www.gsx.co.jp
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved.
- 3. Security
システムの脆弱性を検出
教育事業
コンサル
ティング
サイバー
セキュリティ
サービス
【導入・運用支援】
■GSX-SOC
■標的型攻撃対策 専用アプライアンス
■アラート解析サービス
■ UTM(統合脅威管理)アプライアンス
■ Webアプリケーションファイアウォール
(WAF)
■金融機関向け App for Splunk
【事故対応・教育等】
■標的型メール訓練サービス
■Mina Secure
■レッドチーム評価サービス
■マルウェア感染調査サービス
■セキュリティ事故対応
(緊急対応サービス)
■ Bot感染調査
■アクセスログ評価
■セキュリティ教育
脆弱性診断
■プラットフォーム診断
■Webアプリケーション診断
■スマホアプリセキュリティ診断
■IPv6診断
■データベース診断
■クラウドシステム診断
■PCI DSS対応 脆弱性診断&
スキャンサービス
【認定トレーニング及び認定資格試験】
■認定ネットワークディフェンダー(Certified Network Defender)
■認定ホワイトハッカー(Certified Ethical Hacker)
有効なマネジメントの確立
脅威に対抗するソリューション
情報セキュリティ人材育成(EC-Council)
■CSIRT構築運用支援サービス
■サイバーセキュリティ演習サービス
■情報セキュリティ現状調査サービス
■サイバーセキュリティ現状調査サービス
■内部不正に係る個人情報セキュリティ対策の評価現状調査
■スマートデバイスガイドライン策定支援
■クラウドサービスガイドライン策定支援
■セキュリティ監査/システム監査
■セキュリティポリシーの策定 ■リスクアセスメント評価
■ ISO認証取得・更新対応支援(ISMS/ITSMS/QMS/EMS等)
■セキュリティ教育(マネージメント)
■システム運用成熟度評価(ITIL)
- 6. インシデントの約3割が Web関連
インシデント 1月 2月 3月 合計
フィッシングサイト 297 311 316 924
Webサイト改ざん 122 77 69 268
マルウェアサイト 24 17 22 63
スキャン 684 618 543 1,845
DoS/DDoS 0 1 0 1
制御システム関連 2 0 5 7
標的型攻撃 2 2 2 6
その他 293 197 253 743
カテゴリ別インシデント件数
Web関連
33%
他
67%
【出典】JPCERT/CC インシデント報告対応レポート [2018 年 1 月 1 日 ~ 2018 年 3 月 31 日]
https://www.jpcert.or.jp/pr/2018/IR_Report20180412.pdf
計 3,857(件)
- 7. 順位 組織
1位 標的型攻撃による情報流出
2位 ランサムウェアによる被害
3位 ウェブサービスからの個人情報の窃取
4位 サービス妨害攻撃によるサービスの停止
5位 内部不正による情報漏えいとそれに伴う業務停止
6位 ウェブサイトの改ざん
7位 ウェブサービスへの不正ログイン
8位 IoT機器の脆弱性の顕在化
9位 攻撃のビジネス化(アンダーグラウンドサービス)
10位 インターネットバンキングやクレジットカード情報の不正利用
情報セキュリティ10大脅威 2017
職場に迫る脅威! 家庭に迫る脅威!? 急がば回れの心構えでセキュリティ対策を
【出典】情報セキュリティ10大脅威 2017:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2017.html
Web系が3つもランクイン!
- 8. 情報セキュリティ10大脅威 2018
引き続き行われるサイバー攻撃、あなたは守りきれますか?
【出典】情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/10threats2018.html
順位 組織
1位 標的型攻撃による被害
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺による被害
4位 脆弱性対策情報の公開に伴う悪用増加
5位 脅威に対応するためのセキュリティ人材の不足
6位 ウェブサービスからの個人情報の窃取 前年 3位
7位 IoT機器の脆弱性の顕在化
8位 内部不正による情報漏えい
9位 サービス被害攻撃によるサービスの停止
10位 犯罪のビジネス化(アンダーグラウンドサービス)
衝撃の事実
Web関係は
たった
ひとつに...
- 9. 順位 組織
1位 標的型攻撃による被害
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺による被害
4位 脆弱性対策情報の公開に伴う悪用増加
5位 脅威に対応するためのセキュリティ人材の不足
6位 ウェブサービスからの個人情報の窃取
7位 IoT機器の脆弱性の顕在化
8位 内部不正による情報漏えい
9位 サービス被害攻撃によるサービスの停止
10位 犯罪のビジネス化(アンダーグラウンドサービス)
順位 組織
1位 標的型攻撃による情報流出
2位 ランサムウェアによる被害
3位 ウェブサービスからの個人情報の窃取
4位 サービス妨害攻撃によるサービスの停止
5位 内部不正による情報漏えいとそれに伴う業務停止
6位 ウェブサイトの改ざん
7位 ウェブサービスへの不正ログイン
8位 IoT機器の脆弱性の顕在化
9位
攻撃のビジネス化
(アンダーグラウンドサービス)
10位
インターネットバンキングや
クレジットカード情報の不正利用
10大脅威のスコープが広がった結果
相対的にWeb関係の脅威が少なくなっています。
2017
2018
- 10. 【出典】JVN iPedia - 脆弱性対策情報データベース
https://jvndb.jvn.jp/
そして、日々重大なインシデントに
つながりかねない脆弱性が発表されています。
- 13. Single Page Application
シングルページアプリケーション(英: single-page application、SPA)とは、
単一のWebページのみから構成することで、デスクトップアプリケーション
のようなユーザ体験を提供するWebアプリケーションまたはWebサイトであ
る。必要なコード(HTML、JavaScript、CSS)は最初にまとめて読み込むか、
ユーザの操作などに応じて動的にサーバと通信し、必要なものだけ読み込みを
行う。
【出典】シングルページアプリケーション – Wikipedia
- 14. SPA (Single Page Application)
画面遷移
通常のWebページ遷移
必要なところだけを書き換えページ全体を書き換え
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
----
書き換え部分
- 19. ブラウザ
Host: ****.com
User-Agent: Mozilla/5.0 (Windows NT 10.0;
Win64; x64; rv:61.0) Gecko/20100101
Firefox/61.0
Accept: */*
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate, br
Referer: https://****.com/****
DNT: 1
Connection: keep-alive
JS が API に対して行う Request / Response を診断
Proxy
API
- 20. DOM Based XSS
JavaScript の DOM(Document Object Model)を利用した、クロスサイトスクリプティング
SPAの脆弱性診断に対応しているところでも「DOM Based XSS は除く」が多いです。
サーバーが XSS のコードをレスポンスする訳では無いため。
普通の XSS
閲覧者のブラウザで実行
JavaScript入りの書き込み
http://***.com/***.html#name=(スクリプト)
DOM Based XSS
リンク
例えば、document.cookie の内容を
攻撃者に送ってしまう。
パラメータ付きURLにアクセスさせる。
- 28. パケットフィルタだけでは
攻撃を検知・防御できません。
プロトコル ポート 暗号化
HTTP 80/tcp
HTTPS 443/tcp 〇
WS 80/tcp
WSS 443/tcp 〇
新しいWebの技術にも対応する
対策を取り入れましょう。
運営者、エンドユーザーが
被害に合わないために!
GET /WebSocket_Jetty/EchoServlet
HTTP/1.1
Upgrade: websocket
Connection: Upgrade
Host: 192.168.100.99:80
Origin: http://192.168.100.99:80
Pragma: no-cache
Cache-Control: no-cache
Sec-WebSocket-Key:
71HbaR+C2YJa8E7/b5s/qb==
Sec-WebSocket-Version: 13
Sec-WebSocket-Extensions: x-
webkit-deflate-frame