Enviar pesquisa
Carregar
セキュリティはじめのいっぽ #cmujp
•
4 gostaram
•
1,977 visualizações
tama200x Kobayashi
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 36
Baixar agora
Baixar para ler offline
Recomendados
バックオフィスもいない30人の会社に飛び込んで、3年半かけてやったこと #PRLT
バックオフィスもいない30人の会社に飛び込んで、3年半かけてやったこと #PRLT
Noriko Nakane
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る
AkitadaOmagari
【モバイルリサーチの整理と理解】 株式会社ハンズリンク
【モバイルリサーチの整理と理解】 株式会社ハンズリンク
Hidekazu Hamano
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
UEHARA, Tetsutaro
StartUp Sass + Compass [基本と活用]
StartUp Sass + Compass [基本と活用]
Komei Otake
ドメインとDNS これだけ知ろう5つの技 / 第5回Creators Meetup session04
ドメインとDNS これだけ知ろう5つの技 / 第5回Creators Meetup session04
Akira Matsuda
Responsive Web Design make with CSS Framework
Responsive Web Design make with CSS Framework
Komei Otake
Google devtools活用術
Google devtools活用術
Yuki Tanaka
Recomendados
バックオフィスもいない30人の会社に飛び込んで、3年半かけてやったこと #PRLT
バックオフィスもいない30人の会社に飛び込んで、3年半かけてやったこと #PRLT
Noriko Nakane
2018年のセキュリティを振り返る
2018年のセキュリティを振り返る
AkitadaOmagari
【モバイルリサーチの整理と理解】 株式会社ハンズリンク
【モバイルリサーチの整理と理解】 株式会社ハンズリンク
Hidekazu Hamano
2014年の不正アクセス(まっちゃ139 2014.12.13)
2014年の不正アクセス(まっちゃ139 2014.12.13)
UEHARA, Tetsutaro
StartUp Sass + Compass [基本と活用]
StartUp Sass + Compass [基本と活用]
Komei Otake
ドメインとDNS これだけ知ろう5つの技 / 第5回Creators Meetup session04
ドメインとDNS これだけ知ろう5つの技 / 第5回Creators Meetup session04
Akira Matsuda
Responsive Web Design make with CSS Framework
Responsive Web Design make with CSS Framework
Komei Otake
Google devtools活用術
Google devtools活用術
Yuki Tanaka
昔の恋の話をしよう。CrescentEve - 2人のエディタの物語
昔の恋の話をしよう。CrescentEve - 2人のエディタの物語
Reimi Kuramochi Chiba
The color makotohirahara
The color makotohirahara
Makoto Hirahara
Coda
Coda
horike37
Creators meetup5
Creators meetup5
Kenichi Mukai
ものづくりに行き詰まったSTAR WARSファンへ捧げる - ジェダイマスター12の教え -
ものづくりに行き詰まったSTAR WARSファンへ捧げる - ジェダイマスター12の教え -
Reimi Kuramochi Chiba
オンラインタスク管理ツールをWebサービス開発と運用に役立てよう!
オンラインタスク管理ツールをWebサービス開発と運用に役立てよう!
Shinsaku Chikura
開発合宿のすゝめ
開発合宿のすゝめ
Reimi Kuramochi Chiba
マインドマップ発想法×ロジックツリー手法によるコンテンツ設計
マインドマップ発想法×ロジックツリー手法によるコンテンツ設計
Reimi Kuramochi Chiba
Prototyping by Adobe Illustrator
Prototyping by Adobe Illustrator
Naoki Kanazawa
フリー3ヶ月目で思う、2年後稼げるWebデザイナー像
フリー3ヶ月目で思う、2年後稼げるWebデザイナー像
Keisuke Imura
高速化はじめの一歩
高速化はじめの一歩
Yuki Nakane
今から始めるPhotoshopによるWeb制作-初期設定編
今から始めるPhotoshopによるWeb制作-初期設定編
regret raym
第13回 CreatorsMeetup 〜HTML5時代に必要なスキルと考え方〜
第13回 CreatorsMeetup 〜HTML5時代に必要なスキルと考え方〜
Daisuke Yamazaki
第1回concrete5初心者向け勉強会 環境構築
第1回concrete5初心者向け勉強会 環境構築
武彦 大山
コミュニケーション能力を高めようヒッチハイク旅のススメ
コミュニケーション能力を高めようヒッチハイク旅のススメ
Sosuke Eguchi
Nana cmujp
Nana cmujp
Takashi Tsujikawa
20141220 CreatorsMeetup23
20141220 CreatorsMeetup23
Seigo Tanaka
ギークな人たちの最新トレンド を『下北沢オープンソース Cafe水曜部』でキャッチしよ う♪
ギークな人たちの最新トレンド を『下北沢オープンソース Cafe水曜部』でキャッチしよ う♪
Shinsaku Chikura
ウェブや資料の翻訳 直訳していませんか?
ウェブや資料の翻訳 直訳していませんか?
Yasuko WATANABE
ハタラキカタに選択肢を
ハタラキカタに選択肢を
Kenji Ono
20150926 WordBenchTOKYO WordPressLicense
20150926 WordBenchTOKYO WordPressLicense
tama200x Kobayashi
WordBench大阪#22資料「Webサイトを安全にするために」
WordBench大阪#22資料「Webサイトを安全にするために」
tama200x Kobayashi
Mais conteúdo relacionado
Destaque
昔の恋の話をしよう。CrescentEve - 2人のエディタの物語
昔の恋の話をしよう。CrescentEve - 2人のエディタの物語
Reimi Kuramochi Chiba
The color makotohirahara
The color makotohirahara
Makoto Hirahara
Coda
Coda
horike37
Creators meetup5
Creators meetup5
Kenichi Mukai
ものづくりに行き詰まったSTAR WARSファンへ捧げる - ジェダイマスター12の教え -
ものづくりに行き詰まったSTAR WARSファンへ捧げる - ジェダイマスター12の教え -
Reimi Kuramochi Chiba
オンラインタスク管理ツールをWebサービス開発と運用に役立てよう!
オンラインタスク管理ツールをWebサービス開発と運用に役立てよう!
Shinsaku Chikura
開発合宿のすゝめ
開発合宿のすゝめ
Reimi Kuramochi Chiba
マインドマップ発想法×ロジックツリー手法によるコンテンツ設計
マインドマップ発想法×ロジックツリー手法によるコンテンツ設計
Reimi Kuramochi Chiba
Prototyping by Adobe Illustrator
Prototyping by Adobe Illustrator
Naoki Kanazawa
フリー3ヶ月目で思う、2年後稼げるWebデザイナー像
フリー3ヶ月目で思う、2年後稼げるWebデザイナー像
Keisuke Imura
高速化はじめの一歩
高速化はじめの一歩
Yuki Nakane
今から始めるPhotoshopによるWeb制作-初期設定編
今から始めるPhotoshopによるWeb制作-初期設定編
regret raym
第13回 CreatorsMeetup 〜HTML5時代に必要なスキルと考え方〜
第13回 CreatorsMeetup 〜HTML5時代に必要なスキルと考え方〜
Daisuke Yamazaki
第1回concrete5初心者向け勉強会 環境構築
第1回concrete5初心者向け勉強会 環境構築
武彦 大山
コミュニケーション能力を高めようヒッチハイク旅のススメ
コミュニケーション能力を高めようヒッチハイク旅のススメ
Sosuke Eguchi
Nana cmujp
Nana cmujp
Takashi Tsujikawa
20141220 CreatorsMeetup23
20141220 CreatorsMeetup23
Seigo Tanaka
ギークな人たちの最新トレンド を『下北沢オープンソース Cafe水曜部』でキャッチしよ う♪
ギークな人たちの最新トレンド を『下北沢オープンソース Cafe水曜部』でキャッチしよ う♪
Shinsaku Chikura
ウェブや資料の翻訳 直訳していませんか?
ウェブや資料の翻訳 直訳していませんか?
Yasuko WATANABE
ハタラキカタに選択肢を
ハタラキカタに選択肢を
Kenji Ono
Destaque
(20)
昔の恋の話をしよう。CrescentEve - 2人のエディタの物語
昔の恋の話をしよう。CrescentEve - 2人のエディタの物語
The color makotohirahara
The color makotohirahara
Coda
Coda
Creators meetup5
Creators meetup5
ものづくりに行き詰まったSTAR WARSファンへ捧げる - ジェダイマスター12の教え -
ものづくりに行き詰まったSTAR WARSファンへ捧げる - ジェダイマスター12の教え -
オンラインタスク管理ツールをWebサービス開発と運用に役立てよう!
オンラインタスク管理ツールをWebサービス開発と運用に役立てよう!
開発合宿のすゝめ
開発合宿のすゝめ
マインドマップ発想法×ロジックツリー手法によるコンテンツ設計
マインドマップ発想法×ロジックツリー手法によるコンテンツ設計
Prototyping by Adobe Illustrator
Prototyping by Adobe Illustrator
フリー3ヶ月目で思う、2年後稼げるWebデザイナー像
フリー3ヶ月目で思う、2年後稼げるWebデザイナー像
高速化はじめの一歩
高速化はじめの一歩
今から始めるPhotoshopによるWeb制作-初期設定編
今から始めるPhotoshopによるWeb制作-初期設定編
第13回 CreatorsMeetup 〜HTML5時代に必要なスキルと考え方〜
第13回 CreatorsMeetup 〜HTML5時代に必要なスキルと考え方〜
第1回concrete5初心者向け勉強会 環境構築
第1回concrete5初心者向け勉強会 環境構築
コミュニケーション能力を高めようヒッチハイク旅のススメ
コミュニケーション能力を高めようヒッチハイク旅のススメ
Nana cmujp
Nana cmujp
20141220 CreatorsMeetup23
20141220 CreatorsMeetup23
ギークな人たちの最新トレンド を『下北沢オープンソース Cafe水曜部』でキャッチしよ う♪
ギークな人たちの最新トレンド を『下北沢オープンソース Cafe水曜部』でキャッチしよ う♪
ウェブや資料の翻訳 直訳していませんか?
ウェブや資料の翻訳 直訳していませんか?
ハタラキカタに選択肢を
ハタラキカタに選択肢を
Mais de tama200x Kobayashi
20150926 WordBenchTOKYO WordPressLicense
20150926 WordBenchTOKYO WordPressLicense
tama200x Kobayashi
WordBench大阪#22資料「Webサイトを安全にするために」
WordBench大阪#22資料「Webサイトを安全にするために」
tama200x Kobayashi
WordPressBackupプラグインあれこれ
WordPressBackupプラグインあれこれ
tama200x Kobayashi
WordPress on C4SA
WordPress on C4SA
tama200x Kobayashi
2012/8/26 サーバを引っ越す+ドメイン管理会社(レジストラ)を変える@【第四回】初心者向けホームページ勉強会
2012/8/26 サーバを引っ越す+ドメイン管理会社(レジストラ)を変える@【第四回】初心者向けホームページ勉強会
tama200x Kobayashi
2012/6/10 Webのパフォーマンスを考える @ 【第三回】初心者向けホームページ勉強会
2012/6/10 Webのパフォーマンスを考える @ 【第三回】初心者向けホームページ勉強会
tama200x Kobayashi
2012/5/19 Webのパフォーマンスを考える ~WordPressと付き合うために~ @ WB Osaka
2012/5/19 Webのパフォーマンスを考える ~WordPressと付き合うために~ @ WB Osaka
tama200x Kobayashi
Mais de tama200x Kobayashi
(7)
20150926 WordBenchTOKYO WordPressLicense
20150926 WordBenchTOKYO WordPressLicense
WordBench大阪#22資料「Webサイトを安全にするために」
WordBench大阪#22資料「Webサイトを安全にするために」
WordPressBackupプラグインあれこれ
WordPressBackupプラグインあれこれ
WordPress on C4SA
WordPress on C4SA
2012/8/26 サーバを引っ越す+ドメイン管理会社(レジストラ)を変える@【第四回】初心者向けホームページ勉強会
2012/8/26 サーバを引っ越す+ドメイン管理会社(レジストラ)を変える@【第四回】初心者向けホームページ勉強会
2012/6/10 Webのパフォーマンスを考える @ 【第三回】初心者向けホームページ勉強会
2012/6/10 Webのパフォーマンスを考える @ 【第三回】初心者向けホームページ勉強会
2012/5/19 Webのパフォーマンスを考える ~WordPressと付き合うために~ @ WB Osaka
2012/5/19 Webのパフォーマンスを考える ~WordPressと付き合うために~ @ WB Osaka
Último
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
Último
(8)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
セキュリティはじめのいっぽ #cmujp
1.
セキュリティ、はじめのいっぽ 第5回Creators MeetUp 2013/6/22 こばやし たけし
(@tama200x)
2.
自己紹介 • こばやし たけし • 会社員してます 昔はインフラエンジニアしてました YAMAHAのルータが大好きです •
Twitter @tama200x Facebook tama200x
3.
初音ミク Tカード
4.
初音ミク Tカード 「Tサイトから住所・氏名・電話番号の漏洩の可能性」については以下を参照 高木浩光@自宅の日記 -
空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記(4月1日)訂正あり http://takagi-hiromitsu.jp/diary/20130330.html
5.
6.
7.
4月以降に改竄されたWebサイト
8.
Webサイトの改竄の傾向 • 今年4月以降に約1000件以上発生(6/7現在) • サイトが書き換えられ、攻撃ツールが設置されたサイ トへ誘導される •
FTP/SSHのアカウント情報を搾取されている可能性あ り 2010年 Gumblar以来の 発生頻度
9.
不正侵入されたWebサービス
10.
不正侵入の傾向 • 既知の脆弱性やSQLインジェクションが原因 • 最も多いのは 「ID/PWの不正利用による侵入」(11件)
11.
不正侵入の傾向 発生日 サイト 原因
影響 2013/03/06 JINSオンラインショップ Struts 2の脆弱性 最大2059件のカード情報漏えい 2013/03/22 一休.com ID不正利用によるログイン 不明 2013/03/26 Tサイト ID不正利用によるログイン 299件のTポイントが盗難 2013/04/01 eBookJapan ID不正利用によるログイン 799件の不正ログイン 2013/04/02 Yahoo! Japan 不正侵入? ID/PW/秘密の質問 持ちだそうとした可能性 2013/04/02 Goo ID不正利用によるログイン 約11万件の不正なログイン 2013/04/04 フレッツ光メンバーズクラブ ID不正利用によるログイン 個人情報107件が閲覧 2013/04/19 My JR-EAST ID不正利用によるログイン 個人情報97件が閲覧 2013/04/23 エクスコムグローバル SQLインジェクション 最大10万件のカード情報漏えい 2013/04/24 ハピネット・オンライン ID不正利用によるログイン 9606回の不正ログイン、カード情報の漏洩 2013/05/08 ディノスオンラインショップ ID不正利用によるログイン 個人情報約23件が閲覧 2013/05/15 三越オンラインショッピング ID不正利用によるログイン 個人情報約8289件が閲覧 2013/05/16 Yahoo! Japan 不正侵入? 2200万ID分のID/PW/秘密の質問が漏洩 2013/05/21 イード「インサイド」 ID不正利用によるログイン 個人情報約2515件が閲覧 2013/05/13 阪急・阪神オンラインショッピング ID不正利用によるログイン 個人情報約2382件、カード情報約1360件の閲覧
12.
ID/PWの不正利用 • 以前は管理者アカウントを狙い、辞書による 総当り攻撃が多かった • 今年になってから、他のサイトから流出した ID/PWを使用した攻撃が頻発
13.
WordPressを標的とした攻撃 • 今年4月より頻発 • adminアカウントを標的に辞書攻撃が主流
14.
攻撃の現状 • 脆弱性をつく攻撃 • SQLインジェクション •
既知の脆弱性 • 新しい攻撃 • 他サイトのID/PWを利用した攻撃 • WordPressを狙う攻撃
15.
情報セキュリティとは? • 機密性 (confidentiality) アクセスを認められた者だけに、アクセスで きる状態を確保すること •
完全性 (integrity) 改ざん、消去されていない状態を確保するこ と • 可用性 (availability) アクセスを認められた者が、必要時に中断す ることなくアクセスできること
16.
事故と情報セキュリティ • JINSオンラインショップ • Tサイト •
TOYOTA Webサイト
17.
JINSオンラインショップ • 状況 Struts 2の脆弱性をつかれて侵入され、カード情報を 含む情報が漏洩した •
機密性 → ☓ 不正に侵入され第三者がカード情報を入手してしま った • 完全性 → ? 改ざん、消去された可能性も想定される • 可用性 → ☓ 対応のためオンラインショップを停止
18.
Tサイト • 状況 不正使用されたID/PWでログインを許し、Tポイント の交換が行われた • 機密性 → ☓ 不正に入手したID/PWでログインされた •
完全性 → ☓ Tポイントが盗難された • 可用性 → △ 被害者は一時、Tポイントの使用ができなかった
19.
TOYOTA Webサイト • 状況 Webサイトに不正侵入され、サイトが改竄された •
機密性 → ☓ 不正侵入された可能性が高い • 完全性 → ☓ Webサイトの内容が改竄された • 可用性 → ☓ 該当サイトの停止
20.
対策の考え方 •防御 •記録 •検知 •復旧 •データの保管 防御は重要 万一侵入された時にも原因調査と、 サービス再開の方策を予め準備する
21.
防御 (1) • 自宅ではどのように守っていますか? •
オートロック • 鍵を複数設置 • 見つかりにくいところに保管 Webも同様 複数の防衛手段を組み合わせる
22.
防御 (2) • サーバレベルでの防御 •
OSのセキュリティパッチの適応 • 稼働させるサービス(デーモン)を最小限に • 管理ユーザーは暗号化されていないプロトコルで 接続しない • アカウント管理 • パスワードポリシー、パスワードの定期的な変更 • 証明書の使用
23.
防御 (3) • サーバーアプリケーションレベルでの防御 •
セキュリティパッチの適応 • IP制限 • ユーザーアプリケーションレベルでの防御 • セキュアなコーディング • 定期的なセキュリティ診断 • WAF(Web Application Firewall)
24.
防御 (4) • ネットワークレベルでの防御 •
プロトコル制限、IP制限 • データ・ソースレベルの防御 • 暗号化、難読化
25.
記録 (1) • 報告、原因調査、対策のために記録を残す •
「いつ、 どうやって、どこから 、なにを」 • 記録が改竄されない仕組み ☆ 課題 ☆ 自分がやっていない記録は どのようにとるか?
26.
記録 (2) • 保存する記録の例 •
FTP/SSHのログインログ • FTPの読み書きログ • サーバーアプリケーションのログ (Webサーバなど) • ユーザーアプリケーションのログ
27.
検知 (1) • 被害にあう前に、 検知→遮断できるのが望ましい •
被害が拡大する前に検知する • 利用者から指摘されて発覚は避けたい
28.
検知 (2) • IDS(Intrusion
Detection System) • 改竄検知ソフトウェア(Tripwireなど) • WAF(Web Application Firewall) • ユーザーアプリケーションレベルでの検知
29.
復旧 • バックアップ • 保存先は別の筐体/媒体に •
世代管理の重要性 • バージョン管理ソフトウェア
30.
データの保管 • そのデータ本当に必要ですか? • 事例:エクスコムグローバル •
本来保存してはならない「セキュリティコ ード」を保管していた • 決済終了後も長期間保管していた • 結果として2011/3/7∼2013/4/23まで約 2年分のデータが漏洩=約10万件
31.
参考資料 • 外見上変化のないウェブサイト改ざん事案の多発につ いて [PDF:
約134KB] 警察庁@police http://www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf • Web サイト改ざんに関する注意喚起 JPCERT/CC http://www.jpcert.or.jp/at/2013/at130027.html • 「 ウェブサイトが改ざんされないように対策を! 」 IPAセキュリティセンター https://www.ipa.go.jp/security/txt/2013/06outline.html • 5月から多発しているHP改ざんインシデントをまと めてみた。 - piyolog http://d.hatena.ne.jp/Kango/20130604/1370353242
32.
「まずは、最新OSを導入し、ファイアウ ォールをきちんと設定して、むやみやたら に公開サービスを動作させないこと。ま た、無償の適当なセキュリティ製品は使わ ない。結局セキュリティ対策は基本が重要 ということだ。」 @IT「基本に勝る防御なし:直撃取材! 「たて」の裏側」 http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html
33.
おまけ
34.
CMS管理画面 • GoogleにはCMSの管理画面URLがインデッ クスされているΣ(゚Д゚; MT 約8千件 WordPress 約191万件
35.
robots.txt • robots.txtから管理画面URLが推測される
36.
ありがとうございました!
Baixar agora