1. セキュリティ、はじめのいっぽ
第5回Creators MeetUp
2013/6/22
こばやし たけし (@tama200x)

2. 自己紹介
• こばやし たけし
• 会社員してます
昔はインフラエンジニアしてました
YAMAHAのルータが大好きです
• Twitter @tama200x
Facebook tama200x

3. 初音ミク Tカード

4. 初音ミク Tカード
「Tサイトから住所・氏名・電話番号の漏洩の可能性」については以下を参照
高木浩光＠自宅の日記 - 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記（4月1日）訂正あり
http://takagi-hiromitsu.jp/diary/20130330.html

7. 4月以降に改竄されたWebサイト

8. Webサイトの改竄の傾向
• 今年4月以降に約1000件以上発生(6/7現在)
• サイトが書き換えられ、攻撃ツールが設置されたサイ
トへ誘導される
• FTP/SSHのアカウント情報を搾取されている可能性あ
り
2010年 Gumblar以来の
発生頻度

9. 不正侵入されたWebサービス

10. 不正侵入の傾向
• 既知の脆弱性やSQLインジェクションが原因
• 最も多いのは
「ID/PWの不正利用による侵入」(11件)

11. 不正侵入の傾向
発生日 サイト 原因 影響
2013/03/06 JINSオンラインショップ Struts 2の脆弱性 最大2059件のカード情報漏えい
2013/03/22 一休.com ID不正利用によるログイン 不明
2013/03/26 Tサイト ID不正利用によるログイン 299件のTポイントが盗難
2013/04/01 eBookJapan ID不正利用によるログイン 799件の不正ログイン
2013/04/02 Yahoo! Japan 不正侵入？ ID/PW/秘密の質問 持ちだそうとした可能性
2013/04/02 Goo ID不正利用によるログイン 約11万件の不正なログイン
2013/04/04 フレッツ光メンバーズクラブ ID不正利用によるログイン 個人情報107件が閲覧
2013/04/19 My JR-EAST ID不正利用によるログイン 個人情報97件が閲覧
2013/04/23 エクスコムグローバル SQLインジェクション 最大10万件のカード情報漏えい
2013/04/24 ハピネット・オンライン ID不正利用によるログイン 9606回の不正ログイン、カード情報の漏洩
2013/05/08 ディノスオンラインショップ ID不正利用によるログイン 個人情報約23件が閲覧
2013/05/15 三越オンラインショッピング ID不正利用によるログイン 個人情報約8289件が閲覧
2013/05/16 Yahoo! Japan 不正侵入？ 2200万ID分のID/PW/秘密の質問が漏洩
2013/05/21 イード「インサイド」 ID不正利用によるログイン 個人情報約2515件が閲覧
2013/05/13 阪急・阪神オンラインショッピング ID不正利用によるログイン 個人情報約2382件、カード情報約1360件の閲覧

12. ID/PWの不正利用
• 以前は管理者アカウントを狙い、辞書による
総当り攻撃が多かった
• 今年になってから、他のサイトから流出した
ID/PWを使用した攻撃が頻発

13. WordPressを標的とした攻撃
• 今年4月より頻発
• adminアカウントを標的に辞書攻撃が主流

14. 攻撃の現状
• 脆弱性をつく攻撃
• SQLインジェクション
• 既知の脆弱性
• 新しい攻撃
• 他サイトのID/PWを利用した攻撃
• WordPressを狙う攻撃

15. 情報セキュリティとは？
• 機密性 (confidentiality)
アクセスを認められた者だけに、アクセスで
きる状態を確保すること
• 完全性 (integrity)
改ざん、消去されていない状態を確保するこ
と
• 可用性 (availability)
アクセスを認められた者が、必要時に中断す
ることなくアクセスできること

16. 事故と情報セキュリティ
• JINSオンラインショップ
• Tサイト
• TOYOTA Webサイト

17. JINSオンラインショップ
• 状況
Struts 2の脆弱性をつかれて侵入され、カード情報を
含む情報が漏洩した
• 機密性 → ☓
不正に侵入され第三者がカード情報を入手してしま
った
• 完全性 → ？
改ざん、消去された可能性も想定される
• 可用性 → ☓
対応のためオンラインショップを停止

18. Tサイト
• 状況
不正使用されたID/PWでログインを許し、Tポイント
の交換が行われた
• 機密性 → ☓
不正に入手したID/PWでログインされた
• 完全性 → ☓
Tポイントが盗難された
• 可用性 → △
被害者は一時、Tポイントの使用ができなかった

19. TOYOTA Webサイト
• 状況
Webサイトに不正侵入され、サイトが改竄された
• 機密性 → ☓
不正侵入された可能性が高い
• 完全性 → ☓
Webサイトの内容が改竄された
• 可用性 → ☓
該当サイトの停止

20. 対策の考え方
•防御
•記録
•検知
•復旧
•データの保管
防御は重要
万一侵入された時にも原因調査と、
サービス再開の方策を予め準備する

21. 防御 (1)
• 自宅ではどのように守っていますか？
• オートロック
• 鍵を複数設置
• 見つかりにくいところに保管
Webも同様
複数の防衛手段を組み合わせる

22. 防御 (2)
• サーバレベルでの防御
• OSのセキュリティパッチの適応
• 稼働させるサービス(デーモン)を最小限に
• 管理ユーザーは暗号化されていないプロトコルで
接続しない
• アカウント管理
• パスワードポリシー、パスワードの定期的な変更
• 証明書の使用

23. 防御 (3)
• サーバーアプリケーションレベルでの防御
• セキュリティパッチの適応
• IP制限
• ユーザーアプリケーションレベルでの防御
• セキュアなコーディング
• 定期的なセキュリティ診断
• WAF(Web Application Firewall)

24. 防御 (4)
• ネットワークレベルでの防御
• プロトコル制限、IP制限
• データ・ソースレベルの防御
• 暗号化、難読化

25. 記録 (1)
• 報告、原因調査、対策のために記録を残す
• 「いつ、 どうやって、どこから 、なにを」
• 記録が改竄されない仕組み
☆ 課題 ☆
自分がやっていない記録は
どのようにとるか？

26. 記録 (2)
• 保存する記録の例
• FTP/SSHのログインログ
• FTPの読み書きログ
• サーバーアプリケーションのログ
（Webサーバなど）
• ユーザーアプリケーションのログ

27. 検知 (1)
• 被害にあう前に、
検知→遮断できるのが望ましい
• 被害が拡大する前に検知する
• 利用者から指摘されて発覚は避けたい

28. 検知 (2)
• IDS(Intrusion Detection System)
• 改竄検知ソフトウェア(Tripwireなど)
• WAF(Web Application Firewall)
• ユーザーアプリケーションレベルでの検知

29. 復旧
• バックアップ
• 保存先は別の筐体/媒体に
• 世代管理の重要性
• バージョン管理ソフトウェア

30. データの保管
• そのデータ本当に必要ですか？
• 事例：エクスコムグローバル
• 本来保存してはならない「セキュリティコ
ード」を保管していた
• 決済終了後も長期間保管していた
• 結果として2011/3/7∼2013/4/23まで約
2年分のデータが漏洩＝約10万件

31. 参考資料
• 外見上変化のないウェブサイト改ざん事案の多発につ
いて [PDF: 約134KB] 警察庁@police
http://www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf
• Web サイト改ざんに関する注意喚起 JPCERT/CC
http://www.jpcert.or.jp/at/2013/at130027.html
• 「 ウェブサイトが改ざんされないように対策を！ 」
IPAセキュリティセンター
https://www.ipa.go.jp/security/txt/2013/06outline.html
• 5月から多発しているHP改ざんインシデントをまと
めてみた。 - piyolog
http://d.hatena.ne.jp/Kango/20130604/1370353242

32. 「まずは、最新OSを導入し、ファイアウ
ォールをきちんと設定して、むやみやたら
に公開サービスを動作させないこと。ま
た、無償の適当なセキュリティ製品は使わ
ない。結局セキュリティ対策は基本が重要
ということだ。」
@IT「基本に勝る防御なし：直撃取材！ 「たて」の裏側」
http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html

33. おまけ

34. CMS管理画面
• GoogleにはCMSの管理画面URLがインデッ
クスされているΣ(ﾟДﾟ；
MT
約8千件
WordPress
約191万件

35. robots.txt
• robots.txtから管理画面URLが推測される

36. ありがとうございました！