Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20190228-DangerousSites.pdf

hiro
February 28, 2019

 20190228-DangerousSites.pdf

hiro

February 28, 2019
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. ・攻撃者は、何かしらの脆弱性を悪用して、カード 情報の入力画面を改ざんできた。(SQLインジェク ション等でDBの中身を窃取している訳ではない。) ・利用者は改ざんされたことに気付けず、入力画 面へカード情報を入力すると、攻撃者が用意した サイトへデータが送信されていた。 7 何が問題だったのか① ▪通販サイト「伊織ネットショップ」 ・当該サイトには、Webサイト改ざんを受ける脆弱性が存在した。

    ・サーバにカード情報を記録させない非保持化を実装していても、 攻撃者はカード情報を盗むことができた。 なぜなのか? ▪参考情報 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘(2019-02-13) https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html
  2. 8 何が問題だったのか② ▪ファイル転送サービス「宅ふぁいる便」 ・当該サイトのパスワードはハッシュ化されていなかった。 ・本来、不要となった情報も削除されず、保持されていた。 ▪参考情報 ・「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた(2019-01-29) https://www.fnn.jp/posts/00417790HDK なぜなのか? ・20年前のサービス。サービス当初からハッシュ化

    はされていない。いつかハッシュ化しなければな らないという予定はあった。(なお、ユーザ情報 と、送受信ファイルがあるところは別とのこと。) ・退会済みの会員情報も、問合せ対応のために保 持していた。(論理削除のみ。) ・預けられていたファイルも暗号化されていなかった。
  3. 9 何が問題だったのか③ ▪参考情報 ・質問箱「Peing」、第三者がなりすましツイートできてしまう脆弱性(2019-01-29) https://japan.cnet.com/article/35131968/ ・脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ(2019-01-29) https://www.itmedia.co.jp/news/articles/1901/29/news128.html ・なりすましに悪用できるAPIトークンが第三者に閲覧可能な状態に。

    ▪匿名質問サービス「Peing -質問箱-」(ペイング) なぜなのか? ・修正後も、任意のPeingユーザーページのHTMLソースに、ユーザ のメールアドレス、ハッシュ化パスワード、ソルトと思われる文字列 が公開。(現在は修正済み。) ・トークン(許可)が第三者に窃取されると、認証さ れていなくても成り済まされてしまう状態だった。 ・開発者の認識不足? ・セキュリティ知識や意識の不足?
  4. 10 何が問題だったのか④ ▪英国の航空会社「British Airways」 ▪参考情報 ・サブリソース完全性 - MDN web docs

    moz://a https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity ・Subresource Integrity enables browsers to verify that file is delivered without unexpected manipulation.(2019-01-30) https://caniuse.com/#feat=subresource-integrity ・外部から読み込まれる改ざんを検知する仕組みがなかった。 ・そもそも、外部スクリプトの改ざんを検知するのは難しい。 なぜなのか? ・サブリソース完全性(Subresource Integrity)を活用するとよいかも。
  5. 11 危ないサイトの見分け方① ▪メールでパスワードを平文で送ってくれるサイト ▪参考情報 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11) https://piyolog.hatenadiary.jp/entry/20170311/1489253880 ▪脆弱性が多い Apache

    Struts 2 で構築されたサイト ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。 ⇒ハッシュ化していない又は共通鍵で暗号化している可能性。 ・ページのソースを見て、.actoin というURLが含まれるかを確認。 .do が含まれている場合は、Apache Strus 1で、これも危ない。
  6. 13 情報漏えいへの備え① ▪セキュリティソフトでは対応できない ▪参考情報 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) https://dapps.gamewith.jp/?p=28 ・サーバへの不正アクセスの場合、利用者側では対処できない。 もちろん、セキュリティソフトでも対応することはできない。 ▪Webサービスごとに違うパスワードを設定

    ・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。 ・二要素認証が設定できる場合は、設定しましょう。 (Google認証システムでトークンを生成する。) どうしたらいいの? ・利用していたサービスが不正アクセスに遭って、ID(メールアドレス) とパスワードが漏れちゃった! ・ログインIDとなるメールアドレスもサービスごとに変えておくと、 リスト型攻撃には強くなる。(メールアドレス自体の漏えいには無意味)