Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Authentication-and-7pay-case.pdf

hiro
July 29, 2019

 Authentication-and-7pay-case.pdf

hiro

July 29, 2019
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. 認証の役割(3/3)
 7 (3)パスワードの定期変更 
    
 ▪参考情報
 ・パスワードの定期変更は不要:総務省が歴史的な方向転換(2018-04-15) 
  https://support.trustlogin.com/hc/ja/articles/360002888113-パスワードの定期変更は不要-総務省が歴史的な方向転換
 ・MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で(2019-04-25)

    
  https://japanese.engadget.com/2019/04/25/ms-win-10/ 
 ・定期変更しないほうが良い理由
 ⇒定期変更をユーザに強制すると、簡単な文字列になりがち。
   破られやすいものになる傾向(NIST、NISC、総務省、JIPDEC等)。
 ・定期変更したほうが良い場合
 ⇒利用しているサービスのパスワードが漏えいした場合。
 ⇒業務上、アカウントを共有している場合で、
  人事異動があった場合。
 ・定期変更しなくてもいい理由
 ⇒十分に長い(12文字以上)パスワードを設定していれば今のところ安全
  短いとハッシュ値から平文が得られるレインボーテーブルで解析される
 そもそも「サービス提供者は定期変更を 要求すべきではない」という話 すでにパスワード文字列に絵文字を含む レインボーテーブルも出回っている
  2. 多要素認証
 10 ▪多要素認証とは
 認証要素
 セキュリティレベル
 利用者確認方法の例
 知識認証 
 What you

    know?
 知識ベースなので、その知識を知ってい れば誰でもなりすましが可能
 ・ID/パスワード
 ・合言葉「風」「谷」
 所有物認証
 What you have?
 知識ベースと違って所有物を持った人だ けが認証可能
 (盗まれた場合に、なりすまされる)
 ・電子証明書
 ・ワンタイムパスワード用のトークン
 ・ICカード(社員証)
 生体認証
 What you are?
 身体的な特徴を元にするので、盗まれ ることもないし、貸借をすることができな い。
 ・指紋認証 ・静脈認証
 ・虹彩認証 ・網膜認証
 ・声紋認証 ・顔認証
 ▪参考情報
 ・「本人認証」3つの方式 - 情報処理安全確保支援士(情報セキュリティスペシャリスト) - SE娘の剣 
  http://sc.seeeko.com/archives/4554054.html 「知識」「所持」「生体」から2つ用いる
 認証を、二要素認証と呼ぶ。

  3. パスワードの窃取(1/2)
 13 ▪パスワードの類推
 ▪中間者攻撃(MITM:Man-In-The-Middle)
 初期パスワード配布あるある
 ・誕生日(親しければ知ってるかも)
 ・社員番号(規則性があり類推できそう)
 例えば・・・
 ランダムな文字列を
 印刷し、封書で渡す


    対策
 ・フィッシングサイト(ID、パスワード、
  クレジットカード情報)
 ・認証画面の改ざん
 ・キーロガー(トロイの木馬)
 ・パケットキャプチャ
 ・DNSチェンジャー
 ・DNSキャッシュポイズニング
 ・ARPスプーフィング
 ・URLフィルタリング、
  テーマの設定
 ・改ざん検知
 ・アンチウイルス
 ・APホワイトリスト
 ・通信路の暗号化
 ・ワンタイムパスワード
 ・CHAP
 対策

  4. パスワードの窃取(2/2)
 14 ▪パスワードの解析
 ・パスワードリスト攻撃
 ・ブルートフォース攻撃
 ・リバースブルートフォース攻撃
 ・パスワードスプレー攻撃
 ・辞書攻撃
 ・二要素認証
 ・二段階認証(パスワード使い


    まわしの場合は危険)
 ・アカウントロック
 ・画像認証(CAPTCHA)
 ▪データベースや認証ディレクトリへの攻撃
 ・SQLインジェクション
 ・OSコマンドインジェクション
 ・Pass-the-Hash攻撃(mimikatz)
 ・Pass-the-Ticket攻撃(psexec)
 ・WAF(Web Application FW)
 ・IPS(侵入防御装置)
 ・パスワード使いまわしの禁止
 ・アンチウイルス、振る舞い検知
 ・不審なイベントログの検知
 対策
 対策

  5. 認証画面の改ざんによる被害増加(1/2)
 16 ▪参考情報
 ・今治タオルの通販サイトで改ざん - 偽決済画面誘導でクレカ情報詐取(2018-10-25) 
  http://www.security-next.com/099333 
 ・和菓子店通販サイトに不正アクセス

    - 偽決済画面でクレカ情報詐取(2019-07-23) 
  http://www.security-next.com/106716 
 ・「クレジットカード情報の非保持化は、脆弱性があれば意味がない 」――徳丸浩氏が指摘(2019-02-13) 
  https://www.atmarkit.co.jp/ait/articles/1902/13/news008.html 
 ▪和菓子店通販サイトに不正アクセス(2019-07-23)
 ・改ざんで正規のフォームにはないセキュリティコードの入力欄
 タオル通販サイト「伊織ネットショップ」
 和菓子店通販サイト
 「叶匠寿庵  
 オンラインショップ」
 被害:2018-09-17~2019-03-13 公表:2019-07-22 被害:2018-05-08~2018-08-22 公表:2018-10-24 ・PCI DSS対応でカード情報非保持化では? ・SQLインジェクション対策してないの?   ⇒これらは誤り ・WAF(WebApplicationFirewall)でも防げる  かもしれないが、改ざん検知が正解 ・バックアップ/リストア運用大丈夫?
  6. 最近のリスト攻撃  
 公表日
 事業者
 サイト
 事象期間
 被害状況
 2019-07-25
 ヤマト運輸
 クロネコメンバーズ
 7/24


    3467件の不正ログイン 
 ログイン試行3万回
 2019-07-25
 ブックオフ
 ブックオフオンライン 
 7/23
 パスワード再設定メール 
 4万4505件の送信
 2019-07-24
 コーナン
 コーナンPay
 7/23
 約100件の不正ログイン 
 2019-07-19
 ドコモ
 dアカウント
 7/19
 セキュリティコード通知の送信 
 2019-07-12
 中部電力
 カエテネ
 7/10~11
 234件の不正ログイン 
 2019-07-03
 セブン&アイ
 ホールディングス
 7pay
 7/3~11
 1574件の不正ログイン 
 約3,240万円の不正利用金額 
 2019-06-13
 イオン
 暮らしのマネーサイト 
 5/28~6/3
 1917件の不正ログイン 
 カード不正利用708名 
 約2,200万円の不正利用金額 
 2019-06-10
 ユニ・チャーム
 ベビータウン
 5/9~5/28
 非公表
 2019-05-17
 ファースト
 リテイリング
 ユニクロ・GU
 オンライン
 4/23~5/10
 46万件のパスワードリセット 
 ※7payについては当初リスト攻撃と報道があったため掲載
 検知から公表が早い!
  7. 7payの不正アクセス事案(2/3)
 20 ▪7payの不正アクセスの原因は?
 ▪参考情報
 ・【7pay セブンペイ】不正利用の個人的な背景予想 2013年系列15万件流出事件→オムニ7→7pay(2019-07-05) 
  https://ppp-payland.com/cashless/7pay/fusei-seven-netshopping-ryusyutsu/ 
 ・どさにっきキャッシュレス

    ~2019年7月上旬~(2019-07-09) 
  http://ya.maya.st/d/201907a.html 
 ・パスワードリマインダの脆弱性が悪用された?
  ⇒リセットされた際に元の登録メールアドレスにメール通知される
   ので、悪用されても気付くことは可能。(当事者がこの説を否定)
 ・「秘密の質問」の答えを忘れたとサポートチャットすると、認証パス ワードがリセットする仕様
  ⇒第三者に認証パスワードを初期化され再設定された可能性。
   (使いまわしではない16桁のパスワードを設定していた人が被害
   に遭っている。ただし、チャットボットではなく人間が対応するよう
   になっていたらしいので、この可能性もなさそう)
 ・「7payはセブン-イレブンアプリと連携しているの
  で、二段階うんぬんと同じ土俵に比べられるの   か、私自身は認識しておりません」の真意は?

  8. 7payの不正アクセス事案(3/3)
 21 ▪参考情報
 ・[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明(2019-07-12) 
  https://tech.nikkeibp.co.jp/atcl/nxt/news/18/05498/ 
 ・狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由 - BI

    (2019-07-16) 
  https://www.businessinsider.jp/post-194660 
 ・【7pay問題】オムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか - BI(2019-07-24)   
  https://www.businessinsider.jp/post-195187 
 ▪7payの不正アクセスは外部ID連携によるもの?
 idの検証が不十分
 でなりすましが成立
 Omni7 アプリの
 ソースがGitHubで
 公開されており、
 攻撃者が解析した
 のでは?
 本事案の影響で、会社でGitHub禁止令が出て
 困っている開発者が多いらしいという噂

  9. 23 危ないサイトの見分け方(1/2)
 ▪メールでパスワードを平文で送ってくれるサイト
 ▪参考情報
 ・2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた(2017-03-11)
  https://piyolog.hatenadiary.jp/entry/20170311/1489253880 
 ▪脆弱性が多い

    Apache Struts 2 で構築されたサイト
 ・パスワードをハッシュ化していれば、平文で送ってくることは不可能。
  ⇒ハッシュ化していない又は共通鍵で暗号化している可能性。
 
 ・ページのソースを見て、.actoin というURLが含まれるかを確認。
 

  10. 25 情報漏えいへの備え(1/5)
 ▪セキュリティソフトでは対応できない
 ▪参考情報
 ・二段階認証アプリのGoogle Authenticatorの使い方や機種変更時の注意点を解説(2018-12-26) 
  https://dapps.gamewith.jp/?p=28 
 ・サーバへの不正アクセスの場合、利用者側では対処できない。


    セキュリティソフト(アンチウイルス、URLフィルタ)でも対応できない。
 
 ▪Webサービスごとに違うパスワードを設定
 ・パスワード覚えるが大変⇒パスワードマネージャを使いましょう。
 
・二要素認証が設定できる場合は、設定しましょう。
  (Google認証システムでトークンを生成する。)
 
 どうしたらいいの?
 ・利用していたサービスが不正アクセスに遭って、ID(メールアドレス)
 とパスワードが漏れちゃった!
 ・ログインIDとなるメールアドレスもサービスごとに変えておくと、
 リスト型攻撃には強くなる。(メールアドレス自体の漏えいには無意味)

  11. 26 情報漏えいへの備え(2/5)
 ▪Gmailでメールエイリアスを使う方法
 ▪参考情報
 ・Gmailのエイリアスで複数の差出人名やアドレスを使い分ける(前編)(2018-03-05) 
  http://ascii.jp/elem/000/001/641/1641606/ 
 ・アカウント名+任意の文字列
 
foobar123+Am4z0n#@gmail.com

    (Amazon用)
 [email protected](AppStore用)
 foobar123+ms%[email protected](Microsoft用)
 [email protected][email protected][email protected]
 ・ドットも入れることが可能
 ・+(プラス)やドットが使えない場合、@googlemail.comを使え!
 
[email protected]
 漏えいしたアドレス宛に メールが来た場合、どの サービスから漏えいした か分かって便利です!

  12. 27 情報漏えいへの備え(3/5)
 ▪退会する前に個人情報の見直しを
 ・退会処理では削除フラグが立っただけで、論理削除の状態。
 ⇒退会時に、漏えいしても影響がない無意味な情報に書き換える。
  
 
   例)クレジットカード情報や、氏名、住所、電話番号など。
     書き換える内容は、退会したサイトで共通しても問題なし。
 


    ▪参考情報
 ・日本人ならではの簡単で強固なパスワード設定方法(2018-06-09)
  http://www.motaci.com/archives/477
 ・安全なパスワードのつくり方 漏洩対策や管理アプリ、流出チェック法まで紹介(2019-07-26)
  https://time-space.kddi.com/it-technology/20190726/2701
 ▪複雑なパスワードより長く覚えやすいものを
 ・8文字程度のパスワードの一部を、記号や数字にすることはあまり
 意味がない。(ハッシュ値を盗まれた場合、簡単に推測される)
 
 ⇒単語羅列ではなく、文章(パスフレーズ)にする。
  歌の歌詞やサビのフレーズなども覚えやすくて
  おすすめです。

  13. 29 情報漏えいへの備え(5/5)
 ▪Money Forward MEのすすめ
 ▪参考情報
 ・無料家計簿アプリ『マネーフォワードME』が便利すぎ!できることまとめ(2019-01-25) 
  https://kyanana.com/moneyforward 


    ・入出金を把握して、不明な取引がないかチェック!
 ・クレジットカードを紐づけておけば、クレジットカードのサイトに
  ログインしなくても、Money Forwardの画面だけで確認できる。
 ・Amazonの購入履歴の連携も可能。
 ※無料プランで連携できるのは、10口座まで。