Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ研修【MIXI 23新卒技術研修】

セキュリティ研修【MIXI 23新卒技術研修】

23新卒技術研修で実施したセキュリティ研修の講義資料です。

資料の利用について
公開している資料は勉強会や企業の研修などで自由にご利用頂いて大丈夫ですが、以下の形での利用だけご遠慮ください。
・受講者から参加費や授業料などを集める形での利用(会場費や飲食費など勉強会運営に必要な実費を集めるのは問題ありません)
・出典を削除または改変しての利用

MIXI ENGINEERS

May 12, 2023
Tweet

More Decks by MIXI ENGINEERS

Other Decks in Technology

Transcript

  1. ©MIXI 7 タイムテーブル ※適宜休憩/昼休みを挟みつつ。 時間
 内容
 種別
 10:30-10:50
 情報セキュリティの基本を知ろう
 座学


    10:50-11:00
 MIXI社で取り組んでいる情報セキュリティ対策を知ろう 座学
 11:10-11:30
 セキュアに開発するにはどうしたらいいか知ろう
 (開発環境)
 セキュアな環境で開発しよう
 座学 11:30-16:10
 (サーバ側)
 メジャーな脆弱性を知ろう
 座学 + ハンズオン 16:10-16:30
 (サーバ側)
 外部ライブラリ等の脆弱性情報の見方を知ろう
 座学
 16:30-18:00
 (サーバ側)
 アクセス制御の考え方とやり方を知ろう
 座学 + ハンズオン
 18:00-18:30
 
 (クライアント側)
 クライアント側のセキュリティリスクを知ろう
 座学

  2. ©MIXI 13 可用性を上げるために • バックアップ/復旧手段を持っておこう • サービスが停止した際にすみやかに復旧できるよう、 サービスが稼働するためのデータ(ユーザーデータ、コード etc..)はバックアップしておこう •

    いざというとき慌てないように復旧手段を頭の中やドキュメントに残してお こう (説明できるようになっていると Good) • プラス、自分のサービスやデータの性質を考慮しよう • 止まると人命に関わる /災害時に動かないと困るようなもの等は、 例えばロケーション分散等するこ とでそもそも止まらないように。
  3. ©MIXI 15 情報セキュリティを守れず、事故が起きると...... 自分たちは…… 
 実害的なダメージ 
  賠償や訴訟に発展することがある。  業務自体が停止する。売上への悪影響。 


    
 信頼的なダメージ 
  「MIXI」というブランドへの信頼が低下する。 
  ユーザーが今後MIXIのサービスを利用したくなくなる。 
  コラボ等のビジネスチャンスを信頼失墜で失う。 
  
 
 
 利用者は…… 
 実害的なダメージ 
  自分や自分の家族等の個人情報が漏洩する。  
  課金していたゲームの資産が無駄になる。 
  必要だったサービスが受けられない。 
  etc
 
 

  4. ©MIXI 19 情報セキュリティに対する脅威には何があるか? 引用元:https://www.ipa.go.jp/security/10threats/10threats2023.html, (2023/5/3). 順位 個人 組織 1 フィッシングによる個人情報等の詐欺

    ランサムウェアによる被害 2 ネット上の誹謗・中傷・デマ サプライチェーンの弱点を悪用した攻撃 3 メールやSMS等を使った脅迫・詐欺の手口による金銭被害 標的型攻撃による機密情報の窃取 4 クレジットカード情報の不正利用 内部不正による情報漏えい 5 スマホ決済の不正利用 テレワーク等のニューノーマルな働き方を狙った攻撃 6 不正アプリによるスマートフォン利用者への被害 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃) 7 偽警告によるインターネット詐欺 ビジネスメール詐欺による金銭被害 8 インターネット上のサービスからの個人情報の窃取 脆弱性対策の公開に伴う悪用増加 9 インターネット上のサービスへの不正ログイン 不注意による情報漏えい等の被害 10 ワンクリック請求等の不正請求による金銭被害 犯罪のビジネス化(アンダーグラウンドサービス)
  5. ©MIXI 20 情報セキュリティに対する脅威には何があるか? 引用元:https://www.ipa.go.jp/security/10threats/10threats2023.html, (2023/5/3). 順位 個人 組織 1 フィッシングによる個人情報等の詐欺

    ランサムウェアによる被害 2 ネット上の誹謗・中傷・デマ サプライチェーンの弱点を悪用した攻撃 3 メールやSMS等を使った脅迫・詐欺の手口による金銭被害 標的型攻撃による機密情報の窃取 4 クレジットカード情報の不正利用 内部不正による情報漏えい 5 スマホ決済の不正利用 テレワーク等のニューノーマルな働き方を狙った攻撃 6 不正アプリによるスマートフォン利用者への被害 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃) 7 偽警告によるインターネット詐欺 ビジネスメール詐欺による金銭被害 8 インターネット上のサービスからの個人情報の窃取 脆弱性対策の公開に伴う悪用増加 9 インターネット上のサービスへの不正ログイン 不注意による情報漏えい等の被害 10 ワンクリック請求等の不正請求による金銭被害 犯罪のビジネス化(アンダーグラウンドサービス) いろいろある
  6. ©MIXI 21 3つのアタックサーフェスについて 自社サービス アプリ インフラ 関連ツール 等 社内システム 端末

    全社ツール 社内NW オフィス 設備 等 人間 アカウント 運用 脳内の情報 等 アタックサーフェス 対策の主体 事業部門 社内システム部門 各人・各部 セキュリティ室の支援の例 脆弱性診断(外注 / 内製) IaaS監視(AWS / Google Cloud) 新卒エンジニア研修 ゼロトラスト支援(導入 / 啓発) EDRの共同運用、PFW設定見直し IDPの共同運用 パスワードマネージャの共同運用 ゼロトラスト支援(導入 / 啓発) 全職種向け研修 各種啓発や周知(全体朝会等) 業務委託監督の支援(教育資料等) 事故対応 mixirt (CSIRT)
  7. ©MIXI 22 3つのアタックサーフェスについて 自社サービス アプリ インフラ 関連ツール 等 社内システム 端末

    全社ツール 社内NW オフィス 設備 等 人間 アカウント 運用 脳内の情報 等 アタックサーフェス 対策の主体 事業部門 社内システム部門 各人・各部 セキュリティ室の支援の例 脆弱性診断(外注 / 内製) IaaS監視(AWS / Google Cloud) 新卒エンジニア研修 ゼロトラスト支援(導入 / 啓発) EDRの共同運用、PFW設定見直し IDPの共同運用 パスワードマネージャの共同運用 ゼロトラスト支援(導入 / 啓発) 全職種向け研修 各種啓発や周知(全体朝会等) 業務委託監督の支援(教育資料等) 事故対応 mixirt (CSIRT) 弊社ではアタックサーフェスを3つに分類し、 室としてそれぞれに対して対策支援を行っている
  8. ©MIXI 23 社内システムの情報セキュリティ対策の例 • ゼロトラスト • システムに対するアクセス制御施策。 • 詳しく後述。 •

    EDR • Endpoint Detection and Response • エンドポイントにおける脅威の監視/検出技術 • 会社支給PCにて不審な挙動(マルウェアが疑われるファイルの実行等)がみられるとアラートが上がる • 変なことしてるとばれますよ!! ^ ^
  9. ©MIXI 25 脆弱性診断の紹介 • 脆弱性診断とは • アプリケーションに潜む脆弱性を探す検査。 • ブラックボックステスト •

    疑似的な攻撃を仕掛け、挙動を診て脆弱性を探る。 • ホワイトボックステスト • ソースコードを読んで脆弱性を探る。 • セキュリティ室で行っている脆弱性診断関連のサポート • 予算やスケジュール感に応じて診断内容(内製/外注)の提案と診断実施 • 診断の準備や実施にあたり必要になる手続き/環境準備等のサポート
  10. ©MIXI 28 我々が考慮しなければならないセキュリティ観点 • ゲストOSより上のあれこれ • OS,ミドルウェア,ソフトウェアのバージョン管理 • バージョン更新やゼロデイのワークアラウンド •

    アプリケーションの脆弱性 • アーキテクチャの設計(設定) • 非公開情報が入ったバケットを公開設定してしまっていた • 社内用ツールのVMをインターネット公開してしまっていた • IAMの運用 • 二要素認証を設定して不正アクセス対策 • アクセスキーの管理 • 上記に気づける仕組み ベストプラクティスに従いつつセキュアに運用しましょう
  11. ©MIXI 30 セキュリティ室で行っているIaaS監視 • 攻撃が来るとアラートが上がります! • 不正なアウトバウンド通信が起こっている • マイニングが起こっている •

    設定面での不備があるとアラートが上がります! • 二要素認証を設定していないユーザーがいる • バケットがインターネット公開になっている
  12. ©MIXI 31 セキュリティ室で行っているIaaS監視 • AWS • ご依頼いただければ監視設定をします • ただし開発本部の新規アカウント作成フローに則って作成されたアカウントであれば、実は作成時点で監視設定 を施しています

    • Google Cloud • 皆さんがMIXIのorganization組織配下にGoogle Cloudプロジェクトを作成すると 実は自動的に監視対象に加わっています • 配下でない場合は個別にご相談ください! • その他 • MIXIで管理しているドメイン一覧に対して定期的にスクショを撮って、 目視で内容をチェックしています • 右の画像のように、ページ更新を検知すると差分が分かる画像が通知されてきます
  13. ©MIXI 39 フィッシングで気をつけること 見分けの指針 • 差出人 • メールアドレスのドメインは問題なさそうか? • 正規のドメインか(本物っぽいが微妙に違うケースなど

    • メールアドレスを交換したことがあるか • フリーメールアドレスか • 送信元と署名が合っているか • 内容・本文 • 個人情報や認証情報を要求していないか? • リンク先への誘導や、添付ファイルの開封を促していないか? • リンク先URL • リンク先ドメインは問題なさそうか? • 表示URLとマウスをかざした際の実際の遷移先URLが異なっている • HTTPSでない場合はより一層警戒 • ※ 正規のHTTPサイトやフィッシングのHTTPSサイトもある • 添付ファイル • Excel, Word等のマクロ、実行形式ファイル、ショートカットファイル、二重拡張子(doc, exe)
  14. ©MIXI 40 フィッシングで気をつけること 見分けの指針 • 差出人 • メールアドレスのドメインは問題なさそうか? • 正規のドメインか(本物っぽいが微妙に違うケースなど

    • メールアドレスを交換したことがあるか • フリーメールアドレスか • 送信元と署名が合っているか • 内容・本文 • 個人情報や認証情報を要求していないか? • リンク先への誘導や、添付ファイルの開封を促していないか? • リンク先URL • リンク先ドメインは問題なさそうか? • 表示URLとマウスをかざした際の実際の遷移先URLが異なっている • HTTPSでない場合はより一層警戒 • ※ 正規のHTTPサイトやフィッシングのHTTPSサイトもある • 添付ファイル • Excel, Word等のマクロ、実行形式ファイル、ショートカットファイル、二重拡張子(doc, exe) 逆にいうと自分たちの開発においてはフィッシ ングと見間違われないようにしたい。 取得が容易な無料の証明書を使っている場合、それ自体が悪いわ けではないが、お手軽なのでフィッシングで利用しやすいのも事実で はあるので注意。
  15. ©MIXI 45 セキュアに開発する(インフラ) 開発をするためには NWを準備したりサーバを建てたり、 そのインフラを構築してゆくことになります。そのセキュリティも大事。 • 開発用に建てているサーバは忘れずアクセス制御する。 • 方法は色々ある。ゼロトラスト、

    IP制限、Basic認証、リクエストヘッダによる制御 etc。 • 機密性の高いものについてはゼロトラスト的に守ることを室では推奨しています! • ミドルウェア等のセキュリティアップデートを忘れずに。 • 環境は分離しよう • 侵害や事故が起こったときの影響が最小限に閉じるように、分けられる部分は分けていこう • プロジェクトごとに分ける • 開発/脆弱性診断/ステージング/本番など用途ごとに分ける • ネットワークを分ける
  16. ©MIXI 46 セキュアに開発する(インフラ) ログは取って保存しておかないと無い(当たり前)ので、できるだけ取ってできるだけ保存しておこう • (取っておくべきログの例) • 監査ログ(AWS/Google Cloud等のシステムの操作イベントのログ) •

    Google Cloud→MIXIのorganization組織下なら自動で保存される設定になっている • AWS→セキュリティ室の監視設定時に CloudTrailログをS3に保存する設定を入れている • アプリケーションログ • アクセスログ • 保存場所 • サーバ内だけでなくクラウド上 (CloudWatch, Cloud Logging, S3, GCS等)等インスタンス外にもリモートバック アップしておくとGood
  17. ©MIXI 47 セキュアに開発する(各自の作業) • 業務端末のFWは閉じておこう • アクセスキー等のクレデンシャルの取り扱いには注意! • GitHubにアップロードして漏洩など。パブリックに公開するとすぐに使われる可能性が あります。

    • Secretlintなどを使う等することでミスを防ぐ仕組みを入れるとGood • OS/ツール等のバージョンアップデートを忘れず • 再起動時に自動アップデートされるものなどもある。業務終了後のシャットダウンを習 慣化しよう。
  18. ©MIXI 48 セキュアに開発する(各自の作業) • 安全性が高いと言い切れないツールを安易に入れない • Chrome拡張等。公式のストアであっても悪性のものが紛れていることがあります。 • 公式が配布しているツールやレビュー件数が多いメジャーなもの等でない場合、一歩踏 みとどまりましょう。

    • 手元のPCでなくリモートサーバ側で仕事をする場合(RDP, SSH, CloudIDE等) • 会社貸与PCではEDRやADでの制御など、一定のセキュリティを確保しています。その 保護からは外れるということは認識して、しっかり自衛しましょう • アクセス制御はしっかり。特にRDP。 • 不要なことをしない。不要なプログラムを入れない。 • クラウドなら安心...ではないので注意! • 責任共有モデルを思い出そう • 有事の際などに備え、ログは残るように。
  19. ©MIXI 50 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発する環境 • インフラの環境。開発環境等で使うサーバ等。 • 自分自身の環境。PCやクレデンシャル等。

    • 開発する対象 • サーバ側 • クライアント側 クライアント側にあるモノは見られる /触れる/ 改造できる。だから完璧に守ることは困難と いう前提がある。 だから、大事なデータ /処理はサーバ側に寄 せる。そして、サーバ側を鬼のように守り抜く 必要がある。
  20. ©MIXI 51 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る
  21. ©MIXI 52 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る 最初はここの話!
  22. ©MIXI 53 作りこんでしまった脆弱性が悪用されたときの被害 • 個人情報漏洩 • サーバ停止 • 他人を攻撃するための踏み台として利用 •

    データの破壊、変更、挿入 • Webサイト改ざん • アカウント乗っ取りによる、なりすまし • 非公開情報へアクセス • 不正購入 多岐にわたる
  23. ©MIXI 54 脆弱性を知り、対策するには、、 「これだけ気をつけていればOK」は無い。 まずはメジャーどころを知っておこう。 メジャーな脆弱性を知るために今日の研修ではOWASP Top10(API/Web)を抑えておこう。 • OWASPとは •

    「Open Web Application Security Project」の略 • Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技 術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフ トウェアコミュニティです。 • 引用元:https://owasp.org/www-chapter-japan, (2023/5/12) • OWASP Top 10とは • OWASPがクリティカルだと考える10種類の脆弱性のこと。 • ことサーバサイド開発においては、API/Webアプリケーションの2種類、計20種類がある。
  24. ©MIXI 55 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken User Authentication ◦ Excessive Data Exposure ◦ Lack of Resources & Rate Limiting ◦ Broken Function Level Authorization ◦ Mass Assignment ◦ Security Misconfiguration ◦ Injection ◦ Improper Assets Management ◦ Insufficient Logging & Monitoring 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)
 引用元:https://owasp.org/www-project-api-security/, (2023/6/5) 引用元:https://owasp.org/Top10/, (2023/6/5)
  25. ©MIXI 59 演習に使うWebアプリケーション • OWASP Juice Shop • https://github.com/juice-shop/juice-shop MIXIでの新卒研修時にはCloud

    Run + Cloud Load Balancing + IAP構成でしたが お好みの形でデプロイしてみてください
  26. ©MIXI 65 おさえておきたいBurp Suiteの機能 基本的なもの • Proxy>Intercept - 通信のキャッチ •

    Intercept is on:通信をキャッチ • Intercept is off:通信をキャッチしない(通過) • Forward:キャッチした通信を送信 • Proxy>HTTP history - 通信の履歴確認 • Request:要求 • Response:応答 • Repeater - リクエストの再送 • 挙動の確認に使う • 使い方 • historyで再送したいリクエストに対しcontrol + クリック • Send to Repeater選択 • Repeater タブが光る! • Repeaterタブに移動 • 「Send」で再送
  27. ©MIXI 66 Juice Shopを触ってみよう 1. 商品検索 • キーワード「Apple」などで検索 2. アカウント登録

    • 任意のメアド「[email protected]」などで会員登録 3. ログイン • 作成済みアカウントでログイン 4. 商品購入 • ログイン後>Basketに入れる>Checkout BurpのHistoryを確認しながらサイト巡回してみよう。
  28. ©MIXI 67 おさえておきたいBurp Suiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う •

    使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。
  29. ©MIXI 68 おさえておきたいBurp Suiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う •

    使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「Payload settings」の 「Paste」をクリック。 • hoge • huga • piyo
  30. ©MIXI 69 おさえておきたいBurp Suiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う •

    使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「Payload settings」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。
  31. ©MIXI 70 おさえておきたいBurp Suiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う •

    使い方 i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「Payload settings」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。 v. 「§」の箇所に試験値が送信される。 その結果を一覧で確認できる。
  32. ©MIXI 71 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken User Authentication ◦ Excessive Data Exposure ◦ Lack of Resources & Rate Limiting ◦ Broken Function Level Authorization ◦ Mass Assignment ◦ Security Misconfiguration ◦ Injection ◦ Improper Assets Management ◦ Insufficient Logging & Monitoring 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)
 やや抽象化して解釈すると、 幾つかまとめられるものもある 引用元:https://owasp.org/www-project-api-security/, (2023/6/5) 引用元:https://owasp.org/Top10/, (2023/6/5)
  33. ©MIXI 72 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken User Authentication ◦ Excessive Data Exposure ◦ Lack of Resources & Rate Limiting ◦ Broken Function Level Authorization ◦ Mass Assignment ◦ Security Misconfiguration ◦ Injection ◦ Improper Assets Management ◦ Insufficient Logging & Monitoring 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)
 まずはこれを体感してみましょう 引用元:https://owasp.org/www-project-api-security/, (2023/6/5) 引用元:https://owasp.org/Top10/, (2023/6/5)
  34. ©MIXI 76 第一問 問題点 • アクセス制御が適切に行われていない 対策 • ユーザーと紐づく情報を取得する際に、正当性検証を必ず行う •

    そもそもカートIDが必要か? も吟味する • セッションから参照でよいならその方がセキュア
  35. ©MIXI 77 第一問 OWASP Top10では • (API)Broken Object Level Authorization

    • (API) Broken Function Level Authorization • (Web) Broken Access Control 総じて、「アクセス制御を適切に行いましょう」という点が肝。
  36. ©MIXI 80 コード的な話 <脆弱なコード例1(Ruby)> • 他ユーザーの情報を見られちゃうコード(表示コンテンツの取得個所にて..) • 攻撃者が他ユーザーのuser_idを指定してリクエストを送信すると、 プログラムはそのuser_idと紐づいた情報を表示してしまう •

    以下のようなことに気を付ける必要がある • リクエストパラメータにuser_idを含ませる必要はあるか? セッションIDで十分ではないか? • 含ませるならその妥当性は検証しなくて大丈夫か? user_id = requestobj.param[:user_id] # リクエストのパラメータ値は改ざん可能! userprofile = User.where(user_id).profile view(userprofile) ユーザーから送信された値を使って プロフィール情報を取得し それを表示している!
  37. ©MIXI 81 コード的な話 <脆弱なコード例2(Ruby)> • 管理者ページにアクセスできちゃうコード(セッションの検査個所にて..) • adminじゃなくてもif文に引っ掛からず処理が進行してしまう • ログイン直後の画面でだけ権限確認をするのではなく、

    そこから辿れるリンク先の画面でも都度検証しましょう session = get_session(req.header[:cookie]) #「,admin: true」を入れていない! if session.nil? raise “セッションがありません!” end do_adminsomefunction
  38. ©MIXI 85 クロスサイトスクリプティングによって想定される被害 • なりすまし • フィッシングサイトへの誘導 • など 勘所

    • Webページが攻撃者によって任意に改ざんされるということ • 閲覧したユーザーのCookie情報を攻撃者に送信するスクリプトを仕込む • 偽フォームを埋め込んで認証情報を攻撃者に送らせる
  39. ©MIXI 91 第二問 alert(`xss`)以外のスクリプトも動かしてみよう • お試し1 (ログイン中のcookie情報取得) • <iframe src="javascript:alert(document.cookie)"> •

    お試し2 (他サイトへ移動させる) • <img src=1 onerror=window.location.href='https://mixi.co.jp'> この応用で、攻撃者は好きなJavaScriptを動作させることができる...!
  40. ©MIXI 92 クロスサイトスクリプティングの対策 • 「<」,「>」,「"」,「'」など、ブラウザにとって意味を持つ文字(特殊文字)はエスケープ(文字 列として解釈させる形式化)して出力する。 • 今回のケースもこれが対策になる。 • 「<」,「>」,「"」,「'」 → 「&lt;」,「&gt;」,「&quot;」,「&#39;」のように表記することで、

    ブラウザは意味のある記号としてではなくあくまで「<のように見えるだけで意味は無い文字」として解釈 • 保険的対策として入力値検証やCSPヘッダの設定も有効。 • XSSは複数の種類があり、種類に応じて対策も異なる場合があるので注意 • JavaScriptスキームを悪用するパターン • DOM構築時にスクリプトが仕込まれるパターン • JavaScriptライブラリに問題がある場合は、使用しているライブラリを更新する。 動的にHTMLページを生成する際は、「レスポンスに攻撃者のスクリプトが埋め込める余地は無いか」と いうアンテナを張っておくこと!
  41. ©MIXI 93 コード的な話 <脆弱なコード例>  • ユーザーが入力した検索ワードをレスポンスに表示する ※例であって、Juice Shopのコードがこの通りになっているというわけでないです! keyword =

    requestobj.param[:keyword] # keywordにScriptなどが入力されると.. responsehtml = “<body>” + keyword + “の検索結果一覧” + ”</body>” ここに入力したScriptがそのまま埋め込まれる!
  42. ©MIXI 94 コード的な話 <脆弱なコード例>  • ユーザーが入力した検索ワードをレスポンスに表示する ※例であって、Juice Shopのコードがこの通りになっているというわけでないです! keyword =

    requestobj.param[:keyword] # keywordにScriptなどが入力されると.. responsehtml = “<body>” + escape(keyword) + “の検索結果一覧” + ”</body>” エスケープ用の関数を経由させて出力させよう
  43. ©MIXI 95 第二問 OWASP Top10では • (API)Injection • (Web)Injection •

    攻撃コードを「注入」し実行させること全般を指す。 • SQL injection • Cross site scripting • OS command injection • etc
  44. ©MIXI 98 安く(不正に)購入してみよう 答え • 数量にマイナスをつける • {"quantity":-2} 第三問 さすがにマイナスの値段で決済が進むとは考え

    にくいけれど、 100円の商品Aを -9個と、 1000円の商品Bを1個とを併せて買えば、 100円でBを1個買えるのは現実的かも? おとく!
  45. ©MIXI 99 第三問 安く(不正に)購入してみよう 答え • 数量にマイナスをつける • {"quantity":-2} さすがにマイナスの値段で決済が進むとは考え

    にくいけれど、 100円の商品Aを -9個と、 1000円の商品Bを1個とを併せて買えば、 100円でBを1個買えるのは現実的かも? おとく! Juice Shopのような現物を取引するサービスならば発送段階などで攻撃に気づけるかもしれないが、電子マネーの チャージやゲーム内通貨など、現物やり取りが行われないサービスの場合、気づくこともできない可能性があるの で注意! 例えばオーブでガチャをまわすとき、オーブ数量をマイナス指定するとオーブが増えたりする かも..... よくある!
  46. ©MIXI 100 第三問 問題点 • 入力値の検証が適切に行われていない 対策 • 入力値検証では「仕様的におかしくないか?」もチェックする •

    Syntax的におかしくないか? は検証していても([0-9]+じゃないと弾かれる等)、「仕様や意味を考えた ときにおかしい値の検証」が漏れることもあるので注意。 • 例えば生年月日なら、仮に自然数の入力であったとしても、2200年生まれと主張するユーザーがいたらおか しくないか? といった観点でもチェックしよう。
  47. ©MIXI 101 第三問 OWASP Top10では • (Web)Insecure Design • 「設計上の欠陥」に起因する脆弱性全般を指す。

    • 安全な設計が行われていない • 暗号化すべき情報が暗号化されていない • ロジックの検証が不十分なため仕様外の操作が可能になっている
  48. ©MIXI 105 第四問 adminユーザーとして会員登録しよう(権限昇格) 答え • 「,"role":"admin"」を無理やりjsonに付与した、下記のような値で会員登録する。 {"email":"[email protected]","password":"hogehoge","passwordRepeat":"hogehoge","securityQuestion":{"id":4,"question":"Father's birth date?

    (MM/DD/YY)","createdAt":"2021-04-20T09:20:42.365Z","updatedAt":"2021-04-20T09:20:42.365Z"},"securityAnswer":"f","role":"admin"} 会員登録時のレスポンスのJsonを確認し、"role"がadminになっていればクリアー!
  49. ©MIXI 106 第四問 問題点 • role という追加パラメータの内容が解釈されて、ユーザー権限では本来実行できない会員作成が行 われてしまった。 対策 •

    ユーザー権限によるリクエストの場合は、「"role":"customer"」部が変更され得ないようにする。 • Juice Shop側(作り手側)としては「"role":"customer"」は本来の処理では送られてこないパラメータなの で、対策観点から漏れやすい問題なのかもしれません。だからこそ注意をはらう必要があります。
  50. ©MIXI 107 第四問 OWASP Top10では • (API)Mass Assignment • 入力値のフィルタリングを行わずにデータにバインディングしてしまう問題のこと。

    • 今回の出題のように、「role」プロパティの値を指定する入力値を追加された際、それをフィルタリングせず に評価してしまい、結果、意図しない権限を付与してしまう 等
  51. ©MIXI 109 総合演習 流れ 1. 管理者用ページを見つけよう 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう

    3. SQLインジェクションを悪用して、 全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう 4. 「[email protected]」ユーザーでログインしよう 5. adminユーザーでログインしよう ※演習前にログアウトしておくこと よろしく
  52. ©MIXI 113 総合演習 1. 管理者用ページを見つけよう 答え • [環境URL]/#/administration が管理者ページ • 開発者ツールで、main.js内を「administration」で検索すると見つかる。

    • アクセスしても403エラーになると思います。権限が足りないのでそれでOK。 このページに不正アクセスできたら悪さできそうだな
  53. ©MIXI 114 このページに不正アクセスできたら悪さできそうだな 総合演習 1. 管理者用ページを見つけよう 答え • [環境URL]/#/administration が管理者ページ •

    開発者ツールで、main.js内を「administration」で検索すると見つかる。 • アクセスしても403エラーになると思います。権限が足りないのでそれでOK。
  54. ©MIXI 119 以下のSQL文を入力した場合 • 「joe", "somebody"); DROP TABLE users; --」

    作られるSQL文は以下のようになります。 上記のSQLインジェクションでusersテーブルが削除されてしまいます。。 INSERT INTO users (name, description) VALUES ("joe", "somebody"); DROP TABLE users; --", "hogehoge");
  55. ©MIXI 120 SQLインジェクションの対策 プレースホルダという仕組みを使うことが対策となる。 ポイント • SQLを準備する段階で SQL文の構文が確定し、後から SQL構文が変化することがないため安全。 •

    「 joe“, “somebody“); DROP TABLE users; -- 」という入力がされた場合、description箇所が当該文字列にな るだけになる。 INSERT INTO users (name, description) VALUES (username, "hogehoge"); INSERT INTO users (name, description) VALUES (?, ?); 最初にSQL文の構造を決定しておく仕 組みが「プレースホルダ」
  56. ©MIXI 121 プレースホルダ以外の対策 ※プレースホルダが根本的対策。併せて実施しておくと良いという意味での紹介。 • 入力値チェック • 文字種、桁数、取り得る値のリスト等の範囲を仕様として絞り込める場合、もれなく入力値チェックを行うこ とは有効である •

    その際の入力値チェックはブラウザ上で動作するJavaScriptによるのではなく、Webサーバ側のアプリケー ションプログラムによって行う必要がある。 • 特殊記号対策 • シングルクォーテーション「'」のエスケープ • 例 「'」⇒ 「''」等
  57. ©MIXI 122 余談 おそらく実際に皆さんが書く処理はこんな感じ • (Rubyの例) • あれ? SQL文いなくない? • フレームワークによってSQLはコーディングから隠蔽されていることが多いかもしれない

    • 正直、モダンなフレームワークを使っていれば勝手に対策されているので、SQLインジェクションが作りこま れるケースは少ないかもしれない • 逆に言えばコーディングしているだけでは危険性を知れないかも、とも言えるので、今のうちに原理をちゃん と押さえておきましょう username = requestobj.param[:name] userprofile = User.where(username: username).profile view(userprofile)
  58. ©MIXI 124 総合演習 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう ヒント1 • アプリケーションがSQLを発行していそうな機能を探し、構文を崩す。この辺。

    • [環境URL]/rest/user/login • [環境URL]/rest/product/search?q=Apple 不正アクセスのためにSQLインジェクションを狙う
  59. ©MIXI 125 総合演習 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう ヒント2 • ログイン時のSQL文(想像)

    • SELECT * FROM xxxx WHERE id = 'test@example' and password = 'password123'; • 検索時のSQL文(想像) • SELECT * FROM xxxx WHERE name like = '%Apple%'; 不正アクセスのためにSQLインジェクションを狙う
  60. ©MIXI 126 総合演習 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう 答え • SQL文に利用される送信パラメータの末尾等にシングルクォーテーション「'」等を入れることで、

    意図的にSQLシンタックスを壊す。 • [環境URL]/rest/user/login の「email」の値を改ざん • SELECT * FROM xxxx WHERE id = 'test@example'' and password = 'password123'; • [環境URL]/rest/product/search?q=Apple の「q」の値を改ざん • SELECT * FROM xxxx WHERE name like = '%Apple'%'; SQLインジェクションできる場所を見つけたぞ!
  61. ©MIXI 128 総合演習 3. SQLインジェクションを悪用して全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう ヒント1 • 商品検索のリクエストを見てみよう。 • [環境URL]/rest/product/search?q=apple

    • 先ほどのログイン時のSQLITE_ERROR内容から、テーブル名、カラム名が判明している。つまりこ こで発行されるSQL文は下記のよう。 • "SELECT * FROM Users WHERE email = '[email protected]'' AND password = 'b0baee9d279d34fa1dfd71aadb908c3f' AND deletedAt IS NULL" SQLインジェクションでいざ情報奪取!
  62. ©MIXI 130 2つ以上のSELECT文の結果を統合する仕組みのこと。 商品テーブルとUsersテーブルを結合(UNION)してみよう! ※UNIONでつなぐデータの表は、カラム数と型を統一しないとエラーになるので注意。 UNIONとは name kind nakigoe pochi

    dog wanwan tama cat nyaaaaaan!!! name nickname syumi yamada yamachaso tozan tanaka nakata nyaaaaaan!!! name kind nakigoe pochi dog wanwan tama cat nyaaaaaan!!! yamada yamachaso tozan tanaka nakata nyaaaaaan!!! SELECT name,kind,nakigoe FROM animals SELECT name,nickname,syumi FROM friends; UNION UNION
  63. ©MIXI 132 総合演習 3. SQLインジェクションを悪用して全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 まずはSQLエラーから収集できた情報を整理してみよう。 • 商品検索時のSQLエラーから収集できたProductsテーブルの情報 •

    SELECT * FROM Products WHERE ((name LIKE '%APPLE'%' OR description LIKE '%APPLE'%') AND deletedAt IS NULL) ORDER BY name • テーブル名: Products • カラム名: name, description, deletedAt • ログイン時のSQLエラーから収集できたUsersテーブルの情報 • SELECT * FROM Users WHERE email = '[email protected]'' AND password = '79ac8e0c5fbb7fffa893660a9f581303' • テーブル名: Users • カラム名: email, password ← 欲しいのはコレ! SQLインジェクションでいざ情報奪取!
  64. ©MIXI 133 総合演習 3. SQLインジェクションを悪用して全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 次に、ProductsテーブルとUsersテーブルの結合を試してみると。。 • SELECT *

    FROM Products WHERE ((name LIKE '%APPLE%')) UNION SELECT email, password FROM Users––%' OR description LIKE '%Apple'%') AND deletedAt IS NULL) ORDER BY name 下記のエラーになるはずです。 • SQLITE_ERROR: SELECTs to the left and right of UNION do not have the same number of result columns • UNION時には、連結するカラム数を同じにする必要があります。 SQLインジェクションでいざ情報奪取!
  65. ©MIXI 134 SQLインジェクションでいざ情報奪取! 総合演習 3. SQLインジェクションを悪用して全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 SELECT * FROM

    Products WHERE ~~~ SELECT email,password,3,4,5,6,7,8,9 FROM Users-- name description deletedAt ? ? ? ? ? ? Apple Juice The all-time classic. null ? ? ? ? ? ? Apple Pomace hoge null ? ? ? ? ? ? email password 3 4 5 6 7 8 9 [email protected] 3c2a~~ 3 4 5 6 7 8 9 [email protected] 963e~~ 3 4 5 6 7 8 9 UNION UNIONするためにはカラム数を統一する必要がある。 でもProductsのカラム数は不明。 カラム数を合わせるために、 ダミー値の3,4,5...を順番に足していく。 9まで足すとカラム数がそろい、UNIONが成功する。
  66. ©MIXI 135 SQLインジェクションでいざ情報奪取! 総合演習 3. SQLインジェクションを悪用して全ユーザーの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 つまり、カラム数が合うまで下記のように試行を続けると、エラーが発生しなくなる時が訪れる。 それが答え。 1.

    /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password%20FROM%20Users–– 2. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3%20FROM%20Users–– 3. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4%20FROM%20Users–– 4. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5%20FROM%20Users–– 5. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6%20FROM%20Users–– 6. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7%20FROM%20Users–– 7. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8%20FROM%20Users–– 8. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20FROM%20Users––
  67. ©MIXI 138 総合演習 4. 「[email protected]」ユーザーでログインしよう 答え • Emailの値を「[email protected]'--」にする • SELECT

    * FROM Users WHERE email = '[email protected]'--' AND password = 'c4ca4238a0b923820dcc509a6f75849b' AND deletedAt IS NULL 不正アクセスできた!
  68. ©MIXI 141 総合演習 5. adminユーザーでログインしよう 答え1 • 先ほど取得したユーザー情報の一覧から、adminユーザーのEメールは「[email protected]」と分 かる。これに対し、Eメールの値を「[email protected]'--」とし、SQLインジェクションによるパ スワード不要でのログインを行う。

    • SELECT * FROM Users WHERE email = '[email protected]'--' AND password = 'XXXXXXXXXXXXXX' ログインできたら、冒頭で見つけた管理者ページ「[環境URL]/#/administration」にアクセスしてみよ う。アクセスできるようになっているはず! 管理者機能にアクセスできた!
  69. ©MIXI 142 総合演習 5. adminユーザーでログインしよう 答え2 • Burp Suiteの「Intruder」を利用し、総当たり攻撃を行うことでパスワードを割り出せる。 •

    ※今回は簡略化のために300通りで値を総当たりしましたが、実際はもっと大量の値を総当たりしたり、既に どこかから漏洩したパスワードのリストを試行する可能性が高いです。 管理者機能にアクセスできた!
  70. ©MIXI 143 総合演習 OWASP Top 10での説明 • (API)Injection • (Web)Injection

    • XSSのときに登場した問題。入力値からコードを注入できてしまう問題。 • SQLインジェクションができてしまった点がこれに該当。 • (API)Broken User Authentication • (Web)Identification and authentication failures • 認証機能をセキュアに実装できていない という問題。 • SQLインジェクションや総当たりをすることで不正に認証を突破できてしまった点がこれに該当。 • (API)Lack of Resources & Rate Limiting • リソースの要求サイズや数に制限が設けられていない という問題。 • ログイン試行が無数に行える(途中でロックアウトされない)点がこれに該当。
  71. ©MIXI 145 【余談】Burp Suiteってどんなツール? Burp Suite ブラウザ 通信先(Webサイトとか 復号できます見れますっ SSLセッション

    SSLセッション SSLセッション HTTPSパケット • Burp SuiteってなんでHTTPS通信を見えてるの? • https って暗号化されてるんだから、経路上から見られんくない? • 実はBurp SuiteはMan in the middleなツール • Burp SuiteはクライアントともサーバともSSL/TLSをしている • ブラウザからするとサーバと通信しているつもりがBurpと通信している • サーバからするとブラウザと通信しているつもりがBurpと通信している • あれ、サーバ証明書は? • 当然、通常のブラウザでは(FireFoxとかで試すと)警告が出ます • ハンズオンではBurpの証明書が自動で信頼されている環境だっただけ • フリーWiFi等の信頼できないNWでは攻撃者が同じことをしているかも..?
  72. ©MIXI 146 ハンズオンで紹介しきれなかったOWASP Top 10の脆弱性たち API
 ◦ Broken Object Level

    Authorization ◦ Broken User Authentication ◦ Excessive Data Exposure ◦ Lack of Resources & Rate Limiting ◦ Broken Function Level Authorization ◦ Mass Assignment ◦ Security Misconfiguration ◦ Injection ◦ Improper Assets Management ◦ Insufficient Logging & Monitoring 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)
 引用元:https://owasp.org/www-project-api-security/, (2023/6/5) 引用元:https://owasp.org/Top10/, (2023/6/5)
  73. ©MIXI 147 (API/Web) Security Misconfiguration 不適切な設定をしてしまったことにより発生する問題全般 • 例 • 古いバージョンのTLSが有効なまま

    • ライブラリ/フレームワーク等の設定値がセキュアでない • この問題が招く脆弱性の一例として、XML External Entityという有名な脆弱性がある • KENROを使った脆弱性対策演習で後日別途学習
  74. ©MIXI 149 (API/Web) Security Misconfiguration 対策 • これ! というものは無い(使っているものによって着眼点は変わるため)が下記は意識を持って おくと良いと思います。 •

    開発やQA、本番環境それぞれで同じ設定になるようにする • 検証時はセキュアだったが、本番環境の設定では脆弱だったというリスクを減らす • 必要ない機能/コンポーネントは除いておく • コンポーネントの数だけ設定ミスで穴が開くリスクは増える
  75. ©MIXI 150 (API) Improper Assets Management エンドポイントやドキュメントの管理が不適切になっている問題。 • 例 •

    古いAPIバージョンが残存したままになっている • デバッグ用APIが公開されている • 仕様をまとめたドキュメントが存在しない
  76. ©MIXI 151 (API) Improper Assets Management 想定される被害ケース例 • api.someservice.com/v2/userinfo というAPIがあったとして

    • v2はセキュア、しかしv1には脆弱性がある状況で • 攻撃者はapi.someservice.com/v1/userinfo 経由でユーザーデータを不正取得できてしまった。
  77. ©MIXI 152 (API) Improper Assets Management 対策 • 公開するものは守る。守れていないものは公開しない。 •

    /v1, /v2で例えると、/v1を残存させるならv1は守る。v1が脆弱なら公開を廃止する。 • それをクリアに把握しておけるように、ドキュメント管理をしっかりしておきましょう。 • このAPIは残っていていいのか? 等の判別のため。 • ※ドキュメントこそ命という話ではなくて、何を公開して何を守るのかクリアに なっているのが肝。ドキュメント管理はそのための手段。
  78. ©MIXI 153 (API) Insufficient Logging & Monitoring ロギング/監視が不十分なため、 攻撃が行われた際に適切に対処することができない状況になっている問題。 •

    例 • ログが無いため、侵入者が何を行ったか分からない。影響範囲が特定できない。 • 監視が無いため、侵入者の存在に気づけない。
  79. ©MIXI 154 (API) Insufficient Logging & Monitoring 想定される被害ケース例 • AWSアカウントにて、ある日コインマイニングを行っているEC2インスタンスを発見した。

    • 原因を調べたところ、EC2を立てる権限を持ったユーザーのアクセスキーが漏洩し、不正アクセス されたようだった。 • ただし、該当アクセスキーAPIログを残していなかったため、悪用被害範囲を特定することができな かった。
  80. ©MIXI 155 (API) Insufficient Logging & Monitoring 対策 • ログはできるだけ残しておく。

    • 攻撃が行われたら気づけるように監視をする。 • AWS/Google Cloudについてはセキュリティ室側の監視設定を施してあるアカウントであれば、一定の監視/ ログ取得は行われています。 • 攻撃が行われた場合はアラートが鳴る。 • 管理系のログ(ユーザーXがhogeというAPIをいつに実行した程度)は取得している。 • 逆に言うと、エンドユーザーのアクセスログ等は各自で取得しておくようにしましょう。 • 認証失敗や不正行為の疑いのログなど。
  81. ©MIXI 158 非保持化 について 非保持とは • 『保存』『処理』『通過』をすべて行っていない状態のこと。 • 保存 • DBに保存。スプレッドシートに保存。etc,,

    • 処理 • コールセンターにて顧客のクレカ情報をPC入力。etc,, • 通過 • 顧客のPC→自社サーバ→決済代行会社サーバという流れでクレカ情報を送信。etc,,
  82. ©MIXI 160 PCIDSS準拠 について PCIDSSとは • Payment Card Industry Data Security

    Standard • クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界 のセキュリティ基準のこと。 • 国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した PCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている。 「非保持化」をやらないなら、この基準を守れ! ということ。 詳細は割愛mm
  83. ©MIXI 161 クレジットカード情報の流出で想定される被害 • カード利用者への不利益 • 攻撃者に使われる • 本人認証が弱いプリペイドカードにチャージ •

    偽造カードを作成し利用 • 攻撃者に売られる • ブラックマーケットで換金 • 事業者への不利益 • お客様へのお詫びコスト • 不正に行われた買い物の損害賠償 • カード決済の一時停止措置 • コールセンター対応コスト • 再発防止コスト • 信頼を失う!
  84. ©MIXI 163 クレカとパスワードの話のまとめ • クレジットカードの取扱い方 • 非保持化する • しないならPCIDSSに準拠(監査なども含む) •

    パスワードの取扱い方 • 盗まれたとしても解析困難な形で保存する • 具体的には「ソルト付きハッシュ」という形式がセキュアな保存形式 • ストレッチングと呼ばれる、ハッシュ化するとき何千、何万回とハッシュ化を繰り返すことでログインに時間がかかり、総当た り攻撃のために必要な時間を増やす手法も併せるとなおセキュア
  85. ©MIXI 165 (Web) Vulnerable and Outdated Components 想定される被害ケース例 • https://nvd.nist.gov/vuln/detail/cve-2021-44228

    • Log4jというJavaライブラリの脆弱性 • 上記脆弱性が存在するバージョンのLog4jを使用していたために、攻撃者からインターネット経由で任意コー ド実行が行われる可能性
  86. ©MIXI 166 (Web) Vulnerable and Outdated Components 対策 • 脆弱性情報をウォッチしておく

    • CVE(Common Vulnerability and Exposures)やNVD(National Vulnerability Database)など • なお、脆弱性情報の見方については後ほどの章で別途説明します • 不要なコンポーネントは取り除いておく
  87. ©MIXI 167 (Web) Software and Data Integrity Failures 悪意あるコードがコンポーネントに含まれている(含まれうる)問題。 •

    外部ファイルを読み込む際、悪意あるものを指定されるかもしれない • 読み込んでいるコードは改ざんされているかもしれない • シリアライズデータが改ざんされて攻撃コードを注入されるかもしれない 想定される被害ケース例 • あるWebアプリでは、生成したオブジェクトをシリアライズしてCookieに保存し、そのオブジェク トが必要な際、Cookie値をデシリアライズして使用する仕様だった • 攻撃者はCookie値を改ざんし、オブジェクトのデストラクタに攻撃コードを忍ばせたシリアライズ データをWebアプリに送信した • すると、デストラクタ実行時、攻撃コードが実行された
  88. ©MIXI 168 (Web) Software and Data Integrity Failures 対策 •

    外部ファイルを読み込む際、悪意あるものを指定されるかもしれない • 外部からのファイルを読み込む際、想定していない外部ファイルを読み込まれない設計にする。例えばクライ アントからURLを受け取り、そのURLのコードをそのまま読み込むといった構成を避ける。数値を受け取り、 その数値と紐づいたファイルを読み込む等。 • 読み込んでいるコードは改ざんされているかもしれない • 信頼性の高い提供元の外部ライブラリを利用する。 • 読み込むコードの署名を検証する。 • シリアライズデータが改ざんされて攻撃コードを注入されるかもしれない • そもそもシリアライズデータでオブジェクト等のコードを送受信する必要があるか見直す。 • データの暗号化や署名付与を行い改ざんをできなくする。 共通するのは「悪性コードを組み込ませられないようにする」
  89. ©MIXI 169 アプリケーションを踏み台にして、内部/外部サーバにリクエストすることができる脆弱性。 想定される被害ケース • ポートスキャン • ファイル内容の読取 • DoS

    (Web) Server-Side Request Forgery (SSRF) 脆弱なアプリ 外部サーバ 外部サーバからすると、 攻撃してきているのは脆弱 なアプリのように見える (踏台にされる) 指定されたサーバに処理を中継し、 ポートスキャン/ファイル読出/DoS等を行う URLを指定するパラメータに 外部サーバのポートやファイ ルを指定してリクエスト
  90. ©MIXI 170 (Web) Server-Side Request Forgery (SSRF) 対策 • ネットワーク層(対策というより被害軽減策)

    • SSRFが発生しうる機能をNW的に分離する • 想定している通信先以外への通信をFWでブロックする • アプリケーション層 • そもそも、リクエスト先URLをクライアントから直接受け取る構成をやめる。 • 動的にリクエスト先を変えたい場合、固定値を受け取るようにする。例えば数値を受け取り、それに紐づいた URLにアクセスするなど。 • 入力値検証を行う。 • ホワイトリスト形式で検証する。 • ブラックリスト形式や正規表現で検証すると、バイパスできる可能性が出てくるため極力行わない。
  91. ©MIXI 171 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る まずはここの話!
  92. ©MIXI 172 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る 次はここの話!
  93. ©MIXI 173 自分たちでは作り込まないが、脆弱性になりうるもの • ミドルウェアやライブラリ • 脆弱性が潜んでいて、そこを突かれる可能性があるので適宜バージョンアップが必要 • 外部組織に開発委託した成果物 •

    委託したコードの中に脆弱性がある可能性もあるので脆弱性診断等でチェックする必要がある。 • 皆さんが直近の業務で関わる機会は少ないかもしれませんが、委託だから丸投げでOKというわけではなく、 きちんと自分たちで品質を確認しなきゃいけないという認識は持っておきましょう。
  94. ©MIXI 174 脆弱性対応時、調査のポイント 外部ライブラリ等の脆弱性対応は、 • 脆弱性があったら • それを評価し • 必要に応じそのモジュールをアップデートする

    という流れになる。その際の評価ポイントは下記になる。 • どのソフトウェア? • どのバージョン? • どんな影響ある? • どれくらい深刻なの? • どう対策すればいい? こういった情報の概要がまとまった脆弱性情報メディアに「CVE」がある。
  95. ©MIXI 175 CVEとは? • Common Vulnerabilities and Exposuresの略。 • CVEとは、米MITRE(マイター)社が提供している、脆弱性を識別するための共通脆弱性識別子。

    • 一般的にCVE番号、CVE IDと呼ばれている。 • 例:CVE-2020-8165 • ※命名規則は、「CVE-YYYY- NNNN…N 」のようになっている。「YYYY」は発見された年数、NNNN…N は一意の番号。
  96. ©MIXI 176 CVEの見方 • 例えば『CVE-2020-8165』なら、下記のようにCVEのサイトのname部分にIDを指定すれば確認でき ます。 • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8165 • 見ると良い項目

    • CVE-ID:NVDへのリンクが記載されている。 • Description:脆弱性概要が記載されている。 • References:参考URLが記載されている。 引用元:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8165,(2023/5/3)
  97. ©MIXI 178 NVDの見方 CVE-2020-8165の例 • URL:https://nvd.nist.gov/vuln/detail/CVE-2020-8165 • 見ると良い項目 • Current

    Description • 脆弱性の概要説明。 • Severity • 「CVSS」の情報。脆弱性の深刻度。 • References to Advisories, Solutions, and Tools • 関連する情報へのリンク。 • Known Affected Software Configurations • 影響を受けるソフトウェアとバージョン。 引用元:https://nvd.nist.gov/vuln/detail/CVE-2020-8165, (2023/5/3)
  98. ©MIXI 179 CVSSとは • Common Vulnerability Scoring System • 脆弱性の深刻度をスコア(数値)で表すシステム。

    • 計算式に則り、脆弱性を0~10.0までの値で評価。 • 10.0が最も深刻。 • NVDにはV2、V3の2バージョンが記載されている。
  99. ©MIXI 180 CVSS (V3) の見方 CVSSはVectorと呼ばれる下記の要素から算出されます。 • AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 例 •

    AV:N ー> 攻撃元区分:ネットワーク • AC:L ー> 攻撃条件の複雑さ:低 • PR:N ー> 必要な特権レベル:不要 • UI:N ー> ユーザー関与レベル:不要 • S:U ー> スコープ: 変更なし • C:H ー> 機密性への影響:高 • I:H ー> 完全性への影響:高 • A:H ー> 可用性への影響:高 このScoreは9.8 (Critical)!
  100. ©MIXI 181 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

    • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescripn欄を確認したところ、任意コード実行ができることが分かった。 以上を確認すると、「ヤバそう」かどうかのイメージが付きやすくなると思います。
  101. ©MIXI 182 日本の脆弱性情報収集サイト • JVN • Japan Vulnerability Notes •

    日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 • https://jvn.jp/ • JVN iPedia • 国内外問わず日々公開される脆弱性対策情報のデータベース • https://jvndb.jvn.jp/
  102. ©MIXI 183 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る
  103. ©MIXI 184 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る 続いてここの話!
  104. ©MIXI 185 【演習】Juice Shopをアクセス制御で守ろう 抑えておきたい「アクセス制御」の二つの思想 • 境界防御 → NWの境界線で守っていく考え方。 •

    ゼロトラスト → 弊社でも取り組んでいるイマドキ(?)の考え方/やり方。 Google Cloudの機能を使って、 境界防御とゼロトラストの思想それぞれでJuice Shopをアクセス制御してみましょう! • Juice Shopは皆さんが運営しているサービスの試験環境だと想定してください。
  105. ©MIXI 186 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC
  106. ©MIXI 187 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ
  107. ©MIXI 188 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除)
  108. ©MIXI 189 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる
  109. ©MIXI 190 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観
  110. ©MIXI 191 【演習】Juice Shopを境界防御にもとづいて守ろう 自身のJuice Shop環境にIP制限を施し、境界防御の考え方でのアクセス制御を行おう。 やること - Cloud ArmorというGoogle

    Cloudサービスを使ってIP制限を行い、挙動を確認する ※社内研修時はJuice ShopをGoogle CloudでデプロイしていたためCloud Armorを使用しました
  111. ©MIXI 192 【演習】Juice Shopを境界防御にもとづいて守ろう 1. Google CloudのコンソールCloud Armor設定画面にアクセス 2. ポリシーを作成

    a. PolicyTypeにバックエンドセキュリティポリシーを選択 3. Default rule Action a. デフォルトは拒否でステータス403 4. ルールの追加 a. モード→基本モード b. 一致→許可したいIP c. 優先度→1000 5. ターゲットへのポリシーの適用 a. ターゲットの追加(ロードバランサのバックエンドサービス) 6. 高度な作成 a. スルー 以上で設定したIP以外でアクセスすると403エラーが返るようになります。
  112. ©MIXI 193 ゼロトラストとは 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data App

    & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC
  113. ©MIXI 194 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観
  114. ©MIXI 195 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観 いわば社内ネットワークトラスト!
  115. ©MIXI 196 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。
  116. ©MIXI 197 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。 社内ってだけじゃ アクセスされる側は信じない 社内ってだけじゃ アクセスされる側は信じない 社内ネットワークだからといって それだけで安心とは考えない世界観
  117. ©MIXI 205 エンフォーサとは? Untrustedな領域とtrustedな領域を分かつ、境界線となるコンポーネントのこと。 • エンフォーサの2つの役割 • Policy Decision Point(信頼できるリクエストか判断するポイント)とのやり取り

    • リソースへのアクセスのリクエストが認可されるかどうかを知る。 • 認可の判断の実際の導入と継続的な適用 • リソースへのアクセスを実際にブロックしたり通過させたりする。
  118. ©MIXI 208 図でいうと • つまり下記が絶対押さえておきたいものたち ここがエンフォーサ エンフォーサはIDPと連携し IDを認識&認証したい IDPに含まれる場合もあれば 独自実装もありうる

    引用元:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf, (2023/5/3) リソースへのアクセスのリクエスト が認可されるかどうかを知る リソースへのアクセスを実際にブ ロックしたり通過させたりする
  119. ©MIXI 209 エンフォーサがなぜ重要か ゼロトラスト実装にあたってmustなこと • 少なくとも今までの境界防御より弱くなることがあってはいけない。 境界防御より弱くならずに済むためには、 • アクセス制御対象への全てのリクエストをチェックする必要がある。  •

    具体的にはプロキシやアプリケーションロードバランサを利用したい。 つまりIDPやアプリ本体の認証だけだと不十分。 • 攻撃リクエスト自体はリソースを持つアプリに直接届いてしまうため。 • アプリの脆弱性を突いた攻撃には十分な防御効果を発揮できないため。 • チェックできないリクエストが存在するため。
  120. ©MIXI 210 仮に IDP だけの構成だと Internet Private Network Tool App

    Reverse Proxy SSO FW IGW PC PC employee attacker アプリの脆弱性を突く場合、認証は必ずしも必須で はないため、攻撃成立するかもしれない。 PC employee can send packet without login.
  121. ©MIXI 211 エンフォーサがなぜ重要か ゼロトラスト実装にあたってmustなこと • 少なくとも今までの境界防御より弱くなることがあってはいけない。 境界防御より弱くならずに済むためには、 • アクセス制御対象への全てのリクエストをチェックする必要がある。  •

    具体的にはプロキシやアプリケーションロードバランサを利用したい。 つまりIDPやアプリ本体の認証だけだと不十分。 • 攻撃リクエスト自体はリソースを持つアプリに直接届いてしまうため。 • アプリの脆弱性を突いた攻撃には十分な防御効果を発揮できないため。 • チェックできないリクエストが存在するため。 だからユーザー認証が行えて全通信で認証と許可のチェックができるようにする必要がある。 • 出来ればOktaやGoogle等の信頼のおけるIDPと連携すると良い。
  122. ©MIXI 212 エンフォーサ + IDP の構成なら Internet Private Network Tool

    App http https Auth Proxy https https IDP Auth FW IGW PC PC employee attacker end here パケット自体がここで止まるので、 攻撃成立しない。 Reverse Proxy
  123. ©MIXI 213 エンフォーサがなぜ重要か ゼロトラスト実装にあたってmustなこと • 少なくとも今までの境界防御より弱くなることがあってはいけない。 境界防御より弱くならずに済むためには、 • アクセス制御対象への全てのリクエストをチェックする必要がある。  •

    具体的にはプロキシやアプリケーションロードバランサを利用したい。 つまりIDPやアプリ本体の認証だけだと不十分。 • 攻撃リクエスト自体はリソースを持つアプリに直接届いてしまうため。 • アプリの脆弱性を突いた攻撃には十分な防御効果を発揮できないため。 • チェックできないリクエストが存在するため。 だからユーザー認証が行えて全通信で認証と許可のチェックができるようにする必要がある。 • 出来ればOktaやGoogle等の信頼のおけるIDPと連携すると良い。 IDPで疎通可否を判断するエンフォーサによってこれらを満たすことができる。 だからエンフォーサは大事。
  124. ©MIXI 214 もう少し技術的な話 Untrusted… FW / NAT Proxy with Auth

    & Session Check IDP Policy Decision Point Policy Engine Policy Admin Application Server /login /module1 /module2 /module3 DB resource Local resource session check Vulnerabi lity Vulnerabi lity request request request request request request request Tunnel Connector employee atacker Trusted ! Vulnerable but not exploited Vulnerable but not exploited
  125. ©MIXI 215 もう少し技術的な話 Untrusted… FW / NAT Proxy with Auth

    & Session Check IDP Policy Decision Point Policy Engine Policy Admin Application Server /login /module1 /module2 /module3 DB resource Local resource session check Vulnerabi lity Vulnerabi lity request request request request request request request Tunnel Connector employee atacker Trusted ! Vulnerable but not exploited Vulnerable but not exploited 認証済みのリクエストのみプロキシか らアプリへパケットが中継される 認証を経ていないリクエストはプロキシか らアプリへパケットが中継されない プロキシを経由せずアプリに直接 アクセスはできない 認証を経ていないリクエストはプロキシか らアプリへパケットが中継されない
  126. ©MIXI 216 誤解してはならないこと • 境界防御の全てがオワコンというわけではない。 • 依然として使われているし、重要。手札として持っておこう。 • IDPでの認証があればOKということではない。 •

    肝は「全パケットが保護対象到達前に検証される」という部分で、その検証にIDPを利用しているというこ と。 • 単純に ゼロトラスト = リモート何でもOK ということではない。 • 公開エンドポイントへのアクセス制御方法が社内IPに依存しなくなったというだけ • PC側の保護も必要となる。AV、EDR、PFW、覗き見、etc… • 当然、カフェ等での業務やフリーWi-Fiでの業務等はリスクがある ゼロトラストを誤解/過信して、 セキュリティレベルが下がることが無いように。
  127. ©MIXI 218 Juice Shopをゼロトラスト的に守るとしたら? 新卒研修時の演習環境はこのようになっています。 Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可
  128. ©MIXI 219 Juice Shopをゼロトラスト的に守るとしたら? 実は演習環境は既にゼロトラスト的に守られています! Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがPolicy Decision Pointの役割 を果たしている ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている
  129. ©MIXI 220 Juice Shopをゼロトラスト的に守るとしたら? 実は演習環境は既にゼロトラスト的に守られています! Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがPolicy Decision Pointの役割 を果たしている ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている 参加者でのGoogleアカウントで認 証されれば通過/それ以外は拒否
  130. ©MIXI 221 Juice Shopをゼロトラスト的に守るとしたら? 実は演習環境は既にゼロトラスト的に守られています! Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがPolicy Decision Pointの役割 を果たしている ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている 参加者でのGoogleアカウントで認 証されれば通過/それ以外は拒否 これから、このルールを変えてみる 演習をしていただきます!
  131. ©MIXI 222 【演習】Juice Shopをゼロトラストにもとづいて守ろう 自身のJuice Shop環境のIAP設定を操作し、ゼロトラストにもとづいたアクセス制御を行おう。 • IAPとは • IAP

    とは、ウェブサイトへのリクエストをインターセプトし、リクエストを送信したユーザーを認証して、認 証されたユーザーにのみサイトへのアクセスを許可する、という一連の処理を行うサービスです。 • 対応しているプラットフォームは、App Engine、Compute Engine のほか、Google Cloud ロードバランサの 背後で動作するサービスなど、さまざまなものがありますが、その利用は Google Cloud に限定されません。 IAP コネクタと合わせて使用すれば、オンプレミスのアプリケーションを保護することも可能です。 • ざっくりいうと、ロードバランサ等へのアクセス時にGoogleアカウントの認証を挟めるサービス。
  132. ©MIXI 223 【演習】Juice Shopをゼロトラストにもとづいて守ろう 自身のJuice Shop環境のIAP設定を操作し、ゼロトラストのアクセス制御を行おう。 やること - Identity-Aware ProxyというGoogle

    Cloudサービスを使ってIP制限を行い、挙動を確認する - 確認すること - IAPをONにして、かつアクセス権があるときの挙動 - Googleログイン後にアクセスできればOK - IAPをONにして、かつアクセス権が無いときの挙動 - レスポンスが「You dont have access」になればOK - IAPをOFFにしたときの挙動 - シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK ※社内研修時はJuice ShopをGoogle CloudでデプロイしていたためIAPを使用しました
  133. ©MIXI 224 【演習】Juice Shopをゼロトラストにもとづいて守ろう 1. IAPサービス画面にアクセス 2. 対象バックエンドサービスを選択しIAPをONにする 3. 画面右側にある「IAP-secured

    Web App User」欄に自分を追加 a. これでアクセス権が付与される 4. IAPのON/OFF、IAP-secured Web App Userの付与/剥奪によって挙動の変化を確認 a. 確認すること b. IAPをONにして、かつアクセス権があるときの挙動 i. Googleログイン後にアクセスできればOK c. IAPをONにして、かつアクセス権が無いときの挙動 i. レスポンスが「You dont have access」になればOK d. IAPをOFFにしたときの挙動 i. シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK
  134. ©MIXI 225 MIXI社とゼロトラスト 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data App

    & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC MIXIでもゼロトラスト設 計での防御を使ってい る!
  135. ©MIXI 226 MIXI社とゼロトラスト うちの会社で使われているゼロトラストベースの構成(エンフォーサ + IDP)の例 • AWS • ALB

    + Okta • ALB + Cognito • Google Cloud • Cloud Load Balancing + IAP • SaaS • Akamai EAA + Okta セキュリティ室で導入サポートも行っています!
  136. ©MIXI 228 【演習】(余談) Juice ShopをWAFで守ろう WAFについて • Webアプリケーションの脆弱性に対しては一つ一つ対策を施していくのが基本だが、WAF(Web Application Firewall)によって防御するという選択肢もある。

    • リクエスト中に攻撃パターンの文字列が含まれていると遮断する(403応答など)。 • WAFだけで守り切るのは困難だったり、正常なリクエストにも反応してしまう可能性があったり、基本的に はおすすめはしていないが、特定のケースで使える場合があるため、選択肢として持っておくとよい。 • レガシーなつくりでコードが入り組んでおり、アプリケーションの改修が難しいといった場合、WAFで一元 的に攻撃シグネチャを遮断するという対策手段はアリかもしれない。 • Google CloudではCloud ArmorにWAF機能がある。
  137. ©MIXI 231 【演習】(余談) Juice ShopをWAFで守ろう 自身のJuice Shop環境にWAF設定を施し、SQLインジェクションを検知・遮断しよう。 やること • Cloud

    ArmorでWAF設定を実施 • 確認すること • 通常のリクエストには何も反応しない一方、 • 総合演習3 の攻撃クエリ 「/rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20FROM%2 0Users--」のような攻撃リクエストが送信されると、「403 Forbidden」エラーとなることを確認する。
  138. ©MIXI 232 【演習】(余談) Juice ShopをWAFで守ろう 1. Cloud Armorページにアクセス 2. ポリシーを作成or編集

    3. 「ルールを追加」でエディタ部分に右をコピペ a. これが特定文字列を弾くルールセット 4. アクションは拒否(403)に 5. 優先度→10 6. WAF設定後、UNION〜の文字列を送信するとWAFが作動し 403エラーが返るようになればOK evaluatePreconfiguredExpr('sqli-stable', ['owasp-crs-v030001-id942110-sqli', 'owasp-crs-v030001-id942120-sqli', 'owasp-crs-v030001-id942150-sqli', 'owasp-crs-v030001-id942180-sqli', 'owasp-crs-v030001-id942200-sqli', 'owasp-crs-v030001-id942210-sqli', 'owasp-crs-v030001-id942260-sqli', 'owasp-crs-v030001-id942300-sqli', 'owasp-crs-v030001-id942310-sqli', 'owasp-crs-v030001-id942330-sqli', 'owasp-crs-v030001-id942340-sqli', 'owasp-crs-v030001-id942380-sqli', 'owasp-crs-v030001-id942390-sqli', 'owasp-crs-v030001-id942400-sqli', 'owasp-crs-v030001-id942410-sqli', 'owasp-crs-v030001-id942430-sqli', 'owasp-crs-v030001-id942440-sqli', 'owasp-crs-v030001-id942450-sqli', 'owasp-crs-v030001-id942251-sqli', 'owasp-crs-v030001-id942420-sqli', 'owasp-crs-v030001-id942431-sqli', 'owasp-crs-v030001-id942460-sqli', 'owasp-crs-v030001-id942421-sqli', 'owasp-crs-v030001-id942432-sqli'] )
  139. ©MIXI 233 サーバ側を強固にするには? • 公開するところ • 自分たちの作りこむもの(皆さんがコーディングする部分) • → 脆弱性を知り、対策する •

    自分たちでは作りこまないもの • → リスクを正しく評価し、必要に応じ対策する • 公開する必要のないところ • → アクセス制御を行って、アクセス自体を絞る ここの話をした!
  140. ©MIXI 235 モバイルのセキュアコーディングガイド紹介 Mobile Application Security Design Guide https://github.com/OWASP/www-project-mobile-application-security-design-guide •

    モバイル開発におけるセキュリティ設計が下記観点ごとにまとめられている • Architecture, Design and Threat Modeling Requirements • Data Storage and Privacy Requirements • Cryptography Requirements • Authentication and Session Management Requirements • Network Communication Requirements • Platform Interaction Requirements • Code Quality and Build Setting Requirements コード例なども交えつつセキュアな設計/実装を包括的に説明してくれているので、モバイルのセキュリ ティを考えるうえで参考になる。悩んだら一度覗いてみるのをおすすめ。
  141. ©MIXI 236 今日頭に入れておきたいモバイルセキュリティの注意点 • ログに機微な情報が載らないように注意。 • SDカード等の、他アプリからアクセスできる領域に重要なデータを保存しない。 • カスタムURLスキームでは重要なデータを取り扱わない。 •

    同じカスタムURLスキームを宣言した偽装アプリにデータが渡ってしまうかもしれない。 • レシート検証はちゃんとしましょう。改ざん/別レシート/過去レシートなど。 • レシート検証周りの参考 • [iOS]https://developer.apple.com/jp/documentation/storekit/in-app_purchase/validating_receipts_with_the_ app_store/ • [Android]https://developer.android.com/google/play/billing/security • 未公開情報を埋め込まない。解析による漏洩対策。 • ゲームの場合、上記に加えて「チート」のリスクも認識/対応しておく。
  142. ©MIXI 238 チートとは • チート(英: cheat)とは騙す、欺くこと。 • コンピュータゲームにおいて、広義には制作者が意図しない方法や結果により使用者が意図的に公 平性を損なわせる行為のこと。 •

    狭義には、コンピュータゲームにおいて優位に進めるための(バグ等を用いた)不正行為または ハッキング行為のこと。 引用元:https://ja.wikipedia.org/wiki/%E3%83%81%E3%83%BC%E3%83%88, (2023/5/3)
  143. ©MIXI 239 チートの例 • アイテムの増殖 • ステージの全開放 • 獲得アイテムの改変 •

    お金無限 • ステータスの改変(敵・味方) • 当り判定の拡大や縮小 • スコアの改変 • 壁が透ける • 空を飛ぶ • 位置情報を偽装する • ....etc ゲーム内容によって、 公平性を損なわせる行為の仕方はさまざま。
  144. ©MIXI 240 チーターの心理 • チーターの心理には、大きく3種類があるように見受けられる。 • ラクして結果を出したい • 一番自然であろう心理。ラクに強くなって気持ちよくなりたい。 •

    「チートしちゃってるオレ」感を味わいたい • チートできる/しているということ自体に快感。 • Mod(改造したアプリ)をネットに公開 • チートのやり方をYoutube等で解説 • ↑ 「ラクして強くなりたい」だけならそれを世間に知らせるようなことはしないはず。 • 金銭を得たい • チート代行業で稼ぐ • チートで得たアイテム/アカウントを販売で稼ぐ • チート情報をまとめたサイトの運営で稼ぐ
  145. ©MIXI 241 チーターを取り巻くWin-Winな環境 ラクして強くなりたい人 チートしちゃってるオレ 金銭を得たい人 ・改造アプリ ・チート方法の解説 チートアプリや 手法を公開

    情報を得て自らチート チート代行業で稼ぐ チートで得たアイテム /アカウントを販売で稼ぐ チート情報をまとめたサイトの運営で稼ぐ ※詐欺も行っているかもしれない。 代行依頼/アカウント購入 自己顕示欲が満たせて嬉しい ラクして強くなれて嬉しい お金が手に入って嬉しい 商売ネタの仕入れ
  146. ©MIXI 242 私たち運営側にとってのチートのリスク • ゲームプレイにおいて不公平が生じてしまう。フェアでない。 • スポーツでいえばドーピング。 • ユーザーは冷める。そして運営に対するヘイトが溜まる。 •

    ゲームの寿命の短縮。 • すぐクリアされるという直接的な側面と人離れによる間接的な側面。 • 課金数の低下、課金機会の損失。 • チートしている人→チートした方がコスパ良い • チートしていない人→馬鹿らしくなって課金しなくなる • 関係会社への被害 • 例えばコラボ先の商品を買うとそのIPのキャラデータが手に入るキャンペーンがあったとして、不正にキャラ データを入手できるチートが行われた場合、コラボ先商品の売り上げが下がり、関係会社に対する被害につな がる。 • ブランドイメージの低下。 • ユーザー対応コストの増加。 • 通報対応/BAN対応/問い合わせ対応など。
  147. ©MIXI 243 チートの手法 チートの手法は下記4種類に大別できる • メモリ改変 • メモリの値を書き換える。例えばHPや攻撃力や所持金に相当する箇所のメモリの値を大きくする。 • 対策

    • そもそもサーバに持つべき値はサーバに持つ。所持金とか。 • 加えて、どの値がどのメモリか探り当てられないようにする。なんらか関数を経由した値で保存する等。 • 通信改変 • 通信の送信値を書き換える。Juice Shopで行った攻撃のゲーム版。 • 対策 • 不正に書き換えられた値を受理しないよう、サーバ側での検証を徹底する。 • ローカルデータ改変 • SDカード等のローカル内ストレージの値を書き換える。セーブデータ改変など。 • 対策 • 改変されたくなければローカルに保存しない。サーバ側に保存する。 • やむを得ずローカルに保存する場合は暗号化をして改変の難度を上げる。 • クライアントアプリ解析・改造(リバースエンジニアリング) • アプリ自体を改造する。クライアント側に持つデータ/ロジックであれば実質的になんでもできる。 • 対策(防ぐことはできないので、難易度を上げる) • コードの難読化 • アプリの改ざんチェック • (改ざんチェックを無効化するように改変することも可能なため、根本的対策にはならないが難度を上げるという意味ではやった方がセキュア。)
  148. ©MIXI 244 メモリ改変 プロセスメモリエディタと呼ばれるツールを使用して、メモリに格納される値(HP・攻撃・お金など) を改変する。基本的にはJailbreak・root化が必要(不要なものもある模様)。 【基本的な使い方】 1. ターゲットとなるプロセスを選択する。 2. 書き換えたい値(HP・攻撃・お金など)をメモリ内から検索する。

    ※多数検索ヒットする場合は値を変化させて絞込み検索を行う。 3. 目当ての値のメモリ番地が特定できたら、好きな値に書き換える。 プロセスメモリエディタの例 • iGameGuadian • GameGuardian • GameGem • GameKiller • CheatEngine ※PC
  149. ©MIXI 245 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop 現在の所持金は1000G
 ※一般的なRPGの買い物画面だと思ってください。  ここからプロセスメモリエディタを使用して、  所持金1000Gを増やす場合の流れを説明します。 いらっしゃい
 shop
 買うぞ
  150. ©MIXI 246 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop 現在の所持金は1000G
 いらっしゃい
 shop
 買うぞ Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999 G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop いらっしゃい
 shop
 買うぞ プロセスメモリエディタ
 で「1000」を検索 1000 検索
 7件 ヒット
 ----------------------------------- ----- 000D7DD0         1000 000D7DD4         1000 000D7DD8         1000 000D7DDC         1000 000D7DE0          1000 000D7DE4          1000 000D7DE8          1000 

  151. ©MIXI 247 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop 現在の所持金は1000G
 いらっしゃい
 shop
 買うぞ Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999 G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop いらっしゃい
 shop
 買うぞ プロセスメモリエディタ
 で「1000」を検索 1000 検索
 7件 ヒット
 ----------------------------------- ----- 000D7DD0         1000 000D7DD4         1000 000D7DD8         1000 000D7DDC         1000 000D7DE0          1000 000D7DE4          1000 000D7DE8          1000 
 1000で検索すると 7件 どれが所持金かわからない
  152. ©MIXI 248 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金     500G shop shop
 そせいやく
 1つ 買います 
 うぃ
 1つ500Gの「そせいやく」を購入します。 先ほどの7件の中から目当ての値をみつけるために、
 「500」で絞込み検索を行います。 現在の所持金は500G

  153. ©MIXI 249 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金     500G shop shop
 そせいやく
 1つ 買います 
 うぃ
 現在の所持金は500G
 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999 G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop いらっしゃい
 shop
 買うぞ 500 検索
 1件 ヒット
 ----------------------------------- ----- 000D7DE8          500 
 プロセスメモリエディタ
 で「500」を検索
  154. ©MIXI 250 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金     500G shop shop
 そせいやく
 1つ 買います 
 うぃ
 現在の所持金は500G
 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999 G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop いらっしゃい
 shop
 買うぞ 500 検索
 1件 ヒット
 ----------------------------------- ----- 000D7DE8          500 
 プロセスメモリエディタ
 で「500」を検索 1件なのでコレだ! 500で検索すると1件!
  155. ©MIXI 251 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop いらっしゃい
 shop
 買うぞ 500 検索
 1件 ヒット
 ----------------------------------- ----- 000D7DE8          500 
 500 を 999999 に改変 所持金を保持している箇所が判明したので、
 好きな金額に改変します。 この状態でゲームに戻り、表示が更新されると…

  156. ©MIXI 252 メモリ改変の例 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999

    G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    999999G shop shop
 儲かったんだが 
 Lvl 99
  そせいやく 500 G x 1  やくそう 50 G x 0  どくけし 999 G x 0  せいすい 100 G x 0 買う
 売る
 どうぐ
 はなす
  所持金    1000G shop いらっしゃい
 shop
 買うぞ 999999 検索
 1件 ヒット
 ----------------------------------- ----- 000D7DE8        999999 
 お金持ち! !
  157. ©MIXI 253 メモリ改変の対策 • サーバ側 • 重要な値の保持、重要な処理はサーバ側で行う。 • 先の例で言えば、お金の値と、「買う」という行為の演算処理はサーバ側で行うようにする。 •

    クライアント側 • 簡単に検索できない形に変えて保存しておく。 • 「100」という値を保存する場合、100そのままを保存するのではなく、 • 保存時→100+12345=12445 • 参照時→12445-12345=100 • というように、何らかの変形処理を施したうえで保存しておく。こうすることで、チーターからすると値が検 索できなくなる。 • 上記は一例であり、「検索できない形」にする処理なら何でもOK
  158. ©MIXI 255 通信改変 アプリ Burp Suite等の プロキシツール ゲームサーバ リクエストやレスポンスを書き換え 通信改変がどう行われるかの図

    先ほどのハンズオンでやったことのゲーム版! ハンズオンではスマホアプリの代わりにブラウザ、 ゲームサーバの代わりに Juice Shopでしたが、基本的な方式は同じ!
  159. ©MIXI 259 通信改変の例 サーバ player1 
 player2
 player3 === player4

    
 なぐる
 ける
 どうぐ
 はなす
 BOSS
 やたら早く最終ステージ ~ステージ100 魔王城~ 成功すれば、いきなり最終ステージに
 チャレンジできる場合などがあります。 よくきた
  160. ©MIXI 262 通信改変の保険的対策 アプリ Burp Suite等の プロキシツール ゲームサーバ リクエストやレスポンスを書き換え 通信改変がどう行われるかの図

    先ほどのハンズオンでやったことのゲーム版! ハンズオンではスマホアプリの代わりにブラウザ、 ゲームサーバの代わりに Juice Shopでしたが、基本的な方式は同じ!
  161. ©MIXI 265 通信改変の保険的対策 アプリ Burp Suite等の プロキシツール ゲームサーバ SSL証明書のPinningを行う。 


    Burp Suiteの証明書? 信頼できないのでエラー! 【補足】
 PinningはWebだと廃止の流れがあります(例えばChromeでの廃止)が、
 ・ブラウザ → 運営側がいじれない
 ・自社スマホアプリ → 運営側がいじれる
 という違いがあるため、
 不備のある証明書が固定されてしまった場合等の事情も異なってきます。
 ちなみにAndroidセキュアコーディングガイドでは中間者攻撃への有効策としてPinningが紹介されていま す。
  162. ©MIXI 270 クライアントアプリ解析・改造の対策 解析・改造行為そのものを完全に防ぐことはできない。 なるべく解析しづらく、改造しづらくするしかない。 • コードの難読化 • アプリの改ざんチェック •

    (改ざんチェックを無効化するように改変することも可能なため、根本的対策にはならないが難度を上げると いう意味ではやった方がセキュア。)
  163. ©MIXI 271 マクロ ゲームの処理(レベル上げ等単純な処理)を自動化し、ゲーム内で利益を得ようとする手法。 一応、ゲームに対して行っていること自体は正規の行動のため厳密にはチートではないが、 「ラクをして強くなる」という点においては近い行為。 スマホゲームにおいて行われるマクロの方法はいろいろある。 • エミュレータでアプリを動作させ、PCの操作記録ツールを使用する。 •

    マクロ用のスマホアプリを使用する。 • 実際のゲームフローで送信される通信リクエストを再現/送信することで、時短ゲームクリア等を行うパターンもある。 (これはもはやマクロというより通信改変の亜種かも)。 エミュレータの例 •  Genymotion •  BlueStacks •  Andy •  NoxPlayer マクロを組むツールの例 •  Auto Clicker(スマホアプリ) •  ステップ記録ツール(Windows) •  Red Magic(マクロ機能内蔵スマホ)
  164. ©MIXI 272 マクロ ゲームの処理(レベル上げ等単純な処理)を自動化し、ゲーム内で利益を得ようとする手法。 一応、ゲームに対して行っていること自体は正規の行動のため厳密にはチートではないが、 「ラクをして強くなる」という点においては近い行為。 スマホゲームにおいて行われるマクロの方法はいろいろある。 • エミュレータでアプリを動作させ、PCの操作記録ツールを使用する。 •

    マクロ用のスマホアプリを使用する。 • 実際のゲームフローで送信される通信リクエストを再現/送信することで、時短ゲームクリア等を行うパターンもある。 (これはもはやマクロというより通信改変の亜種かも。) エミュレータの例 •  Genymotion •  BlueStacks •  Andy •  NoxPlayer マクロを組むツールの例 •  Auto Clicker(スマホアプリ) •  ステップ記録ツール(Windows) •  Red Magic(マクロ機能内蔵スマホ) ゲーム内容次第では、 ゲームバランスを壊す可能性がある。
  165. ©MIXI 273 マクロの緩和策 • 通常プレイではあり得ない値(スコア/クリア時間等)ではないかサーバ側でチェックする。 • その処理に対しては報酬を与えない • たとえばスロットの場合、スロット回転が終わるまでの最低時間を予め計測しておき、それよりも明らかに早い 間隔で回されている場合はお金だけ減らして報酬を与えないようにする。

    • ログをとっておき、BANする • たとえばクエストの場合、明らかに規定クリア時間より早いものを見つけたら記録しておく。後からBANする。 • 自動化のための通信リクエスト再現を難しくする。 • リクエストパラメータの暗号化 • リクエストの改ざん検知 • コードの難読化
  166. ©MIXI 275 実際の出来事を見ていくと読み取れるポイント • チートは刑事事件になりうる • チートが該当しうる罪状は複数種類ある • 私電磁的記録不正作出・同供用 •

    不正競争防止法違反 • 電子計算機損壊等業務妨害 • 著作者人格権侵害 • Etc チートそのものを単独で指した罪状があるわけではなく、 様々な法的観点に違反する可能性がある。 ※どこまでセーフでどこからアウトかについては断定することは難しい。
  167. ©MIXI 277 一体どうすれば… 現状 • ガチャ等の絶対チートされちゃダメな値/処理は必ずサーバ側に寄せる。 • そうでないものは現実的には、「ここまでは検証する」「後からBANで対応する」など、ケースバ イケースで柔軟に対応していくしかない。 •

    例 クエストを実際に行わずクリアAPIを叩かれることで不正クリアされる問題があった場合、クエスト時間 が明らかに通常プレイから逸脱する行動はログ取得しておき、何度も行っているプレイヤーは後からBANで 対応   未来 • クラウドゲーミングが主流となり、ゲーム処理が丸ごとクライアントから手の届かない所で行われ るようになればチートの激減した世界がやってくるのかもしれない。
  168. ©MIXI 279 参考ドキュメント モバイルのセキュリティのことで迷ったら覗いてみると助けになるかもしれないものたち • Mobile Application Security Design Guide

    • https://github.com/OWASP/www-project-mobile-application-security-design-guide • セキュアコーディングガイド • Android (具体的なコードを交えて実践的に書かれているのでお勧め) • https://www.jssec.org/dl/android_securecoding_20220829.pdf • Apple (iOSの具体的な話というよりは一般論的な話) • https://developer.apple.com/library/content/documentation/Security/Conceptual/SecureCodingGuide/Introd uction.html • OWASP Mobile Top 10 • https://owasp.org/www-project-mobile-top-10/ • 2016年版が最新のため情報古め。2023版が作成中のようなので期待。
  169. ©MIXI 280 セキュアに開発しよう まとめ早見表 - 開発する環境 - 開発環境等で使うサーバ等のインフラをセキュアに。 - PCやクレデンシャル等の自己防衛もしっかり。 -

    開発する対象 - サーバ側 - 公開するところ - 自分たちの作りこむもの(皆さんがコーディングする部分) - → 著名な脆弱性を中心に知り、対策する - 自分たちでは作りこまないもの - → NVDなどを用いリスクを正しく評価し、必要に応じ対策する - 公開する必要のないところ - → ゼロトラストや境界防御などを駆使しアクセス制御をする - クライアント側 - 大前提として大事なデータ/処理はクライアントに持たせない。サーバ側に。