セキュリティ研修 Day1【MIXI 24新卒技術研修】

Transcript

1. ©MIXI ©MIXI 2024卒セキュリティ研修 セキュリティ室
 2024年5月15日 セキュリティ室 セキュリティ技術グループ ⼩澤 拓海

2. ©MIXI 2 本資料について この資料は2024年度の新卒向けセキュリティ研修１日目のスライドをもとに 社外公開用に一部削除/追記/調整したものです

3. ©MIXI 3 講師の自己紹介 小澤　拓海です。 • セキュリティ室セキュリティ技術グループ • 前職 • Webアプリの脆弱性診断関係の仕事を約4年

   • 今 • IaaS監視/脆弱性診断/啓発,教育/SOC　に関係することなど

4. ©MIXI 4 研修の目的 目的
 • 情報セキュリティの定義/必要性を知る • エンジニア業務で必要とされる情報セキュリティの観点を知る • セキュリティにも興味をもつ

5. ©MIXI 5 アジェンダ Day 1 　情報セキュリティの基本を知ろう 　MIXI社で取り組んでいる情報セキュリティ対策を知ろう 　セキュアに開発するにはどうしたらいいか知ろう with ハンズオン

   Day 2 　脆弱性対策のコーディング演習

6. ©MIXI 6 本研修に関する注意事項 本研修では実際に悪用すると不正アクセス禁止法に 抵触する内容を含んでいます 悪用厳禁！

7. ©MIXI 7 タイムテーブル ※適宜休憩/昼休みを挟みつつ。 時間
 内容
 種別
 10:40-11:00
 情報セキュリティの基本を知ろう
 座学


   11:00-11:10
 MIXI社で取り組んでいる情報セキュリティ対策を知ろう 座学
 11:10-11:50
 セキュアに開発するにはどうしたらいいか知ろう
 (開発の前提)
 開発の前提部分をまずセキュアに
 座学 11:50-16:30
 (サービスのサーバ側)
 メジャーな脆弱性を知ろう
 座学 + ハンズオン 16:30-17:00
 (サービスのサーバ側)
 外部ライブラリ等の脆弱性情報の見方を知ろう
 座学
 17:00-17:20
 (サービスのクライアント側)
 クライアント側のセキュリティリスクを知ろう
 座学 
 17:20-18:30
 
 (管理画面や開発環境など)
 アクセス制御の考え方とやり方を知ろう
 座学 + ハンズオン


8. ©MIXI 8 第一章 情報セキュリティの基本を知ろう

9. ©MIXI 9 情報セキュリティとは 下記の３要素のことを言う。 • 情報セキュリティにおいて「セキュアである」とは、下記３つのうちひとつも侵害されていない状 態のこと。 • 機密性 •

   完全性 • 可用性

10. ©MIXI 10 情報セキュリティとは 機密性とは • 許可された者だけが情報にアクセスできること。 機密性が侵害されている例 • あるECサイトにて、アクセス権の検証に不備があり、他ユーザの購入履歴を参照できる状態になっ ていた。

11. ©MIXI 11 情報セキュリティとは 完全性とは • 情報が正確であること。改ざんされたり破壊されたりしていないこと。 完全性が侵害されている例 • 会社のホームページが不正アクセスされ、見た目やリンクが改ざんされている。

12. ©MIXI 12 情報セキュリティとは 可用性とは • 情報が必要なとき、いつでもそれにアクセスできること。 可用性が侵害されている例 • 運営しているWebサービスに対し、負荷の大きなリクエストを大量に実行され、耐え切れずサーバ がダウンしてしまっている。

13. ©MIXI 13 可用性を上げるために • バックアップ/復旧手段を持っておこう • サービスが停止した際にすみやかに復旧できるよう、 サービスが稼働するためのデータ（ユーザデータ、コード etc..）はバックアップしておこう •

    いざというとき慌てないように復旧手段を頭の中やドキュメントに残してお こう （説明できるようになっていると Good） • プラス、自分のサービスやデータの性質を考慮しよう • 止まると人命に関わる /災害時に動かないと困るようなもの等は、 例えばロケーション分散等するこ とでそもそも止まらないように。

14. ©MIXI 14 何のために情報セキュリティを学ぶのか サービスを利用する「利用者」と、それを提供する「自分たち」を守るためです。 利用者を守る 自分たちを守る

15. ©MIXI 15 情報セキュリティを守れず、事故が起きると...... 自分たちは…… 
 実害的なダメージ 
 　賠償や訴訟に発展することがある。 　業務自体が停止する。売上への悪影響。 


    
 信頼的なダメージ 
 　「MIXI」というブランドへの信頼が低下する。 
 　ユーザが今後MIXIのサービスを利用したくなくなる。 
 　コラボ等のビジネスチャンスを信頼失墜で失う。 
 　
 
 
 利用者は…… 
 実害的なダメージ 
 　自分や自分の家族等の個人情報が漏洩する。　 
 　課金していたゲームの資産が無駄になる。 
 　必要だったサービスが受けられない。 
 　etc
 
 


16. ©MIXI 16 事故が起きたら • 事故が起きたらCSIRTまで報告しよう • 不安だったら先輩や相談用Slack chなど、まずは相談しよう

17. ©MIXI 17 心構え 　　完璧な防御は難しいかもしれないが、やれることはやる！ 　　やれることをやっても事故は起きるかもしれないが、慌てず！

18. ©MIXI 18 第二章 MIXI社で取り組んでいる 情報セキュリティ対策を知ろう

19. ©MIXI 19 情報セキュリティに対する脅威には何があるか？ 引用元：https://www.ipa.go.jp/security/10threats/10threats2024.html, (2024/5/3). 順位 個人 組織 1 インターネット上のサービスからの個人情報の窃取

    ランサムウェアによる被害 2 インターネット上のサービスへの不正ログイン サプライチェーンの弱点を悪用した攻撃 3 クレジットカード情報の不正利用 内部不正による情報漏えい等の被害 4 スマホ決済の不正利用 標的型攻撃による機密情報の窃取 5 偽警告によるインターネット詐欺 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 6 ネット上の誹謗・中傷・デマ 不注意による情報漏えい等の被害 7 フィッシングによる個人情報等の詐取 脆弱性対策情報の公開に伴う悪用増加 8 不正アプリによるスマートフォン利用者への被害 ビジネスメール詐欺による金銭被害 9 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 テレワーク等のニューノーマルな働き方を狙った攻撃 10 ワンクリック請求等の不当請求による金銭被害 犯罪のビジネス化（アンダーグラウンドサービス）

20. ©MIXI 20 情報セキュリティに対する脅威には何があるか？ 引用元：https://www.ipa.go.jp/security/10threats/10threats2024.html, (2024/5/3). 順位 個人 組織 1 インターネット上のサービスからの個人情報の窃取

    ランサムウェアによる被害 2 インターネット上のサービスへの不正ログイン サプライチェーンの弱点を悪用した攻撃 3 クレジットカード情報の不正利用 内部不正による情報漏えい等の被害 4 スマホ決済の不正利用 標的型攻撃による機密情報の窃取 5 偽警告によるインターネット詐欺 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃） 6 ネット上の誹謗・中傷・デマ 不注意による情報漏えい等の被害 7 フィッシングによる個人情報等の詐取 脆弱性対策情報の公開に伴う悪用増加 8 不正アプリによるスマートフォン利用者への被害 ビジネスメール詐欺による金銭被害 9 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 テレワーク等のニューノーマルな働き方を狙った攻撃 10 ワンクリック請求等の不当請求による金銭被害 犯罪のビジネス化（アンダーグラウンドサービス） 色々あって カオス

21. ©MIXI 21 3つのアタックサーフェスについて 自社サービス アプリ インフラ 関連ツール 等 社内システム 端末

    全社ツール 社内NW オフィス 設備 等 人間 アカウント 運用 脳内の情報 等 アタックサーフェス 対策の主体 事業部門 社内システム部門 各人・各部 セキュリティ室の支援の例 脆弱性診断（外注 / 内製） IaaS監視（AWS / Google Cloud） 新卒エンジニア研修 ゼロトラスト支援（導入 / 啓発） EDRの共同運用、PFW設定見直し IDPの共同運用 パスワードマネージャの共同運用 ゼロトラスト支援（導入 / 啓発） 全職種向け研修 各種啓発や周知（全体朝会等） 業務委託監督の支援（教育資料等） 事故対応 mixirt (CSIRT)

22. ©MIXI 22 3つのアタックサーフェスについて 自社サービス アプリ インフラ 関連ツール 等 社内システム 端末

    全社ツール 社内NW オフィス 設備 等 人間 アカウント 運用 脳内の情報 等 アタックサーフェス 対策の主体 事業部門 社内システム部門 各人・各部 セキュリティ室の支援の例 脆弱性診断（外注 / 内製） IaaS監視（AWS / Google Cloud） 新卒エンジニア研修 ゼロトラスト支援（導入 / 啓発） EDRの共同運用、PFW設定見直し IDPの共同運用 パスワードマネージャの共同運用 ゼロトラスト支援（導入 / 啓発） 全職種向け研修 各種啓発や周知（全体朝会等） 業務委託監督の支援（教育資料等） 事故対応 mixirt (CSIRT) 弊社ではアタックサーフェスを３つに分類し、 室としてそれぞれに対して対策支援を行っている

23. ©MIXI 23 社内システムの情報セキュリティ対策の例 • ゼロトラスト • システムに対するアクセス制御施策。 • 詳しく後述。 •

    EDR • Endpoint Detection and Response • エンドポイントにおける脅威の監視/検出技術 • 会社支給PCにて不審な挙動(マルウェアが疑われるファイルの実行等)がみられるとアラートが上がる • 変なことしてるとばれますよ！！ ^ ^

24. ©MIXI 24 サービスの情報セキュリティ対策の例 • 脆弱性診断 • IaaS監視 • 公開エンドポイントの脆弱性チェック（後述）

25. ©MIXI 25 脆弱性診断の紹介 • 脆弱性診断とは • アプリケーションに潜む脆弱性を探す検査。 • ブラックボックステスト •

    疑似的な攻撃を仕掛け、挙動を診て脆弱性を探る。 • ホワイトボックステスト • ソースコードを読んで脆弱性を探る。 • セキュリティ室で行っている脆弱性診断関連のサポート • 予算やスケジュール感に応じて診断内容（内製/外注）の提案と診断実施 • 診断の準備や実施にあたり必要になる手続き/環境準備等のサポート

26. ©MIXI 26 脆弱性診断の紹介 例えばこんな脆弱性が見つかります。 脆弱性診断の公式案内ページをご一読いただきお気軽にご相談ください。 他人の登録情報を盗める データベースを不正操作できる 他人になりすましができる アイテムを不正に入手できる 不正にコードを実行できる

    有料ガチャを不正に回し放題

27. ©MIXI 27 セキュリティ室で行っているIaaS監視 • 今のところAWS, Google Cloudを対象にしています • 攻撃が来るとアラートが上がります！ •

    不正なアウトバウンド通信が起こっている • マイニングが起こっている • 設定面での不備があるとアラートが上がります！ • 二要素認証を設定していないユーザがいる • バケットがインターネット公開になっている

28. ©MIXI 28 セキュリティ室で行っているIaaS監視 • AWS • ご依頼いただければ監視設定をします • ただし開発本部の新規アカウント作成フローに則って作成されたアカウントであれば、実はBO側で作成時点で 監視設定を施しています

    • Google Cloud • 皆さんがMIXIのorganization組織配下にGoogle Cloudプロジェクトを作成すると 実は自動的に監視対象に加わっています • 配下でない場合は個別にご相談ください！ • その他 • MIXIで管理しているドメイン一覧に対して定期的にスクショを撮って、 目視で内容をチェックしています • 右の画像のように、ページ更新を検知すると差分が分かる画像が通知されてきます

29. ©MIXI 29 人の情報セキュリティ対策の例 • パスワードマネージャ等のソリューション導入 • 啓発/教育活動 • E-learning •

    啓発動画の作成/配信

30. ©MIXI 30 パスワードマネージャのススメ 製品によるが下記のようなメリットがあったりします。 • セキュア！ • 偽サイトに対してはサジェストが働かないため、フィッシング対策 となる •

    保存してあるパスワードの安全性をチェックしてくれる（使い回しが無いかや桁数が少なくないか等 • 安全なパスワード値をサイトごとに生成してくれる • メモ等で管理して無くす心配がない • 便利！ • いちいち覚えたり調べて入力したりしなくてよくなる

31. ©MIXI 31 フィッシングクイズ 間違い探し！

32. ©MIXI 32 偽物

33. ©MIXI 33 本物

34. ©MIXI 34 お分かりいただけただろうか

35. ©MIXI 35 違いはココ ※偽物
 ※本物
 証明書情報
 証明書情報
 無料で有名な Let’s Encrypt

36. ©MIXI 36 フィッシングサイトでログインを試みるとどうなるか • 裏で本物のGoogleログインを試行しているため、 認証の成功/失敗も本物と同様に再現されている。

37. ©MIXI 37 フィッシングで気をつけること 見分けの指針 • 差出人 • メールアドレスのドメインは問題なさそうか？ • 正規のドメインか（本物っぽいが微妙に違うケースなど

    • メールアドレスを交換したことがあるか • フリーメールアドレスか • 送信元と署名が合っているか • 内容・本文 • 個人情報や認証情報を要求していないか？ • リンク先への誘導や、添付ファイルの開封を促していないか？ • リンク先URL • リンク先ドメインは問題なさそうか？ • 表示URLとマウスをかざした際の実際の遷移先URLが異なっている • HTTPSでない場合はより一層警戒 • ※ 正規のHTTPサイトやフィッシングのHTTPSサイトもある • 添付ファイル • Excel, Word等のマクロ、実行形式ファイル、ショートカットファイル、二重拡張子(doc, exe)

38. ©MIXI 38 フィッシングで気をつけること 見分けの指針 • 差出人 • メールアドレスのドメインは問題なさそうか？ • 正規のドメインか（本物っぽいが微妙に違うケースなど

    • メールアドレスを交換したことがあるか • フリーメールアドレスか • 送信元と署名が合っているか • 内容・本文 • 個人情報や認証情報を要求していないか？ • リンク先への誘導や、添付ファイルの開封を促していないか？ • リンク先URL • リンク先ドメインは問題なさそうか？ • 表示URLとマウスをかざした際の実際の遷移先URLが異なっている • HTTPSでない場合はより一層警戒 • ※ 正規のHTTPサイトやフィッシングのHTTPSサイトもある • 添付ファイル • Excel, Word等のマクロ、実行形式ファイル、ショートカットファイル、二重拡張子(doc, exe) 逆にいうと自分たちの開発においてはフィッシ ングと見間違われないようにしたい。 例えばLet’s Encrypt等の取得が容易な証明書は、それ自体が悪い わけではないが、無料でお手軽なのでフィッシングで利用しやすいの も事実ではあるので注意。

39. ©MIXI 39 重要 安全に配慮し調査＆キャプチャを行っています！ 
 
 怪しいサイトに興味本位でアクセスしないように 


40. ©MIXI 40 第三章 セキュアに開発するにはどうしたらいいか知ろう

41. ©MIXI 41 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など

42. ©MIXI 42 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など セキュリティ室の戦略指針をもとに サービスの守り方を 整理した感じです

43. ©MIXI 43 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など

44. ©MIXI 44 セキュアに開発する（インフラ） 開発をするにあたりNWを準備したりサーバを建てたりなどなど インフラを構築します。 最近ではAWS, GoogleCloudを使うことが多いと思うのでその前提で説明します。

45. ©MIXI 45 セキュアに開発する（インフラ） クラウドを使っていても全部丸投げというわけではない！ • クラウドそのものはIaaS側の責任 • クラウドでしていることは事業者側の責任 引用元：https://aws.amazon.com/jp/compliance/shared-responsibility-model/,(2024/5/3)

46. ©MIXI 46 セキュアに開発する（インフラ） 下記関連の設定やらかしはあるあるだと思うので注意しておきましょう • NW設定 • 想定外のアクセスが許可されないようにする。FWのinbound公開範囲を適切に。 • ストレージ公開設定

    • バケットのリスティング機能を有効化しないようにする。 • うっかり機密なファイルをアップしてしまった際にそのファイルのパスがバレるバレないは分水嶺になりうる • IAMの運用 • 二要素認証を設定して不正アクセス対策。 • アクセスキーを正しく管理。無闇に作らず、権限を最小化し、使わなければ破棄。 ↑上記がセキュアになっているかは一定セキュリティ室で監視しています

47. ©MIXI 47 セキュアに開発する（インフラ） 侵害や事故が起こったときの影響が最小限に閉じるように、環境は分けてい こう。分離できるところは分離しよ う。 • AWSアカウント, Google Cloudプロジェクトを

    開発/脆弱性診断/ステージング/本番など用途ごとに分ける • ネットワークセグメントも連携が不要なら 分けておく

48. ©MIXI 48 セキュアに開発する（インフラ） ログは取って保存しておかないと無い（当たり前）ので、できるだけ取って保存しておこう • （取っておくべきログの例） • 監査ログ（システムの操作イベントのログ） • Google

    Cloud → MIXIのorganization組織下なら 　　　　　　　 自動で一定cloud loogingに保存される設定になっている • AWS → セキュリティ室の監視設定時に CloudTrailログをS3に保存する設定を入れている • ユーザログイン履歴などの アプリケーションログ • 送信元IPなどのアクセスログ • 保存場所 • サーバ内だけでなくクラウド上 (cloudwatch, cloudlogging, s3, gcs等)等インスタンス外にもリモートバックアッ プしておくとGood

49. ©MIXI 49 セキュアに開発する（インフラ） マネージドサービスも選択肢に入れよう • 開発業務環境構築のために、クラウド上にサーバを建てたりすることがあります。 • その際、自前環境を守るためには例えばゼロトラスト構築や OS等の脆弱性管理などが必要になり、構築 /運用コスト

    がかかりますが、マネージドサービスによってはこれらがサービス側で提供されているといったメリットがあるため、 選 択肢の一つとして持っておきましょう • 例）機械学習関係の業務環境として Jupyterを使う • 選択肢として下記があります • 自分でサーバを建てJupyterを導入(構築)する • AWSが提供しているSageMakerサービスを使う • SageMakerサービスを使うとセキュリティ上下記のようなメリットが有ります (※) • IAMで認証が行われるため、それ自体が不正アクセスされない限り第三者にアクセスされることが無くな る • パスワード管理が不要に • サーバのOSやミドルウェアの脆弱性管理が不要になる ※…署名付きURLというSageMakerならではの取り扱い注意な要素もある

50. ©MIXI 50 セキュアに開発する（インフラ） マネージドサービスも選択肢に入れよう • マネージドサービスを使おう！　と単純に言いたいわけではなく、どういうインフラが最適かはケースごとに費用 ,セキュ リティ,構築&運用コスト等で総合的に決めるべきですが、 マネージドサービスを使うことでメリットもあるのでご一考くだ さいという案内でした。

51. ©MIXI 51 セキュアに開発する（インフラ） 【参考】AWSとGoogle Cloudのセキュリティベストプラクティス AWS • https://aws.amazon.com/jp/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort- order=desc&awsf.content-type=*all&awsf.methodology=*all Google

    Cloud • https://cloud.google.com/security/best-practices?hl=ja

52. ©MIXI 52 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など

53. ©MIXI 53 セキュアに開発する（各自の作業） • 業務端末のFWは閉じておこう • アクセスキー等のクレデンシャルの取り扱いには注意！ • GitHubにアップロードして漏洩など。パブリックに公開するとすぐに使われる可能性が あります。

    • Secretlintなどを使う等することでミスを防ぐ仕組みを入れるとGood • OS/ツール等のバージョンアップデートを忘れず • 再起動時に自動アップデートされるものなどもある。業務終了後のシャットダウンを習 慣化しよう。

54. ©MIXI 54 セキュアに開発する（各自の作業） • 安全性が高いと言い切れないツールを安易に入れない • Chrome拡張等。公式のストアであっても悪性のものが紛れていることがあります。 • 公式が配布しているツールやレビュー件数が多いメジャーなもの等でない場合、一歩踏 みとどまりましょう。

    • 手元のPCでなくリモートサーバ側で仕事をする場合(RDP, SSH, CloudIDE等) • 会社貸与PCではEDRやADでの制御など、一定のセキュリティを確保しています。その 保護からは外れるということは認識して、しっかり自衛しましょう • アクセス制御はしっかり。特にRDP。 • 不要なことをしない。不要なプログラムを入れない。 • クラウドなら安心...ではないので注意！ • 責任共有モデルを思い出そう • 有事の際などに備え、ログは残るように。

55. ©MIXI 55 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など

56. ©MIXI 56 セキュアに開発する（データの取り扱い） 業務において様々なデータを扱うと思いますが、 前提としてどんなデータでも適切に守らなければいけません。 データの種類によって取り扱いルールが変わってきます。 そのため、自分たちが扱うデータが何なのかまず把握しよう。アンテナを張っておこう。

57. ©MIXI 57 例えば個人情報なら、個人情報保護法遵守のために下記のような事項を守らないといけません。 - 利用目的を特定しあらかじめ公表もしくは本人に通知しなければならない。 - 基本的に利用目的の達成に関係のない取り扱いはしてはならない。 - 詐欺などの不正手段により個人情報を取得してはならない。 -

    適切な管理を行う - 本人の個人情報の開示・訂正・停止の求めや苦情に対して何らか応じなければならない。 グッズの配送目的で収集した住所に新サービスの案内を送る、のような行為は NGになります。 セキュアに開発する（データの取り扱い）

58. ©MIXI 58 セキュアに開発する（データの取り扱い） ちなみに、、 クイズ 次のうち個人情報に該当する可能性が高いものはどれ？　複数可！ - 氏名 - 指紋

    - 趣味 - メールアドレス

59. ©MIXI 59 セキュアに開発する（データの取り扱い） ちなみに、、 クイズ 次のうち個人情報に該当する可能性が高いものはどれ？　複数可！ - 氏名　←　特定の個人を識別できる（同姓同名でも他の情報との組み合わせることで識別できる） - 指紋　←　身体の一部の特徴を電子処理のために変換した符号も個人情報

    - 趣味　←　きわめて特殊な趣味でなければ個人情報では無い可能性が高い - メールアドレス　←　aiueo@〜〜〜とyamadahanako@〜〜〜とでは識別可否が変わる 個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。 個人情報とは、「当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚に よっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他 の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により 特定の個人を識別することができるもの（他の情報と容易に照合すること ができ、それにより特定の個人を識別することができることとなるものを含む。）」

60. ©MIXI 60 セキュアに開発する（データの取り扱い） 個人情報を例として軽く触れましたが、 ものによって取り扱いについての法律やベストプラクティスが存在することがあります。 自分が扱うデータが何なのか把握し、適切に扱おう！

61. ©MIXI 61 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など

62. ©MIXI 62 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 次はここ！

63. ©MIXI 63 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など クライアント側にあるモノは見られる /触れる/ 改造できる。だから完璧に守ることは困難と いう前提がある。 だから、大事なデータ /処理はサーバ側に寄 せる。そして、サーバ側を鬼のように守り抜く 必要がある。

64. ©MIXI 64 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など まずは ここの話を してゆく！

65. ©MIXI 65 サーバ側で作りこんでしまった脆弱性が悪用されたときの被害 • 個人情報漏洩 • サーバ停止 • 他人を攻撃するための踏み台として利用 •

    データの破壊、変更、挿入 • Webサイト改ざん • アカウント乗っ取りによる、なりすまし • 非公開情報へアクセス • 不正購入 多岐にわたる

66. ©MIXI 66 脆弱性を知り、対策するには、、 「これだけ気をつけていればOK」は無い。 まずはメジャーどころを知っておこう。 メジャーな脆弱性を知るために今日の研修ではOWASP Top10(API/Web)を抑えておこう。 • OWASPとは •

    「Open Worldwide Application Security Project」の略 • Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技 術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフ トウェアコミュニティです。 • 引用元：https://owasp.org/www-chapter-japan, (2024/5/3) • OWASP Top 10とは • OWASPがクリティカルだと考える10種類の脆弱性のこと。 • ことサーバサイド開発においては、API/Webアプリケーションの2種類、計20種類がある。

67. ©MIXI 67 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken Authentication ◦ Broken Object Property Level Authorization ◦ Unrestricted Resource Consumption ◦ Broken Function Level Authorization ◦ Unrestricted Access to Sensitive Business Flows ◦ Server Side Request Forgery ◦ Security Misconfiguration ◦ Improper Inventory Management ◦ Unsafe Consumption of APIs 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)


68. ©MIXI 68 脆弱性を知り、対策する Owasp Top 10の脆弱性を、ハッキングを実際に試しながら勉強していきましょう！

69. ©MIXI 69 どうやってハッキングするのか ここのリクエスト部分をいじって、結果をみて脆弱性を見つける！ HTTP クライアント サーバ Webアプリ ブラウザ レスポンス

    リクエスト

70. ©MIXI 70 どうやってハッキングするのか クライアント サーバ Webアプリ ブラウザ ローカルプ ロキシツー ル

    今日使うBurp Suiteもローカルプロキシツール！ リクエストを改変

71. ©MIXI 71 演習に使うWebアプリケーション • OWASP Juice Shop • https://github.com/juice-shop/juice-shop MIXIでの新卒研修時にはCloud

    Run + Cloud Load Balancing + IAP構成でしたが お好みの形でデプロイしてみてください

72. ©MIXI 72 演習に使うローカルプロキシツール • Burp Suite • https://portswigger.net/burp

73. ©MIXI 73 Burp Suiteのセットアップ • Temporary projectを選択。 • Cofigurationはあれば選択。無ければDefault •

    Start Burp

74. ©MIXI 74 Burp Suiteのセットアップ • 「Proxy」→「Open Browser」

75. ©MIXI 75 Burp Suiteのセットアップ • ブラウザが立ち上がります！ • 自分の環境のURLにアクセスしてみましょう

76. ©MIXI 76 • アクセスできたらOK！ Burp Suiteのセットアップ

77. ©MIXI 77 おさえておきたいBurpSuiteの機能 基本的なもの • Proxy>Intercept － 通信のキャッチ • Intercept

    is on：通信をキャッチ • Intercept is off：通信をキャッチしない（通過） • Forward：キャッチした通信を送信 • Proxy>HTTP history － 通信の履歴確認 • Request：要求 • Response：応答 • Repeater － リクエストの再送 • 挙動の確認に使う • 使い方 • historyで再送したいリクエストに対しcontrol + クリック • Send to Repeater選択 • Repeater タブが光る！ • Repeaterタブに移動 • 「Send」で再送

78. ©MIXI 78 Juice Shopを触ってみよう（通常動作確認） 1. 商品検索 • キーワード「Apple」などで検索 2. アカウント登録

    • 任意のメアド「[email protected]」などで会員登録 3. ログイン • 作成済みアカウントでログイン 4. 商品購入 • ログイン後＞Basketに入れる＞Checkout BurpのHistoryを確認しながらサイト巡回してみよう。

79. ©MIXI 79 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。

80. ©MIXI 80 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「PayLoad Options」の 「Paste」をクリック。 • hoge • huga • piyo

81. ©MIXI 81 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「PayLoad Options」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。

82. ©MIXI 82 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「PayLoad Options」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。 v. 「§」の箇所に試験値が送信される。 その結果を一覧で確認できる。

83. ©MIXI 83 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken Authentication ◦ Broken Object Property Level Authorization ◦ Unrestricted Resource Consumption ◦ Broken Function Level Authorization ◦ Unrestricted Access to Sensitive Business Flows ◦ Server Side Request Forgery ◦ Security Misconfiguration ◦ Improper Inventory Management ◦ Unsafe Consumption of APIs 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)
 演習をしながら脆弱性を体感してゆく！

84. ©MIXI 84 第一問 他人のカート(basket)を覗き見しよう

85. ©MIXI 85 第一問 ヒント 自分のカートにアクセスした時のHTTP通信を見てみよう。 （/rest/basket/{0}）

86. ©MIXI 86 第一問 他人のカート(basket)を覗き見しよう 答え /rest/basket/6　の数字部分（カートID）を改変する。 例えばidに3を指定すれば、ユーザIDが3のユーザのカート情報が見られる

87. ©MIXI 87 第一問 問題点 • アクセス制御が適切に行われていない 対策 • ユーザと紐づく情報を取得する際に、正当性検証を必ず行う •

    そもそもカートIDが必要か？　も吟味する • セッションから参照でよいならその方がセキュア

88. ©MIXI 88 第一問 OWASP Top10でいうと下記あたり。 • (API) Broken Object Level

    Authorization • (API) Broken Function Level Authorization • (Web) Broken Access Control 総じて、「アクセス制御を適切に行いましょう」という点が肝。

89. ©MIXI 89 アクセス制御の不備とは？ アクセス(認証、認可、セッション管理など)の制御不備のこと。 本来その人がアクセスできないはずの情報にアクセスできてしまう問題。 攻撃者(ユーザID:hoge) hogeではないユーザのプ ロフィールデータ 管理者用ページ 本来はアクセス不可のはずが

    アクセス可能な状態.. 本来はアクセス不可のはずが アクセス可能な状態..

90. ©MIXI 90 アクセス制御の不備によって想定される被害 • 非公開情報の漏洩 • 権限外機能の操作 など（多岐にわたる

91. ©MIXI 91 コード的な話 ＜脆弱なコード例1（Ruby）＞ • 他ユーザの情報を見られちゃうコード(表示コンテンツの取得個所にて..) • 攻撃者が他ユーザのuser_idを指定してリクエストを送信すると、 プログラムはそのuser_idと紐づいた情報を表示してしまう •

    以下のようなことに気を付ける必要がある • リクエストパラメータにuser_idを含ませる必要はあるか？　セッションIDで十分ではないか？ • 含ませるならその妥当性は検証しなくて大丈夫か？ user_id = requestobj.param[:user_id] # リクエストのパラメータ値は改ざん可能！ userprofile = User.where(user_id).profile view(userprofile) ユーザから送信された値を使って プロフィール情報を取得し それを表示している！

92. ©MIXI 92 コード的な話 ＜脆弱なコード例2（Ruby）＞ • 管理者ページにアクセスできちゃうコード(セッションの検査個所にて..) • adminじゃなくてもif文に引っ掛からず処理が進行してしまう • ログイン直後の画面でだけ権限確認をするのではなく、

    そこから辿れるリンク先の画面でも都度検証しましょう session = get_session(req.header[:cookie]) #「,admin: true」を入れていない！ if session.nil? raise “セッションがありません！” end do_adminsomefunction

93. ©MIXI 93 対策（気をつけること） • 権限管理をしっかりするためには、権限管理をしっかりしましょう（身もふたもないが..） • 銀の弾丸は無い.. • しっかり問題意識を持っておけば気づきやすくなるはず！

94. ©MIXI 94 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」このJavascriptを注入できる場所を探し、サイト上で動かしましょう！

95. ©MIXI 95 クロスサイトスクリプティングとは 動的なページ生成時に攻撃者によってスクリプトが埋め込まれ、 被害者のブラウザ上でそのスクリプトが動作してしまう脆弱性。 参考 • (IPA) 安全なウェブサイトの作り方 •

    https://www.ipa.go.jp/files/000017316.pdf

96. ©MIXI 96 クロスサイトスクリプティングによって想定される被害 • なりすまし • フィッシングサイトへの誘導 • など 勘所

    • Webページが攻撃者によって任意に改ざんされるということ • 閲覧したユーザのCookie情報を攻撃者に送信するスクリプトを仕込む • 偽フォームを埋め込んで認証情報を攻撃者に送らせる

97. ©MIXI 97 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう！

98. ©MIXI 98 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう！ ヒント1 • クロスサイトスクリプティングは「入力値を使ってHTMLを構築する際に、外部からJavaScriptを注 入できる」という問題でした。ということは、「入力値を使ってHTMLを構築している場所」が攻

    撃場所になりそう！？

99. ©MIXI 99 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう！ ヒント2 • https://[環境URL]/#/search　が怪しい...？

100. ©MIXI 100 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう！ ヒント3 • 検索フォーム（https://[環境URL]/#/search）に以下を入力して結果を見てみましょう •

     例1）<s>123</s> • 例2）<iframe src="https://mixi.co.jp">

101. ©MIXI 101 第二問 クロスサイトスクリプティング • 「javascript:alert(`xss`)」←このJavascriptを注入できる場所を探し、サイト上で動かしましょう！ 答え • 検索フォームにて、下記を入力する。 •

     <iframe src="javascript:alert(`xss`)">

102. ©MIXI 102 第二問 alert(`xss`)以外のスクリプトも動かしてみよう • お試し1　(ログイン中のcookie情報取得) • <iframe src="javascript:alert(document.cookie)"> •

     お試し2　(他サイトへ移動させる） • <img src=1 onerror=window.location.href='https://mixi.co.jp'> この応用で、攻撃者は好きなJavaScriptを動作させることができる...！

103. ©MIXI 103 クロスサイトスクリプティングの対策 • 「<」,「>」,「"」,「'」など、ブラウザにとって意味を持つ文字（特殊文字）はエスケープ（文字 列として解釈させる形式化）して出力する。 • 今回のケースもこれが対策になる。 • エスケープされた文字列の表示のされ方

     • 保険的対策として入力値検証やCSPヘッダの設定も有効。 • XSSは複数の種類があり、種類に応じて対策も異なる場合があるので注意 • JavaScriptスキームを悪用するパターン • Dom構築時にスクリプトが仕込まれるパターン • JavaScriptライブラリに問題がある場合は、使用しているライブラリを更新する。 動的にHTMLページを生成する際は、「レスポンスに攻撃者のスクリプトが埋め込める余地は無いか」と いうアンテナを張っておくこと！

104. ©MIXI 104 コード的な話 ＜脆弱なコード例＞　 • ユーザが入力した検索ワードをレスポンスに表示する ※例であって、Juice Shopのコードがこの通りになっているというわけでないです！ keyword =

     requestobj.param[:keyword] # keywordにScriptなどが入力されると .. responsehtml = “<body>” + keyword + “の検索結果一覧” + ”</body>” ここに入力したScriptがそのまま埋め込まれる！

105. ©MIXI 105 コード的な話 ＜脆弱なコード例＞　 • ユーザが入力した検索ワードをレスポンスに表示する ※例であって、Juice Shopのコードがこの通りになっているというわけでないです！ keyword =

     requestobj.param[:keyword] # keywordにScriptなどが入力されると .. responsehtml = “<body>” + escape(keyword) + “の検索結果一覧” + ”</body>” エスケープ用の関数を経由させて出力させよう

106. ©MIXI 106 第二問 OWASP Top10では • (API)Injection • (Web)Injection •

     攻撃コードを「注入」し実行させること全般を指す。 • SQL injection • Cross site scripting • OS command injection • etc

107. ©MIXI 107 第三問 安く（不正に）購入してみよう • 普通、商品の個数は1個以上しか買えない（当然）ものです。しかしJuice Shopでは実はマイナスの 個数の注文ができます！　それを行ってみましょう。

108. ©MIXI 108 第三問 安く（不正に）購入してみよう ヒント • カート内の数量変更時の通信を見てみよう。 • https://[環境URL]/api/BasketItems/{n}

109. ©MIXI 109 第三問 安く（不正に）購入してみよう 答え • 数量にマイナスをつける • {"quantity":-2} さすがにマイナスの値段で決済が進むとは考え

     にくいけれど、 100円の商品Aを -9個と、 1000円の商品Bを1個とを併せて買えば、 100円でBを1個買えるのは現実的かも？ おとく！

110. ©MIXI 110 第三問 安く（不正に）購入してみよう 答え • 数量にマイナスをつける • {"quantity":-2} さすがにマイナスの値段で決済が進むとは考え

     にくいけれど、 100円の商品Aを -9個と、 1000円の商品Bを1個とを併せて買えば、 100円でBを1個買えるのは現実的かも？ おとく！ Juice Shopのような現物を取引するサービスならば発送段階などで攻撃に気づけるかもしれないが、電子マネーの チャージやゲーム内通貨など、現物やり取りが行われないサービスの場合、気づくこともできない可能性があるの で注意！ 例えばオーブでガチャをまわすとき、オーブ数量をマイナス指定するとオーブが増えたりする　かも..... MIXIでも類似の問題は(脆弱性診断のときに)実際あった！　よくある！

111. ©MIXI 111 第三問 問題点 • 入力値の検証が適切に行われていない 対策 • 入力値検証では「仕様的におかしくないか？」もチェックする •

     Syntax的におかしくないか？　は検証していても（[0-9]+じゃないと弾かれる等）、「仕様や意味を考えた ときにおかしい値の検証」が漏れることもあるので注意。 • 例えば生年月日なら、仮に自然数の入力であったとしても、2200年生まれと主張するユーザがいたらおかし くないか？　といった観点でもチェックしよう。

112. ©MIXI 112 第三問 OWASP Top10では • (Web)Insecure Design • 「設計上の欠陥」に起因する脆弱性全般を指す。

     • 安全な設計が行われていない • 暗号化すべき情報が暗号化されていない • ロジックの検証が不十分なため仕様外の操作が可能になっている

113. ©MIXI 113 第四問 adminユーザとして会員登録しよう（権限昇格） 普通に会員登録すると、当然ながら作成したユーザはユーザ権 限しか持ちません。 しかしうまく脆弱性を突くと、管理者権限を有するユーザを作 成できるぞ！

114. ©MIXI 114 第四問 adminユーザとして会員登録しよう（権限昇格） ヒント1 • 会員登録フォーム（https://[環境URL]/api/Users）の通信を見てみよう。どこか怪しいところは ない？

115. ©MIXI 115 第四問 adminユーザとして会員登録しよう（権限昇格） ヒント2 • レスポンスの「"role":"customer"」部分が怪しい！

116. ©MIXI 116 第四問 adminユーザとして会員登録しよう（権限昇格） 答え • 「,"role":"admin"」を無理やりjsonに付与した、下記のような値で会員登録する。 {"email":"[email protected]","password":"hogehoge","passwordRepeat":"hogehoge","securityQuestion":{"id":4,"question":"Father's birth date?

     (MM/DD/YY)","createdAt":"2021-04-20T09:20:42.365Z","updatedAt":"2021-04-20T09:20:42.365Z"},"securityAnswer":"f","role":"admin"} 会員登録時のレスポンスのJsonを確認し、"role"がadminになっていればクリアー！

117. ©MIXI 117 第四問 問題点 • role という追加パラメータの内容が解釈されて、ユーザ権限では本来実行できない会員作成が行わ れてしまった。 対策 •

     ユーザ権限によるリクエストの場合は、「"role":"customer"」部が変更され得ないようにする。 • Juice Shop側（作り手側）としては「"role":"customer"」は本来の処理では送られてこないパラメータなの で、対策観点から漏れやすい問題なのかもしれません。だからこそ注意をはらう必要があります。

118. ©MIXI 118 第四問 OWASP Top10では • (API) Broken Object Property

     Level Authorization • 入力値のフィルタリングを行わずにデータにバインディングしてしまう問題のこと。 • 今回の出題のように、「role」プロパティの値を指定する入力値を追加された際、それをフィルタリングせず に評価してしまい、結果、意図しない権限を付与してしまう　等

119. ©MIXI 119 総合演習 攻撃者の気持ちになって、管理者アカウントに不正アクセスする流れを再現しよう！ やっていき

120. ©MIXI 120 総合演習 流れ 1. 管理者用ページを見つけよう 2. SQL Syntaxエラー（SQLITE_ERROR） を出してみよう

     3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 4. 「[email protected]」ユーザでログインしよう 5. adminユーザでログインしよう ※演習前にログアウトしておくこと やっていき

121. ©MIXI 121 総合演習 1. 管理者用ページを見つけよう まずは情報収集

122. ©MIXI 122 総合演習 1. 管理者用ページを見つけよう ヒント1 • https://[環境URL]/#/search　のHTMLソースを見てみよう。 まずは情報収集

123. ©MIXI 123 総合演習 1. 管理者用ページを見つけよう ヒント2 • https://[環境URL]/#/search　のHTMLソースを見てみよう。 • さらにmain.js内のpath部分を見てみよう。

     まずは情報収集

124. ©MIXI 124 総合演習 1. 管理者用ページを見つけよう 答え • https://[環境URL]/#/administration　が管理者ページ • 開発者ツールで、main.js内を「administration」で検索すると見つかる。

     • アクセスしても403エラーになると思います。権限が足りないのでそれでOK。 このページに不正アクセスできたら悪さできそうだな

125. ©MIXI 125 総合演習 1. 管理者用ページを見つけよう 答え • https://[環境URL]/#/administration　が管理者ページ • 開発者ツールで、main.js内を「administration」で検索すると見つかる。

     • アクセスしても403エラーになると思います。権限が足りないのでそれでOK。 このページに不正アクセスできたら悪さできそうだな

126. ©MIXI 126 総合演習 2. SQL Syntaxエラー（SQLITE_ERROR） を出してみよう 不正アクセスのためにSQLインジェクションを狙う

127. ©MIXI 127 SQLインジェクションとは？ アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する 攻撃方法のこと。また、その攻撃を可能とする脆弱性のこと。 参考 - (IPA) 安全なウェブサイトの作り方 -

     https://www.ipa.go.jp/files/000017316.pdf

128. ©MIXI 128 SQLインジェクションによって想定される被害 • 非公開情報の漏洩 • 情報の改ざん • データの削除・破壊 •

     認証回避による不正ログイン • など

129. ©MIXI 129 コード的な話 ＜脆弱なコード例（Ruby）＞ • この例では、ユーザの入力値をそのままSQLクエリに使用しています。 • 「"」などを挿入されることにより、想定しないSQLクエリが生成されます。 username =

     requestobj.params[:name] query = “INSERT INTO users (name, description) VALUES (username, \“hogehoge\")” SQL.query(query)

130. ©MIXI 130 コード的な話 以下のSQL文を入力した場合 • 「joe", "somebody"); DROP TABLE users;

     --」 作られるSQL文は以下のようになります。 上記のSQLインジェクションでusersテーブルが削除されてしまいます。。 INSERT INTO users (name, description) VALUES ("joe", "somebody"); DROP TABLE users; --", "hogehoge");

131. ©MIXI 131 SQLインジェクションの対策 プレースホルダという仕組みを使うことが対策となる。 ポイント • SQLを準備する段階で SQL文の構文が確定し、後から SQL構文が変化することがないため安全。 •

     「 joe“, “somebody“); DROP TABLE users; -- 」という入力がされた場合、description箇所が当該文字列にな るだけになる。 INSERT INTO users (name, description) VALUES (username, "hogehoge"); INSERT INTO users (name, description) VALUES (?, ?); 最初にSQL文の構造を決定しておく仕 組みが「プレースホルダ」

132. ©MIXI 132 プレースホルダ以外の対策 ※プレースホルダが根本的対策。併せて実施しておくと良いという意味での紹介。 • 入力値チェック • 文字種、桁数、取り得る値のリスト等の範囲を仕様として絞り込める場合、もれなく入力値チェックを行うこ とは有効である •

     その際の入力値チェックはブラウザ上で動作するJavaScriptによるのではなく、Webサーバ側のアプリケー ションプログラムによって行う必要がある。 • 特殊記号対策 • シングルクォーテーション「'」のエスケープ • 例　「'」⇒ 「''」等

133. ©MIXI 133 余談 おそらく実際に皆さんが書く処理はこんな感じ • （Rubyの例） • あれ？　SQL文いなくない? • フレームワークによってSQLはコーディングから隠蔽されていることが多いかもしれない

     • 正直、モダンなフレームワークを使っていれば勝手に対策されているので、SQLインジェクションが作りこま れるケースは少ないかもしれない • 逆に言えばコーディングしているだけでは危険性を知れないかも、とも言えるので、今のうちに原理をちゃん と押さえておきましょう username = requestobj.param[:name] userprofile = User.where(username: username).profile view(userprofile)

134. ©MIXI 134 総合演習 2. SQL Syntaxエラー（SQLITE_ERROR） を出してみよう 不正アクセスのためにSQLインジェクションを狙う

135. ©MIXI 135 総合演習 2. SQL Syntaxエラー（SQLITE_ERROR） を出してみよう ヒント1 • アプリケーションがSQLを発行していそうな機能を探し、構文を崩す。この辺。

     • https://[環境URL]/rest/user/login • https://[環境URL]/rest/product/search?q=Apple 不正アクセスのためにSQLインジェクションを狙う

136. ©MIXI 136 総合演習 2. SQL Syntaxエラー（SQLITE_ERROR） を出してみよう ヒント2 • ログイン時のSQL文（想像）

     • SELECT * FROM xxxx WHERE id = 'test@example' and password = 'password123'; • 検索時のSQL文（想像） • SELECT * FROM xxxx WHERE name like = '%Apple%'; 不正アクセスのためにSQLインジェクションを狙う

137. ©MIXI 137 総合演習 2. SQL Syntaxエラー（SQLITE_ERROR） を出してみよう 答え • SQL文に利用される送信パラメータの末尾等にシングルクォーテーション「'」等を入れることで、

     意図的にSQLシンタックスを壊す。 • https://[環境URL]/rest/user/login　の「email」の値を改ざん • SELECT * FROM xxxx WHERE id = 'test@example'' and password = 'password123'; • https://[環境URL]/rest/product/search?q=Apple　の「q」の値を改ざん • SELECT * FROM xxxx WHERE name like = '%Apple'%'; SQLインジェクションできる場所を見つけたぞ！

138. ©MIXI 138 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう SQLインジェクションでいざ情報奪取！

139. ©MIXI 139 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう ヒント1 • 商品検索のリクエストを見てみよう。 • https://[環境URL]/rest/product/search?q=apple

     • 先ほどのログイン時のSQLITE_ERROR内容から、テーブル名、カラム名が判明している。つまりこ こで発行されるSQL文は下記のよう。 • "SELECT * FROM Users WHERE email = '[email protected]'' AND password = 'b0baee9d279d34fa1dfd71aadb908c3f' AND deletedAt IS NULL" SQLインジェクションでいざ情報奪取！

140. ©MIXI 140 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう ヒント2 • UNIONという仕組みを使ってみよう。 SQLインジェクションでいざ情報奪取！

141. ©MIXI 141 2つ以上のSELECT文の結果を統合する仕組みのこと。 商品テーブルとUsersテーブルを結合(UNION)してみよう！ ※UNIONでつなぐデータの表は、カラム数と型を統一しないとエラーになるので注意。 UNIONとは name kind nakigoe pochi

     dog wanwan tama cat nyaaaaaan!!! name nickname syumi yamada yamachaso tozan tanaka nakata nyaaaaaan!!! name kind nakigoe pochi dog wanwan tama cat nyaaaaaan!!! yamada yamachaso tozan tanaka nakata nyaaaaaan!!! SELECT name,kind,nakigoe FROM animals SELECT name,nickname,syumi FROM friends; UNION UNION

142. ©MIXI 142 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 答え • 商品検索機能に下記のようなリクエストを送信することで、SQLインジェクションにより商品テー ブルとUsersテーブルの情報が結合され、ユーザ情報を取得できます。 •

     /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20F ROM%20Users-- • ※%27は「'」、%20は「 」をそれぞれURLエンコードした値 SQLインジェクションでいざ情報奪取！

143. ©MIXI 143 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 解説 まずはSQLエラーから収集できた情報を整理してみよう。 • 商品検索時のSQLエラーから収集できたProductsテーブルの情報 •

     SELECT * FROM Products WHERE ((name LIKE '%APPLE'%' OR description LIKE '%APPLE'%') AND deletedAt IS NULL) ORDER BY name • テーブル名：　Products • カラム名：　name, description, deletedAt • ログイン時のSQLエラーから収集できたUsersテーブルの情報 • SELECT * FROM Users WHERE email = '[email protected]'' AND password = '79ac8e0c5fbb7fffa893660a9f581303' • テーブル名：　Users • カラム名：　email, password ← 欲しいのはコレ！ SQLインジェクションでいざ情報奪取！

144. ©MIXI 144 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 解説 次に、ProductsテーブルとUsersテーブルの結合を試してみると。。 • SELECT *

     FROM Products WHERE ((name LIKE '%APPLE%')) UNION SELECT email, password FROM Users––%' OR description LIKE '%Apple'%') AND deletedAt IS NULL) ORDER BY name 下記のエラーになるはずです。 • SQLITE_ERROR: SELECTs to the left and right of UNION do not have the same number of result columns • UNION時には、連結するカラム数を同じにする必要があります。 SQLインジェクションでいざ情報奪取！

145. ©MIXI 145 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 解説 SELECT * FROM Products

     WHERE ~~~ SELECT email,password,3,4,5,6,7,8,9 FROM Users-- name description deletedAt ? ? ? ? ? ? Apple Juice The all-time classic. null ? ? ? ? ? ? Apple Pomace hoge null ? ? ? ? ? ? email password 3 4 5 6 7 8 9 [email protected] 3c2a~~ 3 4 5 6 7 8 9 [email protected] 963e~~ 3 4 5 6 7 8 9 UNION UNIONするためにはカラム数を統一する必要がある。 でもProductsのカラム数は不明。 SQLインジェクションでいざ情報奪取！ カラム数を合わせるために、 ダミー値の3,4,5...を順番に足していく。 9まで足すとカラム数がそろい、UNIONが成功する。

146. ©MIXI 146 SQLインジェクションでいざ情報奪取！ 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 解説 つまり、カラム数が合うまで下記のように試行を続けると、エラーが発生しなくなる時が訪れる。 それが答え。 1.

     /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password%20FROM%20Users–– 2. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3%20FROM%20Users–– 3. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4%20FROM%20Users–– 4. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5%20FROM%20Users–– 5. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6%20FROM%20Users–– 6. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7%20FROM%20Users–– 7. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8%20FROM%20Users–– 8. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20FROM%20Users––

147. ©MIXI 147 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 答え（再掲） • 商品検索機能に下記のようなリクエストを送信することで、SQLインジェクションにより商品テー ブルとUsersテーブルの情報が結合され、ユーザ情報を取得できます。 •

     /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20F ROM%20Users-- • ※%27は「'」、%20は「 」をそれぞれURLエンコードした値 ユーザ一覧の情報を奪取できた！

148. ©MIXI 148 総合演習 4. 「[email protected]」ユーザでログインしよう 試しにこいつに不正アクセスしてみよう

149. ©MIXI 149 総合演習 4. 「[email protected]」ユーザでログインしよう 答え • Emailの値を「[email protected]'--」にする • SELECT

     * FROM Users WHERE email = '[email protected]'--' AND password = 'c4ca4238a0b923820dcc509a6f75849b' AND deletedAt IS NULL 不正アクセスできた！

150. ©MIXI 150 総合演習 5. adminユーザでログインしよう いざ、管理者ユーザに不正アクセスしてみよう！

151. ©MIXI 151 総合演習 5. adminユーザでログインしよう ちなみに、突破の仕方は2種類あります • なお、パスワードはadmin001 ~ admin999のどれかです。

     いざ、管理者ユーザに不正アクセスしてみよう！

152. ©MIXI 152 総合演習 5. adminユーザでログインしよう 答え1 • 先ほど取得したユーザ情報の一覧から、adminユーザのEメールは「[email protected]」と分か る。これに対し、Eメールの値を「[email protected]'--」とし、SQLインジェクションによるパス ワード不要でのログインを行う。

     • SELECT * FROM Users WHERE email = '[email protected]'--' AND password = 'XXXXXXXXXXXXXX' ログインできたら、冒頭で見つけた管理者ページ「https://[環境URL]/#/administration」にアクセスし てみよう。アクセスできるようになっているはず！ 管理者機能にアクセスできた！

153. ©MIXI 153 総合演習 5. adminユーザでログインしよう 答え2 • BurpSuiteの「Intruder」を利用し、総当たり攻撃を行うことでパスワードを割り出せる。 • ※今回は簡略化のために300通りで値を総当たりしましたが、実際はもっと大量の値を総当たりしたり、既に

     どこかから漏洩したパスワードのリストを試行する可能性が高いです。 管理者機能にアクセスできた！

154. ©MIXI 154 総合演習 OWASP Top 10でいうところ • (Web)Injection • XSSのときに登場した問題。入力値からコードを注入できてしまう問題。

     • SQLインジェクションができてしまった点がこれに該当。 • (API) Broken Authentication • (Web) Identification and authentication failures • 認証機能をセキュアに実装できていない　という問題。 • SQLインジェクションや総当たりをすることで不正に認証を突破できてしまった点がこれに該当。 • (API) Unrestricted Resource Consumption • リソースの要求サイズや数に制限が設けられていない　という問題。 • 画像アップロード機能などで巨大ファイルをアップしたり何回も繰り返すことで負荷を掛けたりできちゃう。 • 今回でいうとログイン試行が無数に行える(途中でロックアウトされない)点がこれに該当。 • リソース消費とは意味合いが違うが試行制限が無いことによる問題という点で該当するという解釈

155. ©MIXI 155 注意 実運用中のWebサーバやWebアプリに対し、絶対にハッキングしないでください。 不正アクセス禁止法違反で法的責任に問われる事になりえます。

156. ©MIXI 156 【余談】BurpSuiteってどんなツール？ BurpSuite ブラウザ 通信先（Webサイトとか 復号できます見れますっ SSLセッション SSLセッション HTTPSパケット

     • BurpSuiteってなんでHTTPS通信が見えてるの？ • https って暗号化されてるんだから、経路上から見られんくない？ • 実はBurpSuiteはMan in the middleなツール • BurpSuiteはクライアントともサーバともSSL/TLSをしている • ブラウザからするとサーバと通信しているつもりがBurpと通信している • サーバからするとブラウザと通信しているつもりがBurpと通信している • あれ、サーバ証明書は？ • 当然、通常のブラウザでは（FireFoxとかで試すと）警告が出ます • ハンズオンではBurpの証明書が自動で信頼されている環境だっただけ • フリーWiFi等の信頼できないNWでは攻撃者が同じことをしているかも..？ SSLセッション

157. ©MIXI 157 ハンズオンで紹介しきれなかったOWASP Top 10の脆弱性たち API
 ◦ Broken Object Level

     Authorization ◦ Broken Authentication ◦ Broken Object Property Level Authorization ◦ Unrestricted Resource Consumption ◦ Broken Function Level Authorization ◦ Unrestricted Access to Sensitive Business Flows ◦ Server Side Request Forgery ◦ Security Misconfiguration ◦ Improper Inventory Management ◦ Unsafe Consumption of APIs 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)


158. ©MIXI 158 (API/Web) Security Misconfiguration 不適切な設定をしてしまったことにより発生する問題全般 • 例 • 古いバージョンのTLSが有効なまま

     • ライブラリ/フレームワーク等の設定値がセキュアでない • この問題が招く脆弱性の一例として、XML External Entityという有名な脆弱性がある • 脆弱性対策コーディング演習で後日別途学習

159. ©MIXI 159 (API/Web) Security Misconfiguration 想定される被害ケース例 • 幅が広いため多岐にわたるが、例えば設定不備に起因する脆弱性が突かれサーバ内部に置いていた ファイルが漏洩する　等

160. ©MIXI 160 (API/Web) Security Misconfiguration 対策 • これ！　というものは無い（使っているものによって着眼点は変わるため）が下記は意識を持って おくと良いと思います。 •

     開発やQA、本番環境それぞれで同じ設定になるようにする • 検証時はセキュアだったが、本番環境の設定では脆弱だったというリスクを減らす • 必要ない機能/コンポーネントは除いておく • コンポーネントの数だけ設定ミスで穴が開くリスクは増える

161. ©MIXI 161 (API) Improper Inventory Management 公開想定でないAPIエンドポイントが公開されていて、攻撃者がそこを突いて攻撃してくる脆弱性。 • 例 •

     古いAPIバージョンが残存したままになっている • デバッグ用APIが公開されている

162. ©MIXI 162 (API) Improper Inventory Management 想定される被害ケース例 • https://hoge.fuga/v1/loginへの総当たりについてはRate limitが設けられているが、

     • https://hoge.fuga/beta/loginへはRate limitがされておらず、攻撃者はこちらを使って総当たり攻 撃からの不正アクセスを行う

163. ©MIXI 163 (API) Improper Inventory Management 対策 • 公開するものは守る。守れていないものは公開しない。 •

     /v1, /v2で例えると、/v1を残存させるならv1は守る。/v1が脆弱なら公開を廃止する。 • それをクリアに把握しておけるように、ドキュメント管理をしっかりしておきましょう。 • このAPIは残っていていいのか？　等の判別のため。 • ※ドキュメントこそ命という話ではなくて、何を公開して何を守るのかクリアに なっているのが肝。ドキュメント管理はそのための手段。

164. ©MIXI 164 (Web) Security Logging and Monitoring Failures ロギング/監視が不十分なため、 攻撃が行われた際に適切に対処することができない状況になっている問題。

     • 例 • ログが無いため、侵入者が何を行ったか分からない。影響範囲が特定できない。 • 監視が無いため、侵入者の存在に気づけない。

165. ©MIXI 165 (Web) Security Logging and Monitoring Failures 想定される被害ケース例 •

     AWSアカウントにて、ある日コインマイニングを行っているEC2インスタンスを発見した。 • 原因を調べたところ、EC2を立てる権限を持ったユーザのアクセスキーが漏洩し、不正アクセスさ れたようだった。 • ただし、該当アクセスキーAPIログを残していなかったため、悪用被害範囲を特定することができな かった。

166. ©MIXI 166 (Web) Security Logging and Monitoring Failures 対策 •

     ログはできるだけ残しておく。 • 攻撃が行われたら気づけるように監視をする。 • AWS/Google Cloudについてはセキュリティ室側の監視設定を施してあるアカウントであれば、一定の監視/ ログ取得は行われています。 • 攻撃が行われた場合はアラートが鳴る。 • 管理系のログ（ユーザXがhogeというAPIをいつに実行した程度）は取得している。 • 逆に言うと、エンドユーザのアクセスログ等は各自で取得しておくようにしましょう。 • 認証失敗や不正行為の疑いのログなど。

167. ©MIXI 167 (Web) Cryptographic Failures 暗号化に関連した問題があり、その結果として機微情報が漏洩しうる脆弱性の総称。 • 以前のverのTop 10では「機微な情報の露出」という名前で類似の問題が紹介されていた。 「機微な情報」とはなんぞや？　どう取り扱うべきか？　について顕著な例を二つご紹介。

     今回は以下を（簡単に！）取り上げてみます • クレジットカード • パスワード

168. ©MIXI 168 クレカ情報を取り扱うときには • 非保持化しなさい！（原則） • 保持するならPCIDSS に準拠しなさい！ 参考 •

     クレジットカード・セキュリティガイドライン • https://www.meti.go.jp/policy/economy/consumer/credit/2103creditsecurity.html

169. ©MIXI 169 非保持化　について 非保持とは • 『保存』『処理』『通過』をすべて行っていない状態のこと。 • 保存 • DBに保存。スプレッドシートに保存。etc,,

     • 処理 • コールセンターにて顧客のクレカ情報をPC入力。etc,, • 通過 • 顧客のPC→自社サーバ→決済代行会社サーバという流れでクレカ情報を送信。etc,,

170. ©MIXI 170 非保持化　について 「非保持化？　保存さえしなきゃいいんでしょ？」 ↑ダメ！！ 　たとえ保存していなくても、例えば以下は『通過』にあたるのでＮＧ。 決済時は決済代行会社側のシステムに遷移させる等して、カード情報が自分たちのサーバを経由しないよ うにしましょう！ 顧客のブラウザや スマホ

     加盟店のサーバ （皆さんのwebサイト等） 決済代行会社 1111-2222-3333-4444 1111-2222-3333-4444

171. ©MIXI 171 PCIDSS準拠　について PCIDSSとは • Payment Card Industry Data Security

     Standard • クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界 のセキュリティ基準のこと。 • 国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した PCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている。 「非保持化」をやらないなら、この基準を守れ！　ということ。 詳細は割愛！

172. ©MIXI 172 クレジットカード情報の流出で想定される被害 • カード利用者への不利益 • 攻撃者に使われる • 本人認証が弱いプリペイドカードにチャージ •

     偽造カードを作成し利用 • 攻撃者に売られる • ブラックマーケットで換金 • 事業者への不利益 • お客様へのお詫びコスト • 不正に行われた買い物の損害賠償 • カード決済の一時停止措置 • コールセンター対応コスト • 再発防止コスト • 信頼を失う！

173. ©MIXI 173 パスワードを取り扱うときは パスワードを保存する際、そのまま保存しないこと。 • 「データが盗まれてもパスワードは盗まれない」を目指す。 • ソルトと呼ばれるユーザごとに異なる文字列と連結した値を、ハッシュ化したうえで保存するのが 良い。 •

     単にパスワードをハッシュ化しただけだと解析されてしまう可能性があるので注意。 • • 引用元：https://www.ipa.go.jp/files/000017316.pdf, (2024/5/3)

174. ©MIXI 174 クレカとパスワードの話のまとめ • クレジットカードの取扱い方 • 非保持化する • しないならPCIDSSに準拠(監査なども含む) •

     パスワードの取扱い方 • 盗まれたとしても解析困難な形で保存する • 具体的には「ソルト付きハッシュ」という形式がセキュアな保存形式 • ストレッチングと呼ばれる、ハッシュ化するとき何千、何万回とハッシュ化を繰り返すことでログインに時間がかかり、総当た り攻撃のために必要な時間を増やす手法も併せるとなおセキュア

175. ©MIXI 175 (Web) Vulnerable and Outdated Components 脆弱性が残っているバージョンのコンポーネントを使用している問題。

176. ©MIXI 176 (Web) Vulnerable and Outdated Components 想定される被害ケース例 • JVNDB-2021-005429

     • Log4jというJavaライブラリの脆弱性 • 上記脆弱性が存在するバージョンのLog4jを使用していたために、攻撃者からインターネット経由で任意コー ド実行が行われる可能性

177. ©MIXI 177 (Web) Vulnerable and Outdated Components 対策 • 脆弱性情報をウォッチしておく

     • CVE(Common Vulnerability and Exposures)やNVD(National Vulnerability Database)など • なお、脆弱性情報の見方については後ほどの章で別途説明します • 不要なコンポーネントは取り除いておく

178. ©MIXI 178 (Web) Software and Data Integrity Failures 悪意あるコードがコンポーネントに含まれている（含まれうる）問題。 •

     外部ファイルを読み込む際、悪意あるものを指定されるかもしれない • 読み込んでいるコードは改ざんされているかもしれない • シリアライズデータが改ざんされて攻撃コードを注入されるかもしれない 想定される被害ケース例 • あるWebアプリでは、生成したオブジェクトをシリアライズしてCookieに保存し、そのオブジェク トが必要な際、Cookie値をデシリアライズして使用する仕様だった • 攻撃者はCookie値を改ざんし、オブジェクトのデストラクタに攻撃コードを忍ばせたシリアライズ データをWebアプリに送信した • すると、デストラクタ実行時、攻撃コードが実行された

179. ©MIXI 179 (Web) Software and Data Integrity Failures 対策 •

     外部ファイルを読み込む際、悪意あるものを指定されるかもしれない • 外部からのファイルを読み込む際、想定していない外部ファイルを読み込まれない設計にする。例えばクライ アントからURLを受け取り、そのURLのコードをそのまま読み込むといった構成を避ける。数値を受け取り、 その数値と紐づいたファイルを読み込む等。 • 読み込んでいるコードは改ざんされているかもしれない • 信頼性の高い提供元の外部ライブラリを利用する。 • 読み込むコードの署名を検証する。 • シリアライズデータが改ざんされて攻撃コードを注入されるかもしれない • そもそもシリアライズデータでオブジェクト等のコードを送受信する必要があるか見直す。 • データの暗号化や署名付与を行い改ざんをできなくする。 共通するのは「悪性コードを組み込ませられないようにする」

180. ©MIXI 180 (API/Web) Server-Side Request Forgery (SSRF) アプリケーションを踏み台にして、内部/外部サーバにリクエストすることができる脆弱性。 想定される被害ケース •

     ポートスキャン • ファイル内容の読取 • DoS 脆弱なアプリ 外部サーバ 外部サーバからすると、 攻撃してきているのは脆弱 なアプリのように見える （踏み台にされる） 指定されたサーバに処理を中継し、 ポートスキャン/ファイル読出/DoS等を行う URLを指定するパラメータに 外部サーバのポートやファイ ルを指定してリクエスト

181. ©MIXI 181 (API/Web) Server-Side Request Forgery (SSRF) 対策 • ネットワーク層(対策というより被害軽減策)

     • SSRFが発生しうる機能をNW的に分離する • 想定している通信先以外への通信をFWでブロックする • アプリケーション層 • そもそも、リクエスト先URLをクライアントから直接受け取る構成をやめる。 • 動的にリクエスト先を変えたい場合、固定値を受け取るようにする。例えば数値を受け取り、それに紐づいた URLにアクセスするなど。 • 入力値検証を行う。 • ホワイトリスト形式で検証する。 • ブラックリスト形式や正規表現で検証すると、バイパスできる可能性が出てくるため極力行わない。

182. ©MIXI 182 (API) Unrestricted Access to Sensitive Business Flows 機密性の高いビジネスフローに攻撃者が何度も(自動化して)アクセスし、ビジネス的損害が出る脆弱性。

     想定される被害ケース例 • 製品の購入 • 攻撃者により需要の高い商品の在庫がすべて購入、転売される • コメント, 投稿 • 攻撃者によりスパム投稿を繰り返される • 予約 • 攻撃者によって片っ端から予約をされ、正常なユーザがシステムを使用できなくなる

183. ©MIXI 183 (API) Unrestricted Access to Sensitive Business Flows 対策

     • ビジネス面 • 過度に使用するとビジネスに悪影響を及ぼす可能性のあるビジネス フローを特定。 • システム面 • 自動化された処理を検出しブロックする • キャプチャ認証 • user-agentなど検証 • Tor出口や既知のブラックリストIPからのアクセスをブロック • ビジネスロジック的に明らかにおかしい挙動をブロック(カートに追加→購入まで1秒未満とか)

184. ©MIXI 184 (API) Unsafe Consumption of APIs 外部のAPI経由の入力値を過信して検証を疎かにした結果、そこ経由で攻撃される脆弱性 想定される被害ケース例 •

     被害アプリにはあるSNSのプロフィール情報を、そのSNSのAPI経由で取得し処理するロジックがあ るとする • そのロジックにおいては入力値を信頼しており、検証をいっさい行っていなかった • 攻撃者はSNSのプロフィールに対して事前に攻撃コードを忍ばせておく • ユーザ名を「'; drop database db;–」とかで登録しておく • 被害アプリが攻撃者のプロフィール情報を処理するとき、そのAPIから得た入力値を信頼してしまっ ているので攻撃コードが動作する

185. ©MIXI 185 (API) Unsafe Consumption of APIs 対策 • ユーザからの直接の入力値だけでなく、外部から得る値は必ず疑いの目を持って検証する

     • 通信経路で改ざんが行われないよう暗号化(TLS)のうえで通信する

186. ©MIXI 186 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

     • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 前提となる考え 次は ここの話！

187. ©MIXI 187 自分たちでは作り込まないが、脆弱性になりうるもの • ミドルウェアやライブラリ • 脆弱性が潜んでいて、そこを突かれる可能性があるので適宜バージョンアップが必要 • 外部組織に開発委託した成果物 •

     委託したコードの中に脆弱性がある可能性もあるので脆弱性診断等でチェックする必要がある。 • 皆さんが直近の業務で関わる機会は少ないかもしれませんが、委託だから丸投げでOKというわけではなく、 きちんと自分たちで品質を確認しなきゃいけないという認識は持っておきましょう。

188. ©MIXI 188 脆弱性対応時、調査のポイント 外部ライブラリ等の脆弱性対応は、 • 脆弱性があったら • それを評価し • 必要に応じそのモジュールをアップデートする

     という流れになる。その際の評価ポイントは下記になる。 • どのソフトウェア？ • どのバージョン？ • どんな影響ある？ • どれくらい深刻なの？ • どう対策すればいい？ こういった情報の概要がまとまった脆弱性情報メディアに「CVE」がある。

189. ©MIXI 189 CVEとは？ • Common Vulnerabilities and Exposuresの略。 • CVEとは、米MITRE（マイター）社が提供している、脆弱性を識別するための共通脆弱性識別子。

     • 一般的にCVE番号、CVE IDと呼ばれている。 • 例：CVE-2020-8165 • ※命名規則は、「CVE-YYYY- NNNN…N 」のようになっている。「YYYY」は発見された年数、NNNN…N は一意の番号。

190. ©MIXI 190 CVEの見方 • 例えば『CVE-2020-8165』なら、下記のようにCVEのサイトのname部分にIDを指定すれば確認でき ます。 • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8165 • 見ると良い項目

     • CVE-ID：NVDへのリンクが記載されている。 • Description：脆弱性概要が記載されている。 • References：参考URLが記載されている。 引用元：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8165,(2024/5/4)

191. ©MIXI 191 詳細な脆弱性情報をみるにはNVD • National Vulerability Database • NIST(アメリカ国立標準技術研究所)が管理している、脆弱性情報データベースのこと。 •

     CVEで命名された脆弱性情報の詳細情報をNVDで提供している。

192. ©MIXI 192 NVDの見方 CVE-2020-8165の例 • URL：https://nvd.nist.gov/vuln/detail/CVE-2020-8165 • 見ると良い項目 • Current

     Description • 脆弱性の概要説明。 • Severity • 「CVSS」の情報。脆弱性の深刻度。 • References to Advisories, Solutions, and Tools • 関連する情報へのリンク。 • Known Affected Software Configurations • 影響を受けるソフトウェアとバージョン。 引用元：https://nvd.nist.gov/vuln/detail/CVE-2020-8165, (2024/5/4)

193. ©MIXI 193 CVSSとは • Common Vulnerability Scoring System • 脆弱性の深刻度をスコア（数値）で表すシステム。

     • 計算式に則り、脆弱性を0～10.0までの値で評価。 • 10.0が最も深刻。 • 〜V4まである。 • NVDをチェックしていくとするとV3を目にすることが多いかも。

194. ©MIXI 194 CVSS (V3) の見方 CVSSはVectorと呼ばれる下記の要素から算出されます。 • AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 例 •

     AV：N　ー＞　攻撃元区分：ネットワーク • AC：L　ー＞　攻撃条件の複雑さ：低 • PR：N　ー＞　必要な特権レベル：不要 • UI：N　ー＞　ユーザ関与レベル：不要 • S：U　ー＞　スコープ： 変更なし • C：H　ー＞　機密性への影響：高 • I：H　ー＞　完全性への影響：高 • A：H　ー＞　可用性への影響：高 このScoreは9.8 (Critical)！

195. ©MIXI 195 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

     • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。

196. ©MIXI 196 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

     • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。 該当ソフトウェアを使っていたとしても、特定の 条件でのみ悪用可となるケースもある。 実際のところその脆弱性を悪用できるのか？ というところまで考えられるとサイコーb

197. ©MIXI 197 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

     • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。 こういったことを確認すると、 「ヤバそう」かどうかのイメージが付きやすくなると思います！

198. ©MIXI 198 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

     • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。 （補足） ここ最近についてはNVDは情報の更新に遅れ が生じているようなので、スピーディにリス クジャッジしたい場合、該当製品のベンダが 発表している情報を見に行く等が良いかもし れません

199. ©MIXI 199 日本の脆弱性情報収集サイト 情報のスピードを考慮するとベンダの公式ページ等を見にいくことが多いかもですが、 日本のサイトもあります。 • JVN • Japan Vulnerability

     Notes • 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 • https://jvn.jp/ • JVN iPedia • 国内外問わず日々公開される脆弱性対策情報のデータベース • https://jvndb.jvn.jp/

200. ©MIXI 200 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

     • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 前提となる考え 次は ここの話！

201. ©MIXI 201 クライアント側を強固にするには？ 身も蓋もないがクライアント側を完全に守ることはできない。 （攻撃者の手元にプログラムがあるため解析、改造できてしまうため） そのためセキュリティ上の理想的な設計としてはそもそもクライアントでは何も持たず、何も処理せず、 ただサーバから受け取ったデータを元に画面描画だけしているのがベスト。 ただし実際にはそうもいかずクライアントでもデータを持ったりロジックを動かしたりする必要がある。 なので下記を行い、妥当な設計,実装,運用を作りうまいことやっていかなければならない。 (MIXIはスマホアプリがメインなのでその想定でのお話)

     • 重要な情報やロジックはクライアントに持たない • モバイルアプリにおける所謂セキュアコーディングをする • ゲームにおけるチートなど完全撲滅できないリスクへの対処をどうするか運用を含めて考え備える

202. ©MIXI 202 モバイルアプリにおける所謂セキュアコーディングをする Mobile Application Security Design Guideの紹介 https://github.com/OWASP/www-project-mobile-application-security-design-guide •

     モバイル開発におけるセキュリティ設計が下記観点ごとにまとめられている • Architecture, Design and Threat Modeling Requirements • Data Storage and Privacy Requirements • Cryptography Requirements • Authentication and Session Management Requirements • Network Communication Requirements • Platform Interaction Requirements • Code Quality and Build Setting Requirements コード例なども交えつつセキュアな設計/実装を包括的に説明してくれているので、モバイルのセキュリ ティを考えるうえで参考になる。文量多いので悩んだときの辞書として使うと良いと思います

203. ©MIXI 203 今日頭に入れておきたいモバイルセキュリティの注意点 • ログに機微な情報が載らないように注意。 • SDカード等の、他アプリからアクセスできる領域に重要なデータを保存しない。 • カスタムURLスキームでは重要なデータを取り扱わない。 •

     同じカスタムURLスキームを宣言した偽装アプリにデータが渡ってしまうかもしれない。 • レシート検証はちゃんとしましょう。改ざん/別レシート/過去レシートなど。 • レシート検証周りの参考 • [iOS]https://developer.apple.com/documentation/appstoreserverapi • [Android]https://developer.android.com/google/play/billing/security • コラボ情報など未公開情報を埋め込まない。解析による漏洩対策。 • 実際に埋め込んでしまい未公開情報が漏洩してしまったケースも社内でもある • ゲームの場合、上記に加えて「チート」のリスクも認識/対応しておく。

204. ©MIXI 204 チートとは • チート（英: cheat）とは騙す、欺くこと。 • コンピュータゲームにおいて、広義には制作者が意図しない方法や結果により使用者が意図的に公 平性を損なわせる行為 のこと。

     • 狭義には、コンピュータゲームにおいて優位に進めるための（バグ等を用いた）不正行為または ハッキング行為のこと。 引用元：https://ja.wikipedia.org/wiki/%E3%83%81%E3%83%BC%E3%83%88, (2024/5/3) 違法行為にも なりうる

205. ©MIXI 205 私たち運営側にとってのチートのリスク • ゲームプレイにおいて不公平が生じてしまう。フェアでない。 • スポーツでいえばドーピング。 • ユーザは冷める。そして運営に対するヘイトが溜まる。 •

     ゲームの寿命の短縮。 • すぐクリアされるという直接的な側面と人離れによる間接的な側面。 • 課金数の低下、課金機会の損失。 • チートしている人→チートした方がコスパ良い • チートしていない人→馬鹿らしくなって課金しなくなる • 関係会社への被害 • 例えばコラボ先の商品を買うとそのIPのキャラデータが手に入るキャンペーンがあったとして、不正にキャラ データを入手できるチートが行われた場合、コラボ先商品の売り上げが下がり、関係会社に対する被害につな がる。 • ブランドイメージの低下。 • ユーザ対応コストの増加。 • 通報対応/BAN対応/問い合わせ対応など。

206. ©MIXI 206 チートの手法 チートの手法は下記４種類に大別できる • メモリ改変 • メモリの値を書き換える。例えばHPや攻撃力や所持金に相当する箇所のメモリの値を大きくする。 • 対策

     • そもそもサーバに持つべき値はサーバに持つ。所持金とか。 • 加えて、どの値がどのメモリか探り当てられないようにする。なんらか関数を経由した値で保存する等。 • 通信改変 • 通信の送信値を書き換える。JuiceShopで行った攻撃のゲーム版。 • 対策 • 不正に書き換えられた値を受理しないよう、サーバ側での検証を徹底する。 • ローカルデータ改変 • SDカード等のローカル内ストレージの値を書き換える。セーブデータ改変など。 • 対策 • 改変されたくなければローカルに保存しない。サーバ側に保存する。 • やむを得ずローカルに保存する場合は暗号化をして改変の難度を上げる。 • クライアントアプリ解析・改造（リバースエンジニアリング） • アプリ自体を改造する。クライアント側に持つデータ/ロジックであれば実質的になんでもできる。 • 対策（防ぐことはできないので、難易度を上げる） • コードの難読化 • アプリの改ざんチェック • （改ざんチェックを無効化するように改変することも可能なため、根本的対策にはならないが難度を上げるという意味ではやった方がセキュア。）

207. ©MIXI 207 プロセスメモリエディタと呼ばれるツールを使用して、メモリに格納される値（HP・攻撃・お金など） を改変する。 対策 - そもそもサーバに持つべき値はサーバに持つ。所持金とか。 - 加えて、どの値がどのメモリか探り当てられないようにする。なんらか関数を経由した値で保存す る等。

     メモリ改変 プロセスメモリエディタ
 で「500」を検索, 改竄 500 検索
 1件　ヒット
 -------------------- --------- 000D7DE8 500 
 ゆうしゃ Lv13 HP 500 ゆうしゃ Lv13 HP 9999

208. ©MIXI 208 通信改変 Burp Suiteなどを利用し、クライアントとサーバの間の通信を改変する手法。 例 • ゲームのプレイ結果をサーバに送信する際、スコアを書き換える。 • キャラステータスをサーバから受信する際、攻撃力を書き換える。

209. ©MIXI 209 通信改変の根本的対策 • ユーザに改変されると困る処理はパラメータに持たせない。 • ガチャを引く際、消費オーブ数をパラメータで渡している場合 →　オーブ数をパラメータに持たせるのではなく、ガチャIDだけ送るようにする。 　　そうすると消費オーブ数を改変できなくなる。 •

     持たせている場合は正当性を検証する。 • 例えば挑戦するステージのIDをリクエストする場合、「このユーザはこのステージに挑戦できる状態か？」を サーバ側で検証する。

210. ©MIXI 210 通信改変の保険的対策 • 以下を併せて実施する。 • パラメータとともにパラメータのハッシュ値も送信するようにし、改ざんチェックを行う。 • SSLを利用するとして、そのうえで •

     パラメータ全体をアプリケーション層での暗号化をする。 • SSL証明書のPinningを行う。

211. ©MIXI 211 通信改変の保険的対策 アプリ BurpSuite等の プロキシツール ゲームサーバ パラメータ全体をアプリケーション層での暗号化をする。 
 パラメータが暗号化されているから改

     変できない…

212. ©MIXI 212 通信改変の保険的対策 アプリ BurpSuite等の プロキシツール ゲームサーバ SSL証明書のPinningを行う。 
 BurpSuiteの証明書？

     信頼できないのでエラー！

213. ©MIXI 213 通信改変の保険的対策 アプリ BurpSuite等の プロキシツール ゲームサーバ SSL証明書のPinningを行う。 
 BurpSuiteの証明書？

     信頼できないのでエラー！ 【補足】
 PinningはWebだと廃止の流れがあります（例えばChromeでの廃止）が、
 ・ブラウザ　→　運営側がいじれない
 ・自社スマホアプリ　→　運営側がいじれる
 という違いがあるため、
 不備のある証明書が固定されてしまった場合等の事情も異なってきます。
 ちなみにAndroidセキュアコーディングガイドでは中間者攻撃への有効策としてPinningが紹介されていま す。

214. ©MIXI 214 ローカルデータ改変 ローカルストレージやSDカードなど、ファイルにセーブデータやゲームに関する情報を保存している場 合、その値を改変し、チートが可能な場合がある。 例 • ゲームのセーブデータをファイルに保存する設計だったとして • ファイル内にあるレベル/hp/atkに相当するパラメータを書き換えることで

     • ゲーム再起動時、そのファイルに記載されたレベル/hp/atkに強化されている 根本的対策 ゲームのセーブデータなど重要な情報はローカルに保存しない。サーバー側に保存する。 保険的対策 やむを得ずローカルに保存する場合は暗号化をし、改変の難度を上げる。

215. ©MIXI 215 クライアントアプリ解析・改造 アプリ自体の改変。 アプリを下記のようなツールを用いて逆コンパイル/逆アセンブルし、内容を解析、改ざんする手法。 行うにはプログラムのロジックを理解する/改造するための技術力が必要になる。 プログラム自体を書き換えるということなので、攻撃者の思い通りに任意のロジックを組める。 対策 　解析・改造行為そのものを完全に防ぐことはできない。 　なるべく解析しづらく、改造しづらくするしかない。

     - コードの難読化 - アプリの改ざんチェック （改ざんチェックを無効化するように改変することも可能なため、根本的対策にはならないが難度を上げ るという意味ではやった方がセキュア。）

216. ©MIXI 216 マクロ ゲームの処理(レベル上げ等単純な処理)を自動化し、ゲーム内で利益を得ようとする手法。 一応、ゲームに対して行っていること自体は正規の行動のため厳密にはチートではないが、 「ラクをして強くなる」という点においては近い行為。 スマホゲームにおいて行われるマクロの方法はいろいろある。 • エミュレータでアプリを動作させ、PCの操作記録ツールを使用する。 •

     マクロ用のスマホアプリを使用する。 • 実際のゲームフローで送信される通信リクエストを再現/送信することで、時短ゲームクリア等を行うパターンもある 。 （これはもはやマクロというより通信改変の亜種かも）。

217. ©MIXI 217 マクロ ゲームの処理(レベル上げ等単純な処理)を自動化し、ゲーム内で利益を得ようとする手法。 一応、ゲームに対して行っていること自体は正規の行動のため厳密にはチートではないが、 「ラクをして強くなる」という点においては近い行為。 スマホゲームにおいて行われるマクロの方法はいろいろある。 • エミュレータでアプリを動作させ、PCの操作記録ツールを使用する。 •

     マクロ用のスマホアプリを使用する。 • 実際のゲームフローで送信される通信リクエストを再現/送信することで、時短ゲームクリア等を行うパターンもある 。 （これはもはやマクロというより通信改変の亜種かも。） 特にこれはゲーム内容次第で バランスを壊す可能性があるので緩 和策を検討する必要がある。

218. ©MIXI 218 マクロの緩和策 • 通常プレイではあり得ない値(スコア/クリア時間等)ではないかサーバ側でチェックする。 • その処理に対しては報酬を与えない • たとえばスロットの場合、スロット回転が終わるまでの最低時間を予め計測しておき、それよりも明らかに早い 間隔で回されている場合はお金だけ減らして報酬を与えないようにする。

     • ログをとっておき、BANする • たとえばクエストの場合、明らかに規定クリア時間より早いものを見つけたら記録しておく。後からBANする。 • 自動化のための通信リクエスト再現を難しくする。 • リクエストパラメータの暗号化 • リクエストの改ざん検知 • コードの難読化

219. ©MIXI 219 【再掲】クライアント側を強固にするには？ 身も蓋もないがクライアント側を完全に守ることはできない。 （攻撃者の手元にプログラムがあるため解析、改造できてしまうため） そのためセキュリティ上の理想的な設計としてはそもそもクライアントでは何も持たず、何も処理せず、 ただサーバから受け取ったデータを元に画面描画だけしているのがベスト。 ただし実際にはそうもいかずクライアントでもデータを持ったりロジックを動かしたりする必要がある。 なので下記を行い、妥当な設計,実装,運用を作りうまいことやっていかなければならない 。

     (MIXIはスマホアプリがメインなのでその想定でのお話) • 重要な情報やロジックはクライアントに持たない • モバイルアプリにおける所謂セキュアコーディングをする • ゲームにおけるチートなど完全撲滅できないリスクへの対処をどうするか運用を含めて考え備える

220. ©MIXI 220 チートならびにクライアント(モバイル)のセキュリティのまとめ • 下記がチートで狙われるポイント。図からも分かる通り、クライアント側のデータ/処理を守り切る ことは困難。 • そのため、何度も言っていますが重要なロジックや情報はサーバ側に寄せて守りましょう。 • どうしてもサーバ側に寄せられないものについての対応は、ケースバイケースとなります。サービ

     スの性質/改修コスト等に応じて、適切な緩和策を考えていく必要があります。 • ゲームのチートでも、そうでなくても、この考え方は基本であり、同じです。

221. ©MIXI 221 参考ドキュメント モバイルのセキュリティのことで迷ったら覗いてみると助けになるかもしれないものたち • Mobile Application Security Design Guide

     • https://github.com/OWASP/www-project-mobile-application-security-design-guide • セキュアコーディングガイド • Android (具体的なコードを交えて実践的に書かれている) • http://www.jssec.org/dl/android_securecoding.pdf • Apple (iOSの具体的な話というよりは一般論的な話) • https://developer.apple.com/library/content/documentation/Security/Conceptual/SecureCodingGuide/Introd uction.html • OWASP Mobile Top 10 • https://owasp.org/www-project-mobile-top-10/

222. ©MIXI 222 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

     • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 前提となる考え 最後は ここの話！

223. ©MIXI 223 公開しないもの　の守り方 シンプルに「アクセス制御する」に尽きるが、やり方は色々ある。 • 境界防御 (IP制限) • ゼロトラスト的制御 •

     Basic認証 • リクエストヘッダに秘密の値を付与して検証 etc 手段によって安全性のレベルと実装,運用コストは変わってくる。 どれが絶対に良い悪いという話ではなく、ケースによって適切な手段を選んでいこう そのために手札を増やしておこう！ (セキュリティ室としてはゼロトラスト的な制御を推奨することが多いです)

224. ©MIXI 224 【演習】Juice Shopをアクセス制御で守ろう 今回抑えておきたい「アクセス制御」の二つの思想 • 境界防御 → NWの境界線で守っていく考え方。 •

     ゼロトラスト → 弊社でも取り組んでいるイマドキ(?)の考え方/やり方。 Google Cloudの機能を使って、 境界防御とゼロトラストの思想それぞれでJuice Shopをアクセス制御してみましょう！ • Juice Shopは皆さんが運営しているサービスの試験環境だと想定してください。

225. ©MIXI 225 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC

226. ©MIXI 226 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ

227. ©MIXI 227 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除）

228. ©MIXI 228 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる

229. ©MIXI 229 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観

230. ©MIXI 230 【演習】Juice Shopを境界防御にもとづいて守ろう 自身のJuice Shop環境にIP制限を施し、境界防御の考え方でのアクセス制御を行おう。 やること - Cloud ArmorというGoogle

     Cloudサービスを使ってIP制限を行い、挙動を確認する ※社内研修時はJuice ShopをGoogle CloudでデプロイしていたためCloud Armorを使用しました

231. ©MIXI 231 【演習】Juice Shopを境界防御にもとづいて守ろう 1. Google CloudのコンソールCloud Armor設定画面にアクセス 2. ポリシーを作成

     a. PolicyTypeにバックエンドセキュリティポリシーを選択 3. Default rule Action a. デフォルトは拒否でステータス403 4. ルールの追加 a. モード→基本モード b. 一致→許可したいIP c. 優先度→1000 5. ターゲットへのポリシーの適用 a. ターゲットの追加（ロードバランサのバックエンドサービス） 6. 高度な作成 a. スルー 以上で設定したIP以外でアクセスすると403エラーが返るようになります。

232. ©MIXI 232 ゼロトラストとは 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data App

     & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC

233. ©MIXI 233 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観

234. ©MIXI 234 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観 社内NWは 信頼できる=trust ワン!!

235. ©MIXI 235 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。

236. ©MIXI 236 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data

     App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。 社内ってだけじゃ アクセスされる側は信じない 社内ってだけじゃ アクセスされる側は信じない 社内ネットワークだからといって それだけで安心とは考えない世界観

237. ©MIXI 237 境界防御とは 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data App

     & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→（盗聴者や攻撃者の排除） • 攻撃監視やロギングが一定される。→（攻撃の検知や調査） • 会社の終端装置から外に出る。→（IP制限による攻撃者排除） と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。 社内ってだけじゃ アクセスされる側は信じない 社内ってだけじゃ アクセスされる側は信じない 社内ネットワークだからといって それだけで安心とは考えない世界観 何も=zero 信頼できない=trust ワン!!

238. ©MIXI 238 オフィシャルなゼロトラスト オフィシャルなものを正確に学んだり調べたりする場合は下記を参考に！ 2020年8月に公開「NIST SP 800-207」 ▽英語 • https://csrc.nist.gov/publications/detail/sp/800-207/final

     ▽日本語 • https://www.ipa.go.jp/security/publications/nist/index.html

239. ©MIXI 239 オフィシャルなゼロトラスト 遵守すべきこと 引用元：https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html, (2024/5/3)

240. ©MIXI 240 オフィシャルなゼロトラスト 引用元：https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html, (2024/5/3) ﾁｷｭｳ ﾜｶﾗﾅｲ

241. ©MIXI 241 オフィシャルなゼロトラスト 引用元：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf, (2024/5/3)

242. ©MIXI 242 オフィシャルなゼロトラスト 引用元：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf, (2024/5/3) ﾁｷｭｳ ﾜｶﾗﾅｲ

243. ©MIXI 243 今日覚えて欲しいこと 社内 社外 プロキシ (エンフォーサ) リソース IdP ゼロトラスト的な守り方の、一つのカタチ。

     本当はもっと色んなカタチが詳細に語られているが、基本的で実用的な構成として今日はこれを！

244. ©MIXI 244 今日覚えて欲しいこと 社内 社外 プロキシ (エンフォーサ) リソース IdP プロキシを経由した

     リクエストだけ到達 IdPと連携して 信頼できるか判断 原則、リクエストは 信頼しない (=zero trust)

245. ©MIXI 245 この構成がなぜセキュアなのか 社内 社外 プロキシ (エンフォーサ) リソース IdP エンフォーサに

     信頼(中継)されない エンフォーサ経由 じゃないと アクセスできない 攻撃者がいたとしてもリクエストがリソースに到達しない！

246. ©MIXI 246 この構成がなぜセキュアなのか 社内 社外 リソース 認証認可 データや 機能 Q.

     エンフォーサが無くても認証認可さえされていれば同じ？

247. ©MIXI 247 この構成がなぜセキュアなのか 社内 社外 リソース 認証認可 データや 機能 Q.

     エンフォーサが無くても認証認可さえされていれば同じ？ A. リソース自身のセキュリティが完璧でないと突破されるかもなのでリスクは上がる。 認証等に脆弱性があ り、それを悪用される かもしれない 認可制御が抜けていて 直接アクセスできるか もしれない

248. ©MIXI 248 この構成がなぜセキュアなのか 社内 社外 プロキシ (エンフォーサ) リソース IdP データや

     機能 認証認可 エンフォーサがあれば攻撃者のリクエストはリソース自体に到達しないので、 リソース自身にもし脆弱性があっても攻撃者は攻撃できない

249. ©MIXI 249 誤解してはならないこと • 境界防御の全てがオワコンというわけではない。 • 依然として使われているし、重要。手札として持っておこう。 • 単純に ゼロトラスト

     = リモート何でもOK ということではない。 • 公開エンドポイントへのアクセス制御方法が社内IPに依存しなくなったというだけ • PC側の保護も必要となる。AV、EDR、PFW、覗き見、etc… • 当然、カフェ等での業務やフリーWi-Fiでの業務等はリスクがある ゼロトラストを誤解/過信して、 セキュリティレベルが下がることの無いように。

250. ©MIXI 250 ゼロトラストまとめ ゼロトラストとは 「社内ネットワークだろうがなんだろうが原則は何も信頼しない」 「色々と疑いの目をもってアクセス制御する」 という思想。 ゼロトラスト＝最強という話ではなくて、 守りたい対象へのアクセス制御方法の 有効な手札として知っておこう。

251. ©MIXI 251 Juice Shopをゼロトラスト的に守るとしたら？ MIXI研修時の演習環境はこのようになっていました。 Public NW GoogleのNW Cloud Load

     Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可

252. ©MIXI 252 Juice Shopをゼロトラスト的に守るとしたら？ 実は既にゼロトラスト的に守られています！ Public NW GoogleのNW Cloud Load

     Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている

253. ©MIXI 253 Juice Shopをゼロトラスト的に守るとしたら？ 実は既にゼロトラスト的に守られています！ Public NW GoogleのNW Cloud Load

     Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている 参加者でのGoogleアカウントで認 証されれば通過/それ以外は拒否

254. ©MIXI 254 Juice Shopをゼロトラスト的に守るとしたら？ 実は既にゼロトラスト的に守られています！ Public NW GoogleのNW Cloud Load

     Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがエンフォーサの役割を 果たしている 参加者でのGoogleアカウントで認 証されれば通過/それ以外は拒否 ここがエンフォーサの役割を 果たしている これから、このルールを変えてみる 演習をしていただきます！

255. ©MIXI 255 【演習】Juice Shopをゼロトラストにもとづいて守ろう 自身のJuice Shop環境のIAP設定を操作し、ゼロトラストにもとづいたアクセス制御を行おう。 • IAPとは • IAP

     とは、ウェブサイトへのリクエストをインターセプトし、リクエストを送信したユーザーを認証して、認 証されたユーザーにのみサイトへのアクセスを許可 する、という一連の処理を行うサービスです。 • 対応しているプラットフォームは、App Engine、Compute Engine のほか、Google Cloud ロードバランサの 背後で動作するサービスなど、さまざまなものがありますが、その利用は Google Cloud に限定されません。 IAP コネクタと合わせて使用すれば、オンプレミスのアプリケーションを保護することも可能です。 • ざっくりいうと、ロードバランサ等へのアクセス時にGoogleアカウントの認証を挟めるサービス。

256. ©MIXI 256 MIXI社とゼロトラスト 会社のネットワーク 終端装置 ルータ等（詳細は省略） App & Data App

     & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC MIXIでもゼロトラスト設 計での防御を使ってい る！

257. ©MIXI 257 【演習】Juice Shopをゼロトラストにもとづいて守ろう 自身のJuice Shop環境のIAP設定を操作し、ゼロトラストのアクセス制御を行おう。 やること - Identity-Aware ProxyというGoogle

     Cloudサービスを使ってIP制限を行い、挙動を確認する - 確認すること - IAPをONにして、かつアクセス権があるときの挙動 - Googleログイン後にアクセスできればOK - IAPをOＮにして、かつアクセス権が無いときの挙動 - レスポンスが「You dont have access」になればOK - IAPをOFFにしたときの挙動 - シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK ※社内研修時はJuice ShopをGoogle CloudでデプロイしていたためIAPを使用しました

258. ©MIXI 258 【演習】Juice Shopをゼロトラストにもとづいて守ろう 1. IAPサービス画面にアクセス 2. 対象バックエンドサービスを選択しIAPをONにする 3. 画面右側にある「IAP-secured

     Web App User」欄に自分を追加 a. これでアクセス権が付与される 4. IAPのON/OFF、IAP-secured Web App Userの付与/剥奪によって挙動の変化を確認 a. 確認すること b. IAPをONにして、かつアクセス権があるときの挙動 i. Googleログイン後にアクセスできればOK c. IAPをOＮにして、かつアクセス権が無いときの挙動 i. レスポンスが「You dont have access」になればOK d. IAPをOFFにしたときの挙動 i. シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK

259. ©MIXI 259 MIXI社とゼロトラスト うちの会社で使われているゼロトラストベースの構成（エンフォーサ + IDP）の例 • AWS • ALB

     + Okta • ALB + Cognito • GCP • Cloud Load Balancing + IAP • SaaS • Akamai EAA + Okta セキュリティ室で導入サポートも行っています！

260. ©MIXI 260 【演習】(余談) Juice ShopをWAFで守ろう 先ほど皆さんに触っていただいたCloudArmorには、WAF機能があります。 それを適用してみましょう。

261. ©MIXI 261 【演習】(余談) Juice ShopをWAFで守ろう WAFについて • Webアプリケーションの脆弱性に対しては一つ一つ対策を施していくのが基本だが、 WAF(WebApplicationFirewall)によって防御するという選択肢もある。 •

     リクエスト中に攻撃パターンの文字列が含まれていると遮断する(403応答など)。 • WAFだけで守り切るのは困難だったり、正常なリクエストにも反応してしまう可能性があったり、基本的に はおすすめはしていないが、特定のケースで使える場合があるため、選択肢として持っておくとよい 。 • レガシーなつくりでコードが入り組んでおり、アプリケーションの改修が難しいといった場合、WAFで一元 的に攻撃シグネチャを遮断するという対策手段はアリかもしれない。 • GCPではCloud ArmorにWAF機能がある。

262. ©MIXI 262 【再掲】総合演習 3. SQLインジェクションを悪用して全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 答え（再掲） • 商品検索機能に下記のようなリクエストを送信することで、SQLインジェクションにより商品テー ブルとUsersテーブルの情報が結合され、ユーザ情報を取得できます。 •

     /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20F ROM%20Users-- • ※%27は「'」、%20は「 」をそれぞれURLエンコードした値 ユーザ覧の情報を奪取できた！

263. ©MIXI 263 【再掲】総合演習 3. SQLインジェクションを悪用して全ユーザの情報（Eメール、パスワードハッシュ）を抜き出そう 答え（再掲） • 商品検索機能に下記のようなリクエストを送信することで、SQLインジェクションにより商品テー ブルとUsersテーブルの情報が結合され、ユーザ情報を取得できます。 •

     /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20F ROM%20Users-- • ※%27は「'」、%20は「 」をそれぞれURLエンコードした値 ユーザー一覧の情報を奪取できた！ これをWAFで防ぐ！

264. ©MIXI 264 【演習】(余談) Juice ShopをWAFで守ろう 自身のJuice Shop環境にWAF設定を施し、SQLインジェクションを検知・遮断しよう。 やること • Cloud

     ArmorでWAF設定を実施 • 確認すること • 通常のリクエストには何も反応しない一方、 • 総合演習3 の攻撃クエリ 「/rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20FRO M%20Users-- 」のような攻撃リクエストが送信されると、「403 Forbidden」エラーとなることを確認する。

265. ©MIXI 265 【演習】(余談) Juice ShopをWAFで守ろう 1. Cloud Armorページにアクセス 2. ポリシーを作成or編集

     3. 「ルールを追加」でエディタ部分に右をコピペ a. これが特定文字列を弾くルールセット 4. アクションは拒否(403)に 5. 優先度→10 6. WAF設定後、UNION〜の文字列を送信するとWAFが作動し 403エラーが返るようになればOK evaluatePreconfiguredExpr('sqli-stable', ['owasp-crs-v030001-id942110-sqli', 'owasp-crs-v030001-id942120-sqli', 'owasp-crs-v030001-id942150-sqli', 'owasp-crs-v030001-id942180-sqli', 'owasp-crs-v030001-id942200-sqli', 'owasp-crs-v030001-id942210-sqli', 'owasp-crs-v030001-id942260-sqli', 'owasp-crs-v030001-id942300-sqli', 'owasp-crs-v030001-id942310-sqli', 'owasp-crs-v030001-id942330-sqli', 'owasp-crs-v030001-id942340-sqli', 'owasp-crs-v030001-id942380-sqli', 'owasp-crs-v030001-id942390-sqli', 'owasp-crs-v030001-id942400-sqli', 'owasp-crs-v030001-id942410-sqli', 'owasp-crs-v030001-id942430-sqli', 'owasp-crs-v030001-id942440-sqli', 'owasp-crs-v030001-id942450-sqli', 'owasp-crs-v030001-id942251-sqli', 'owasp-crs-v030001-id942420-sqli', 'owasp-crs-v030001-id942431-sqli', 'owasp-crs-v030001-id942460-sqli', 'owasp-crs-v030001-id942421-sqli', 'owasp-crs-v030001-id942432-sqli'] )

266. ©MIXI 266 【演習】(余談) Juice ShopをWAFで守ろう Q. 　WAF最強！脆弱性自体を直さなくても、これさえあればいいじゃん！ A. 　WAFはあくまで対症療法だと思っておこう。ちゃんと直そう。 -

     完全にガードできるわけではない - 今回の例では、実は "email":"[email protected]'--" と入力して不正アクセスする攻撃は演習でのWAFでは 防げません！ - 実際当社に関連するプロダクトでのSynack365検査でも、SQLi→WAF→それを貫通する検出があったりしま す - 厳しくフィルタリングし過ぎると正常なリクエストを弾いてしまう懸念もある

267. ©MIXI 267 セキュアに開発しよう！　早見表 • 開発の前提を守る • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

     • データの取り扱い。個人情報等。 • 開発する対象を守る • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所　→　脆弱性を作り込まないコーディングを。 • ミドルウェアやライブラリなど外部のコードを流用する箇所　→　CVE等の情報をもとにリスク評価を。 • クライアント側　→　重要なデータとロジックを持たない。 • 公開しないもの = 管理画面や開発環境など　→　適切なアクセス制御を。

268. ©MIXI 268 お疲れ様でした！

269. ©MIXI 269 いきなり全部は難しいので…

270. ©MIXI 270 まず、攻撃やリスクの存在を認識しましょう！

271. ©MIXI 271 想像力を働かせよう！

272. ©MIXI 272 あぶないかも？　と思ったら周りに相談しよう！

273. ©MIXI