Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ざっくりわかるインシデントレスポンス#owaspnight18th

 ざっくりわかるインシデントレスポンス#owaspnight18th

presented by 玉木誠(SCSK)
OWASP Night 18th

OWASP Japan

July 29, 2015
Tweet

More Decks by OWASP Japan

Other Decks in Technology

Transcript

  1. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 3
  2. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    最近のWebサイトに対するサイバー攻撃の報道 4 2015/07/27 日本VC協会が改ざん被害 - 閲覧でマル ウェア感染のおそれ Security NEXT 日本ベンチャーキャピタル協会(JVCA)のウェブサイト が改ざんされ、閲覧によってマルウェアへ感染する可 能性のあったことがわかった。 2015/07/23 日産販売会社の採用サイト改ざんをま とめてみた piyolog 日産グループの複数の販売会社で採用者向けに公 開しているWebサイトが改ざんされたことを発表した。 2015/07/25 10日間で国内25サイトが改ざん - 閲覧 で「Emdivi」などへ感染のおそれ Security NEXT 正規サイトの改ざんにより、Adobe Flash Playerの脆 弱性を狙う攻撃が多発している。 2015/07/21 タミヤに不正アクセス - ネットショップ登 録者など最大10.7万件が流出の可能性 Security NEXT 同社のウェブサーバが不正アクセスを受け、顧客の 個人情報が外部へ漏洩した可能性がある。 2015/07/17 通販サイト「セシール」で不正ログイン - 不正受注や個人情報改ざん Security NEXT 大手通販サイト「セシール」において、本人以外の第 三者による不正ログインが確認された。不正受注や 個人情報の改ざんが発生したという。 2015/07/17 学研、Webサイトへの不正アクセスで最 大2万2108人の情報が流出か 日経コン ピュータ 学研ホールディングスは、Webサーバーへの不正ア クセスにより最大2万2108人の情報が流出した恐れ があると発表した。 2015/07/17 法学部サイトに不正アクセス、CMSの脆 弱性突かれる - 福岡大 Security NEXT 福岡大学のウェブサイトが不正アクセスを受け、コン テンツ管理用のIDとパスワードが流出した。サイト改 ざんは確認されていないという。 2015/07/16 都立校サイトが改ざん被害、閲覧でマ ルウェア感染 - 教職員PC感染で発覚 Security NEXT 中高一貫校である都立立川国際中等教育学校の ウェブサイトが改ざんされ、閲覧者がマルウェアへ感 染している可能性があることがわかった。 2015/07/08 サイトが改ざん、閲覧でマルウェア感染 の可能性 - 千鳥橋病院 Security NEXT 福岡市所在の千鳥橋病院と千代診療所のウェブサイ トが不正アクセスを受け、改ざんされていたことがわ かった。
  3. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    最近のWebサイトに対する攻撃の目的 5 分類 最終目的 攻撃インフラとして利用 不正送金マルウェアの配布 Crypto ランサムウェア配布 標的型攻撃マルウェア配布 C&Cサーバとして利用 利用者情報の窃取 個人情報の窃取 クレジットカード情報の窃取 認証情報の窃取 決済情報の窃取 クレジットカード情報の窃取
  4. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    攻撃手段とその対策責任の所在 6 攻撃手段の分類 誰の問題 Webアプリケーションの脆弱性利用 • 運営者 • 開発者 Webサーバの脆弱性利用 • 運営者 CMS(やプラグイン)の脆弱性利用 • 開発者 • 運営者 パスワードリスト攻撃 • 利用者 • 運営者 管理者への標的型攻撃によるログイン情報 の窃取 • 運営者
  5. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    インシデントレスポンスの必要性 Webサイトの重 要性の高まり Webサイトへの 脅威拡大と変化 Webサイトへの 対策の遅れ 2020年に向けて 攻撃目標として の注目度向上 インシデントレスポンスの必要性 8
  6. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    インシデントレスポンスとして何をするべきか 9
  7. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 10
  8. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    • Webアプリケーションに対するエンジニアの役割 想定するWebアプリケーションエンジニア 11 Webアプリケーション開発者 • Webアプリケーションの開発・ 保守を行う • Webアプリケーションのトラブル シューティングの実施 • Webサイト所管部門とやり取り をする • Webサイトの機能に責任を持つ • Webアプリケーションの脆弱性 対策の実施 • Webアプリケーションのアカウ ント管理 Webサイト管理者 • Webサイトの監視・脆弱性管理 を行う • Webサイト管理運用にかかるオ ペレーションの実施 • Webサイトのインフラの安定性 に責任を持つ • Webサイトインフラへの脆弱性 対策の実施 • Webサイトインフラのアカウント 管理
  9. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    既存の組織とインシデントレスポンス体制の関係 12 インシデントレスポンス体制として活動
  10. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    NIST Incident Response Life Cycle SP800-61:Computer Security Incident Handling Guide 13
  11. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    Webアプリケーションエンジニアが担う役割 14 有事 平時
  12. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    Webアプリケーションエンジニアが担う役割 15
  13. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/インシデントの初期調査(1) 16 • Security Incident Survey Cheat Sheet for Server Administrators https://zeltser.com/security-incident-survey-cheat-sheet/ • IRM (Incident Response Methodologies) IRM-6: Website Defacement https://cert.societegenerale.com/resources/files/IRM/EN/IRM-6-Website-Defacement.pdf
  14. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/インシデントの初期調査(2) 17 • サイバー攻撃対処マニュアル 不正アクセス(Web 改ざん)編 (サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会 サイバー攻撃対策分科会) http://www.agent.cyber.niigata.jp/pdf/attack/cyberattack01.pdf
  15. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/インシデントの初期調査(3) 18 • Critical Log Review Checklist for Security Incidents https://zeltser.com/security-incident-log-review-checklist/ • Excessive access attempts to non-existent files (存在しないファイル) • Code (SQL, HTML) seen as part of the URL (URLに埋め込まれたコード) • Access to extensions you have not implemented (実装していない拡張機能へのアクセス) • Web service stopped/started/failed messages (Webサービスの停止、開始、エラー) • Access to “risky” pages that accept user input (ユーザ入力を処理する危険なページ) • Look at logs on all servers in the load balancer pool (ロードバランサ内の全てを対象) • Error code 200 on files that are not yours (エラーコード200) • Failed user authentication (認証失敗:エラーコード401、403) • Error code 401, 403 • Invalid request (無効なリクエスト:エラーコード400) • Error code 400 • Internal server error (サーバエラー:エラーコード500) • Error code 500
  16. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/調査結果の報告(1) 19
  17. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/調査結果の報告(2) 20 報告項目例 内容例 インシデントの現在のステータス • Xか月前から発生しており、現在継続中。 インシデントの概要 • Webサイトの問い合わせページが改ざんされており、該当 ページを閲覧するとiframeによって、マルウェア配布サイト へアクセスが誘導され、マルウェア感染がされる。 インシデントに関連する前兆 • 外部の第三者機関からの指摘によって発覚。 該当インシデントと他のインシデントの関連性 • コールセンタへの問い合わせにより調査したウィルス感染 事象の原因である可能性がある。 インシデントに対して実施した行動内容 • 現状はログの調査のみ、ファイルの改ざんの試行と思われ るエラーログが3か月前に発生していることをログから発見 した。 インシデントによる影響度の評価 • 問い合わせページへのアクセスは、Xか月間で、XXX件あっ た、アクセス元の端末やIPの特定はできない。 • 利用者はウィルス感染をしている可能性がある。 • その他の影響は未調査。 他の関連者への協力の必要性 • Xか月前から現在まで、問い合わせページを閲覧した利用 者に対して、ウィルスチェックの実施依頼。 • 改ざんされたページの専門家への調査依頼。 報告者のコメント (分かれば今後の方針) • 早急に問い合わせページへのアクセスを遮断する必要が ある。そのためには、XXX時間かかる。一時的には問合せ は受け付けられないが、営業的な窓口は別途あるため機 会損失等は軽微と考えられる。復旧は、およそXXX時間後 を想定している。
  18. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 1.検知・分析/調査結果の報告(3) 21
  19. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/初動対処(1) 22
  20. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/初動対処(2) 23
  21. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/対策の実施(1) 24
  22. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/対策の実施(2) 25
  23. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/サイトの復旧(1) 26 • IRM (Incident Response Methodologies) IRM-6: Website Defacement https://cert.societegenerale.com/resources/files/IRM/EN/IRM-6-Website-Defacement.pdf • IT システムにおける緊急時対応計画ガイド:NIST SP800-34 https://www.ipa.go.jp/files/000025327.pdf
  24. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    有事における役割 2.封じ込め・根絶・復旧/サイトの復旧(2) 27
  25. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 29
  26. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    まとめ 30 Webサイトに対するインシデントレスポンスが 重要になって来ています Webアプリケーションエンジニアは、インシデ ントの調査・対応・復旧を行う実働主体です インシデント対応の参考になるリソースが複数 あるので参考にどうぞ
  27. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料 31
  28. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    • 安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~ (IPA) < https://www.ipa.go.jp/security/vuln/websitecheck.html > • ウェブサイト改ざんの脅威と対策~ 企業の信頼を守るために求められること ~ (IPA) < https://www.ipa.go.jp/files/000041364.pdf > • NIST-SP800-61:Computer Security Incident Handling Guide (NIST) < http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf > • NIST-SP800-34:Contingency Planning Guide for Federal Information Systems (NIST) < http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-Nov11-2010.pdf > • IT and Information Security Cheat Sheets (Lenny Zeltser氏) < https://zeltser.com/cheat-sheets/>  Critical Log Review Checklist for Security Incidents  Security Incident Survey Cheat Sheet for Server Administrators  Initial Security Incident Questionnaire for Responders  Reverse-Engineering Malware Cheat Sheet • IRM (Incident Response Methodologies) (CERT) < https://cert.societegenerale.com/en/publications.html> • インシデントハンドリングマニュアル(JPCERT/CC) < https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0.pdf > • サイバー攻撃対処マニュアル 不正アクセス(Web 改ざん)編 (サイバー空間の脅威に対する新潟県産学官民合同対策プロジェクト推進協議会 サイバー攻撃対策分科会) < http://www.agent.cyber.niigata.jp/pdf/attack/cyberattack01.pdf > 参考:インシデントハンドリングの参考 32
  29. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    • WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も(ScanNetsecurity社) < http://scan.netsecurity.ne.jp/article/2015/07/27/36968.html > • 継続中の大規模な同時多発Web改ざん攻撃を詳細分析(トレンドマイクロ社) < http://blog.trendmicro.co.jp/archives/12017> • コンピュータウイルス・不正アクセスの届出状況および相談状況[2015年第2四半期(4月~6月)](IPA) < https://www.ipa.go.jp/security/txt/2015/q2outline.html> • 不正アクセス行為対策等の実態調査 調査報告書 (警察庁) < http://www.npa.go.jp/cyber/research/h26/h26countermeasures.pdf> • インターネットセキュリティ脅威レポート第 20 巻(Symantec 社) < http://www.symantec.com/ja/jp/security_response/publications/threatreport.jsp > 参考:ニュースや統計情報 33
  30. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    参考:インターネット取引の重要性の高まり 34
  31. 2015/7/29 OWASP Night 18th - Local Chapter Meeting - 発表資料

    参考:ロンドンオリンピックの大会公式サイトへの アクセス状況 35