没【ええんやで#57】2017年を振り返ってみる.pdf

Transcript

1. None

2. Who are You? 第57回 脆弱性診断ええんやで(^^)：LT枠 この素材だけ有料！！ このマークは 撮影禁止ページです （公開もしない）

3. 今日のLTテーマ 2018年始まりました！ さて今年は(セキュリティ的な意味で)何が起こるかな！？ 過去を教訓に、今年（残346日）に備えましょう！！ ⇒2017年を振り返ろう！ 裏テーマ： フォント弄ってみた（あずきフォント）ので見えるかな？ 見づらかったらTakaoフォントに戻します(´・ω・｀) どこまでネタ（ボケ）が許容されるか？ 第57回

   脆弱性診断ええんやで(^^)：LT枠 要約：前回（ルーキーズ）の飲みで そんな話が出たから。

4. で、本題 第57回 脆弱性診断ええんやで(^^)：LT枠

5. 2017年重大事件ピックアップ 第57回 脆弱性診断ええんやで(^^)：LT枠 月 事件名 02 WP：150万以上のサイト改ざん 03 Struts2：S2-045/046（パーサ） 05

   ランサム：WannaCry 06 ランサム：NotPetya 07 Struts2：S2-048（1系互換Plugin） 07 スウェーデン情報漏洩発表 08 PWD定期変更の変更ヽ（　＾ω＾）ﾉ 08 BGP事件（事故） 09 仮想通貨取引所へのDDoS 月 事件名 09 BlueTooth脆弱性（BlueBorne） 09 米Equifax情報漏洩（1.5億） 10 米Yahoo漏洩修正（10億→30億） 10 WPA2脆弱性（KRACKs） 10 ランサム：BadRabbit 11 米軍の情報がS3で公開設定 11 国内クラウドへのDDoS多発 12 米Alteryx情報漏洩（1.2億） 12 世界一有名なパスワード ※主観です。 From：Piyolog ⑨ 脆弱性/ランサム/情報漏洩/その他

6. さっくり所感 去年はWordPressで始まった　←今年はプロセッサ？ Struts2脆弱性多数（書けなかった分も） ランサムが金になることがわかった ShadowBrokersも(攻撃手法を)売りに出すレベル 正確には、コッソリ裏で集金する仕組み… 大規模な情報漏洩多数（主な原因：設定ミス） つか米軍は勘弁してくれ(；´Д｀) プロトコルレベル（WPA2、BlueTooth＋RSA）脆弱性 Anna-Senpaiは捕まったけど、Mirai-LikeなBotは増加

   第57回 脆弱性診断ええんやで(^^)：LT枠

7. もう少し深堀り 第57回 脆弱性診断ええんやで(^^)：LT枠

8. 脆弱性関連 ランサムウェア関連 情報漏洩関連 その他 第57回 脆弱性診断ええんやで(^^)：LT枠

9. 脆弱性関連 第57回 脆弱性診断ええんやで(^^)：LT枠

10. 脆弱性関連 WordPress： 特に書くこともないので、徳丸さんBlogで… Struts2：S2-045/046：Jakarta Multipart parser（XXE） インパクトは大きかった。 Equifax：漏洩件数=約1.5億／アメリカの人口=約3.2億 また後程… OWASP-Top10とは関係ない、と思いたい…

    第57回 脆弱性診断ええんやで(^^)：LT枠 https://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html

11. 脆弱性関連 WPA2＆BlueBorne＋RSA暗号化 まあ、こういう次元での話もあるということで… IoTデバイス（組み込み）はちと厄介かも… WPA2は前日大騒ぎでしたが、蓋を開ければ然程でも… 物理的（？）にMan in the Middleが必要… 冷静になろうね、という教訓と受け止めました(｀・ω・´)

    第57回 脆弱性診断ええんやで(^^)：LT枠

12. ランサムウェア関連 第57回 脆弱性診断ええんやで(^^)：LT枠

13. ランサムウェア関連 ランサムウェア：WannaCry、NotPetya、BadRabbit… WannaCryは北朝鮮関与と断定（米政府：12/19） 開発者がWannaCry（泣きたくなる）だったのかなぁ(´；ω；｀) 実装が結構雑（あくまで凄かったのはNSA…） 第57回 脆弱性診断ええんやで(^^)：LT枠 ※BBCから引用： http://www.bbc.com/japanese/42408318

14. ランサムウェア関連 きちんとWindowsUpdateすれば防げた脆弱性。 ただ、医療系とか、組み込み系は難しいかも。 医療系：アップデートが困難（薬事法とかで縛りがある） 組み込み：数が多い… このあたりはRASP※とか欲しいかも 第57回 脆弱性診断ええんやで(^^)：LT枠 ※Runtime Application

    Self Protectionの略。 　OWASP Top10 2017 - RC1にはあったが、消えた… 　（というか、コレが原因で遅れたらしい）

15. 情報漏洩関連 第57回 脆弱性診断ええんやで(^^)：LT枠

16. 情報漏洩関連 原因は大きく分ければ2つ 設定ミス AWS-S3：機密データあるのに公開設定… sql.dumpの消し忘れ（DocumentRootに置きっぱなし） 脆弱性 Struts2 勿論、他のものもあります。 第57回 脆弱性診断ええんやで(^^)：LT枠

17. 情報漏洩関連 Equifaxの元CEO公聴会 第57回 脆弱性診断ええんやで(^^)：LT枠 ※ZDNet Japanから引用： https://japan.zdnet.com/article/35108266/ 問題の責任は、 ・セキュリティスキャンの不具合 ・1人の従業員のミスでパッチが適用されなかった

    一応原文も https://www.engadget.com/2017/10/03/former-equifax-ceo-blames-breach-on-one-it-employee/

18. その他 第57回 脆弱性診断ええんやで(^^)：LT枠

19. その他 遂に、遂にNISTのセキュリティポリシーから、パスワー ドの定期変更が消えました！！ヽ（　＾ω＾）ﾉ 今、パスワード関連で怖いのはリスト型なので。 定期変更させると、passwd1→passwd2になるだけなんだよ なぁ…ネタ考えるのも大変だし(；´Д｀) 少なくとも、外部のサービスはバラバラなパスワードにして おきましょう！or 2段階認証など有効化！ 1サイトで漏洩起きても、影響最小化

    パスワード管理ツールの使用を個人的に推奨 第57回 脆弱性診断ええんやで(^^)：LT枠

20. その他 Mirai-Botnetの騒動から約1年…ついに主犯3人が罪を 認めました。 特定だけなら2017/01にKrebsが。 第57回 脆弱性診断ええんやで(^^)：LT枠 ※Krebs on Securityから引用： https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/

21. その他 コレをオチに使う予定だったんですが… 第57回 脆弱性診断ええんやで(^^)：LT枠

22. その他 お前ら面白すぎだろｗｗｗｗｗ 天然物には勝てないorz 第57回 脆弱性診断ええんやで(^^)：LT枠 https://gigazine.net/news/20171227-seclists-remove-my-password/

23. まとめ 第57回 脆弱性診断ええんやで(^^)：LT枠

24. まとめ 今年もランサムは来るかも M/W、フレームワークの脆弱性も引き続き 定期/緊急アップデート＆診断（チェック）お忘れなく！ ITの進化スピードに人間が付いていけてない？ 自動化、省力化などして、チェックに時間を割けるように。 IoT（非PC/サーバ）は攻撃側からしたら狙い目？ 古いプロトコルとかで動いているかも（プリンタとか） DDoSは止まず… 巻き込み事故もあるかもね（ルーキーズLT参照）

    第57回 脆弱性診断ええんやで(^^)：LT枠

25. 第57回 脆弱性診断ええんやで(^^)：LT枠