2018/8/27の月曜日に秋葉原の以下の勉強会にスピーカーとして参加してきましたので記事にしていきます。
今回、40名程の参加者がいました。また発表者も8名と多かったです。
発表内容の簡単なまとめ
発表内容の簡単なまとめを以下に記載します。
結構人数が多くて、取り漏れも多少あり、間違えてメモしている個所もある可能性があるので、その場合は指摘していただければ適宜修正します。私はアンカーでした。
「最近の有名なセキュリティ事案の解説」:ytakahashi1228 さん
有名な事案:S総研事件
S総研が不正アクセスを受け、情報が流出
2017/10/27ー2018/2/10
メールシステムと内部システム
ブルートフォース攻撃によるパスワードクラッキングでやられてしまった。
外部のレンタルサーバを借りていた。
①二回の攻撃を通じて、ID、PWを入手するとともに、メールおよび添付ファイルを摂取、または閲覧
②外部レンタルサーバへの侵入。
内部ネットワーク上の複数のOSを遠隔操作する機能が外部に存在していた
③内部システムへ侵入
ファイルシステムはメールと同じアカウントで使用可能
外部からログインできた設定になっていた。
外部に設置したWebサイトに、内部サーバを遠隔操作する機能
内部ネットワークが広域でフラットな構成
管理者用ネットワーク内の一部に誰でもアクセス可能
しっかりとセキュリティを意識した設計・開発・運用をしましょう!
所感
セキュリティを意識した設計・開発・運用はものすごく大事だと思います!
特に設計であまり考えていないのに、開発でセキュリティと言われてもそもそも
仕様がセキュリティに不備がある場合が・・・
「プログラムの静的解析」:kmrr さん
「プログラムの静的解析」とはコードを実行せずに検証を行うこと
動的解析⇒ブレークポイントを置いて、プログラムを実行しながら検証する
なんで静的解析をするか
マルウェアやウイルスは実行形式で、ソースコードがあるわけではない
どのような意図をもったプログラムか把握するため
・IDA⇒FreeWare版が最近コミュニケーション公開された
・ILSpay⇒無償で公開されているやつ、.NETに強いみたいソースコードまで戻せる、条件分岐が多い奴は多少変わってくるかも。
所感
IDAとかのバイナリ解析するツールは一度逃げたことがあるので、
もう一回勉強しようかなと、ただし、今の職場だとそういった仕事は全くない・・・
「ヘッダでできるセキュリティ」:nachos さん
一昔前はヘッダにあまり注意は出ていなかった、IPAもクリックジャッキング等ヘッダでセキュリティ対策しましょう。というところが増えている。
OWASPのセキュリティヘッダプロジェクトを見てみると良いかも、IPAもある
①セキュリティ対策をする際は?セキュアプログラミング、⇒アプリの根本的な対策ができる。
作る段階でセキュリティ対策ができる。
ちゃんとそうしないといけないので、難しい、コンサルも高い
②WAF、IPS⇒セキュリティ対策を機器で対策しましょうというところ
⇒機器が高い、導入は楽かも
アプリケーション個別、アクセス権限の迂回等や認証の迂回に弱い
デフォルトシグネチャだとくぐり抜けて実行できる場合がある。
③セキュリティヘッダ
サーバの設定で導入できる⇒お金がいらない
考える必要もあまりない⇒セキュアプログラミングWAF等にあわせてやると良いかも
各脆弱性に合わせた防御ヘッダがあるのでそれに合わせて設定する。
アプリケーションが動かなくなる場合もあるのでちゃんとテストすることが重要
HSTSのデモ
所感
ここら辺をちゃんと設定している会社はWebアプリケーション的にも脆弱性は少ないイメージ
アクセス制御や、認証の迂回もない感じが多い。
※そんなこともない場合もありますが・・・
「ハニーポットの魅力」:wato_dn さん
ハニーポットの概要を記載
常に最新の攻撃動向をしることができる。
分析解析を行うことでできる知識もある。
サイクルとしては以下で回している。
検知⇒分析⇒答え合わせ⇒検知の繰り返し
そもそもどこにやるか
・自宅ネットワーク⇒すでにあるならOK
柔軟に設定変更可能
セキュアな環境が不可欠
電気代
・クラウド(AWS)
好きな地域に構築可能
AWSのことを調べるだけで1日が終わる
・VPS(さくら)⇒海外は使えない、最初はさくらかな
費用が明確
リージョンは日本固定
どんなハニーポットがあるか
・T-pot
ハニーポット業界の幕の内弁当
見た目かっこいい⇒人に見せる分にはいい!
運用費用が割高
・WOWHoneypot
日本産
シンプルハニーポットを追及
大分軽い
注意事項
ハニーポットの放置はダメ、乗っ取られることもある
定期的な保守が必要
・攻撃の動向が知りたい場合は作ろう
こだわっちゃうとお金がかかるかも。
所感
ハニーポッターの人が最近は増えてきましたね。
ブログやサイトと同じで放置しちゃう人も多いのかなと。
ここら辺も調べて記事にするのも面白そうですね。
※放置されてるハニーポットが攻略されてどんだけボット化されてしまったんだろう。
アルティメットサイバーセキュリティクイズ2018に参加した話:kbt さん
7/14に大阪で開催されたセキュリティの知識日本一を決める大会
予選、準決勝、決勝の構成、当日の参加は118名
予選は〇、×
結構引っ掛けが多い。
準決勝は記述
決勝はアタック25形式
セキュリティの基礎や関連する法律、機関、時事ニュースや過去の有名な事件を抑えておくといいかも。
所感
素直に面白そう。しかし大阪でってのが少しネック。
また、大阪の問題も出てることが厄介ですね。(正直大阪自体に興味が・・・)
毎年7月の第二土曜日にあるとのことなので、来年参加しようかなと。
「データベースのセキュリティについて」:makaaso さん
・共有アカウントは使わない
⇒部署移動が繰り返されると誰がアクセスできるのかと把握が困難
不正があった際に操作ログを確認して誰がを特定するのが困難
個人用のアカウントを作成
・重要な情報は集中管理
個人情報や機密情報は集中管理する方がいい
それぞれのDBに対して必要な対策をする必要があり、コストが増加
管理する共通基盤の導入
DBにアクセスする場合は専用のサーバ経由でアクセスする等の経路を湖底
・不要な権限は与えない
アカウント管理と守るべきものを把握することでアクセスコントロールを適切にする。
データベース運用管理者の権限を最小に
・データベースの調査ログを取る
インシデントの際の調査に必要だったりする。
インデントの防止にもなる
アプリケーションレイヤーで取得
RDBMSの機能でデータベース操作ログを取得
・データを暗号化する
通信が傍受されたら、データが漏洩する可能性あり
RDBMSのファイルにアクセスされてしまったら、データが漏洩する可能性あり
Webサーバ・アプリケーションサーバとDBサーバの通信を暗号化
DBサーバのデータベースファイルの暗号化
・まとめ
一般的なセキュリティの対策と一緒
アカウント管理、アクセス制御、暗号化、監査等の対策が基本
Webアプリケーションレイヤーで実施しているセキュリティ対策同様に、データベースでも対策することが重要
所感
まとめの話が全てを語っていると思います。
実際の構築等になると変わってくると思いますが、思想や考え方はどのレイヤー(アプリケーションだろうがネットワーク、データベース)でもそんなに大きく変わらないんじゃないかと考えています。
「CSS Injection++」:lmt_swallow さん
スライドツイッターに上がっているツイッター名「lmt_swallow」
CSSを挿入できるようになるインジェクション
CSSインジェクションって?危険?
こちらは内容はスライドをご覧ください。
スライド数、話のスピードにメモが追い付かなかった・・・
所感
CSSインジェクションは聞いたことはあるが、ちゃんと検討していないインジェクションであった。
一度調べて記事にしたいなと。ちなみに発表者さんはまだお若いので、今後を考えると末恐ろしいなと感じました。素直に一緒に仕事してみたい。
「OSコマンドインジェクション」:tokoroten
私の内容です。内容については後日に記事にします。
反省点
今回は自分の発表内容がちゃんとまとめられていなかったので、反省。
ちゃんと補足できるように後日記事にします。
多少慣れてしまった感があるので、一度初心に戻ってやります!
次回は以下のどれかを検討中です。
・HTSTの話題が出たので、こういったツールがあって、設定していないとこういった攻撃を受ける可能性があるよという内容
・CISAの話をちゃんとしていない(ブログでも)ので、細かい話や、こういった問題もあるということ、取得するとどういった利点があるのかについての解説
もちろん上記の二つ以外で勉強会でこれやってほしいというものがあれば言っていただければ検討しますので、お願いいたします。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント