技 術 コース 専 門 編 について 対 象 企 業 等 のウェブサイト 公 開 やシステム 運 用 にお ける 安 全 性 向 上 について 理 解 を 深 めたい 方 ポイント 主 に 企 業 ウェブに 関 連 したセキュリティ 事 故 の ケーススタディによる 脅 威 と 対 策 の 技 術

Transcription

1 技 術 コース 専 門 編 本 テキストのpdfファイルは よりダウンロードできます

2 技 術 コース 専 門 編 について 対 象 企 業 等 のウェブサイト 公 開 やシステム 運 用 にお ける 安 全 性 向 上 について 理 解 を 深 めたい 方 ポイント 主 に 企 業 ウェブに 関 連 したセキュリティ 事 故 の ケーススタディによる 脅 威 と 対 策 の 技 術 的 解 説 2

3 技 術 コース 専 門 編 の 内 容 ケーススタディ+ 解 説 1. DNS 経 由 の 不 正 アクセス 2. ウェブアプリケーションの 脆 弱 性 3.インシデントレスポンス 3

4 ケーススタディ1 DNS 経 由 の 不 正 アクセス 会 社 のドメイン 名 が 乗 っ 取 られる? ~ 迷 惑 をかけないドメイン 名 管 理 について 学 ぶ~

5 ケーススタディ1 DNS 経 由 の 不 正 アクセス 1.1 DNSとは? 1.2 事 例 : 会 社 のドメイン 情 報 が 乗 っ 取 られる 1.3 何 が 起 きていたのか 1.4 対 策 の 前 に 1.5 危 険 なDNS 設 定 とは 1.6 LAME delegation の 対 策 1.7 DNSキャッシュポイズニング 5

6 1.1 DNSとは? DNS(Domain Name System) ホスト 名 ( 例 : アクセスに 必 要 なIPアドレ ス( 例 : )を 検 索 する 世 界 的 な 分 散 データベース 自 分 で 取 得 したドメイン 名 を 使 いたい 場 合 正 式 なDNS サーバをドメイン 名 レジストリ(JPドメインはJPRS)に 登 録 し た 上 で 正 式 なDNSサーバを 通 じて 公 開 する 必 要 がある URLにおけるドメイン 名 の 例 Windows でのクライアント 設 定 例 変 換 ホスト 名 ドメイン 名 FQDN (Fully Qualified Domain Name) 通 信 先

7 1.2 事 例 : 会 社 のドメイン 情 報 が 乗 っ 取 られる ソフトウェア 開 発 会 社 M 社 員 数 約 500 名 公 式 の 自 社 ウェブサイト 以 外 にも 顧 客 サイトや 開 発 用 のテストサイトなどを 運 用 ISMSやPマークの 全 社 取 得 を 目 指 し 情 報 の 取 扱 や 安 定 稼 働 セキュリティには 注 意 している ネットワーク 管 理 グループを 設 け 日 々の 運 用 でパッチ の 検 査 と 適 用 を 実 施 データセンターに 基 幹 サーバを 設 置 ネットワークは 侵 入 防 止 システム(IPS)で24 時 間 監 視 7

8 社 内 ネットワーク 環 境 インターネット 社 内 ユーザ FW&IPS v FW&IPS サーバ エリア 専 用 線 M 社 社 内 ネットワーク WEB DB DNS MAIL インターネットデータセンター(IDC) 8

9 ウェブサイトを 見 た 顧 客 からクレーム ある 日 突 然 御 社 のウェブサイトを 見 たら ウイルス 対 策 ソフトが 反 応 し た というクレームが 来 始 めた これまでと 違 うページが 見 えること がある というクレームも 複 数 ウェブアプリケーションは 専 門 企 業 に 依 頼 して 検 査 していたし OKも 出 ていたのに 9

10 メールにも 別 ルートからクレームが M 社 (この 会 社 ) 宛 のメールが 届 かないことが ある 届 く 場 合 でも 遅 延 していることがある 長 いときは 数 日 も 届 かない 全 く 問 題 がないケースも 多 数 ウェブのクレームと 同 じく ときどき 共 通 項 はそれだけ 同 じ 原 因?? 10

11 管 理 グループによる 調 査 メールの 調 査 外 部 からのメールに 遅 延 が 生 じていることは 確 認 サーバ 負 荷 には 問 題 はない 社 内 からメールを 送 信 する 場 合 は 問 題 なさそう ウェブサイトの 調 査 社 内 から 確 認 したところでは 問 題 ない バックエンド 含 めサーバ 負 荷 にも 問 題 はない 結 局 事 象 は 確 認 できたが 原 因 は 特 定 できず 外 部 からのアクセスに 集 中 しているので ネットワーク 回 線 の 不 調 か? ISP に 調 査 を 依 頼 したが 何 も 判 明 せ ず 11

12 社 内 から 調 査 する Mwebsite <div class= maincontent > /* start <div -class= maincontent > topic area */ <div /* class= topic start id= topic_xxxx > <div -class= maincontent > area */ <p> <div </p> /* class= topic start id= topic_xxxx > <p> <div - class= maincontent > area */ <p> </p> <div </p> <p> /* class= topic start id= topic_xxxx > <p> <div - class= maincontent > area */ </p> <p> </p> <p> <div </p> <p> /* class= topic start www: - tail f area id= topic_xxxx > /var/log/apache/access_log */ </p> <p> </p> </div> <p> </p> <p> <div class= topic id= topic_xxxx > </p> <p> </p> </p> </div> <p> </div> <p> </p> </p> <p> <p> v </p> </div> <p> </p> </p> </div> <p> <p> </p> </p> </div> </div> <p> </p> </div> </div> </div> <div class= maincontent > /* start - topic area */ <div class= topic id= topic_xxxx > <p> </p> <p> </p> <p> </p> <p> </p> </div> </div> [~/work] 会 社 のウェブサイトのあ るサーバや DBを 調 べ たが 怪 しいものは 見 当 たらない クロスサイト スクリプティ ング? しかし 構 築 時 に セキュリティ 検 査 済 みだ し 監 視 サービスも 何 も 言 ってきていない ログ にも 怪 しい 兆 候 はない 12

13 念 のため 社 外 から 調 査 する Mwebsite v 携 帯 電 話 回 線 (モバイル カード) 経 由 で 見 てみる 異 常 なし しかし た またまリロードしてみた らウイルス 対 策 ソフトが 反 応 した! あれ これうちのサイト に 似 てるけど 微 妙 に 違 う 連 続 的 にリロードすると 何 度 かに 一 度 程 度 出 て くる 13

14 ウェブサイトのIPアドレスが 違 う? 知 らないIPアドレスに 誘 導 されている!? C: WINDOWS>nslookup Server: mobile.isp.example.com Address: Non-authoritative answer: Name: Addresses: このIPアドレスは 何 だ!? 全 く 知 らないアド レスだが C: WINDOWS>nslookup type=ns m.example.jp Server: mobile.isp.example.com Address: Non-authoritative answer: m.example.jp nameserver = ns.m.example.jp m.example.jp nameserver = ns-itaku.server.test あれ?このネー ムサーバって 以 前 に 見 たこと がある 14

15 1.3 何 が 起 きていたのか 不 正 なDNSサーバが 正 式 なDNSサーバと して 動 いていた 昔 委 託 していたDNSサーバがあったが 業 者 の 撤 退 後 その 業 者 が 利 用 していたドメイン 名 を 期 限 切 れ 後 に 第 三 者 が 取 得 したらしい レジストリの 情 報 がそのままだったので 第 三 者 のサーバが 正 式 なDNSサーバに 数 分 の 一 の 確 率 で 偽 サーバに 誘 導 されてし まう( 実 装 に 依 存 ) 15

16 解 説 : 正 式 なDNSサーバとは そのドメイン 名 に 関 する 正 しい 情 報 を 持 つ 権 威 あるネーム サーバ (Authoritative NS) 取 得 したドメイン 名 の 正 式 なDNSサー バは ドメイン 名 レジ ストリに 登 録 する 必 要 がある ドメイン 名 レジストリ (.JP ドメインならば JPRS が 管 理 ) m.example.jp の 正 式 なDNSサーバ ns.m.example.jp ns2.m.example.jp foobar.example.jp の 正 式 なDNS サーバ ns.foobar.example.jp ns.extend.example.jp 16

17 不 正 なDNSサーバによる 誘 導 さん 宛 にメール (Webサーバ) メールの 宛 先 (MX) メールサーバのIPアドレスを 教 えてください 本 当 のDNS メールサーバのIPアドレスを 教 えてください 悪 意 あるDNS (Webサーバ) メールの 宛 先 メールを 受 信 しました こちらのサーバに 送 れば いいんですね 本 当 のサーバ こちらのサーバに 送 れば いいんですね 悪 意 あるサーバ メールを 奪 取 しました 読 んだので 本 来 の サーバに 送 付 しておき ますね アクセスした DNS サーバによって 宛 先 が かわってしまう 17

18 被 害 公 式 ウェブサイトにアクセスしようとした 人 に ウイ ルスを 感 染 させようとした ウェブサイトの 誘 導 だけではなく メールの 宛 先 も 同 様 に 誘 導 され メールも 読 まれてしまっていた 急 いでドメイン 登 録 会 社 を 通 じ DNSレジストリの 登 録 情 報 を 修 正 する 手 続 きを 取 った メールが 読 まれていた 事 から 情 報 漏 えいにもあた るので どれだけ 被 害 があったかもう 把 握 できない 企 業 として 謝 罪 する 必 要 があり 大 打 撃 18

19 参 考 : 最 近 のウイルスの 動 作 罠 ウェブ 経 由 / 普 通 のウェブ 経 由 で 感 染 ブラウザやプラグインの 複 数 の 脆 弱 性 をついて 侵 入 を 試 み る 最 初 は 小 さくて 流 用 しやすいプログラム(ダウンローダ)に 感 染 させる 実 際 の 攻 撃 は 別 サイトからダウンロードしたコード(プログラ ムそのもの)が 行 う 何 がダウンロードされるかわからない= 対 策 パッチをあてて も そのパッチを 掻 い 潜 る 次 の 攻 撃 手 法 が 使 われる ダウンロードや 命 令 には 会 社 が 制 限 できない 内 部 外 部 のHTTP/HTTPSを 利 用 し 正 規 の 通 信 に 見 せかける 参 考 : 近 年 の 標 的 型 攻 撃 に 関 する 調 査 研 究 19

20 1.4 対 策 の 前 に: DNSサーバには2 種 類 あります DNSコンテンツサーバ (Authoritative サーバ) 自 分 のドメイン 名 情 報 を 管 理 し 外 部 に 公 開 するのが 目 的 上 位 のドメイン 情 報 に 登 録 されることで 正 式 なDNSサーバ となる DNSキャッシュサーバ (Recursiveサーバ/Resolve サーバ) 内 部 からの 要 求 により 外 部 のDNS 情 報 を 検 索 するのが 目 的 クライアントがインターネットの 設 定 で DNSサーバ として 指 定 する 20

21 正 式 なDNSサーバへのアクセス 方 法 DNSキャッシュサーバ にアクセス は です の 情 報 は? A.DNS.JP. が 知 っています の 情 報 は? NS.EXAMPLE.JP. が 知 っています の 情 報 は? です DNSコンテンツサーバ ルートDNSサーバ 全 世 界 に13システム A.DNS.JP JPドメイン 名 用 に5システム NS.EXAMPLE.JP example.jp.ドメイン 名 情 報 を 管 理 すると 登 録 したDNSサーバ DNSの 階 層 を 辿 る には 一 つ 上 のドメ イン 階 層 のサーバ に 正 式 なDNSサー バが 登 録 されてい る 必 要 がある ルートDNSサーバ から 検 索 開 始 日 本 (JPドメイン 名 ) はJPRSが 管 理 す るレジストリに 登 録 最 終 的 に 目 的 の 情 報 を 持 つDNSサー バに 辿 りつく リクエスト 返 答 21

22 1.5 危 険 なDNS 設 定 とは: ネットワークの 実 際 と 設 定 の 不 一 致 ネットワークの 実 体 が 正 式 な 状 態 とずれる 要 因 管 理 業 者 の 移 転 や サーバ 設 定 の 更 新 時 の 設 定 変 更 忘 れ ミススペルなどの 設 定 ミス (example.jp exmaple.jp) ns.exma ple.jp root-servers.net dns.jp ns.exam ple.jp example.jpの 登 録 ns.exmaple.jp ns.example.jp ns2.example.jp ns2.exa mple.jp あるはずの 無 いサーバが 正 式 なサーバに LAME Delegation と 呼 ばれる 良 くない 状 態 となる 22

23 LAME delegation 状 態 LAME delegation とは 正 式 なDNSサーバ (Authority)として 登 録 されたサーバがおかし い 状 態 1. そもそも DNS サーバとして 応 答 しない 2. 正 式 なサーバではないという 意 味 の 返 答 Non-authoritative answer が 返 ってくる 3. 複 数 のコンテンツサーバの 応 答 が 一 致 しない 問 いあわせるサーバにより 返 答 が 違 う 23

24 ドメイン 情 報 ハイジャックの 可 能 性 手 つかずのドメインや 失 効 したドメインを 取 得 し 不 正 なDNSサーバを 立 てられてしまう 内 部 で DNSサーバを 共 用 していると 内 部 サーバで 名 前 解 決 されるので 被 害 に 気 がつきにくい ns.exma ple.jp root-servers.net dns.jp ns.exam ple.jp example.jpの 登 録 ns.exmaple.jp ns2.example.jp ns2.exa mple.jp 第 三 者 が EXMAPLE.JP ドメインを 取 得 すると 正 式 なDNSサーバを 勝 手 に 立 てられてしまう 類 例 Typosquatting: 有 名 なサイトとよく 似 たドメイン 名 を 取 得 し タイプミスを 狙 う 24

25 不 正 なDNSサーバを 立 てられると ウェブサイトへのアクセスを 誘 導 できる フィッシング 詐 欺 や 認 証 情 報 の 取 得 など メールの 宛 先 をそのままに 誘 導 できる メールアドレスがあれば 正 式 なSSL 証 明 書 を 取 得 できる 可 能 性 がある 現 象 が ときどき 起 きるので 調 査 は 難 しく 放 置 してしまいがちになる 25

26 1.6 LAME delegation の 対 策 今 から 取 れる 保 険 的 対 策 組 織 の 正 しいDNSサーバを 調 査 する ネットワーク 上 の 現 物 調 査 ではなく ネットワーク 構 成 上 そ うあるべき 正 しいサーバを 調 査 する 自 社 のDNSサーバだけではなく 委 託 先 のDNSサーバが あれば それも 調 査 をおすすめします DNSレジストリへの 登 録 や DNSサーバの 設 定 が 違 っていたら 正 しい 状 態 に 修 正 する DNSレジストリの 修 正 は 一 般 にドメイン 名 登 録 業 者 (レジ ストラ)に 依 頼 することとなります ウェブでのインタフェースが 用 意 されている 事 も コンテンツサーバが 複 数 ある 場 合 は 同 じドメイン 名 に 関 する NS 情 報 は 全 部 同 じ 内 容 にしてください 26

27 正 式 なDNSサーバの 調 査 方 法 (1) 手 順 を 踏 んで 調 べる 方 法 自 組 織 が 運 用 している 正 式 なDNSサーバの 一 覧 を 調 べ る whois で レジストリに 登 録 されている 正 式 なDNSサーバ の 一 覧 を 調 べる whois の 結 果 返 されたDNSサーバに IPアドレスで nslookup をし NS レコードを 調 べる 全 ての NS に 指 定 されているサーバについてたどっていき 本 来 そうあるべき 一 覧 と 違 わなければOK 参 考 :ドメイン 名 の 登 録 と DNS サーバの 設 定 に 関 する 注 意 喚 起 (IPA) 27

28 正 式 なDNSサーバの 調 査 方 法 (2) 簡 易 的 に 外 部 サイトを 利 用 して 調 べる 方 法 DNS Bajaj ( ) 28

29 根 本 的 解 決 2 種 類 のDNSサーバを 機 能 ごとに 分 けて 構 築 する アクセス 制 限 の 対 象 や 設 定 が 全 く 違 う コンテンツサーバ キャッシュサーバ 目 的 自 分 のドメイン 情 報 の 管 理 要 求 に 応 じたDNSの 検 索 アクセス 元 基 本 的 に 外 部 組 織 内 部 アクセスする 主 体 キャッシュサーバ 一 般 のコンピュータ 上 位 ドメインへの 登 録 必 要 /Authoritative 不 要 /Non-authoritative 他 ドメイン 情 報 の 要 求 返 答 しない 再 帰 的 に 検 索 して 返 答 する 29

30 DNSサーバによるアクセス 制 限 の 違 いに 注 意 インターネット キャッシュサーバは 外 部 のDNSサーバ にアクセスできる 必 要 がある コンテンツサー バは 外 部 からア クセスできる 必 要 がある 組 織 内 部 DNSコンテンツサーバ 外 部 からのリクエスト 中 心 直 接 外 部 の DNSサーバに アクセスする 必 要 はない DNSキャッシュサーバ 内 部 からのリクエスト 中 心 外 部 から 利 用 す る 必 要 がない 内 部 からの リクエストが 本 来 の 通 信 混 ぜるな 危 険 DNSサーバの 種 類 により 全 く 違 うアクセス 制 限 が 必 要 その 他 よくある 注 意 事 項 DNS はゾーン 転 送 以 外 にも TCP を 使 うので 53/udp だけでなく53/tcp も 許 可 する 必 要 がある 可 能 ならばDNS サーバで EDNS0 を 利 用 する コンテンツサーバで ゾーンの TTL 設 定 が 短 かすぎる(30 秒 など)と 攻 撃 を 受 けやすくなる 30

31 まとめ DNS が LAME delegation 状 態 となっ ている 場 合 状 況 によってはドメイン 情 報 をハイジャックされる 危 険 性 がある 自 組 織 のDNSの 設 定 を 確 認 し LAME Delegation 状 態 があれば 解 消 する これから 作 成 するDNSサーバは 機 能 ごとに 分 割 して 構 築 する 31

32 1.7 DNSキャッシュポイズニング キャッシュを 偽 情 報 で 汚 染 する XX.YY.XXX.YYY XX.YY.XXX.YYY 問 い 合 わせと 応 答 の 正 常 なやり 取 り 32

33 DNSキャッシュポイズニング XX.ZZ.VVV.ZZZ XX.YY.XXX.YYY XX.ZZ.VVV.ZZZ 問 い 合 わせと 偽 リプライを 多 数 送 信 (バースデイアタック 型 ) のクエリIDが 一 致 するまでクエリと 偽 応 答 を 何 度 も 送 信 する 33

34 カミンスキーアタック 従 来 型 より 効 率 の 良 いDNSキャッシュポイズ ニング 従 来 型 は 汚 染 に 失 敗 するとTTL(Time To Live) 設 定 値 の 間 次 の 攻 撃 を 待 つ 必 要 があった 存 在 しないホスト 名 に 関 するクエリを 都 度 変 えて 送 れば TTLは 関 係 ない 001.example.jp 002.exsample.jp 偽 情 報 を 持 つDNSサーバに 誘 導 する 手 法 と 直 接 キャッシュ 情 報 を 書 き 換 える 手 法 が 存 在 する 34

35 DNSキャッシュポイズニング example.jp? XX.ZZ.YYY.ZZZ のクエリIDが 一 致 するまでクエリ と 偽 応 答 を 何 度 も 送 信 する XX.ZZ.YYY.ZZZ 001.example.jp? NS ns.evelexample.jp 偽 造 応 答 にNSレコードを 入 れる (カミンスキー 型 ) 35

36 キャッシュポイズニング 対 策 再 帰 問 い 合 わせを 制 限 禁 止 ソースポート(クエリIDと 同 様 に 汚 染 時 に 一 致 させる 必 要 があるもの)のランダマイズ パッチがリリースされている 確 率 を 下 げるだけなので ゼロにはならない 連 続 的 問 い 合 わせの 制 限 詳 細 は curity.html 36

37 参 考 資 料 一 覧 IPA ドメイン 名 の 登 録 と DNS サーバの 設 定 に 関 する 注 意 喚 起 IPA 近 年 の 標 的 型 攻 撃 に 関 する 調 査 研 究 JPRS DNS 関 連 技 術 情 報 JPNIC 逆 引 きネームサーバの 適 切 な 設 定 について 37

38 ケーススタディ2 ウェブアプリケーションの 脆 弱 性 企 業 サイトがウイルス 感 染 の 加 害 者 に ~ 脆 弱 性 の 脅 威 と 技 術 的 解 決 を 学 ぶ~

39 ケーススタディ2 ウェブアプリケーションの 脆 弱 性 2.1 SQLインジェクションとは 2.2 SQLインジェクション 対 策 2.3 クロスサイト スクリプティングとは 2.4 クロスサイト スクリプティング 対 策 39

40 攻 撃 の 類 型 直 接 攻 撃 データベース セッション 管 理 への 攻 撃 間 接 攻 撃 コンテンツ 改 ざんによる 罠 スクリプトを 悪 用 する 罠 認 証 を 盗 み 成 りすます Copyright (c) 2009 NPO 日 本 ネットワークセキュリティ 協 会 Page 40

41 2.1 SQLインジェクションとは 本 来 直 接 操 作 できないデータベー スを 外 部 から 操 作 されてしまう 原 因 データベースへの 命 令 の 組 み 立 て 方 に 問 題 41

42 SQL 文 を 使 ったデータベースとのやり 取 り データベースへの 問 い 合 わせはウェブアプリ ケーションが 行 う id:sonodam password:sonopass select * from idtable where id = sonodam and password= sonopass ; ウェブアプリ ケーション データベース ようこそ 園 田 さん 該 当 データ 有 り ウェブアプリケーションが 問 い 合 わせ 代 行 翻 訳 を 行 っている 42

43 SQLインジェクション 攻 撃 外 部 からSQL 文 を 挿 入 されてしまう id:sonodam password:test or A = A select * from idtable where id = sonodam and password= test or A = A ; ウェブアプリ ケーション データベース ようこそ 園 田 さん 該 当 データ 有 り ウェブアプリケーションがSQL 文 をスルーしていることが 原 因 43

44 なぜ SQL 文 を 挿 入 されてしまうのか? 特 別 な 意 味 を 持 つ 記 号 文 字 の 扱 いが 不 適 切 例 : (シングルクォート):テキスト 文 字 の 引 用 符 SELECT * FROM a WHERE id='$p'; $p=foo の 場 合 : SELECT * FROM a WHERE id='foo'; '; $p=foo' or 'a'='a の 場 合 : SELECT * FROM a WHERE id='foo' or 'a'='a';'; 変 数 中 の 記 号 文 字 が 意 味 のある 文 字 として 解 釈 される 44

45 2.1 SQLインジェクションとは( 続 き) 生 じうる 脅 威 秘 密 情 報 個 人 情 報 等 の 漏 えい 重 要 情 報 の 改 ざん 破 壊 ウェブサイト 上 にウイルスを 埋 め 込 まれる 任 意 のコード コマンドを 実 行 される 別 のサーバを 攻 撃 する 踏 み 台 となる 45

46 狙 われるCMSのコンテンツ データベースに 格 納 されたコンテンツ データ(HTMLデータなどを 含 む)を 汚 染 する 外 部 のスクリプトを 読 み 込 ませて ウイ ルスをダウンロードさせる 仕 組 み <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html lang= ja > 外 部 のスクリプトを 読 みこんで 実 行 <head> <title>welcome to C shopping site</title> <link rel="stylesheet" href="style.css" TYPE="text/css"> <script src= ></script> </head> 46

47 2009 年 1 月 攻 撃 検 知 数 1,508,852 件 2008 年 12 月 攻 撃 検 知 数 15,027,791 件 ボットネット 悪 用 の 急 増 2009 年 3 月 攻 撃 検 知 数 285,548 件 SQLインジェクションによる 改 ざん 情 報 漏 洩 事 件 ツールによる 攻 撃 が 激 化 JSOCから 注 意 喚 起 を 配 信 さらにツールが 進 化 水 面 下 で 売 買 検 索 エンジンの 悪 用 2009 年 7 月 攻 撃 検 知 数 60,638 件 引 用 47

48 SQLインジェクションの 爪 痕 ウェブサーバのログに 怪 しい 痕 跡 が /shop/cart/?no=... %20SELECT%20... %20FROM%20... %20WHER E%20... %20HAVING%20... (...) /shop/cart/?no=... %20SELECT%20... %20FROM%20... %20WHER E%20... %20ORDER%20... データベースのログにはデータ 更 新 された 記 録 が UPDATE pages SET "created_at" = ' :19:46', "template" = 'toppage.tmpl', "verified" = 1, "role" = NULL, "published" = 0, contents= <html><head>... 48

49 ログ 解 析 ツールiLogScanner 解 析 結 果 のレポート 例 解 析 結 果 のログ 例 47 件 のSQLインジェクション 攻 撃 を 検 出 攻 撃 成 功 は0 件 攻 撃 成 功 の 可 能 性 は 検 出 されなかった 攻 撃 元 のIPアドレス 攻 撃 のあった 時 刻 ウェブサイトの 脆 弱 性 検 出 ツール ilogscanner 49

50 2.2 SQLインジェクション 対 策 根 本 的 解 決 ( 原 因 を 無 くす) バインド 機 構 (プリペアードステートメント)の 利 用 エスケープ 処 理 エスケープ 以 前 の 問 題 保 険 的 対 策 ( 取 りあえずの 回 避 策 ) エラーメッセージの 非 表 示 データベースアカウントの 権 限 見 直 し その 他 の 対 策 50

51 バインド 機 構 を 利 用 ( 例 : Perl DBI) 変 数 と 関 係 なく 構 文 解 釈 を 行 うため SQLインジェクションはありえない $sth = $dbh->prepare( "SELECT id, name, tel, address, mail FROM usr WHERE uid=? AND passwd=?"); $sth->execute($uid, $passwd); バインド 変 数 プレースホルダ 参 考 :セキュアDBプログラミング バインドメカニズムを 活 用 しよう 51

52 バインド 機 構 を 利 用 ( 例 : Java) String parameter = ユーザが 入 力 した 値 ; Connection c = データベース 接 続 オブジェクトの 取 得 ; // 値 を 埋 め 込 む 前 の 形 のSQL 文 をコンパイルし 構 文 を 確 定 PreparedStatement st = c.preparestatement("select name, price FROM product_table WHERE code=?"); st.setstring(1, parameter); //? の 場 所 に 値 を 埋 め 込 む ResultSet rs = st.executequery(); // クエリの 実 行 り 引 用 参 考 :: 52

53 バインド 機 構 を 利 用 ( 例 : PostgreSQL+PHP) <?php String parameter = ユーザが 入 力 した 値 ; $dbc = pg_connect("dbname=pg_db"); // データベース 接 続 // 値 を 埋 め 込 む 前 の 形 のSQL 文 をコンパイルし 構 文 を 確 定 $result = pg_prepare($dbc, "query1", 'SELECT name, price FROM product_table WHERE code=$1'); // $1の 場 所 に 値 を 指 定 してクエリの 実 行 $result = pg_execute($dbc, "query1", array(parameter));?> り 引 用 参 考 : 53

54 エスケープ 処 理 ( 根 本 的 解 決 ) エスケープ 処 理 の 実 施 特 別 な 意 味 を 持 つ 記 号 文 字 が 普 通 の 文 字 として 解 釈 されるように 処 理 する 例 :' ''( 同 じ 文 字 の 繰 り 返 し) $p=foo' or 'a'='a の 場 合 : SELECT * FROM a WHERE id='foo'' or ''a''=''a'; 変 数 中 の (シングルクォート)が 普 通 の 文 字 として 解 釈 される 同 様 に バックスラッシュ にも 繰 り 返 しによるエス ケープ 処 理 が 必 要 な 場 合 がある 54

55 実 際 のエスケープ 処 理 エスケープ 関 数 (Perl の DBI quote() や PHP の dbx_escape_string()) 置 き 換 え 演 算 子 等 で 自 己 エスケープ 処 理 ( s/'/''/g; など) 対 策 洩 れが 生 じやすい 方 法 55

56 エスケープ 処 理 以 前 の 問 題 ( 根 本 的 解 決 ) 外 部 から SQL 文 を 直 接 入 力 する <html> <form> <input type="hidden" value="select * FROM..."> </form> 論 外 であり 避 けるべき 実 装 である 56

57 エラーメッセージを 表 示 すると 名 前 : 悪 人 太 郎 SQL error with query SELECT a.name, a.displname, a.passwd, a.expire_date, a.create_date, a.misc FROM account as a WHERE a.category=7 ORDER BY c.date: Can't open file: account.myd'. (errno: 145) 趣 味 : クラッキング 攻 撃 者 の 視 点 では こう 見 える データベースを 利 用 SQL インジェクションの 可 能 性 SQL エラーに 気 を 使 っていない 攻 略 の 可 能 性 エラー 内 容 にSQL 文 が 含 まれる レコード 定 義 が 推 測 で きる& 試 行 錯 誤 すればどんどん 調 査 できる 可 能 性 エラー 内 容 から 攻 略 方 法 を 検 討 57

58 エラーメッセージを 非 表 示 にする ( 保 険 的 対 策 ) ウェブアプリケーションで 対 応 アプリケーションでエラーメッセージ 表 示 処 理 を 用 意 して それを 呼 び 出 す データベースの 設 定 で 対 応 設 定 で 変 更 ウェブサーバの 設 定 で 対 応 設 定 でエラー 時 の 応 答 を 設 定 58

59 エラーメッセージを 非 表 示 にする ( 保 険 的 対 策 ) ウェブサーバでの 設 定 例 Microsoft IIS 6 デフォルト 値 は クライアントに 詳 細 な ASP のエラー メッセージを 送 る なので 注 意! この 設 定 で ASP のエラーは 全 て 置 き 換 えられる 59

60 エラーメッセージを 非 表 示 にする ( 保 険 的 対 策 ) ウェブサーバでの 設 定 例 PHP 5 (php.ini などで) display_errors=off :エラーをHTMLとして 画 面 出 力 するか display_startup_errors=off ; PHPの 初 期 動 作 時 点 で 起 きるエラーを HTMLとして 画 面 出 力 するか 他 error_reporting ; エラーの 表 示 内 容 を 設 定 log_errors ; ログにエラー 出 力 を 行 うか 設 定 エラーを 表 示 しないだけでは 駄 目 で エラーの 内 容 を 選 別 し て ログに 記 録 するようにしておく 必 要 がある 60

61 データベースの 権 限 は 制 限 する ( 保 険 的 対 策 ) 権 限 全 部 入 り のアカウントは 使 わない sa (System Administrator) dba (Database Administrator) データベース 毎 に 専 用 のアカウントを 作 り 権 限 を 制 限 して 使 う 既 存 のテーブルを 読 み 書 きするだけなのに テーブル 操 作 や 管 理 等 の 権 限 はいらない 権 限 を 必 要 最 小 限 にすれば 防 げる 攻 撃 も ある 61

62 その 他 の 対 策 (ビジネスの 話 も 含 む) ( 保 険 的 対 策 ) DBに 格 納 する 情 報 を 見 直 す 収 集 する 情 報 を 見 直 す 必 要 最 小 限 の 情 報 しか 格 納 しない サービスを 見 直 す 変 なリスクを 負 ってまで やる 必 要 があるのか? パスワードはそのまま 保 存 しない ハッシュ 値 を 保 存 する 62

63 まとめ:SQLインジェクションの 対 策 SQL 文 の 組 み 立 てには 必 ず エスケープ 処 理 を 実 装 する 公 開 ページでは エラー メッセージをそのまま ブラウザに 表 示 しない 63

64 2.3 クロスサイトスクリプティングとは 罠 に 仕 込 まれたスクリプトが 知 らぬ 間 に 動 作 してしまう 原 因 ユーザーに 送 るHTMLデータの 作 成 方 法 に 問 題 64

65 危 険 のない 普 通 のアクセス お 気 に 入 りや ブックマーク 危 険 が 無 い ウェブサイト 65

66 危 険 なアクセス 脆 弱 なウェブサイト 汚 染 済 みデータ 仕 掛 けられた 爆 弾 (スクリプト)が 手 元 で 爆 発 する 66

67 危 険 のないアクセス 危 険 が 無 い ウェブサイト 爆 弾 は 爆 発 する 形 で 手 元 に 来 ない 67

68 スクリプトを 埋 め 込 まれた 結 果 Cookie が 盗 まれる セッション ID などの 情 報 が 盗 まれる フォーム 入 力 のデータが 盗 まれる ユーザーID パスワード ページに 偽 情 報 が 表 示 される スクリプトでできること はほとんど 可 能 68

69 2.4 クロスサイトスクリプティング 対 策 ユーザーにHTMLテキストの 入 力 を 許 可 しない 場 合 と 許 可 する 場 合 では 対 策 が 異 なる HTMLテキストを 許 可 する 場 合 は タグを 選 択 的 に 許 可 する 必 要 がある それぞれに 根 本 的 対 策 保 険 的 対 策 がある 69

70 HTMLテキストの 入 力 を 許 可 しない 場 合 根 本 的 解 決 エスケープ 処 理 URL 出 力 時 のスキーム 確 認 スクリプトを 動 的 に 生 成 しない スタイルシートを 動 的 に 生 成 しない 保 険 的 対 策 入 力 値 チェック 70

71 エスケープ 処 理 (HTML 不 許 可 / 根 本 的 解 決 ) 記 号 文 字 を 置 換 (HTMLを 許 可 しない 場 合 ) 例 : & & " " < < > > ' &#039; 入 力 値 :<script>alert("test");</script> 置 換 後 : <script>alert("test");</script> 見 た 目 は<script>alert( test );</script>に 見 える 71

72 URL 出 力 時 のスキーム 確 認 (HTML 不 許 可 / 根 本 的 解 決 ) URL の 中 に 埋 め 込 まれる 場 合 URL の 入 力 を 許 可 している 場 合 URL の 形 で スクリプトを 埋 め 込 まれることがある 例 : javascript:alert('ipa'); 利 用 者 にリンクの 入 力 を 許 している 場 合 は 要 注 意 URL 出 力 時 は と のみを 許 可 data: や javascript: などのスキームを 防 ぐ ブラックリスト 方 式 では 漏 れてしまう 72

73 スクリプトを 動 的 に 生 成 しない (HTML 不 許 可 / 根 本 的 解 決 ) スクリプトそれ 自 体 を 外 部 からの 入 力 に 基 づいて 動 的 に 生 成 しない 例 : <script>~</script> の 内 容 <script src="~"> の 参 照 先 危 険 なスクリプトを 検 出 して 排 除 する 方 法 も 考 えられるが 確 実 な 判 断 は 難 しい 73

74 スタイルシートを 動 的 に 生 成 しない (HTML 不 許 可 / 根 本 的 解 決 ) スタイルシート 内 での expression() などによ るスクリプト 埋 め 込 みを 防 ぐ スタイルシートの 入 力 を 許 可 している 場 合 その 中 にスクリプトを 埋 め 込 まれることがある 例 : width: expression(alert('xss')); 利 用 者 にスタイルシートの 入 力 を 許 している 場 合 は 要 注 意 危 険 なスクリプトを 検 出 して 排 除 する 方 法 も 考 えられるが 確 実 な 判 断 は 難 しい 74

75 入 力 値 チェック (HTML 不 許 可 / 保 険 的 対 策 ) チェックのタイミングを 意 識 する 出 力 時 の 値 に 注 目 入 力 値 入 力 値 チェック 入 力 値 入 力 値 処 理 処 理 済 み 入 力 値 出 力 処 理 ここでのチェックは 回 避 されるおそれ 有 り 出 力 対 象 に 注 目! ブラックリストチェックは 保 険 的 対 策 でしかない 出 力 直 前 のチェックが 有 効 75

76 2.4 クロスサイト スクリプティング 対 策 ( 続 き) HTML テキストの 入 力 を 許 可 する 場 合 根 本 的 解 決 構 文 解 析 木 を 作 成 して 必 要 な 要 素 のみを 抽 出 保 険 的 対 策 共 通 入 力 された HTML テキストから スクリプトを 除 く 根 本 的 解 決 文 字 コードの 指 定 を 行 う 76

77 構 文 木 を 作 成 する(HTML 許 可 / 根 本 的 解 決 ) 例 html head body title table p script meta thead a link tbody font 複 雑 な 処 理 であり 十 分 な 検 討 が 必 要 77

78 入 力 値 チェック(HTML 許 可 / 保 険 的 対 策 ) スクリプトを 無 害 な 文 字 列 に 置 換 す る <script> <xscript> javascript: xjavascript: 完 全 な 対 策 は 困 難 java script: java( 改 行 コード)script: 78

79 文 字 コード 指 定 を 行 う ( 共 通 / 根 本 的 解 決 ) ウェブブラウザが ウェブサイトの 意 図 と 反 す る 文 字 コード 解 釈 をする 場 合 があり ウェブ サイト 側 での 対 策 の 効 果 がなくなる Content-Type: ヘッダでの 指 定 Content-Type: text/html; charset=euc-jp meta タグでの 指 定 方 法 <meta http-equiv="content-type" content="text/html; charset=euc-jp"> 79

80 包 括 的 なクロスサイト スクリプティング 対 策 プログラマーにセキュリティの 知 識 を 行 き 届 かせ コードのレベルを 上 げるのは 難 しい フレームワークの 利 用 例 : Struts(Java), Smarty(PHP), CakePHP,Ruby on Rails エスケープ 処 理 やSQLインジェクション 対 策 など が 組 み 込 まれている 内 容 限 界 を 見 極 めて 採 用 する 必 要 はある 漏 れが 起 きる 可 能 性 を 尐 なくする 80

81 まとめ:クロスサイト スクリプティング ウェブページを 出 力 する 際 の 配 慮 を 怠 ると クロスサイト スクリプティングの 脆 弱 性 が 生 じ る 全 ての 個 所 に 対 策 を 施 す 必 要 がある 安 全 なウェブサイトの 作 り 方 改 訂 第 3 版 81

82 ウェブアプリケーションの 安 全 性 向 上 のためのポイント 実 施 する 対 策 の 効 果 や 性 質 を 正 しく 理 解 する 安 全 なプログラミング 知 識 を 身 に 付 ける 参 考 サイト: 安 全 なウェブサイトの 作 り 方 セキュア プログラミング 講 座 ( 新 版 ) 知 っていますか? 脆 弱 性 82

83 情 報 システムのぜい 弱 性 対 策 への 取 り 組 み ~ 情 報 セキュリティ 早 期 警 戒 パートナーシップ~ 脆 弱 性 関 連 情 報 流 通 体 制 ソフトウェ ア 製 品 の 脆 弱 性 W eb サイトの 脆 弱 性 発 見 者 脆 弱 性 関 連 情 報 届 出 脆 弱 性 関 連 情 報 届 出 受 付 分 析 機 関 受 報 付 告 された 機 関 脆 弱 性 関 連 情 報 の 報 内 告 容 された 確 認 脆 検 弱 証 性 関 連 情 報 の 内 容 確 認 分 析 支 援 機 関 分 析 機 関 脆 弱 性 関 連 情 報 通 知 調 整 機 関 公 表 日 の 決 定 海 外 の 調 整 機 関 との 連 携 等 報 告 された 脆 産 弱 性 総 研 など 関 連 情 報 の 検 証 脆 弱 性 関 脆 連 弱 情 性 報 関 通 連 知 情 報 通 知 対 応 状 況 の 集 約 公 表 日 の 調 整 等 W eb サイト 運 営 者 検 証 対 策 実 施 対 策 情 報 ポータル 脆 弱 性 対 策 情 報 ポータル ソフト 開 発 者 等 システム 導 入 支 援 者 等 対 策 応 方 状 法 況 等 公 表 個 人 情 報 漏 洩 時 は 事 実 関 係 を 公 表 ユーザー 政 府 企 業 個 人 期 待 効 果 1 製 品 開 発 者 及 びウェブサイト 運 営 者 によるぜい 弱 性 対 策 を 促 進 2 不 用 意 なぜい 弱 性 関 連 情 報 の 公 表 やぜい 弱 性 の 放 置 を 抑 制 3 個 人 情 報 等 重 要 情 報 の 流 出 や 重 要 システムの 停 止 を 予 防 83

84 ケーススタディ3 インシデントレスポンス 企 業 サイトがウイルス 感 染 の 加 害 者 に ~ 脆 弱 性 の 脅 威 と 技 術 的 解 決 を 学 ぶ~

85 ケーススタディ3 インシデントレスポンス 3.1 インシデントレスポンスとは 3.2 事 件 発 生 :ショッピングサイト 上 にウイルス 3.3 お 客 さんに 向 けた 緊 急 対 応 開 始 3.4 後 始 末 まとめ 85

86 3.1 インシデントレスポンスとは インシデント= 情 報 セキュリティに 関 連 する 事 件 事 故 への 組 織 的 な 対 応 発 生 時 対 応 策 手 順 整 備 などの 事 前 準 備 が 重 要 FC2350JA.html 86

87 事 例 :ショッピングサイトでウイルス 感 染? About Search Login CS h o p p i n g S i t e ショッピングサイト C 社 社 員 数 200 名 Windowsのショッピングカートシス テムを 使 った 中 規 模 ショッピングサイト 会 員 数 10 万 人 程 度 リピーターがついており アクセスは 盛 況 最 新 パッチの 適 用 ユーザ 管 理 アクセス 制 限 と 一 通 りは 対 策 87

88 C 社 のセキュリティ ウイルス 対 策 ファイアウォールを 軸 にDMZ( 非 武 装 中 立 地 帯 ) 構 築 外 部 向 けサーバはすべ てそちらに 配 置 ウェブアプリケーション 監 査 も 実 施 済 み ウイルス 対 策 は 全 マシンで 実 施 月 1 回 はフルスキャンが 義 務 ウイルス 対 策 ゲートウエイも 導 入 済 み 迷 惑 メール 対 策 ゲートウエイも 兼 ねている 88

89 DMZ 等 詳 細 DMZ( 非 武 装 中 立 地 帯 )には メールサー バ ウェブプロキシサーバ DNSキャッシュ サーバ 外 部 向 けDNSサーバ 外 部 向 け ウェブサーバを 配 置 LANから 外 向 けの 通 信 はすべてDMZの 各 種 サーバ 経 由 外 からのメール 受 信 DNS 参 照 ウェブ 参 照 はすべてDMZで 受 ける 無 線 LANは 未 導 入 89

90 インター ネット DMZ ファイア ウォール ローカルエリアネットワーク 外 部 とのすべての 通 信 はDMZを 経 由 して 行 われる 90

91 3.2 事 件 発 生 : ショッピングサイト 上 にウイルス C About Search Login S h o p p i n g S i t e ある 日 突 然 C 社 に ウェブを 見 たらウイルス 対 策 ソフトが 反 応 した ウェブサイトでウイルスに 感 染 した という 苦 情 が 複 数 よせられる 社 内 で 試 したら 再 現 した! ショッピングサイトにはユーザがページ 内 容 を 変 更 したり ファイルをアップロードするような 機 能 はない 一 体 どこから? 91

92 緊 急 対 応 これ 以 上 のダウンロード= 被 害 拡 大 を 止 める 必 要 がある しかし 止 めてしまう インターネットから 遮 断 してしまうと 原 因 が 探 れない 現 場 長 の 判 断 で まずは 原 因 を 究 明 することになった 92

93 現 在 の 状 態 を 調 査 する 外 部 に 表 示 するウェブサイトをメンテナンス 用 サーバに 切 り 替 え 切 り 離 したサイトを 調 査 トップページに 悪 意 あるスクリプトを 読 みこま せる 内 容 を 追 加 し ウイルスに 感 染 させようとし ていた 他 のページには 同 様 の 埋 めこみは 発 見 できず <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html lang= ja > 外 部 のスクリプトを 読 みこんで 実 行 <head> <title>welcome to C shopping site</title> <link rel="stylesheet" href="style.css" TYPE="text/css"> <script src= ></script> </head> トップページに 埋 めこまれたHTML 93

94 原 因 ( 侵 入 経 路 )の 可 能 性 攻 撃 の 種 類 可 能 性 ネットワーク 攻 撃 最 新 パッチが 当 たっているため 可 能 性 がある としたら 未 知 の 脆 弱 性 か DNSへの 攻 撃 ウェブアプリケー ションへの 攻 撃 内 部 犯 行 現 象 再 現 する(ウイルス 警 告 )マシンと しない マシンがあるが 同 じマシンでは 必 ず 再 現 する ログを 見 たところ 怪 しいSQL 文 の 痕 跡 とかは 無 さそうだ クロスサイトスクリプティングの 可 能 性 はあるが 怪 しいリンクを 踏 まなくても 再 現 する ダブルチェックを 行 っているし 外 部 からのFTP アクセスも 方 法 を 知 る 者 はごくわずか 94

95 調 査 は 行 き 詰 まり そして ネットワーク 攻 撃 ではなさそうか? IDS 未 導 入 なので 断 言 はできないが DNSも 再 現 性 から 見 て 違 うようだ ウェ ブアプリケーションも 痕 跡 が 見 当 たらな いし 監 査 も 実 施 済 み 残 る 可 能 性 は 内 部 犯 行??? このウイルス 騒 ぎが 経 営 陣 の 耳 に 入 り すぐに 止 めろ! と 怒 鳴 られてしまった Time Up! 95

96 ここまでのところ 何 がまずかったのか 原 因 究 明 を 優 先 したこと? =お 客 さんの 被 害 拡 大 の 可 能 性 を 放 置 したこと 原 因 究 明 の 期 限 を 決 めなかった こと? 経 営 陣 に 怒 鳴 られたこと? 96

97 3.3 お 客 さんに 向 けた 緊 急 対 応 開 始 外 向 けウェブサーバを 切 り 離 し サービス 復 旧 へ その 間 別 サイトより 静 的 ウェブコンテンツで 説 明 お 客 様 へのお 願 い C 社 ショッピングサイト 事 務 局 平 素 よりご 愛 顧 いただきまして 感 謝 しております 現 在 当 サイトはお 客 様 よりお 知 らせいただいた C 社 ショッピングサ イトウェブページを 見 るとウイルス 対 策 ソフトが 警 告 を 出 す との 事 象 に つきまして 緊 急 調 査 を 行 っております そのため 一 時 的 に 弊 社 サービ スを 利 用 できない 状 態 となり お 客 様 にはご 迷 惑 をおかけしております が 調 査 に 一 定 の 目 処 が 立 つまで 今 しばらくお 待 ちください なお ウイ ルスの 駆 除 方 法 については 97

98 サービス 復 旧 への 対 応 About C重 要 なお 知 らせ 弊 社 ウェブサイトにおけるウイルス 掲 載 の 問 題 に ついて XXXX/XX~XX/XXの 間 アクセスされたお 客 様 へ S h o p p i n g S i t e 他 にあやしいものが 無 いか サーバやデー タベースの 内 容 を 全 面 的 にチェック 汚 染 されたコンテンツを 修 正 後 再 公 開 多 層 防 御 の 一 環 として ウェブアプリケー ションファイアウォール(WAF)やサーバ 用 のアンチウイルス 製 品 を 導 入 参 考 : 企 業 における 情 報 セキュリティ 事 象 被 害 額 調 査 98

99 ログから 追 いかける 残 された 可 能 性 内 部 犯 行 を 追 いかけるた めに FTPによるアップデートのログ 見 たら アップデートの 痕 跡 がいくつか 残 っていた 関 係 者 はコンテンツアップを 行 う 担 当 者 ( 複 数 ) 外 部 委 託 先 (1 社 ) まずはFTPのログを 軸 に 更 新 記 録 と 照 合 し て 消 し 込 み を 行 ってみる 99

100 ログの 消 し 込 み ログのエントリ 20XX 年 2 月 1 日 AM10:25 20XX 年 2 月 4 日 PM3:03 20XX 年 2 月 6 日 PM5:48 当 該 ページの 更 新 者 担 当 者 A+B 担 当 者 A+B 外 部 委 託 C 20XX 年 2 月 10 日 AM4:10??? 事 件 が 起 きたのは2 月 10 日 最 新 の 更 新 記 録 だけ が 見 当 たらない?? ログのIPアドレスを 見 ると 海 外 らしい?? 100

101 もしかしてウイルス? FTPへは 正 規 のID パスワードを 用 いてログ インしている login failed 記 録 も 無 い ファイルの 更 新 日 付 も 最 新 更 新 と 同 じ FTPによるコンテンツアップデートを 監 視 し ログイン 情 報 を 盗 んで 外 部 に 送 りつけるウイ ルス? 担 当 B そういえば 最 近 Internet Explorerが 重 くて まさにウイルス 感 染 の 特 徴 そのもの! 101

102 ウイルスはなぜ 入 り 込 んでしまっ たのか? サーバー クライアント 両 方 の 対 策 で 検 知 駆 除 できなかった 月 70 万 種 以 上 の 新 種 データベースが 追 いつかない 従 来 の 方 法 論 とは 異 なるウイルス 対 策 の 必 要 性 監 視 をすり 抜 ける 感 染 経 路 直 接 原 因 :ウェブブラウザのプラグインを 更 新 していなかった( 担 当 B 談 ) 102

103 ちょっと 見 ただけで も 多 数 のプラグイン が 入 っています 今 やこのプラグインな どが 悪 い 人 の 狙 い 目 となっています 103

104 MyJVNバージョンチェッカ プラグイン 等 のバージョンをチェックするJavaソフトウエア 104

105 当 該 ウイルスの 特 徴 FlashやAcrobatなどの 古 い 脆 弱 性 を 用 いて 感 染 する( 見 ただけ 感 染 ) 亜 種 が 多 数 発 生 し ウイルス 対 策 ソフトウエ アでも 検 出 できないことがある FTPのアカウント 情 報 を 盗 聴 し 外 部 サーバ に 送 出 する 外 部 サーバはその 情 報 をもとに FTPにアク セスしてコンテンツの 一 部 にスクリプトを 挿 入 したもので 更 新 する 105

106 インター ネット DMZ ファイア ウォール ローカルエリアネットワーク 外 部 とのすべての 通 信 はDMZを 経 由 して 行 われる 106

107 ファイアウォールのポリシー 実 は LANから 外 に 向 けた 通 信 は フリー で 行 えるようになっていた 設 定 によってウェブプロキシ DNSキャッ シュ メールサーバを 使 っていただけ 通 信 要 件 が 絞 り 込 めていなかった インター ネット 107

108 3.4 後 始 末 調 査 結 果 をお 客 さんに 報 告 より 詳 細 な 駆 除 方 法 等 の 情 報 提 供 ログ 等 の 情 報 から 被 害 が 出 た 可 能 性 があ る 期 間 お 客 さんの 特 定 トップページだったため 会 員 以 外 が 被 害 にあっ た 可 能 性 もある 被 害 にあったお 客 さんに 連 絡 対 応 窓 口 の 設 置 受 付 体 制 とフローの 整 備 被 害 にあったお 客 さんには 買 い 物 ポイント 付 与 108

109 C 社 の 被 った 損 害 営 業 停 止 期 間 の 利 益 機 会 損 失 賠 償 用 買 い 物 ポイント 詫 び 状 送 付 関 連 費 用 調 査 人 件 費 被 害 者 対 応 人 件 費 ( 失 った 顧 客 信 用 ) 109

110 被 害 者 は 誰 か? C 社 は 厳 しい 見 方 をすればお 客 さんに 対 する 加 害 加 担 者 捉 え 方 組 織 的 対 応 を 誤 ると 会 社 が 滅 びる 私 だって 寝 ていないんだ わかっている 情 報 を 適 切 に わからない ことは 隠 蔽 しない メディアトレーニング 110

111 何 がまずかったのか? エスカレーションフローが 無 かったこと 誰 が 判 断 していいのか すべきなのか も 含 めた 緊 急 時 対 応 手 順 が 無 かった こと 自 サイトが 原 因 でお 客 さんに 被 害 が 発 生 してしまうような 場 合 には エスカレー ションの 上 でただちにサービスを 停 止 し て 切 り 離 し 顧 客 対 応 と 原 因 調 査 を 実 施 する 111

112 要 検 討 事 項 証 拠 ( 原 本 )を 無 自 覚 に 汚 染 してしま ったが 汚 染 を 避 けて 保 全 することも 考 慮 する たまたま 原 因 が 推 定 できたことは 単 に 幸 運 にすぎない 証 拠 保 全 専 門 家 の 解 析 という 流 れ 場 合 によっては 警 察 の 手 に 委 ねる 自 分 の 限 界 を 知 る 112

113 保 全 と 調 査 ( 難 易 度 の 見 極 め) ハードディスク( 原 本 )の 保 全 メモリ 内 情 報 の 保 全 ダンプ レジストリ フォレンジックスによる 調 査 専 用 ツールによる ハードディスク 調 査 113

114 予 防 検 知 ファイアウォールのルール 見 直 し LAN 内 の 感 染 活 動 検 知 の 仕 組 み 導 入 IDS( 侵 入 検 知 システム)の 配 備 空 きIPアドレスでパケットキャプチャ コンテンツメンテナンス 方 法 の 見 直 し Windows Update(Microsoft Update) 各 種 プラグイン(Flash 等 ) ウェブブラウ ザ 等 のアップデート 励 行 114

115 パケットキャプチャ 115

116 IDS( 侵 入 検 知 システム)の 利 用 24 時 間 監 視 サービスの 利 用 警 告 連 絡 を 受 けて 対 応 する 体 制 も 必 要 時 間 限 定 監 視 サービス 等 の 利 用 空 きIPアドレスに 設 置 警 告 メール 送 信 パケットキャプチャデータの 解 析 に 利 用 パケット 採 取 ローテーション 空 きIPの 巡 回 活 用 116

117 プロセスのスナップショット Sysinternals のProcess Explorer 117

118 まとめ ウイルス 対 策 ソフトウエアは100%ではない 各 種 プラグインの 更 新 Windowsの 更 新 も 励 行 すべき 事 件 発 生 後 の 緊 急 対 応 手 順 を 準 備 しておく 方 針 合 意 としても 重 要 ログ 取 りパケット 取 りを 仕 掛 けておくと 原 因 追 及 に 役 立 つ パケットキャプチャ 等 はお 手 軽 118

119 IPA 新 着 情 報 メール 配 信 情 報 処 理 推 進 機 構 ホームページの 新 着 情 報 を 電 子 メールでご 案 内 しています ソフトウェア 開 発 調 査 等 に 関 する 公 募 情 報 セキュリティ 対 策 情 報 入 札 情 報 イベント セミナー 情 報 情 報 処 理 技 術 者 試 験 情 報 登 録 はこちらから 119