<4D F736F F F696E74202D C C815B E815B82E682E888A482F08D9E82DF82C D615F F6E816A2E B8CDD8AB B83685D>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D C C815B E815B82E682E888A482F08D9E82DF82C D615F F6E816A2E B8CDD8AB B83685D>"

やすもりつつの
5 years ago
Views:

1 ペネトレーションテスターより愛を込めて SE ~ 攻撃視点からの提案 ~ NTTデータ先端技術株式会社辻伸弘

2 まずは自己紹介から辻伸弘 ( つじのぶひろ ) 大阪生まれ大阪育ちペネトレをしたくて上京現在たしか 10 年目普段の業務はペネトレがメイン IDS ハニポフォレンジックなども趣味で 2

3 宣伝連載記事 3

4 宣伝その他雑誌とか色々 4

5 おだいもく 0x01. 昨今のセキュリティ界隈 002 0x02. 予防という考え方 0x03. ペネトレの現場から 0x04. 盛り上がりを見せる対策 0x05. さいごに 5

6 0x01. 昨今のセキュリティ界隈 6

7 0x01. 昨今のセキュリティ界隈 7

8 0x01. 昨今のセキュリティ界隈ま~ 目まぐるしいちょっと絵で見てみましょう 8

9 0x01. 昨今のセキュリティ界隈 9

10 0x01. 昨今のセキュリティ界隈 10

11 0x01. 昨今のセキュリティ界隈 11

12 0x01. 昨今のセキュリティ界隈 12

13 0x01. 昨今のセキュリティ界隈 13

14 0x01. 昨今のセキュリティ界隈 14

15 0x01. 昨今のセキュリティ界隈 15

16 0x01. 昨今のセキュリティ界隈しっかり準備ちゃっかり巧妙 16

17 0x01. 昨今のセキュリティ界隈意識高いですで一方方 17

18 0x01. 昨今のセキュリティ界隈標的型攻撃メールの訓練開く率を低下させる? 開封率 1% VS 10% では? 18

19 0x01. 昨今のセキュリティ界隈 100 人を対象にした場合 10 人 ( 一般社員 ) 1 人 ( 役員クラスシス管 ) 19

20 0x01. 昨今のセキュリティ界隈やられないはもう捨てて弱点発見や意識の底上げ 0% にするというのは 20

21 0x01. 昨今のセキュリティ界隈しっかり準備ちゃっかり巧妙 21

22 0x02. 予防という考え方そんな中でまず変えないといけない予防への認識 22

23 0x02. 予防という考え方 23

24 0x02. 予防という考え方予防医学という考え方 24

25 0x02. 予防という考え方予防医学という考え方第 1 次予防病気の発生を未然に防ぐ行為健康増進と特異的予防健康増進生活習慣の改善特異的予防予防接種 25

26 0x02. 予防という考え方予防医学という考え方第 2 次予防病気を早期に発見処置する行為早期発見定期健診人間ドック早期処置臨床的治療治療困難コスト増を防ぐ 26

27 0x02. 予防という考え方予防医学という考え方第 3 次予防社会復帰するための行為機能低下防止治療リハビリ機能回復と再発防止 27

28 0x02. 予防という考え方今までの認識を捨ててください 100% 未然に防ぐことは不可能世の中にそんな物はありません 28

29 0x02. 予防という考え方今までの認識を捨ててくださいコンピュータはいくつ? コンピュータに脆弱性はいくつ? 社員は何人? 社員のリテラシーは? 29

30 0x02. 予防という考え方今までの認識を捨ててください何か 1 つ破ることができれば何か 1 つ破られてしまえば 30

31 0x02. 予防という考え方予防というのは健康に生きていく通常の運用を継続させる 31

32 0x02. 予防という考え方ではどうするか段階的な予防を用いた多層防御の仕組み 32

33 0x03. ペネトレの現場から 33

34 0x03. ペネトレの現場からとその前にペネトレってなんですかの話を 34

35 0x03. ペネトレの現場から penetration 貫通挿入浸透 ( 力 ) 洞察力, 眼識. 35

36 0x03. ペネトレの現場から penetration 貫通挿入浸透 ( 力 ) 洞察力, 眼識. penetration pricing 商業浸透価格設定新製品が早く市場に浸透するように当初は安く価格を設定すること 36

37 0x03. ペネトレの現場から penetration test 貫通試験侵入試験セキュリティ診断侵入実験セキュリティクリニックク擬似侵入検査サービス 37

38 0x03. ペネトレの現場から言葉の定義 ( 辻版 ) としてはコンピュータネットワークに内在する弱点を検出し実証評価する行為ネットワーク上のコンピュータやNW 機器などに対して実際の攻撃手法を用いて実証対象がどの程度のセキュリティレベルであるのかということを判明させることとを判明させると 38

39 0x03. ペネトレの現場から経路対象についての誤認ペネトレーションテストの説明の際に外部からサーバを診断しますというような文言が多用される 39

40 0x03. ペネトレの現場から経路対象についての誤認以下のように誤認ペネトレはインターネットから DMZ 上の公開サーバに実施 40

41 0x03. ペネトレの現場から経路対象についての誤認以下のように誤認ペネトレはインターネットから DMZ 上の公開サーバに実施 41

42 0x03. ペネトレの現場から経路対象についての誤認そんな縛りはありません 42

43 0x03. ペネトレの現場から経路対象についての誤認インターネットへの公開非公開は全く関係ありません DMZ 内部ネットワークサーバクライアントネットワーク機器どれでもです 43

44 0x03. ペネトレの現場から経路対象についての誤認もっと極端 44

45 0x03. ペネトレの現場から経路対象についての誤認 IP アドレスを持っていれば OK プリンタや空調制御装置の検査もしました 45

46 0x03. ペネトレの現場から攻撃のシュミレーションですからションですから 46

47 0x03. ペネトレの現場から攻撃のシュミレーションですからションですから 47

48 0x03. ペネトレの現場から攻撃のシュミレーションですからションですから 48

49 0x03. ペネトレの現場からどんなことをするのか 1 情報の収集 2 攻撃方法選定 3 攻撃 49

50 0x03. ペネトレの現場から 1 情報収集通信可能な入り口 ( ポートオープン ) の確認 OS やアプリケーションのバージョン推測ン推測脆弱性が存在する可能性チェック 50

51 0x03. ペネトレの現場から 2 攻撃方法の考察 1により判明した情報から対象に存在するであろう脆弱性の攻撃方法を考察!! 51

52 0x03. ペネトレの現場から攻撃 2の考察により導き出された方法を用いて対象の制御や機密情報の奪取を試みる 52

53 0x03. ペネトレの現場から奪取後は? 53

54 0x03. ペネトレの現場から場合によっては終わり場合によっては始まり 54

55 0x03. ペネトレの現場から何が始まるのか? 55

56 0x03. ペネトレの現場から範囲の拡大 1 下地の構築 2 権限の昇格 3 情報の窃取 56

57 0x03. ペネトレの現場から 1 下地の構築外部との通信攻撃ツール設置バックドア設置 57

58 0x03. ペネトレの現場から下地の構築 install! open! outbound 58

59 0x03. ペネトレの現場から外部との通信最小限にしてる? プロクシ入ってる? ネットワーク監視してる? 59

60 0x03. ペネトレの現場から攻撃ツール / バックドア設置検知 /block の性能は? ネットワーク制御は? ソフトウェアは最新? 60

61 0x03. ペネトレの現場から 2 権限の昇格奪取環境の確認管理者権限 /AD の奪取 61

62 0x03. ペネトレの現場から 2 権限の昇格 to root to admin who? 62

63 0x03. ペネトレの現場から奪取環境の確認実行コマンドの監視ログの保存設定は? 63

64 0x03. ペネトレの現場から管理者権限 /AD の奪取パスワードは? 不要なユーザ / 権限は? ソフトウェアは最新? 64

65 0x03. ペネトレの現場から 3 情報の窃取機密情報へのアクセス外部への送信 65

66 0x03. ペネトレの現場から 3 情報の窃取 66

67 0x03. ペネトレの現場から機密情報へのアクセス本当にそこにあるべき? アクセス権は適切? 67

68 0x03. ペネトレの現場から外部への送信インターネットは必要? ネットワーク監視は? 重要情報の暗号化は? 68

69 0x03. ペネトレの現場から別に真新しくはないですよね? 新しいタイプの攻撃 = 古いタイプの攻撃の組合せの組合せ 69

70 0x03. ペネトレの現場から別に真新しくはないですよね? 古いタイプの攻撃の組合せの組合せ古いタイプの対策の組合せの組合せ 70

71 0x04. 盛り上がりを見せる対策 71

72 0x04. 盛り上がりを見せる対策巷には色々な製品が ISMS APT Pマーク標的型攻撃 J-SOX 新しいタイプ PCI DSS 72

73 0x04. 盛り上がりを見せる対策巷には色々な製品が同じ製品が看板を変えただけ言い換えれば基本的な対策は同じ 73

74 0x04. 盛り上がりを見せる対策ただし製品というのは装備やサプリメントと同じつまり基礎土台が必要 74

75 0x04. 盛り上がりを見せる対策標的型攻撃 ( ブーム ) は包括的な攻撃自身を見直すいい機会 75

76 0x05. さいごに 76

77 0x05. さいごに大切になってくること 77

78 0x05. さいごに何が充分なのか? 何が不十分なのか? 78

79 0x05. さいごに何が危ないのか? どれくらい危ないのか? 79

80 0x05. さいごにどこにある何を守りたいのか? それはどこから狙われるのか? 80

81 0x05. さいごにその目的は? 81

82 0x05. さいごに汝と汝の敵を汝の敵を知りましょう 82

83 0x05. さいごにセキュリティ業界に限らず嘘大げさ紛らわしいが沢山あると思います 83

84 0x05. さいごに在りもしない脅威をさもそこに在るかのように訴求してくるといったセキュリティ詐欺 84

85 0x05. さいごに何事においてもどこから発信されても誰から発信されても一考し自身の目で真偽をそして取捨選択してください 85

86 0x05. さいごにそれが安全を実現し安心を得るセキュリティの基本だと思います 86

87 0x05. さいごにそして 87

88 0x05. さいごに怪物と闘う者はその過程で自らが怪物と化さぬよう心せよ 88

89 0x05. さいごにセキュリティの仕事をして危険を必要以上に煽らないという点において 89

90 0x05. さいごに怪物と闘う者としてその過程で自らが怪物と化さぬよう心しなければならない 90

91 ご清聴ありがとうございました 91

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team