WEBサイト 改 ざん 検 知 手 法 の 分 類 と サイト 構 成 との 相 性 について M2Mテクノロジーズ 株 式 会 社 M2M Technologies Inc. 1
自 己 紹 介 内 山 恒 示 (うちやま こうじ) 2002 年 ごろから セキュリティ 事 業 に 従 事 ネットワークフォレンジック 製 品 の 代 理 店 をきっかけにセキュリティ 業 界 デビュー ハードに 強 くなり L7FWアプライアンスをはじめとした 組 込 み 系 の 商 品 企 画 商 用 セキュアOSやWAFなどの 販 売 を 手 掛 ける 高 齢 者 見 守 り 事 業 立 ち 上 げを 通 し M2M/IOTセキュリティ 運 用 技 術 のノウハウをつむ 攻 撃 手 法 に 依 存 しない 改 ざん 検 知 手 法 に 注 力 M2Mテクノロジーズ 株 式 会 社 セキュリティ 事 業 部 長 兼 技 術 開 発 部 部 長 M2M Technologies Inc. 2
WEB 改 ざんの 認 識 WEB 改 ざん 検 知 って どういう 定 義 M2M Technologies Inc. 3
WEB 改 ざん 検 知 の 定 義 改 ざん 検 知 とは WEBサイトの 正 規 のコンテンツ 更 新 者 が 更 新 した 状 態 から ファイルおよ びデータが 変 更 削 除 あるいは 追 加 されている 状 態 を 検 出 すること M2M Technologies Inc. 4
WEB 改 ざんの 種 類 M2M Technologies Inc. 5
WEB 改 ざんの 種 類 M2M Technologies Inc. 6
対 策 と 問 題 点 防 御 から 事 後 対 応 へ もうサイバー 攻 撃 は 防 げません!! M2M Technologies Inc. 7
WEBサイトの 改 ざん 事 件 の 状 況 7 月 Flash Player の 脆 弱 性 をを 悪 用 した 攻 撃 サイトへ 誘 導 する 改 ざんが 多 発 9 月 WEBサイト 広 告 にマルウエアサイトへの 誘 導 するものが 発 生 https://www.jpcert.or.jp/ir/report.html M2M Technologies Inc. 8
日 本 のWEBサイトの 改 ざん 報 告 サイト 海 外 のハッカー 武 勇 伝 サイトからの 日 本 ドメインを 抽 出 し 報 告 するサイト http://izumino.jp/security/def_jp.html 改 ざんを 教 えてくれる 場 合 は まだ 本 気 じゃない M2M Technologies Inc. 9
プログラムの 改 ざん 事 例 2013 年 3 月 6 日 バックドアプログラムが 設 置 され 購 入 画 面 を 改 ざんされる 2013 年 3 月 14 日 改 ざんを 発 見 ショップの 閉 鎖 をする 2013 年 3 月 15 日 プレス 発 表 を 行 う 利 益 目 的 の 改 ざんは こっそり 深 くもぐる M2M Technologies Inc. 10
対 策 と 問 題 点 防 御 から 事 後 対 応 へ ファイアーウォール,ウィルス 対 策 ソフト 攻 撃 を 防 げる 前 提 で 整 備 未 知 のウィルス 標 的 型 攻 撃 正 規 ウェブサイトの 改 ざん 等 防 げない 事 例 が 多 数 発 生 攻 撃 の 被 害 を 受 けた 時 の 被 害 を できるだけ 抑 える 事 後 対 策 型 対 応 へ 比 重 移 行 日 経 コンピュータの2013/5/30 号 に 最 近 の 攻 撃 を 事 例 に 取 り 防 御 対 策 以 上 に 事 後 対 策 で 重 要 である 記 事 を 掲 載 しています M2M Technologies Inc. 11
守 るのが 先 か 検 知 が 先 か? これからは 検 出 してすぐに 対 応 できる 体 制 を 作 り 予 算 に 合 わせて 予 防 を 追 加 する 時 代 です Vb IPS/WAF システム 構 築 時 セキュリティ セキュリティ セキュリティ ホール 発 見 ホール 発 見 パッチ 適 用 改 ざん 検 知 M2M Technologies Inc. 12
そもそも 改 ざん 検 知 って 1 どこで 監 視 プログラムを 動 かすのか? 2 どうやって 見 て 回 るのか? 3 どうやって 改 ざんと 認 識 するのか? M2M Technologies Inc. 13
WEBサイトの 改 ざん 検 知 の 分 類 1 リアルタイム 検 出 が 可 能 1 どこで 監 視 プログラムを 動 かすのか? サーバの 負 荷 が 大 きい WEBサーバのOS 上 での 監 視 監 視 プロセスを 止 められる 運 用 に 管 理 者 権 限 が 必 要 ( 専 用 サーバ VPS) 同 一 サーバに システム 導 入 し 改 ざん 検 知 共 有 型 WEBサーバには 使 えない OSアップデート 時 の 検 証 が 大 変 監 視 対 象 WEBサーバ M2M Technologies Inc. 14
WEBサイトの 改 ざん 検 知 の 分 類 1 1 どこで 監 視 プログラムを 動 かすのか? 共 有 型 サーバーに 使 える WEBサーバの 負 荷 が 軽 い 別 サーバからのリモート 監 視 監 視 対 象 WEBサーバ 検 知 用 サーバで 改 ざん 検 知 HTTP 又 はFTPが 開 いていればよい 管 理 アカウント 不 要 ( 共 有 レンサバOK) SaaSに 向 いている 定 期 的 な 検 査 になる 監 視 サーバ M2M Technologies Inc. 15
そもそも 改 ざん 検 知 って 1 どこで 監 視 プログラムを 動 かすのか? 2 どうやって 見 て 回 るのか? 3 どうやって 改 ざんと 認 識 するのか? M2M Technologies Inc. 16
WEBサイトの改ざん検知の分類2 メリット 2 どうやって 見て回るのか 設定が簡単 URLを指定するだけ 巡回プロトコル リモート監視 による分類 ①HTTPによる巡回 デメリット URLを.htaccess など設定系のファイルが対象外 指定して IP指定の標的型攻撃に弱い 改ざん検知 HTTP 内部リンクのないページは検出できない フィッシングの設置 SEOポイズニング 認証 フォーム画面から先が見えない 監視対象WEBサーバ 監視サーバ 改ざんされたファイルの特定が難しい M2M Technologies Inc. 17
WEBサイトの改ざん検知の分類2 2 どうやって 見て回るのか メリット 巡回プロトコル リモート監視 による分類 HTMLにリンクに依存しない ②FTP/sFTPによる巡回 CGIなどの動的ファイル対象になる ディレクトリを 全てのファイルが対象に出来る 再帰的に 巡回し探索 デメリット FTP/sFTP 設定に手間がかかる 監視対象WEBサーバ M2M Technologies Inc. 監視サーバ 18
WEBサイトの 改 ざん 検 知 の 分 類 2 HTTP 検 査 には 運 用 の 際 の 注 意 点 があります M2M Technologies Inc. 19
HTTP 検 査 による 検 査 の 問 題 1 2009.10.31 現 在 知 らない&リンクが 無 いURL 認 証 を 超 えて 検 査 ができません 検 査 スタート HTTP 検 査 タイプの 改 ざん 監 視 サーバ 検 知 不 可 能??? フィッシングサイト? 検 知 不 可 能 M2M Technologies Inc. 20
HTTP 検 査 による 検 査 の 問 題 2 2009.10.31 現 在 検 査 できないページが 存 在 します 標 的 型 攻 撃 を 仕 掛 けられたWEBサイト 標 的 からのアクセスには 不 正 なファイルで 応 答 標 的 以 外 のアクセスには 正 しいファイルで 応 答 不 正 侵 入 改 ざん ページ HTTP 検 査 タイプの 改 ざん 監 視 サーバ 検 知 不 可 能 標 的 の 閲 覧 者 標 的 外 の 閲 覧 者 M2M Technologies Inc. 21
そもそも 改 ざん 検 知 って 1 どこで 監 視 プログラムを 動 かすのか? 2 どうやって 見 て 回 るのか? 3 どうやって 改 ざんと 認 識 するのか? M2M Technologies Inc. 22
WEBサイトの 改 ざん 検 知 の 分 類 3 3 どうやって 改 ざんと 認 識 するのか? パターンマッチ 型 HTTP 不 正 ファイルパターンと マッチすれば 改 ざんとみなします 監 視 対 象 WEBサーバ 監 視 サーバ M2M Technologies Inc. 23
WEBサイトの 改 ざん 検 知 の 分 類 3 3 どうやって 改 ざんと 認 識 するのか? 振 舞 い 分 析 型 HTTP 仮 想 PCにブラウング させ 振 舞 いを 監 視 不 正 な 動 きを 検 出 監 視 対 象 WEBサーバ 監 視 サーバ M2M Technologies Inc. 24
WEBサイトの 改 ざん 検 知 の 分 類 3 3 どうやって 改 ざんと 認 識 するのか? ハッシュリスト 比 較 型 取 得 ファイルをハッシュ 計 算 定 期 的 に 再 取 得 & 再 計 算 して ファイルの 変 更 を 検 出 FTP/sFTP 監 視 対 象 WEBサーバ 監 視 サーバ M2M Technologies Inc. 25
WEBサイトの 改 ざん 検 知 の 分 類 3 3 どうやって 改 ざんと 認 識 するのか? 原 本 比 較 型 原 本 ファイルを 保 管 定 期 的 に WEBサーバファイルと 比 較 差 分 があったとき 改 ざんと 判 定 FTP/sFTP 監 視 対 象 WEBサーバ 監 視 サーバ M2M Technologies Inc. 26
WEBサイトの 改 ざん 検 知 の 分 類 3 どうやって 改 ざんと 認 識 するのか? 1パターンマッチ(ソース 解 析 ) 型 メリット 動 的 生 成 型 CMSに 対 応 デメリット パターンがまだ 無 い 攻 撃 対 応 が 難 しい 画 像 ファイルや 未 対 応 フォーマットが 対 象 外 静 的 な 改 ざんは 検 出 できない M2M Technologies Inc. 27
WEBサイトの 改 ざん 検 知 の 分 類 3 どうやって 改 ざんと 認 識 するのか? 2 振 舞 い 分 析 型 メリット 動 的 生 成 CMSに 対 応 デメリット 仮 想 PCのOS/バージョン/ブラウザの 組 み 合 わせが 膨 大 静 的 な 改 ざんは 検 出 できない M2M Technologies Inc. 28
WEBサイトの 改 ざん 検 知 の 分 類 3 どうやって 改 ざんと 認 識 するのか? 3ハッシュリスト 比 較 型 メリット 改 ざんされたファイルが 特 定 できる 追 加 削 除 されたファイルが 特 定 できる デメリット 改 ざんと 更 新 の 区 別 を 運 用 で 判 断 M2M Technologies Inc. 29
WEBサイトの 改 ざん 検 知 の 分 類 3 どうやって 改 ざんと 認 識 するのか? 4 原 本 比 較 型 メリット 改 ざんファイルを 特 定 できる 改 ざんと 更 新 を 容 易 に 区 別 できる 追 加 されたファイルを 削 除 できる 自 動 復 旧 が 可 能 デメリット WEBサーバー 上 のプログラムで 更 新 される ファイルに 対 して 改 ざんと 更 新 が 区 別 できない M2M Technologies Inc. 30
WEBサイトの 改 ざん 検 知 の 分 類 3 どうやって 改 ざんと 認 識 するのか? 改 ざん 判 別 方 法 として パターンマッチ(ソース 解 析 ) 型 振 舞 い 分 析 型 は 構 造 的 な 漏 れが 存 在 M2M Technologies Inc. 31
マルウエアでは 検 出 できない 例 JPドメイン 改 ざん 速 報 から 改 ざんサイトを 抽 出 M2M Technologies Inc. 32
URLチェックWEBサービスサイト M2M Technologies Inc. 33
マルウエアでは検出できない例 改ざんされたサイトの検査をしてみた結果 ほとんどの結果が OK判定です M2M Technologies Inc. 34
改 ざん 検 知 手 法 のまとめ M2M Technologies Inc. 35
改 ざん 検 知 の 手 法 の 相 性 サイト 構 成 別 最 適 改 ざん 検 知 手 法 M2M Technologies Inc. 36
サイト 構 成 の 分 類 1 静 的 なコンテンツサイト 2 動 的 CMS EC/カタログサイト 3 静 的 コンテンツ 生 成 CMSサイト M2M Technologies Inc. 37
最 適 な 改 ざん 検 知 手 法 静 的 なコンテンツサイト HTTP s/ftp 更 新 者 1. 更 新 頻 度 が 低 い 場 合 FTP 巡 回 ハッシュリスト 型 2. 更 新 頻 度 が 高 い 場 合 FTP 巡 回 元 本 比 較 型 M2M Technologies Inc. 38
最 適 な 改 ざん 検 知 手 法 動 的 CMS ECサイト(WordPress ECCubeなど) HTTP 管 理 画 面 登 録 更 新 者 1. DBコンテンツ 部 HTTP 巡 回 パターンマッチ/ 振 舞 い 型 2. プログラムファイル FTP 巡 回 ハッシュリスト FTP 巡 回 原 本 比 較 M2M Technologies Inc. 39
最 適 な 改 ざん 検 知 手 法 静 的 コンテンツ 生 成 型 CMS(MovableTypeなど) HTTP コンテンツ ファイル 生 成 管 理 画 面 登 録 更 新 者 1. ステージ 運 用 しない 場 合 FTP 巡 回 ハッシュリスト 型 2. ステージ 運 用 する 場 合 FTP 巡 回 元 本 比 較 型 M2M Technologies Inc. 40
セキュリティ 対 策 しやすいサイト 構 成 セキュリティを 考 慮 した 1. コンテンツの 構 成 2. サーバ 運 用 3. 改 ざん 検 知 しやすい 環 境 づくり 4. インシデント 対 応 の 注 意 点 M2M Technologies Inc. 41
セキュリティ 対 策 しやすいサイト 構 成 セキュリティを 考 慮 したコンテンツ 構 成 1. 出 来 る 限 りCGI JavaScript Flushなどを 使 わない 2. WordPressなどの 動 的 レスポンス 型 CMSを 使 わない CMSを 使 うならMovableTypeの 様 な 静 的 コンテンツ 生 成 タイプ 3. WEBサーバには 個 人 情 報 など 重 要 情 報 を 置 かない 4. 公 開 CGI JavaScriptは 脆 弱 性 診 断 を 必 ず 受 うける 5. コンテンツの 開 示 期 間 を 決 め 不 要 なコンテンツをいつま でもサーバ 上 に 置 かない M2M Technologies Inc. 42
セキュリティ 対 策 しやすいサイト 構 成 セキュリティを 考 慮 したサーバ 運 用 1. 別 サーバで 安 全 な 場 所 にテスト 環 境 を 作 る 2. コンテンツ 更 新 するPCは 限 定 する 3. コンテンツは 更 新 前 にウイルスチェックを 行 う 4. 更 新 PCでは メール 受 信 や 不 要 なWEB 閲 覧 をしない 5. FTPやSSHなどのアクセスはIPアドレス 制 限 する 6. 設 定 変 更 は テストサーバでまず 実 行 7. パッチ 提 供 情 報 をウォッチし 出 たらすぐ 当 てる 8. 動 作 検 証 は 自 動 化 しておく M2M Technologies Inc. 43
セキュリティ 対 策 しやすいサイト 構 成 改 ざん 検 知 しやすい 環 境 づくり 1. 更 新 タイミングを 把 握 する 例 : 毎 日 1 時 に 定 期 更 新 2. 更 新 は 事 前 の 申 請 承 認 を 行 う 3. 更 新 ファイルを 事 前 にリスト 化 しておく 4. サーバ 上 で 自 動 更 新 されるファイルを 把 握 する M2M Technologies Inc. 44
セキュリティ 対 策 しやすいサイト 構 成 インシデント 対 応 の 注 意 点 1. 改 ざん 発 覚 した 場 合 の 対 応 を 事 前 に 決 めておく 誰 に 報 告 するか サイトを 閉 じる 等 の 決 裁 者 2. 改 ざん 変 更 箇 所 の 確 認 方 法 の 確 立 3. ログファイルの 保 全 4. 改 ざんされたファイルおよび 環 境 の 保 全 5. バックアップからのリストア 手 順 を 明 確 にしておく 6. リストアの 運 用 訓 練 をしておく M2M Technologies Inc. 45
まとめ 1 改 ざん 事 件 の 現 状 と 分 類 2 改 ざん 検 知 手 法 の 分 類 を 整 理 3 WEBサーバ 構 成 にあった 改 ざん 検 知 手 法 M2M Technologies Inc. 46
ご 清 聴 ありがとうございました M2Mテクノロジーズ 株 式 会 社 和 歌 山 市 黒 田 1-1-19 阪 和 第 一 ビル 4F 千 代 田 区 内 神 田 2-4-4 藤 和 内 神 田 ビル7F 電 話 : 073-499-6422 担 当 : 内 山 E-mail: sales@m2mtech.jp HP: http://www.m2mtech.jp 改 ざん 事 件 や 事 故 の 情 報 をFacebookページでご 案 内 しています http://www.facebook.com/sitepatrol M2M Technologies Inc. 47