radioc@?

レディオキャットハテナ

【勉強会メモ】さくらの夕べ セキュリティナイト 大阪

connpass.com

日時:2017/11/01(水) 19:00 〜 20:30

場所:さくらインターネット

f:id:radiocat:20171101234129p:plain

グランフロントにお引っ越しして積極的に勉強会を開催されているさくらインターネットさんのセキュリティ勉強会。 最近では backspace.fmにマストドンのサーバを提供し、番組にも出演するなど いろいろな場面で楽しませて頂いています。

今回はホスティングサービスでのセキュリティについて少し話を聞いてみたかったのと、WAFについても情報収集したかったので参加してみた。脆弱性に関しては最近はWordPressの問題が多いようでこれは想像通りで、対策についても全般的にWordPress向けの話だった。またWAFについてはStruts2の事例にあるように脆弱性が見つかってから実際に攻撃されるまでの期間が短くなってきているのでホスティングサービスで追加費用なしで使えるのは魅力だと感じた。

帰り際にアンケートに答えるとさくらのVPSのクーポンを頂きました。また使ってみます。

Webサイトのセキュリティインシデントの傾向

発表者:さくらインターネット 技術本部 山下 健一さん

遅刻して前半は聴き逃した。セキュリティインシデントの3つめの紹介からのメモ。

Daserf

scan.netsecurity.ne.jp

  • バックドア機能を有するマルウェアで、「Nioupale」とも呼ばれる
  • 日本の重要インフラを標的とした攻撃者に使用され、長期間にわたって標的組織に潜伏しつつ活動している可能性が高いことが明らかになった
  • ラックが対応した標的型攻撃事案のうち、重要インフラに属する業種が56%と過半数を占めた

www.lac.co.jp

-「Daserf」の被害を受けた企業は、発見までに数カ月から2年半の時間を要しており、発見されにくい工夫がされていました。 -「Daserf」は、遠隔操作機能を備えた高機能な不正ソフトウェアであり、指令サーバーの約65%は韓国企業が保有しているIPアドレスでした。 -「Daserf」を悪用する攻撃者の背景推測(プロファイリング)を説明しています。 -攻撃に関する痕跡情報(Indicator of Compromise)を掲載しています。

基本的な対策

異常に気づくきっかけ

何かあったら

  • 手に負えるか?手に負えないならすぐ初期化が一番安全
  • バックアップを残していないとお手上げ
  • バックアップは安全か?再設置すると再発するかも?
  • 再発防止

ホスティングサービスのセキュリティ対策について

発表者:さくらインターネット 技術本部 小西 宏典さん

さくらレンタルサーバで行っている対策

  • サービスで使用しているソフトウェア管理
  • サービス運用監視
  • サポートからの告知

問題を検知する方法

  • 運用監視から異常値を検知
    • 異常なメールを送りすぎ
    • 異常なパケット出しすぎ
  • 各種ブラックリストから検出
    • FireHOL IP Lists

iplists.firehol.org

WordPressがクラックされる状況

パスワードクラック

  • パスワードを推測する
  • 推測しやすいパスワードを使わない

ユーザー名を特定する

  • ?author=N のリクエストから漏れる
  • CSS class "author vcard" から推測
  • 管理者のIDが推測しやすい

パスワードを用意

  • 1文字から使用可能

ログインフォームに送信

  • HTTP Status 302 Location ⇒成功
  • ログイン用のURLが固定
  • ログインロックがない試行回数が無制限

ダッシュボードログイン

  • テーマを編集
  • 404.phpなどに @eval

↓このあたり参考

WordPress にバックドア仕掛けられないように… | dogmap.jp

対策

さくらのレンタルサーバでの対策⇒プラグインを同梱

ja.wordpress.org

  • ユーザー名≒ニックネーム
  • パスワード強度チェック
  • ログインURLを任意のものに変更
  • ログインロック+履歴
  • ファイル改ざん検知+通知機能

できることをチェック

WP-CLI(PHP)

Command line interface for WordPress | WP-CLI

WPScan(Ruby)

github.com

Pyscan(Python)

  • マルウェアスキャナ
  • 改ざんされたプログラムを検出
  • 汎用的に使えてインストール不要

ダメなときは「全部消してやりなおし」⇒これが確実(調査は後回し)

原因を特定して対策を立てる

  • 原因を特定しないと効果が期待できない
  • カーゴカルトなセキュリティ対策はよくない
  • 事前に発生しうる問題を想定しておく

サイトの「健全性」を確認する

  • 大昔は障害で問題にきづくことも
  • 今はただの死活監視では足りない
  • アプリケーションレベルで異常値を検知

コンテンツは「資産」である

サーバは稼働していても機会を損失する

ホスト型WAF「SiteGuard Lite」徹底解説

株式会社ジェイピー・セキュア 取締役CTO 齊藤 和男さん

WF SiteGurardシリーズ

www.jp-secure.com

WordPressプラグイン

www.jp-secure.com

脆弱性の動向

情報セキュリティ10大脅威2017

www.ipa.go.jp

インターネットからの攻撃により発生した重要インシデント

今年の特徴

対策

最近の脆弱性の特徴

⇒WAFを有効活用

WAFの役割

  • 不正アクセスをブロックしてWebアプリの脆弱性を悪用した攻撃からウェブサイトを保護する
  • 脆弱性を修正するものではない
  • 保険的対策

新しい脅威への対応スピード事例

  • Struts2の対応⇒注意喚起よりも先に対応
    • WAFでブロック

カスタム・シグネチャ

  • 顧客が研修つポリシーを独自に定義
  • 指定ホスト以外のアクセスをブロック
  • 管理者からのアクセスを安全とみなす
  • 指定パスの検査除外

さくらインターネットではSiteGuard Liteを追加費用なしで利用可能