【勉強会メモ】さくらの夕べ セキュリティナイト 大阪
日時:2017/11/01(水) 19:00 〜 20:30
場所:さくらインターネット
グランフロントにお引っ越しして積極的に勉強会を開催されているさくらインターネットさんのセキュリティ勉強会。 最近では backspace.fmにマストドンのサーバを提供し、番組にも出演するなど いろいろな場面で楽しませて頂いています。
今回はホスティングサービスでのセキュリティについて少し話を聞いてみたかったのと、WAFについても情報収集したかったので参加してみた。脆弱性に関しては最近はWordPressの問題が多いようでこれは想像通りで、対策についても全般的にWordPress向けの話だった。またWAFについてはStruts2の事例にあるように脆弱性が見つかってから実際に攻撃されるまでの期間が短くなってきているのでホスティングサービスで追加費用なしで使えるのは魅力だと感じた。
帰り際にアンケートに答えるとさくらのVPSのクーポンを頂きました。また使ってみます。
Webサイトのセキュリティインシデントの傾向
発表者:さくらインターネット 技術本部 山下 健一さん
遅刻して前半は聴き逃した。セキュリティインシデントの3つめの紹介からのメモ。
Daserf
-「Daserf」の被害を受けた企業は、発見までに数カ月から2年半の時間を要しており、発見されにくい工夫がされていました。 -「Daserf」は、遠隔操作機能を備えた高機能な不正ソフトウェアであり、指令サーバーの約65%は韓国企業が保有しているIPアドレスでした。 -「Daserf」を悪用する攻撃者の背景推測(プロファイリング)を説明しています。 -攻撃に関する痕跡情報(Indicator of Compromise)を掲載しています。
基本的な対策
- 強固なパスワード
- ファイアウォール
- 自動アップデート
- 定期的にバックアップ
異常に気づくきっかけ
- アクセス解析
- メール流量に注意
- サーバの不可
何かあったら
- 手に負えるか?手に負えないならすぐ初期化が一番安全
- バックアップを残していないとお手上げ
- バックアップは安全か?再設置すると再発するかも?
- 再発防止
ホスティングサービスのセキュリティ対策について
発表者:さくらインターネット 技術本部 小西 宏典さん
さくらレンタルサーバで行っている対策
- サービスで使用しているソフトウェア管理
- サービス運用監視
- サポートからの告知
問題を検知する方法
- 運用監視から異常値を検知
- 異常なメールを送りすぎ
- 異常なパケット出しすぎ
- 各種ブラックリストから検出
- FireHOL IP Lists
WordPressがクラックされる状況
パスワードクラック
- パスワードを推測する
- 推測しやすいパスワードを使わない
ユーザー名を特定する
パスワードを用意
- 1文字から使用可能
ログインフォームに送信
- HTTP Status 302 Location ⇒成功
- ログイン用のURLが固定
- ログインロックがない試行回数が無制限
ダッシュボードログイン
- テーマを編集
- 404.phpなどに
@eval
↓このあたり参考
WordPress にバックドア仕掛けられないように… | dogmap.jp
対策
- ユーザー名≒ニックネーム
- パスワード強度チェック
- ログインURLを任意のものに変更
- ログインロック+履歴
- ファイル改ざん検知+通知機能
できることをチェック
Command line interface for WordPress | WP-CLI
WPScan(Ruby)
- 脆弱性スキャナ
Pyscan(Python)
- マルウェアスキャナ
- 改ざんされたプログラムを検出
- 汎用的に使えてインストール不要
ダメなときは「全部消してやりなおし」⇒これが確実(調査は後回し)
原因を特定して対策を立てる
- 原因を特定しないと効果が期待できない
- カーゴカルトなセキュリティ対策はよくない
- 事前に発生しうる問題を想定しておく
サイトの「健全性」を確認する
- 大昔は障害で問題にきづくことも
- 今はただの死活監視では足りない
- アプリケーションレベルで異常値を検知
コンテンツは「資産」である
サーバは稼働していても機会を損失する
ホスト型WAF「SiteGuard Lite」徹底解説
株式会社ジェイピー・セキュア 取締役CTO 齊藤 和男さん
WF SiteGurardシリーズ
脆弱性の動向
情報セキュリティ10大脅威2017
今年の特徴
対策
- 自社でウェブアプリケーションを開発している場合はSQLインジェクションなどの攻撃を受けないように開発する
- フレームワークやCMSの提供元情報
- JPSERT/CCなどからの情報を収集
- 最新版やパッチを迅速に適用
最近の脆弱性の特徴
⇒WAFを有効活用
WAFの役割
新しい脅威への対応スピード事例
- Struts2の対応⇒注意喚起よりも先に対応
- WAFでブロック
カスタム・シグネチャ
- 顧客が研修つポリシーを独自に定義
- 指定ホスト以外のアクセスをブロック
- 管理者からのアクセスを安全とみなす
- 指定パスの検査除外
※さくらインターネットではSiteGuard Liteを追加費用なしで利用可能