【勉強会メモ】総関西サイバーセキュリティLT大会(第8回)
- 日時:2018/04/11(水) 19:00 〜 21:00
- 場所:CTC大阪オフィス
何度か参加させて頂いている総サイLT。セキュリティの知識と意識を高める意味でとても良い機会になっています。
セキュリティ力を高めるためにサンドボックス環境を作るのはマルウェアなどの再現だけでなく、セキュリティの問題が起きる仕組みを学習したり、対策をトライアンドエラーするのにも活用できそうだと思った。
ヤフーさんが自社で実施しているHardeningについては流石に簡単に真似できることではないものの、演習の重要性は改めて感じたので小規模でも演習形式での訓練をしてみるのは良いかもしれない。アプリ屋の視点ではセキュリティだけでなくバグ対応の演習(あらかじめバグを仕込んでおいてチームで復旧や修正や顧客対応をする)のような形でも訓練が出来そうだと思った。
激化するサイバー攻撃に対する防御術 / 伊藤忠テクノソリューションズ 大谷 誠司さま
サイバー攻撃の現状
- サイバー攻撃⇒大規模、高度化
- 近年のセキュリティインシデント発生状況⇒重大なものが短い頻度で起きている
- 新たな脆弱性が見つかった時にそれを突く問題が起きるペースが速い
- 脆弱性の悪用と守る方の人材不足
- 標的型攻撃はそれほど多くない
- 脆弱性を突く攻撃が多い
⇒セキュリティ情報をちゃんと分析するスキルが必要
- 人が欲しいけどなかなか体制が組めない
- 本業が忙しくて質も量も増やせない
⇒一人ひとりのセキュリティ「力」を高めていくことが重要
高めるためには?⇒事前の訓練・演習によるスキルアップ
NISCなど主導で多くの訓練・演習は進められているが大きな訓練は効果も高いが大変
⇒やはり一人一人のセキュリティ「力」を高めていくことが重要
セキュリティ力を高めるTips
1 ) ドメイン情報にも注目しよう
- ドメイン取得時に同一ユーザー名やメールアドレスを使っているケースもある
- DomainBigData で調べる
- 同じ名前で登録している他のドメインを調べる
- 登録日付や登録者情報に関連したドメインに注目
2 ) 難しくないお手製サンドボックスを活用
必要なもの
3 ) マルウェアを捕獲してみよう
- スタートアップフォルダ
- レジストリ
- サービス
4 ) 資産管理はセキュリティの要
資産・構成を把握
5 ) セキュリティの世界に目覚めた方々へ
- 利用者目線
- STOP, THINK, CONNECT
- 目覚めた人目線
- 気づく、止める、共有する
ヤフーでHardeningを実施する意味 / ヤフー 太田 俊明さま
セキュリティ演習を自社で実施
Hardeningとは
目的:サービスとセキュリティの両面を考える
WASForum主催
ヤフーのHardeningとは?
- 本家の思想をベースに全従業員向けの演習としてカスタマイズ
- 前回で2回目
- 2日構成
- Hardening Day(競技日)
- Softening Day(振り返り日)
- 主催:ヤフーJapan
- 協賛:IDCFrontier,LAC
- グループ会社も参加
- 規模
- 競技者:1チーム9人、9チームで81名
- 攻撃担当:25名
- サポートスタッフ:25名
- 来賓:30名
演習設定
経営者が社員旅行満喫中
- White Team…スタッフ、進行役
- Read Team…攻撃者
- Inside…ハッカー
- Outside…ユーザー、マスコミ、経営者
- Blue Team…競技者
システム
- 総コア:343コア
- NW:32セグメント
- ファッションサイト
- 比較的新しい、安価な商品
- 盆栽
- レガシーなシステム、高価な商品
- コーポレートサイト、SNSなど
演習シナリオ
評価軸
- 売上
- 技術
- 広報
- 顧客対応
- サービス
- 社長への報告、サービス運営状況、競技への取り組み方・姿勢
最優秀賞:データ守り隊
- 社長への報告・相談をきちんとしていた
セキュリティ演習を実施する意味
- 1 ) インシデント対応経験のある人を増やす
- 実際にインシデントがおきた時の対応を経験していることの強み
- 2 ) 「セキュリティは重要」の根底理解
- 推進する側も重要度が理解されているほうが進めやすい
- 3 ) 社員全員が組織力を活かす
- 会社の規模が大きくなるとお互いのことがわからず連携の生産性が落ちる
LT
サイバーセキュリティ対応の契約のあり方について
伊藤さま(弁護士)
サイバーセキュリティの重要性
- 個人情報抜かれると損害賠償のリスク
- 例)ベネッセ
- 1人500円で5万人⇒2,500万円
契約面でのリスク回避の難しさ
- そもそも契約にセキュリティを盛り込む意識がない
- セキュリティ対策ができていて当たり前?
- セキュリティ要件を契約で決める難しさ
⇒なかなか契約にセキュリティ要素は入っていない
裁判例での黙示の合意の恐ろしさ
- 裁判例)ECサイトの開発委託
- セキュリティ仕様の定めがない契約内容
- SQLインジェクションの脆弱性で個人情報漏洩
- 当時の技術水準では黙示的に合意されていたと認められている
- SQLインジェクション対策
- 暗号化⇒対策しておくほうがベターだけど黙示的な合意は認められなかった
水準は継続的に更新される?
- 何が基準?
- IPAの警告?
- OWASP Top10?
- 基準が決まったところで対応できる?
まとめ
- 100%対策がありえない
- 損害額が多大
- 攻撃者の悪意⇒避けられない
- 保険対応
- 社員教育はちゃんとしましょう
迷惑メールを眺めていたらSecHack365でWebアプリをつくることになった話
SecHack365…U25のセキュリティハッカソン
迷惑メール
- URLのみ書かれたメール
- 楽してお金が稼げる
- アダルト系
- 銀行など
1件1件見るのは…
- 膨大な量のメール
URLだけのメール
- 何が目的かわからない
- URLを押して見たい
SecHack365で制作物
- 類似した迷惑メールを探す
- URL先のスクリーンショットを取ってきてくれる
感想
- 迷惑メールを見るだけではなくてアプリを作ってさらに興味が深まった
- 類似度の計算はまだまだ
ハニーポットのログ分析
@morihi_soc さん ⇒ハニーポッター
著作:ハニーポット観察記録
- 作者: 森久和昭
- 出版社/メーカー: 秀和システム
- 発売日: 2017/01/27
- メディア: 単行本
- この商品を含むブログを見る
ハニーポットのログはどれを見たらいいですか?
- あなたの興味を引く何かがあれば気の済むまで勉強しましょう
ハニーポットを植えた時はきっと知りたいことや目標があったはず
- モチベーションに沿って分析するログを取捨選択
- 趣味のハニーポッターなら見ないログは捨ててOK
ヒント
- HTTPのログで見たこと無いURIがあれば調査
- ハニーポットに来るのはだいたい攻撃
- SSHサーバのハニーポット⇒人間が操作しているようなログを調査
- 攻撃者の動きに注目
- モニタにハニーポットのログを常に流して光ったら見る
ノマドワーカーは見た
新大阪のうどん屋での出来事
告知
アルティメットサイバーセキュリティクイズ2018