Weitere ähnliche Inhalte
Ähnlich wie 関西セキュリティ 合同セミナー改ざん検知の分類資料 (20)
関西セキュリティ 合同セミナー改ざん検知の分類資料
- 2. M2M Technologies Inc. 2
内山恒示 (うちやま こうじ)
• 2002年ごろから、セキュリティ事業に従事。
• ネットワークフォレンジック製品の代理店をきっかけにセキュリ
ティ業界デビュー。
• ハードに強くなり、L7FWアプライアンスをはじめとした組込み系
の商品企画、商用セキュアOSやWAFなどの販売を手掛ける。
• 高齢者見守り事業立ち上げを通し
M2M/IOTセキュリティ、運用技術のノウハウをつむ。
• 攻撃手法に依存しない改ざん検知手法に注力。
M2Mテクノロジーズ株式会社
セキュリティ事業部長 兼 技術開発部部長
自己紹介
- 4. M2M Technologies Inc. 4
WEB改ざん検知の定義
改ざん検知とは
WEBサイトの正規のコンテンツ更新者
が、更新した状態から、ファイルおよ
びデータが、変更、削除あるいは、追
加されている状態を検出すること。
- 8. M2M Technologies Inc. 8
WEBサイトの改ざん事件の状況
https://www.jpcert.or.jp/ir/report.html
7月 Flash Player の脆弱性をを悪用した攻撃サイトへ誘導する改ざんが多発。
9月 WEBサイト広告にマルウエアサイトへの誘導するものが発生
- 9. M2M Technologies Inc. 9
日本のWEBサイトの改ざん報告サイト
http://izumino.jp/Security/def_jp.html
海外のハッカー武勇伝サイトからの、日本ドメインを抽出し報告するサイト
改ざんを教えてくれる場合は、まだ本気じゃない。
- 10. M2M Technologies Inc. 10
プログラムの改ざん事例
利益目的の改ざんは、こっそり深くもぐる。
2013年3月6日
バックドアプログラムが設置され、
購入画面を改ざんされる。
2013年3月14日
改ざんを発見、ショップの閉鎖をする。
2013年3月15日
プレス発表を行う。
- 11. M2M Technologies Inc. 11
対策と問題点 防御から事後対応へ
日経コンピュータの2013/5/30号に、最近の攻撃を事例に取り、
“防御対策以上に、事後対策で重要である”記事を掲載しています。
ファイアーウォール,ウィルス対策
ソフト、“攻撃を防げる前提”で整備
未知のウィルス、標的型攻撃、
正規ウェブサイトの改ざん 等
防げない事例が多数発生
「攻撃の被害を受けた時の被害を
できるだけ抑える」
事後対策型対応へ比重移行
- 12. M2M Technologies Inc. 12
守るのが先か、検知が先か?
Vb
改ざん検知
これからは「検出してすぐに対応できる体制」を作り、
「予算に合わせて予防を追加する」時代です。
IPS/WAF
システム
構築時
セキュリティ
ホール発見
セキュリティ
ホール発見
セキュリティ
パッチ適用
- 14. M2M Technologies Inc. 14
WEBサーバのOS上での監視
WEBサイトの改ざん検知の分類1
1、どこで、監視プログラムを動かすのか?
監視対象WEBサーバ
同一サーバに
システム導入し
改ざん検知
リアルタイム検出が可能
サーバの負荷が大きい
監視プロセスを止められる
運用に管理者権限が必要(専用サーバ、VPS)
共有型WEBサーバには使えない
OSアップデート時の検証が大変
- 15. M2M Technologies Inc. 15
別サーバからのリモート監視
WEBサイトの改ざん検知の分類1
1、どこで、監視プログラムを動かすのか?
監視対象WEBサーバ 監視サーバ
検知用サーバで
改ざん検知
共有型サーバーに使える
WEBサーバの負荷が軽い
HTTP又はFTPが開いていればよい
管理アカウント不要(共有レンサバOK)
SaaSに向いている
定期的な検査になる
- 17. M2M Technologies Inc. 17
URLを
指定して
改ざん検知
WEBサイトの改ざん検知の分類2
2、どうやって、見て回るのか?
巡回プロトコル(リモート監視)による分類
①HTTPによる巡回
監視対象WEBサーバ 監視サーバ
HTTP
メリット
設定が簡単 URLを指定するだけ
デメリット
.htaccess など設定系のファイルが対象外
IP指定の標的型攻撃に弱い
内部リンクのないページは検出できない
フィッシングの設置、SEOポイズニング
認証、フォーム画面から先が見えない
改ざんされたファイルの特定が難しい
- 18. M2M Technologies Inc. 18
ディレクトリを
再帰的に
巡回し探索
WEBサイトの改ざん検知の分類2
2、どうやって、見て回るのか?
巡回プロトコル(リモート監視)による分類
監視対象WEBサーバ
②FTP/sFTPによる巡回
監視サーバ
FTP/sFTP
メリット
HTMLにリンクに依存しない
CGIなどの動的ファイル対象になる
全てのファイルが対象に出来る
デメリット
設定に手間がかかる
- 20. M2M Technologies Inc. 20
2009.10.31現在
HTTP検査による検査の問題1
HTTP検査タイプの
改ざん監視サーバ
検査スタート
知らない&リンクが無いURL・認証を超えて検査ができません
?
?
?
?
検知不可能
フィッシングサイト
検知不可能
- 21. M2M Technologies Inc. 21
2009.10.31現在HTTP検査による検査の問題2
標的型攻撃を仕掛けられたWEBサイト
標的の閲覧者
標的外の閲覧者
HTTP検査タイプの
改ざん監視サーバ
標的以外のアクセスには
正しいファイルで応答
標的からのアクセスには
不正なファイルで応答
検知不可能
改ざん
ページ
検査できないページが存在します
不正侵入
- 23. M2M Technologies Inc. 23
WEBサイトの改ざん検知の分類3
3、どうやって、改ざんと認識するのか?
パターンマッチ型
監視対象WEBサーバ 監視サーバ
不正ファイルパターンと
マッチすれば
改ざんとみなしますHTTP
- 24. M2M Technologies Inc. 24
WEBサイトの改ざん検知の分類3
3、どうやって、改ざんと認識するのか?
振舞い分析型
監視対象WEBサーバ 監視サーバ
仮想PCにブラウング
させ、振舞いを監視
不正な動きを検出HTTP
- 25. M2M Technologies Inc. 25
WEBサイトの改ざん検知の分類3
3、どうやって、改ざんと認識するのか?
ハッシュリスト比較型
監視対象WEBサーバ 監視サーバ
取得ファイルをハッシュ計算
定期的に再取得&再計算して
ファイルの変更を検出
FTP/sFTP
- 26. M2M Technologies Inc. 26
WEBサイトの改ざん検知の分類3
3、どうやって、改ざんと認識するのか?
原本比較型
監視対象WEBサーバ 監視サーバ
原本ファイルを保管、定期的に
WEBサーバファイルと比較
差分があったとき改ざんと判定
FTP/sFTP
- 27. M2M Technologies Inc. 27
パターンがまだ無い攻撃対応が難しい
画像ファイルや未対応フォーマットが対象外
静的な改ざんは検出できない。
WEBサイトの改ざん検知の分類3
どうやって改ざんと認識するのか?
①パターンマッチ(ソース解析)型
メリット
動的生成型CMSに対応
デメリット
- 28. M2M Technologies Inc. 28
仮想PCのOS/バージョン/ブラウザの組み合わせが膨大
静的な改ざんは検出できない。
WEBサイトの改ざん検知の分類3
どうやって改ざんと認識するのか?
②振舞い分析型
メリット
動的生成CMSに対応
デメリット
- 29. M2M Technologies Inc. 29
改ざんと更新の区別を運用で判断
WEBサイトの改ざん検知の分類3
どうやって改ざんと認識するのか?
③ハッシュリスト比較型
メリット
改ざんされたファイルが特定できる
追加・削除されたファイルが特定できる
デメリット
- 30. M2M Technologies Inc. 30
WEBサーバー上のプログラムで更新される
ファイルに対して、改ざんと更新が区別できない
WEBサイトの改ざん検知の分類3
どうやって改ざんと認識するのか?
④原本比較型
メリット
改ざんファイルを特定できる
改ざんと更新を容易に区別できる
追加されたファイルを削除できる
自動復旧が可能
デメリット
- 31. M2M Technologies Inc. 31
WEBサイトの改ざん検知の分類3
どうやって改ざんと認識するのか?
改ざん判別
方法として
は、構造的な漏れが存在
パターンマッチ(ソース解析)型
振舞い分析型
- 38. M2M Technologies Inc. 38
最適な改ざん検知手法
静的なコンテンツサイト
1. 更新頻度が低い場合
• FTP巡回ハッシュリスト型
2. 更新頻度が高い場合
• FTP巡回元本比較型
s/FTP
更新者
HTTP
- 39. M2M Technologies Inc. 39
最適な改ざん検知手法
動的CMS、ECサイト(WordPress、ECCubeなど)
1. DBコンテンツ部
• HTTP巡回パターンマッチ/振舞い型
2. プログラムファイル
• FTP巡回ハッシュリスト
• FTP巡回原本比較
管理画面
登録 更新者
HTTP
- 40. M2M Technologies Inc. 40
最適な改ざん検知手法
静的コンテンツ生成型CMS(MovableTypeなど)
1. ステージ運用しない場合
• FTP巡回ハッシュリスト型
2. ステージ運用する場合
• FTP巡回元本比較型
管理画面
登録 更新者
HTTP
コンテンツ
ファイル生成
- 41. M2M Technologies Inc. 41
セキュリティ対策しやすいサイト構成
セキュリティを考慮した
1. コンテンツの構成
2. サーバ運用
3. 改ざん検知しやすい環境づくり
4. インシデント対応の注意点
- 42. M2M Technologies Inc. 42
セキュリティ対策しやすいサイト構成
セキュリティを考慮したコンテンツ構成
1. 出来る限りCGI、JavaScript、Flushなどを使わない。
2. WordPressなどの動的レスポンス型CMSを使わない。
CMSを使うならMovableTypeの様な静的コンテンツ生成タイプ
3. WEBサーバには、個人情報など重要情報を置かない。
4. 公開CGI、JavaScriptは、脆弱性診断を必ず受うける。
5. コンテンツの開示期間を決め、不要なコンテンツをいつま
でもサーバ上に置かない。
- 43. M2M Technologies Inc. 43
セキュリティを考慮したサーバ運用
1. 別サーバで安全な場所にテスト環境を作る。
2. コンテンツ更新するPCは、限定する。
3. コンテンツは、更新前にウイルスチェックを行う。
4. 更新PCでは、メール受信や不要なWEB閲覧をしない。
5. FTPやSSHなどのアクセスはIPアドレス制限する。
6. 設定変更は、テストサーバでまず実行。
7. パッチ提供情報をウォッチし、出たらすぐ当てる。
8. 動作検証は、自動化しておく。
セキュリティ対策しやすいサイト構成
- 44. M2M Technologies Inc. 44
改ざん検知しやすい環境づくり
1. 更新タイミングを把握する。
例:毎日 1時に定期更新
2. 更新は、事前の申請承認を行う。
3. 更新ファイルを事前にリスト化しておく。
4. サーバ上で自動更新されるファイルを把握する
セキュリティ対策しやすいサイト構成
- 45. M2M Technologies Inc. 45
インシデント対応の注意点
1. 改ざん発覚した場合の対応を事前に決めておく。
誰に報告するか。サイトを閉じる等の決裁者
2. 改ざん・変更箇所の確認方法の確立。
3. ログファイルの保全。
4. 改ざんされたファイルおよび環境の保全
5. バックアップからのリストア手順を明確にしておく。
6. リストアの運用訓練をしておく。
セキュリティ対策しやすいサイト構成
- 47. M2M Technologies Inc. 47
ご清聴ありがとうございました。
改ざん事件や事故の情報をFacebookページでご案内しています
http://www.facebook.com/sitepatorl
■ M2Mテクノロジーズ株式会社
■ 和歌山市黒田1-1-19 阪和第一ビル 4F
■ 千代田区内神田2-4-4 藤和内神田ビル7F
■ 電話: 073-499-6422
■ 担当:内山
■ E-mail: sales@m2mtech.jp
■ HP: http://www.m2mtech.jp