SlideShare ist ein Scribd-Unternehmen logo

関西セキュリティ 合同セミナー改ざん検知の分類資料

Als PPTX, PDF herunterladen
Kouji Uchiyama
Kouji Uchiyama

これから、WEBサイトの改ざん検知を導入検討する方には、基礎知識として持っていただけると役に立つ資料になっています。 WEBサイトの改ざん検知手法の分類とWEBサイトの構成による、改ざん検知手法との相性について解説いたしました。また、セキュリティを考慮したWEBサーバの構成や運用について、ご提案しています。

Software
1 von 47
M2M Technologies Inc. 1 M2Mテクノロジーズ株式会社 WEBサイト改ざん検知手法の分類 と サイト構成との相性について
M2M Technologies Inc. 2 内山恒示 (うちやま こうじ) • 2002年ごろから、セキュリティ事業に従事。 • ネットワークフォレンジック製品の代理店をきっかけにセキュリ ティ業界デビュー。 • ハードに強くなり、L7FWアプライアンスをはじめとした組込み系 の商品企画、商用セキュアOSやWAFなどの販売を手掛ける。 • 高齢者見守り事業立ち上げを通し M2M/IOTセキュリティ、運用技術のノウハウをつむ。 • 攻撃手法に依存しない改ざん検知手法に注力。 M2Mテクノロジーズ株式会社 セキュリティ事業部長 兼 技術開発部部長 自己紹介
M2M Technologies Inc. 3 WEB改ざんの認識 WEB改ざん検知って どういう定義
M2M Technologies Inc. 4 WEB改ざん検知の定義 改ざん検知とは WEBサイトの正規のコンテンツ更新者 が、更新した状態から、ファイルおよ びデータが、変更、削除あるいは、追 加されている状態を検出すること。
M2M Technologies Inc. 5 WEB改ざんの種類
M2M Technologies Inc. 6 WEB改ざんの種類
M2M Technologies Inc. 7 対策と問題点 防御から事後対応へ もうサイバー攻撃は 防げません‼
M2M Technologies Inc. 8 WEBサイトの改ざん事件の状況 https://www.jpcert.or.jp/ir/report.html 7月 Flash Player の脆弱性をを悪用した攻撃サイトへ誘導する改ざんが多発。 9月 WEBサイト広告にマルウエアサイトへの誘導するものが発生
M2M Technologies Inc. 9 日本のWEBサイトの改ざん報告サイト http://izumino.jp/Security/def_jp.html 海外のハッカー武勇伝サイトからの、日本ドメインを抽出し報告するサイト 改ざんを教えてくれる場合は、まだ本気じゃない。
M2M Technologies Inc. 10 プログラムの改ざん事例 利益目的の改ざんは、こっそり深くもぐる。 2013年3月6日 バックドアプログラムが設置され、 購入画面を改ざんされる。 2013年3月14日 改ざんを発見、ショップの閉鎖をする。 2013年3月15日 プレス発表を行う。
M2M Technologies Inc. 11 対策と問題点 防御から事後対応へ 日経コンピュータの2013/5/30号に、最近の攻撃を事例に取り、 “防御対策以上に、事後対策で重要である”記事を掲載しています。 ファイアーウォール,ウィルス対策 ソフト、“攻撃を防げる前提”で整備 未知のウィルス、標的型攻撃、 正規ウェブサイトの改ざん 等 防げない事例が多数発生 「攻撃の被害を受けた時の被害を できるだけ抑える」 事後対策型対応へ比重移行
M2M Technologies Inc. 12 守るのが先か、検知が先か? Vb 改ざん検知 これからは「検出してすぐに対応できる体制」を作り、 「予算に合わせて予防を追加する」時代です。 IPS/WAF システム 構築時 セキュリティ ホール発見 セキュリティ ホール発見 セキュリティ パッチ適用
M2M Technologies Inc. 13 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
M2M Technologies Inc. 14 WEBサーバのOS上での監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 同一サーバに システム導入し 改ざん検知 リアルタイム検出が可能 サーバの負荷が大きい 監視プロセスを止められる 運用に管理者権限が必要(専用サーバ、VPS) 共有型WEBサーバには使えない OSアップデート時の検証が大変
M2M Technologies Inc. 15 別サーバからのリモート監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 監視サーバ 検知用サーバで 改ざん検知 共有型サーバーに使える WEBサーバの負荷が軽い HTTP又はFTPが開いていればよい 管理アカウント不要(共有レンサバOK) SaaSに向いている 定期的な検査になる
M2M Technologies Inc. 16 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
M2M Technologies Inc. 17 URLを 指定して 改ざん検知 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 ①HTTPによる巡回 監視対象WEBサーバ 監視サーバ HTTP メリット 設定が簡単 URLを指定するだけ デメリット .htaccess など設定系のファイルが対象外 IP指定の標的型攻撃に弱い 内部リンクのないページは検出できない フィッシングの設置、SEOポイズニング 認証、フォーム画面から先が見えない 改ざんされたファイルの特定が難しい
M2M Technologies Inc. 18 ディレクトリを 再帰的に 巡回し探索 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 監視対象WEBサーバ ②FTP/sFTPによる巡回 監視サーバ FTP/sFTP メリット HTMLにリンクに依存しない CGIなどの動的ファイル対象になる 全てのファイルが対象に出来る デメリット 設定に手間がかかる
M2M Technologies Inc. 19 WEBサイトの改ざん検知の分類2 には、 運用の際の注意点があります HTTP検査
M2M Technologies Inc. 20 2009.10.31現在 HTTP検査による検査の問題1 HTTP検査タイプの 改ざん監視サーバ 検査スタート 知らない&リンクが無いURL・認証を超えて検査ができません ? ? ? ? 検知不可能 フィッシングサイト 検知不可能
M2M Technologies Inc. 21 2009.10.31現在HTTP検査による検査の問題2 標的型攻撃を仕掛けられたWEBサイト 標的の閲覧者 標的外の閲覧者 HTTP検査タイプの 改ざん監視サーバ 標的以外のアクセスには 正しいファイルで応答 標的からのアクセスには 不正なファイルで応答 検知不可能 改ざん ページ 検査できないページが存在します 不正侵入
M2M Technologies Inc. 22 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
M2M Technologies Inc. 23 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? パターンマッチ型 監視対象WEBサーバ 監視サーバ 不正ファイルパターンと マッチすれば 改ざんとみなしますHTTP
M2M Technologies Inc. 24 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 振舞い分析型 監視対象WEBサーバ 監視サーバ 仮想PCにブラウング させ、振舞いを監視 不正な動きを検出HTTP
M2M Technologies Inc. 25 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? ハッシュリスト比較型 監視対象WEBサーバ 監視サーバ 取得ファイルをハッシュ計算 定期的に再取得&再計算して ファイルの変更を検出 FTP/sFTP
M2M Technologies Inc. 26 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 原本比較型 監視対象WEBサーバ 監視サーバ 原本ファイルを保管、定期的に WEBサーバファイルと比較 差分があったとき改ざんと判定 FTP/sFTP
M2M Technologies Inc. 27 パターンがまだ無い攻撃対応が難しい 画像ファイルや未対応フォーマットが対象外 静的な改ざんは検出できない。 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ①パターンマッチ(ソース解析)型 メリット 動的生成型CMSに対応 デメリット
M2M Technologies Inc. 28 仮想PCのOS/バージョン/ブラウザの組み合わせが膨大 静的な改ざんは検出できない。 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ②振舞い分析型 メリット 動的生成CMSに対応 デメリット
M2M Technologies Inc. 29 改ざんと更新の区別を運用で判断 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ③ハッシュリスト比較型 メリット 改ざんされたファイルが特定できる 追加・削除されたファイルが特定できる デメリット
M2M Technologies Inc. 30  WEBサーバー上のプログラムで更新される ファイルに対して、改ざんと更新が区別できない WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ④原本比較型 メリット 改ざんファイルを特定できる 改ざんと更新を容易に区別できる 追加されたファイルを削除できる 自動復旧が可能 デメリット
M2M Technologies Inc. 31 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? 改ざん判別 方法として は、構造的な漏れが存在 パターンマッチ(ソース解析)型 振舞い分析型
M2M Technologies Inc. 32 マルウエアでは検出できない例 JPドメイン改ざん速報から、改ざんサイトを抽出
M2M Technologies Inc. 33 URLチェックWEBサービスサイト
M2M Technologies Inc. 34 マルウエアでは検出できない例 改ざんされたサイトの検査をしてみた結果 ほとんどの結果が、OK判定です。
M2M Technologies Inc. 35 改ざん検知手法のまとめ
M2M Technologies Inc. 36 改ざん検知の手法の相性 サイト構成別 最適改ざん検知手法
M2M Technologies Inc. 37 サイト構成の分類 1、静的なコンテンツサイト 2、動的CMS、EC/カタログサイト 3、静的コンテンツ生成CMSサイト
M2M Technologies Inc. 38 最適な改ざん検知手法 静的なコンテンツサイト 1. 更新頻度が低い場合 • FTP巡回ハッシュリスト型 2. 更新頻度が高い場合 • FTP巡回元本比較型 s/FTP 更新者 HTTP
M2M Technologies Inc. 39 最適な改ざん検知手法 動的CMS、ECサイト(WordPress、ECCubeなど) 1. DBコンテンツ部 • HTTP巡回パターンマッチ/振舞い型 2. プログラムファイル • FTP巡回ハッシュリスト • FTP巡回原本比較 管理画面 登録 更新者 HTTP
M2M Technologies Inc. 40 最適な改ざん検知手法 静的コンテンツ生成型CMS(MovableTypeなど) 1. ステージ運用しない場合 • FTP巡回ハッシュリスト型 2. ステージ運用する場合 • FTP巡回元本比較型 管理画面 登録 更新者 HTTP コンテンツ ファイル生成
M2M Technologies Inc. 41 セキュリティ対策しやすいサイト構成 セキュリティを考慮した 1. コンテンツの構成 2. サーバ運用 3. 改ざん検知しやすい環境づくり 4. インシデント対応の注意点
M2M Technologies Inc. 42 セキュリティ対策しやすいサイト構成 セキュリティを考慮したコンテンツ構成 1. 出来る限りCGI、JavaScript、Flushなどを使わない。 2. WordPressなどの動的レスポンス型CMSを使わない。 CMSを使うならMovableTypeの様な静的コンテンツ生成タイプ 3. WEBサーバには、個人情報など重要情報を置かない。 4. 公開CGI、JavaScriptは、脆弱性診断を必ず受うける。 5. コンテンツの開示期間を決め、不要なコンテンツをいつま でもサーバ上に置かない。
M2M Technologies Inc. 43 セキュリティを考慮したサーバ運用 1. 別サーバで安全な場所にテスト環境を作る。 2. コンテンツ更新するPCは、限定する。 3. コンテンツは、更新前にウイルスチェックを行う。 4. 更新PCでは、メール受信や不要なWEB閲覧をしない。 5. FTPやSSHなどのアクセスはIPアドレス制限する。 6. 設定変更は、テストサーバでまず実行。 7. パッチ提供情報をウォッチし、出たらすぐ当てる。 8. 動作検証は、自動化しておく。 セキュリティ対策しやすいサイト構成
M2M Technologies Inc. 44 改ざん検知しやすい環境づくり 1. 更新タイミングを把握する。 例:毎日 1時に定期更新 2. 更新は、事前の申請承認を行う。 3. 更新ファイルを事前にリスト化しておく。 4. サーバ上で自動更新されるファイルを把握する セキュリティ対策しやすいサイト構成
M2M Technologies Inc. 45 インシデント対応の注意点 1. 改ざん発覚した場合の対応を事前に決めておく。 誰に報告するか。サイトを閉じる等の決裁者 2. 改ざん・変更箇所の確認方法の確立。 3. ログファイルの保全。 4. 改ざんされたファイルおよび環境の保全 5. バックアップからのリストア手順を明確にしておく。 6. リストアの運用訓練をしておく。 セキュリティ対策しやすいサイト構成
M2M Technologies Inc. 46 まとめ 1、改ざん事件の現状と分類 2、改ざん検知手法の分類を整理 3、WEBサーバ構成にあった改ざん検知手法
M2M Technologies Inc. 47 ご清聴ありがとうございました。 改ざん事件や事故の情報をFacebookページでご案内しています http://www.facebook.com/sitepatorl ■ M2Mテクノロジーズ株式会社 ■ 和歌山市黒田1-1-19 阪和第一ビル 4F ■ 千代田区内神田2-4-4 藤和内神田ビル7F ■ 電話: 073-499-6422 ■ 担当:内山 ■ E-mail: sales@m2mtech.jp ■ HP: http://www.m2mtech.jp

Empfohlen

改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料
Kouji Uchiyama
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
シスコシステムズ合同会社
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
 
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Shinichiro Kawano
 
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
Tomohiro Nakashima
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
 
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件についてOSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件について
ssuser6c19e1
 
パネルディスカッション
パネルディスカッションパネルディスカッション
パネルディスカッション
NetAgent Co.,Ltd.
 

Empfohlen

改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料
Kouji Uchiyama
 
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
シスコシステムズ合同会社
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
 
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
Shinichiro Kawano
 
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
Tomohiro Nakashima
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
Shinichiro Kawano
 
OSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件についてOSS脆弱性スキャナー開発を始めた件について
OSS脆弱性スキャナー開発を始めた件について
ssuser6c19e1
 
パネルディスカッション
パネルディスカッションパネルディスカッション
パネルディスカッション
NetAgent Co.,Ltd.
 
2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare
Shinichiro Kawano
 
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
 
2019 1101 dev_io_tokyo_30min_slideshare
2019 1101 dev_io_tokyo_30min_slideshare2019 1101 dev_io_tokyo_30min_slideshare
2019 1101 dev_io_tokyo_30min_slideshare
Shinichiro Kawano
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Asuka Nakajima
 
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
情報処理学会 情報システム教育委員会
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
 
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
Shinichiro Kawano
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
Riotaro OKADA
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
 
Mini hardening 参加記
Mini hardening 参加記Mini hardening 参加記
Mini hardening 参加記
lufe
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
Fumitaka Takeuchi
 
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
Shinichiro Kawano
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
BarracudaJapan
 
名古屋セキュリティ勉強会 LT資料
名古屋セキュリティ勉強会 LT資料名古屋セキュリティ勉強会 LT資料
名古屋セキュリティ勉強会 LT資料
Kouji Uchiyama
 
【SSS】ads-introduction2013
【SSS】ads-introduction2013【SSS】ads-introduction2013
【SSS】ads-introduction2013
sss-share
 
御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法
Netforest Inc.
 

Weitere ähnliche Inhalte

Was ist angesagt?

~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
 

Was ist angesagt? (19)

2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare
 
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
 
2019 1101 dev_io_tokyo_30min_slideshare
2019 1101 dev_io_tokyo_30min_slideshare2019 1101 dev_io_tokyo_30min_slideshare
2019 1101 dev_io_tokyo_30min_slideshare
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
 
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
社会人向けサイバーセキュリティ講座「セキュアシステム設計・開発」の実践
 
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss2018 0310 jaws_days_lt_f-secure_ss
2018 0310 jaws_days_lt_f-secure_ss
 
Hackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクトHackademy サイバーセキュリティ教育プロジェクト
Hackademy サイバーセキュリティ教育プロジェクト
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
 
Mini hardening 参加記
Mini hardening 参加記Mini hardening 参加記
Mini hardening 参加記
 
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
 
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
2018 1003 jaws-ug_yokohama_lt_kawano_slideshare
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
 

Andere mochten auch

Leaflet swadana uns_2008
Leaflet swadana uns_2008Leaflet swadana uns_2008
Leaflet swadana uns_2008
Ria Hardiyati
 
Peru (6th grade virtual trip)
Peru (6th grade virtual trip)Peru (6th grade virtual trip)
Peru (6th grade virtual trip)
tgeffen
 
Guide to using DYNAMIC REPORTING
Guide to using DYNAMIC REPORTINGGuide to using DYNAMIC REPORTING
Guide to using DYNAMIC REPORTING
bsturgeon
 
2013 Technology Conference Program
2013 Technology Conference Program2013 Technology Conference Program
2013 Technology Conference Program
kwienken
 
Parent toolkit map
Parent toolkit mapParent toolkit map
Parent toolkit map
bsturgeon
 

Andere mochten auch (20)

名古屋セキュリティ勉強会 LT資料
名古屋セキュリティ勉強会 LT資料名古屋セキュリティ勉強会 LT資料
名古屋セキュリティ勉強会 LT資料
 
【SSS】ads-introduction2013
【SSS】ads-introduction2013【SSS】ads-introduction2013
【SSS】ads-introduction2013
 
御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法
 
【SSS】提案書サンプル
【SSS】提案書サンプル【SSS】提案書サンプル
【SSS】提案書サンプル
 
Webプラットフォームのセキュリティ
WebプラットフォームのセキュリティWebプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
 
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編) Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
 
Chapter 12 Powerpoint
Chapter 12 PowerpointChapter 12 Powerpoint
Chapter 12 Powerpoint
 
Leaflet swadana uns_2008
Leaflet swadana uns_2008Leaflet swadana uns_2008
Leaflet swadana uns_2008
 
Ch05
Ch05Ch05
Ch05
 
Peru (6th grade virtual trip)
Peru (6th grade virtual trip)Peru (6th grade virtual trip)
Peru (6th grade virtual trip)
 
Map training teachers
Map training teachersMap training teachers
Map training teachers
 
Guide to using DYNAMIC REPORTING
Guide to using DYNAMIC REPORTINGGuide to using DYNAMIC REPORTING
Guide to using DYNAMIC REPORTING
 
Management by GOD
Management by GODManagement by GOD
Management by GOD
 
2013 Technology Conference Program
2013 Technology Conference Program2013 Technology Conference Program
2013 Technology Conference Program
 
BBC approach to accessibility & how BS8878 enables others to do the same
BBC approach to accessibility & how BS8878 enables others to do the sameBBC approach to accessibility & how BS8878 enables others to do the same
BBC approach to accessibility & how BS8878 enables others to do the same
 
Latest books of Prof. J.P.Verma on Research and Statistics
Latest books of Prof. J.P.Verma on Research and StatisticsLatest books of Prof. J.P.Verma on Research and Statistics
Latest books of Prof. J.P.Verma on Research and Statistics
 
The future of social entrepreneurship & crowd funding
The future of social entrepreneurship & crowd fundingThe future of social entrepreneurship & crowd funding
The future of social entrepreneurship & crowd funding
 
Wasc orientation(new faculty)
Wasc orientation(new faculty)Wasc orientation(new faculty)
Wasc orientation(new faculty)
 
Design for all vs. Design for me: the limits of Inclusive Design
Design for all vs. Design for me: the limits of Inclusive DesignDesign for all vs. Design for me: the limits of Inclusive Design
Design for all vs. Design for me: the limits of Inclusive Design
 
Parent toolkit map
Parent toolkit mapParent toolkit map
Parent toolkit map
 

Ähnlich wie 関西セキュリティ 合同セミナー改ざん検知の分類資料

SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM,INC
 
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
日本マイクロソフト株式会社
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
itforum-roundtable
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
オラクルエンジニア通信
 
Enterpriseでもモバイル開発
Enterpriseでもモバイル開発Enterpriseでもモバイル開発
Enterpriseでもモバイル開発
Mitch Okamoto
 

Ähnlich wie 関西セキュリティ 合同セミナー改ざん検知の分類資料 (20)

2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare2019 1102 jaws_festa_f-secure10min_lt_slideshare
2019 1102 jaws_festa_f-secure10min_lt_slideshare
 
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
 
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
SORACOM Conference Discovery 2017 | A1. IoTセキュリティの選択肢
 
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
 
2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
Mobiconnect標準説明
Mobiconnect標準説明Mobiconnect標準説明
Mobiconnect標準説明
 
Blockchain for dummies
Blockchain for dummiesBlockchain for dummies
Blockchain for dummies
 
Enterpriseでもモバイル開発
Enterpriseでもモバイル開発Enterpriseでもモバイル開発
Enterpriseでもモバイル開発
 

関西セキュリティ 合同セミナー改ざん検知の分類資料

  • 1. M2M Technologies Inc. 1 M2Mテクノロジーズ株式会社 WEBサイト改ざん検知手法の分類 と サイト構成との相性について
  • 2. M2M Technologies Inc. 2 内山恒示 (うちやま こうじ) • 2002年ごろから、セキュリティ事業に従事。 • ネットワークフォレンジック製品の代理店をきっかけにセキュリ ティ業界デビュー。 • ハードに強くなり、L7FWアプライアンスをはじめとした組込み系 の商品企画、商用セキュアOSやWAFなどの販売を手掛ける。 • 高齢者見守り事業立ち上げを通し M2M/IOTセキュリティ、運用技術のノウハウをつむ。 • 攻撃手法に依存しない改ざん検知手法に注力。 M2Mテクノロジーズ株式会社 セキュリティ事業部長 兼 技術開発部部長 自己紹介
  • 3. M2M Technologies Inc. 3 WEB改ざんの認識 WEB改ざん検知って どういう定義
  • 4. M2M Technologies Inc. 4 WEB改ざん検知の定義 改ざん検知とは WEBサイトの正規のコンテンツ更新者 が、更新した状態から、ファイルおよ びデータが、変更、削除あるいは、追 加されている状態を検出すること。
  • 5. M2M Technologies Inc. 5 WEB改ざんの種類
  • 6. M2M Technologies Inc. 6 WEB改ざんの種類
  • 7. M2M Technologies Inc. 7 対策と問題点 防御から事後対応へ もうサイバー攻撃は 防げません‼
  • 8. M2M Technologies Inc. 8 WEBサイトの改ざん事件の状況 https://www.jpcert.or.jp/ir/report.html 7月 Flash Player の脆弱性をを悪用した攻撃サイトへ誘導する改ざんが多発。 9月 WEBサイト広告にマルウエアサイトへの誘導するものが発生
  • 9. M2M Technologies Inc. 9 日本のWEBサイトの改ざん報告サイト http://izumino.jp/Security/def_jp.html 海外のハッカー武勇伝サイトからの、日本ドメインを抽出し報告するサイト 改ざんを教えてくれる場合は、まだ本気じゃない。
  • 10. M2M Technologies Inc. 10 プログラムの改ざん事例 利益目的の改ざんは、こっそり深くもぐる。 2013年3月6日 バックドアプログラムが設置され、 購入画面を改ざんされる。 2013年3月14日 改ざんを発見、ショップの閉鎖をする。 2013年3月15日 プレス発表を行う。
  • 11. M2M Technologies Inc. 11 対策と問題点 防御から事後対応へ 日経コンピュータの2013/5/30号に、最近の攻撃を事例に取り、 “防御対策以上に、事後対策で重要である”記事を掲載しています。 ファイアーウォール,ウィルス対策 ソフト、“攻撃を防げる前提”で整備 未知のウィルス、標的型攻撃、 正規ウェブサイトの改ざん 等 防げない事例が多数発生 「攻撃の被害を受けた時の被害を できるだけ抑える」 事後対策型対応へ比重移行
  • 12. M2M Technologies Inc. 12 守るのが先か、検知が先か? Vb 改ざん検知 これからは「検出してすぐに対応できる体制」を作り、 「予算に合わせて予防を追加する」時代です。 IPS/WAF システム 構築時 セキュリティ ホール発見 セキュリティ ホール発見 セキュリティ パッチ適用
  • 13. M2M Technologies Inc. 13 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
  • 14. M2M Technologies Inc. 14 WEBサーバのOS上での監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 同一サーバに システム導入し 改ざん検知 リアルタイム検出が可能 サーバの負荷が大きい 監視プロセスを止められる 運用に管理者権限が必要(専用サーバ、VPS) 共有型WEBサーバには使えない OSアップデート時の検証が大変
  • 15. M2M Technologies Inc. 15 別サーバからのリモート監視 WEBサイトの改ざん検知の分類1 1、どこで、監視プログラムを動かすのか? 監視対象WEBサーバ 監視サーバ 検知用サーバで 改ざん検知 共有型サーバーに使える WEBサーバの負荷が軽い HTTP又はFTPが開いていればよい 管理アカウント不要(共有レンサバOK) SaaSに向いている 定期的な検査になる
  • 16. M2M Technologies Inc. 16 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
  • 17. M2M Technologies Inc. 17 URLを 指定して 改ざん検知 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 ①HTTPによる巡回 監視対象WEBサーバ 監視サーバ HTTP メリット 設定が簡単 URLを指定するだけ デメリット .htaccess など設定系のファイルが対象外 IP指定の標的型攻撃に弱い 内部リンクのないページは検出できない フィッシングの設置、SEOポイズニング 認証、フォーム画面から先が見えない 改ざんされたファイルの特定が難しい
  • 18. M2M Technologies Inc. 18 ディレクトリを 再帰的に 巡回し探索 WEBサイトの改ざん検知の分類2 2、どうやって、見て回るのか? 巡回プロトコル(リモート監視)による分類 監視対象WEBサーバ ②FTP/sFTPによる巡回 監視サーバ FTP/sFTP メリット HTMLにリンクに依存しない CGIなどの動的ファイル対象になる 全てのファイルが対象に出来る デメリット 設定に手間がかかる
  • 19. M2M Technologies Inc. 19 WEBサイトの改ざん検知の分類2 には、 運用の際の注意点があります HTTP検査
  • 20. M2M Technologies Inc. 20 2009.10.31現在 HTTP検査による検査の問題1 HTTP検査タイプの 改ざん監視サーバ 検査スタート 知らない&リンクが無いURL・認証を超えて検査ができません ? ? ? ? 検知不可能 フィッシングサイト 検知不可能
  • 21. M2M Technologies Inc. 21 2009.10.31現在HTTP検査による検査の問題2 標的型攻撃を仕掛けられたWEBサイト 標的の閲覧者 標的外の閲覧者 HTTP検査タイプの 改ざん監視サーバ 標的以外のアクセスには 正しいファイルで応答 標的からのアクセスには 不正なファイルで応答 検知不可能 改ざん ページ 検査できないページが存在します 不正侵入
  • 22. M2M Technologies Inc. 22 そもそも、改ざん検知って 1、どこで、監視プログラムを動かすのか? 2、どうやって、見て回るのか? 3、どうやって、改ざんと認識するのか?
  • 23. M2M Technologies Inc. 23 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? パターンマッチ型 監視対象WEBサーバ 監視サーバ 不正ファイルパターンと マッチすれば 改ざんとみなしますHTTP
  • 24. M2M Technologies Inc. 24 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 振舞い分析型 監視対象WEBサーバ 監視サーバ 仮想PCにブラウング させ、振舞いを監視 不正な動きを検出HTTP
  • 25. M2M Technologies Inc. 25 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? ハッシュリスト比較型 監視対象WEBサーバ 監視サーバ 取得ファイルをハッシュ計算 定期的に再取得&再計算して ファイルの変更を検出 FTP/sFTP
  • 26. M2M Technologies Inc. 26 WEBサイトの改ざん検知の分類3 3、どうやって、改ざんと認識するのか? 原本比較型 監視対象WEBサーバ 監視サーバ 原本ファイルを保管、定期的に WEBサーバファイルと比較 差分があったとき改ざんと判定 FTP/sFTP
  • 27. M2M Technologies Inc. 27 パターンがまだ無い攻撃対応が難しい 画像ファイルや未対応フォーマットが対象外 静的な改ざんは検出できない。 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ①パターンマッチ(ソース解析)型 メリット 動的生成型CMSに対応 デメリット
  • 28. M2M Technologies Inc. 28 仮想PCのOS/バージョン/ブラウザの組み合わせが膨大 静的な改ざんは検出できない。 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ②振舞い分析型 メリット 動的生成CMSに対応 デメリット
  • 29. M2M Technologies Inc. 29 改ざんと更新の区別を運用で判断 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ③ハッシュリスト比較型 メリット 改ざんされたファイルが特定できる 追加・削除されたファイルが特定できる デメリット
  • 30. M2M Technologies Inc. 30  WEBサーバー上のプログラムで更新される ファイルに対して、改ざんと更新が区別できない WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? ④原本比較型 メリット 改ざんファイルを特定できる 改ざんと更新を容易に区別できる 追加されたファイルを削除できる 自動復旧が可能 デメリット
  • 31. M2M Technologies Inc. 31 WEBサイトの改ざん検知の分類3 どうやって改ざんと認識するのか? 改ざん判別 方法として は、構造的な漏れが存在 パターンマッチ(ソース解析)型 振舞い分析型
  • 32. M2M Technologies Inc. 32 マルウエアでは検出できない例 JPドメイン改ざん速報から、改ざんサイトを抽出
  • 33. M2M Technologies Inc. 33 URLチェックWEBサービスサイト
  • 34. M2M Technologies Inc. 34 マルウエアでは検出できない例 改ざんされたサイトの検査をしてみた結果 ほとんどの結果が、OK判定です。
  • 35. M2M Technologies Inc. 35 改ざん検知手法のまとめ
  • 36. M2M Technologies Inc. 36 改ざん検知の手法の相性 サイト構成別 最適改ざん検知手法
  • 37. M2M Technologies Inc. 37 サイト構成の分類 1、静的なコンテンツサイト 2、動的CMS、EC/カタログサイト 3、静的コンテンツ生成CMSサイト
  • 38. M2M Technologies Inc. 38 最適な改ざん検知手法 静的なコンテンツサイト 1. 更新頻度が低い場合 • FTP巡回ハッシュリスト型 2. 更新頻度が高い場合 • FTP巡回元本比較型 s/FTP 更新者 HTTP
  • 39. M2M Technologies Inc. 39 最適な改ざん検知手法 動的CMS、ECサイト(WordPress、ECCubeなど) 1. DBコンテンツ部 • HTTP巡回パターンマッチ/振舞い型 2. プログラムファイル • FTP巡回ハッシュリスト • FTP巡回原本比較 管理画面 登録 更新者 HTTP
  • 40. M2M Technologies Inc. 40 最適な改ざん検知手法 静的コンテンツ生成型CMS(MovableTypeなど) 1. ステージ運用しない場合 • FTP巡回ハッシュリスト型 2. ステージ運用する場合 • FTP巡回元本比較型 管理画面 登録 更新者 HTTP コンテンツ ファイル生成
  • 41. M2M Technologies Inc. 41 セキュリティ対策しやすいサイト構成 セキュリティを考慮した 1. コンテンツの構成 2. サーバ運用 3. 改ざん検知しやすい環境づくり 4. インシデント対応の注意点
  • 42. M2M Technologies Inc. 42 セキュリティ対策しやすいサイト構成 セキュリティを考慮したコンテンツ構成 1. 出来る限りCGI、JavaScript、Flushなどを使わない。 2. WordPressなどの動的レスポンス型CMSを使わない。 CMSを使うならMovableTypeの様な静的コンテンツ生成タイプ 3. WEBサーバには、個人情報など重要情報を置かない。 4. 公開CGI、JavaScriptは、脆弱性診断を必ず受うける。 5. コンテンツの開示期間を決め、不要なコンテンツをいつま でもサーバ上に置かない。
  • 43. M2M Technologies Inc. 43 セキュリティを考慮したサーバ運用 1. 別サーバで安全な場所にテスト環境を作る。 2. コンテンツ更新するPCは、限定する。 3. コンテンツは、更新前にウイルスチェックを行う。 4. 更新PCでは、メール受信や不要なWEB閲覧をしない。 5. FTPやSSHなどのアクセスはIPアドレス制限する。 6. 設定変更は、テストサーバでまず実行。 7. パッチ提供情報をウォッチし、出たらすぐ当てる。 8. 動作検証は、自動化しておく。 セキュリティ対策しやすいサイト構成
  • 44. M2M Technologies Inc. 44 改ざん検知しやすい環境づくり 1. 更新タイミングを把握する。 例:毎日 1時に定期更新 2. 更新は、事前の申請承認を行う。 3. 更新ファイルを事前にリスト化しておく。 4. サーバ上で自動更新されるファイルを把握する セキュリティ対策しやすいサイト構成
  • 45. M2M Technologies Inc. 45 インシデント対応の注意点 1. 改ざん発覚した場合の対応を事前に決めておく。 誰に報告するか。サイトを閉じる等の決裁者 2. 改ざん・変更箇所の確認方法の確立。 3. ログファイルの保全。 4. 改ざんされたファイルおよび環境の保全 5. バックアップからのリストア手順を明確にしておく。 6. リストアの運用訓練をしておく。 セキュリティ対策しやすいサイト構成
  • 46. M2M Technologies Inc. 46 まとめ 1、改ざん事件の現状と分類 2、改ざん検知手法の分類を整理 3、WEBサーバ構成にあった改ざん検知手法
  • 47. M2M Technologies Inc. 47 ご清聴ありがとうございました。 改ざん事件や事故の情報をFacebookページでご案内しています http://www.facebook.com/sitepatorl ■ M2Mテクノロジーズ株式会社 ■ 和歌山市黒田1-1-19 阪和第一ビル 4F ■ 千代田区内神田2-4-4 藤和内神田ビル7F ■ 電話: 073-499-6422 ■ 担当:内山 ■ E-mail: sales@m2mtech.jp ■ HP: http://www.m2mtech.jp