2019/11/17 Tiger Index and Security-JAWS CTF Hands on #01 LT [ How I Learned to Consulting Service of F-Secure and Love the index from "A Certain Magical Index" ]

1. Shinichiro Kawano
Corporate Sales
F-Secure K.K.
Shinichiro.Kawano@f-secure.com
-とある診断員の皆さまに捧げる禁書目録(インデックス)-
なぜ White Hacker がテストするのか？
(あと F-Secure のハッキングツールについて)
2019/11/17 とある診断員とSecurity-JAWS #01 Hands On - LT -

2. © F-Secure2
資料はUpします
Twitter
#tigersecjaws #secjaws

3. 3
自己紹介
河野 真一郎
エフセキュア株式会社 法人営業本部
Cloud Security, F-Secure Cyber Security Consulting Sales担当
今までのおしごと Unix -> OSS/Linux, Cloud -> Security, Cloud
好きな AWS のサービス Amazon GuardDuty

4. F-Secure 会社概要
4
過去8年間で6回のAV-Test最優秀保護賞を受賞した唯一の企業。
その他多数の受賞歴
設立: 1988年
法人展開: 世界29地域
ビジネス展開: 100ヵ国以上
オペレータ数: 200以上
リセラー数: 1000以上
社員数: 1600人以上
売上高: 約235億円(2018)
前年比33%成長
法人顧客数: 世界10万社以上
欧州のサイバー犯罪インシデント時に調査機関として最多の依頼数
事業内容
 ITセキュリティソリューションの開発・販売・サポート（法人・個人）
 IoTコンサルティング（診断・テスト・開発支援・トレーニング）
 「F-Secure Lab」からのセキュリティサービス提供

5. F-Secure 会社概要
5
設立: 1988年
法人展開: 世界29地域
ビジネス展開: 100ヵ国以上
オペレータ数: 200以上
リセラー数: 1000以上
社員数: 1600人以上
売上高: 約235億円(2018)
前年比33%成長
法人顧客数: 世界10万社以上
欧州サイバー犯罪インシデント時
調査機関として最多の依頼数
事業内容
 ITセキュリティソリューションの開発・販売・サポート（法人・個人）
 IoTコンサルティング（診断・テスト・開発支援・トレーニング）
 「F-Secure Lab」からのセキュリティサービス提供

6. F-Secure 20196
今日の話 (1)
なぜ White Hacker が
テストするのか？

7. F-Secure 20197
今日の話 (2)
F-Secure
セキュリティコンサル例

8. F-Secure 20198
今日の話 (3)
F-Secure
ハッキングツールについて

9. F-Secure 20199
さあ行ってみよう
5分40ページの
ライトニング！

10. F-Secure 201910
今日の話 (1)
なぜ White Hacker が
テストするのか？

11. テクニカルからマネジメントまでの包括的な
コンサルティング＆サービス
ビジネスリスクと
セキュリティ管理
コンプライアンスプロセス
情報セキュリティ管理
セキュリティアセスメントと
トレーニング
ビジネスリスクに基づいたセキュリティコントロール
インシデント発生時におけるビジネス継続性の確保
情報セキュリティポリシーの改善
コンプライアンスに必要なアセスメントと実証
問題を特定するためのセキュリティコンサルティング
問題を事前に特定して軽減するためのトレーニング

12. 12
IoT機器, AWS, バックエンドまでの総合診断
脅威分析
アプリケーション
アセスメント
実機ハンズオン
トレーニング
セキュリティガイドライン
作成支援
IoT 機器
ハードニング
バックエンドとの
連携方法レビュー ハードウェア
設計レビュー
ハードウェア
診断
診断結果をベースに再診断
他の製品の診断
バージョンアップ時の再確認
 脅威分析を経て次の様々なステップへ進み、セキュリティ問題を可視化できます
 攻撃手法は巧妙化・複雑化するため繰り返し実施することで多層的・複合的な推奨が可能になります
ソフトウェア
ハードウェア
デベロプメント
スタートアップ

13. © F-Secure13
総合診断
本当なのかよ？

14. © F-Secure14
IoT診断
未知の脆弱性
SoCベンダへ通知

15. F-Secure SoC 脆弱性診断事例 および 情報公開事例
15
https://www.xilinx.com/support/answers/72588.html

16. F-Secure SoC 脆弱性診断事例 および 情報公開事例
16
Timeline
--------
2019-06-21: findings identified during a security audit by Inverse Path team at
F-Secure in collaboration with Robert Bosch GmbH.
2019-06-25: findings shared with Bosch PSIRT.
2019-06-28: findings shared with Xilinx PSIRT.
2019-07-05: Xilinx PSIRT confirms the findings.
2019-07-15: Xilinx PSIRT agrees to public disclosure process, consisting of a
Security Design Advisory and updates to the Technical Reference Manual.
2019-08-12: Xilinx Design Advisory [2] and F-Secure advisory [3] release.
References
----------
[1] https://www.xilinx.com/support/documentation/user_guides/ug1085-zynq-ultrascale-trm.pdf
[2] https://www.xilinx.com/support/answers/72588.html
https://github.com/inversepath/advisories/blob/master/Security_Advisory-Ref_FSC-HWSEC-VR2019-0001-Xilinx_ZU+-Encrypt_Only_Secure_Boot_bypass.txt

17. 17
https://blog.f-secure.com/ja/hardware-security-team-says-flawed-secure-boot-schemes-becoming-too-common/
“設計上の欠陥を２つ開示しました。攻撃者がこれらの欠陥を悪用すると、自動車、航空機、家
電、産業用コンポーネントに使用されている特定のシステムオンチップ（SoC）を攻撃することが
可能になります。”

18. © F-Secure18
Red Teaming
物理侵入
ホテルマスターキー

19. © F-Secure19
https://blog.f-secure.com/ja/fake-hotel-master-key/
“今回Visionで発見された設計上の欠陥により、このシステムを提供している世界最大の錠前
製造メーカーであるAssa Abloy社は、この問題を修正するセキュリティ修正プログラムを公開する
ことになりました。”

20. F-Secure 201920
今日の話 (2)
F-Secure
セキュリティコンサル例

21. © F-Secure21
国内お客様事例
サイバーセキュリティ
コンサルティング

22. © F-Secure22

23. © F-Secure 201823
エウレカ様事例
数百万以上個人情報
攻撃シナリオ詳細

24. © F-Secure 201824
「F-Secureは当初から
非常にリアリティのある話
をする事ができました」

25. © F-Secure 201825
「サンプル資料として
診断結果ももらいました。
こちらの意図した内容と
合致していました」

26. © F-Secure 201826
※AWS環境テスト時
脆弱性診断ツール
F-Secure Radarも併用

27. 脆弱性診断ツール
F-Secure RADAR
 統一された体裁の
レポートを一元的に作成
 脆弱性管理と
チケッティングシステム
 APIインターフェイス
 脆弱性を手動で登録可能
© F-Secure27

28. F-Secure 201928
継続的, 自動化
脆弱性診断
API連携で！

29. © F-Secure29
未処理タスク 開発
(スクラム/看板)
CI/CD
（継続的インティグレーション／デリバリー）
開発実施 テスト＆deploy機能タスク
セキュリティ
関連タスク
脅威モデリング
脆弱性診断
脅威モデル
機能タスク
主要機能タスク
合否基準
合否基準
脅威モデリング、脆弱性診断を
開発に組み込むことが重要
脅威モデリング、脆弱性診断を入れることで
セキュリティのクライテリアや適切なタスクを追加できます

30. © F-Secure Confidential30
F-Secure Radar ご利用例
https://dev.classmethod.jp/cloud/aws/auto-vulscan-with-pipeline/
https://dev.classmethod.jp/cloud/aws/all-auto-vulscan-with-pipeline/

31. F-Secure 201931
今日の話 (3)
F-Secure
ハッキングツールについて

32. © F-Secure32
ブルボン
ルマンド
どれがハッキングツール？

33. © F-Secure33
https://blog.f-secure.com/ja/a-red-teamers-tools-whats-in-toms-hacking-kit/
“エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van de Wiele（トム・ヴァン・
ドゥ・ウィーレ）（英語）は、レッドチームのメンバーとしてレッドチーム演習や企業機密へのハッ
キングに関しての質問を受けるとことが良くあります（英語）。”

34. © F-Secure 201834
答えはバナナ

35. © F-Secure35
“8：大きさ比較用、および建物の周りを持ち歩くためのバナナ。
このような物を持っている人は不審者ではなく関係者とみなされる ”

36. © F-Secure 201836
まとめ

37. F-Secure 201937
まとめ (1)
White Hacker のテスト
「AWSも、IoT機器も」

38. F-Secure 201938
まとめ (2)
F-Secureコンサル例
「クラウド特化の攻撃」

39. F-Secure 201939
まとめ (3)
F-Secure
「ハッキングツール：バナナ」

41. © F-Secure 201841
以降ページは
読み物として
添付資料

42. F-Secure 201942
おまけ (1)
F-Secure Radar

43. 脆弱性診断ツール
F-Secure RADAR
 統一された体裁の
レポートを一元的に作成
 脆弱性管理と
チケッティングシステム
 APIインターフェイス
 脆弱性を手動で登録可能
© F-Secure43

44. © F-Secure44
継続的な脆弱性診断実施例
50,000インスタンス 脆弱性診断対象インスタンス数
10,000 一週間ごとの脆弱性診断実施数
・ Radarセキュリティセンタ 自動スキャン
・ APIベースで デプロイ後 自動スキャン

45. ディスカバリースキャン
 ネットワーク全体とそのすべてのアセットを
ディスカバリースキャンでマッピングして、
システムスキャンで脆弱性を確実に検査
 ディスカバリースキャンのスケジュールの設
定、ファイアウォールの変更の監視、現在の
ファイアウォール設定が想定どおりに機能す
るかどうかの確認が可能
 高速で信頼性が高いポートスキャナ
 非同期ポートスキャン技術を使用
 サービスおよびオペレーティングシステムの
検出
45

46. © F-Secure46
F-Secure
Radar
セキュリティ
センター
ディスカバリー
スキャン
システム
スキャン
Web
スキャン
インターネット
ディスカバリー
セキュリティセンター
クラウドでの一元的な管理とレポート作成
脆弱性管理とチケッティングシステム
ディスカバリースキャン
ネットワーク全体とそのすべてのアセットをマッピングする
スキャンプロセス
システムスキャン
設定エラー、不適切なパッチ管理、実装の見落としな
どに関連した脆弱性を特定
Webスキャン
多数のWebアプリケーションで脆弱性の有無をテスト
インターネットディスカバリー
公開されている攻撃ベクトル（感染経路/手法）のリ
ストアップ
4種類のスキャンが
統合された
スキャン
ソリューション

47. © F-Secure47
システムスキャン
 設定エラー、不適切なパッチ管理、実
装の見落としなどに関連した脆弱性を
特定
 IPを使用するすべてのネットワーク
デバイスをスキャン
 認証スキャン（WindowsとLinux）
 誤検知の数を最小限に抑えながら高い
精度を維持
 常に最新の情報へアップデート
 認定PCI ASVスキャンツール

48. WEBスキャン
 カスタムのWebアプリケーションやモ
ジュールをスキャンするためのシステム
スキャン追加機能
 ベーシック認証とフォームベース認証を
サポート
 誤検知の数を低く抑えながら高い精度を
維持
 脆弱性データベースを最新の状態に維持
 認定PCI ASVスキャンツール
© F-Secure48

49. インターネットディスカバリースキャン
 インターネットディスカバリーで、イン
ターネットに面した組織のアセットを検
出可能
 クローリングを使用してパブリックシス
テム上のデータを収集。ロケーション、
トップレベルドメイン、有料ドメイン、
キーワード、ホスト名、IPアドレスに基
づいてデータを検索可能
 検出したホストをスキャングループに追
加して、アクティブスキャンで脆弱性を
スキャン可能
 アクティブスキャンでホストに対して
定期的なシステムスキャンを実行
© F-Secure49

50. F-Secure 201950
F-Secure Radar
50Server 623,000円
100Server 748,000円
年間ライセンス(保守込)
パートナー様ご参考販売価格

51. F-Secure 201951
おまけ (2)
F-Secure
セキュリティコンサル
“Pre-Study”

52. F-Secure 201952
使ってるCloud環境
そもそも、どこから
診断すれば良い？

53. F-Secure 201953
そんなお悩みを
持っている方向け

54. F-Secure 201954
クラウド環境向け
サイバーセキュリティ
コンサルティング

55. • ヨーロッパでサイバークライムインシデントが
起こった際 調査機関として
史上最多の依頼数
55
F-Secure CSS
サイバーセキュリティ コンサルサービス

56. © F-Secure Partner Confidential56
F-SecureのWebアプリケーションセキュリティアセスメントは、
コードに存在する脆弱性とWebアプリケーションの実装を提供
します。基礎となる技術は F-Secure 独自のテクノロジーです。
Webアプリケーションアセスメントへの当社のアプローチは、
従来提供してきた豊富な実績により、様々なお客様の要件
に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス
テムをカバーします。
Webセキュリティアセスメントでは、以下の診断を提供します
当社のAssessmentは、お客様のビジネスの観点から重要性
が高く、コスト効果の高いアプリケーションにフォーカスしています。
F-Secure の Assessmentは、コンサルタントによるアセスメント
手法とF-Secure 独自ツールの組み合わせにより、特定の脆
弱性を調査し、深刻なリスクを引き起こす可能性のある根本
的な問題を特定します。
・Server architecture and security specifications
・Business logic
・Authentication, access control, and authorization
・Use of cryptography
・Session management
・Error condition handling and exception management
・Data validation, confidentiality, and integrity
・Management interfaces
・Privacy concerns
インフラ,ミドルウェア
ソースコードレベル
Webアセスメント

57. © F-Secure Partner Confidential57
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。（基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます）。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト
ソーシャル攻撃、
物理セキュリティ含む

58. © F-Secure Partner Confidential58
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。（基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます）。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト
クラウド環境特化
診断テスト実績多数

59. © F-Secure59
とは言うものの、
どこからセキュリティ
対策すればよいの？

60. © F-Secure60
そんなお客様へ

61. F-Secure 201961
“Pre-Study”

62. F-Secure 201962
Pre-Study
専門コンサルタントが
現状ヒアリング

63. F-Secure 201963
(1)どこに脅威がある？
(2)現状リスク分析
(3)診断するならここ

64. F-Secure 201964
前ページ(1)– (3)
専門家がまとめる
コンサルティング

65. F-Secure 201965
おまけ (3)
Server に対する
マルウェア対策
(アンチウイルス)

66. エフセキュア アンチウイルス製品 ラインナップ
インター
ネット
Windows クライアント
Mac PC
Windows クライアント
クライアント セキュリティ
クライアント セキュリティ プレミアム
PSB ワークステーション
デスクトップ・ラップトップ
Windows サーバ
Linux サーバ
SaaS
ポリシーマネージャ PSB 管理ポータル
製品管理ツール
Linux サーバ
仮想アプライアンス
アンチウイルス Linux ゲートウェイ
ゲートウェイ
Android
iOS
Android
FREEDOME for BusinessPSB モバイル
スマートフォン・タブレット
仮想アプライアンスWindows サーバ
Exchange サーバ
XenApp サーバ
Linux サーバ
Sharepoint サーバ
EMC ストレージ
Linux セキュリティ フルエディション
コマンドラインエディション
仮想スキャンサーバWindows サーバ セキュリティ
Windows サーバ セキュリティ プレミアム
Microsoft Exchange & XenApp
セキュリティ プレミアム
Microsoft Exchange & XenApp
セキュリティ
PSB メールサーバ
PSB サーバPSB Linux
サーバ・ストレージ・コラボレーション
ライセンス(オンプレミス)
クラウド
Linux Server,
Windows
Server,
Windows PC,
Mac PC,
Linux Gateway,
製品ご提供
66

67. クラウド環境, オンプレ環境向け 国内ユーザ様 F-Secure お客様例
F-Secure Policy
Manager
管理／アップデート
Windows/Linux Servers
管理／アップデート
自社 データセンタ
DMZ
Windows/Linux Servers
管理／アップデート
Windows/Linux Servers
管理／アップデート
DMZ
Windows/Linux Servers
LAN
ウイルス定義ファイル
バージョンアップ
ファイル配信
67
VPC
Cloud
1,000台超 の Windows/Linux Server,
12,000台以上の PC を 1台の管理サーバで統合管理
LAN

68. F-Secure 201968
クラウド環境F-Secure
アンチウイルス
月額 1,000円以下
(Win/Linux Server)

69. © F-Secure 201869
おまけ部分まとめ

70. F-Secure 201970
F-Secure Radar
50Server 623,000円
100Server 748,000円
年間ライセンス(保守込)
パートナー様ご参考販売価格

71. F-Secure 201971
コンサルPre-Study
専門コンサルタントが
現状ヒアリング

72. F-Secure 201972
クラウド環境F-Secure
アンチウイルス
月額 1,000円以下