サイト内検索
Translation here

2017/03/30(木)M-CSS ローンチング勉強会 #MAKENAI_CSS

Makenai.PNG

ちょっと面白いなぁ、と思ったのがCSSってカスケードスタイルシートではないんですよね。
Cyber Security Study。学びの場、という事ですね。

セキュリティコンサルタントの野村ごろう(@official_nomura)です。
WebAPIの話ばかりしてますが、元々はセキュリティ屋さんなのです。
今回はたまたま時間があったところに勉強会をねじ込んだ感じですが、行ってみてぱっと思ったのはセキュリティ勉強会?
アンケートを見た感じもちょっとピンと来なかったのですが、話を聞いてみると腑に落ちました。

今日は新興コミュニティ「M-CSS」さんの話も含めつつ、勉強会のレビューをしていこうと思います。

アジェンダ

勉強会について

M-CSS ローンチング勉強会
ハッシュタグが負けないCSS。

Wordpress4.7 脆弱性の検証:Fujita氏

NHNテコラス株式会社さんより刺客(笑)の方です。
私の今日の主目的がこちらなんですが、実演が本当にヤバい!

まず初めに、バージョンアップしていない方は今すぐに更新してください。
あんまり細かい話を書くと本当にヤバいので、宙ぶらりんな書き方でホント申し訳ないんですが、この記事で細かい事を書いて攻撃情報を与えたくないので、以降はざっくりな感覚でしか書きません。

あまりにもヤバすぎるので、私の方では実演情報などは差し控えますが、少なくとも会場で生の声を聴いていた人全員がWordpress脆弱性をつついた攻撃が出来るようになるぐらい簡単に出来るので、本当に早くバージョンアップしましょう。
出来るようになった、というのは「やるよ?」という意味ではありませんが、少なくともちょっと話を聴けばだれでも出来るような問題である事は理解しておいてください。

被害について

具体的に言うと、記事の内容を簡単に差し替える事ができ、ページごとに内容を改竄する事が可能です。
ポチポチ一ページずつ改竄するのではなく、プログラム的に一括で処理することが出来てしまいます。
ブロガーさん・アフィリエイターならお分かりですね? 収益源が死に絶える事を意味しています。

不要なテーマやプラグインを停止ではなく削除するのはもちろんのこと、古いバージョンで置き続けるメリットはありません。
サイトを守るためにも、ぜひバージョンアップしましょう。

細かい話

ぶっちゃけPHPの仕様の問題なんですよね。
いい感じにしちゃう(厳密性の低い)事で、攻撃者にとって有効な情報を与えるようにしてしまう、よく言えばエンジニアライクな設計になっているために起こっています。
この辺りの考え方の話をするとすっごく難しいんですが、開発しやすいのはPHPのようにいい感じに対応してくれるものなんですよ。
ただ、運用保守の観点で言えばなんだこれ?って挙動であることは間違いないです。開発時に厳密ではないものが横行している結果、よく分からないコードが出てきたりとかもするんですよね。
サーバー・アプリメンテナンスあるあるネタで恐縮ですが、ひどい時には言語依存の設計までやってるから手に負えない。

防御方法ざっくり

  • ファイアーウォールで防げるか?
    出来ない。リクエスト自体は不正ではないため
  • サーバー側でのアプローチ
    • WAF設置
    • IPS・IDSの導入

月間1,000件のサイバー攻撃から身を守るセキュリティ対策:Yabumoto氏

同じくNHNテコラス株式会社さんの刺客です。
17時から勉強会が開催されているんですが、この会社すごいな!と思ったのは恐らく皆さん業務中なんじゃないかと思うんですよね。
外部の人間を招いて無料の勉強会を業務中?にやっているなら、相当すごいです。

攻撃者のモチベーション

攻撃対象
実例で行くとWebアプリに90%の攻撃が集中!
  • ファイルアップロード
  • SQLインジェクション
  • 管理者ページへの不正アクセスのための情報収集(調査)
  • SQLインジェクション以外のアプリケーション脆弱性
  • 管理者ページへのランダムアクセス
  • マルウェア
  • スキャニング
他社でも68%ぐらいWebアプリに攻撃が集中している(LACのSOC調べ)
なぜ攻撃されるのか?
お金になるから。
個人情報やアカウント(クレジット情報、ゲームアカウントやクラウドアカウントなど)も対象になる。

すっごいざっくりな計算だと、サービスに登録しているユーザー数が多ければ多いほど一発の辺りが大きくなる。
攻撃に成功すると億円が手に入る事も普通に考えられるうえ、攻撃するのは非常に簡単なので

攻撃が成功してしまった場合の被害

登録数が多ければ多いほど損害賠償額がすごい事になる。

ざっくりで、一人当たり500円~1000円×漏洩者数。
漏洩者数はサービスによるが、暫定5,000~10,000
個人情報はたかが1000円にしかならない、と考えるか「それ以上の被害が出てくる可能性がある」事を考えるかは人それぞれだが、決して笑いごとにならない。
攻撃は監視しないと気付く事は出来ない
攻撃が来ていないわけではないです。今お使いのPC・スマートフォンも攻撃来てますよ。
私の画面でも監視ツールを動かしてみてますがひどいひどい。
ここで、というより家で、というところです。

とはいえ、よそさんのWiFi環境使わせてもらっているのに、細かい話なんてしてても仕方ない私はシンクライアント端末にはWifi接続におけるセキュリティリスクを織り込んだ運用をしていますが、それでも100%防げるということはないです。
取られても困らないようにするためのシンクラ端末と言えますが……ヒューマンエラー防止ぐらいにしか役立てられる事はないんですよね。
本当に必要な情報は安全な環境を作って実施しましょう。

雑談

なんと、Yabumotoさんも同じ奈良県出身の方ということで、すごく親近感わいてる!
次回は懇親会込みで参加します! させてください!

私信でした。

ちなみに

自炊の話ばっかりしていたわけだけど、特にエンジニアは自炊しなければならない、って事はないです。
ただ、クリエイティブという観点では結構親和性高いと思うんですよね。
もしやった事がない人は、試しに簡単な調理をしてみるのも良いでしょう。
炊飯器を導入したりはまだ早いです。
OK キャンセル 確認 その他