セキュリティ・ミニキャンプ in 岡山 2018にチューターとして行ってきました
2018年11月16日(金)、17日(土)にあったセキュリティ・ミニキャンプ in 岡山 2018の報告をします。
一般講座
ここ数年のサイバー攻撃の動向変化の図解と得られた教訓 (講師: 名和 利男)
セキュリティ・ミニキャンプ in 岡山 2018 一般講座 最初の講義はサイバーディフェンス研究所 専務理事/上級分析官の名和 利男 氏による『ここ数年のサイバー攻撃の動向変化の図解と得られた教訓』です。昨今のサイバー攻撃の動向や、そこから得られた教訓が共有されています。 #seccamp pic.twitter.com/7cps7CGGEj
— セキュリティ・キャンプ (@security_camp) 2018年11月16日
最近のサイバー攻撃について、以下のような注意喚起をされていました。
- ARPスプーフィング等の中間者攻撃
ユーザーとWi-Fiルータの間を攻撃者のPCに割り込まれたら、通信内容を傍受・変更される。つまり、httpの平文通信はダメ。httpsで暗号化された通信をするべき。しかし、どことは言わないが、未だにhttpのままのサイトがある...。てかこのブログもそうじゃん...。
- 不正アプリ(特に中国、無料のもの)
中国製の無料で便利な機能が使えるアプリは怪しんで欲しい。ユーザーの情報を抜かれて中国に送信されたりする。
- タイポスクワッティング
Pythonパッケージのインストールは、コマンドラインでpip install (パッケージ名)
とするが、これの打ち間違えを狙って悪意のあるパッケージをインストールさせようとしてくる。例: Colourama(正しいのはColorama)
- サプライチェーン攻撃
サプライチェーン攻撃とは、ソフトウェアのソースコード等に不正コードを埋め込み、開発元は不正と気づかずにリリースしてしまうこと。上のColouramaや英国空港の顧客情報流出(2018年9月)など今後増加するものとして危険視される。
最後に、サイバー攻撃対処におけるこれからの組織について、
- 体制ではなく態勢をベースにする、すなわち政治支配の様式ではなく、前もって身構えをして本当に事態対処できるようにする
- 経営層がサイバー脅威による事業へのリスクに責任を持つ(サプライチェーンマネジメントするのは経営層)
- 経営層が状況認識能力を獲得・発揮する
べきであるとのことでした。サイバーセキュリティ担当に対処を丸投げしているのが現状です。
サイバー攻撃対応の基本 ~これだけはやって欲しいこと~(講師: 川口 洋)
セキュリティ・ミニキャンプ in 岡山 2018 一般講座 最後の講義はセキュリティ・キャンプ講師/株式会社川口設計の川口 洋 氏による『サイバー攻撃対応の基本 ~これだけはやって欲しいこと~』です。国内外の実際の事例を元にした、学生から社会人まで役に立つ講義となっています。 #seccamp pic.twitter.com/uBn0UJDs9d
— セキュリティ・キャンプ (@security_camp) 2018年11月16日
インシデントが発生した時に、ベンダーに全責任はあるのでしょうか。業務などの都合上対応してもらえない場合であっても、脆弱性があれば上の人に報告してください。いざ問題が発生したら、対応しなかった上の人の責任になるでしょう。また、大事なメールはCCではなくToで送るように心掛けます。
独自のドメインを取得するなら永続して取得しましょう。既存のドメインに相乗りするのが一般です。さもなければ、ドメインを手放したあと、残念なページに変わってしまいます。
パスワードの使い回しは厳禁です16億のIDとパスワードのリストが漏れています。職場とプライベートのパスワードは分けてください。パスワードの定期変更はやめていいですが、変えなくていいわけではありません。変えなきゃいけないとき(情報が漏れた、異動・退職)に変えるのです。パスワードの管理はパスワード管理ソフトを使用しましょう。紙に書く場合は財布に入れるとか、IDとパスワード分けるとか危機意識をしっかり持ちましょう。
バックアップとれていればランサムウェアの対策になります。個人利用では、クラウドストレージサービスの履歴機能を活用すれば復元できます。会社のバックアップは今本当にとれていますか?「バックアップ用テープが装填されていなかった。」なんてよくあります。今一度バックアッププログラムがエラーを吐いていないか確認してみてください。
ネットワークのセグメントを分割しましょう。人事部は送られてきたファイル開かなきゃいけない立場なので、他の部と同じにしていたら危険です。
システム管理のPCと個人用のPCを分離するようにしましょう。インターネットの閲覧をやめればリスクが圧倒的に下がります。
サイバー犯罪体験型コンテンツによるセミナー(講師: 岡山県警察本部生活安全部サイバー犯罪対策課員)
セキュリティ・ミニキャンプ in 岡山 2018 一般講座では、岡山県警察本部生活安全部サイバー犯罪対策課の方々より、『サイバー犯罪体験型コンテンツによるセミナー』が開催されています。サイバー犯罪被害を疑似体験することができる参加体験型のセミナーとなっています。 #seccamp pic.twitter.com/04YJ1rBFsf
— セキュリティ・キャンプ (@security_camp) 2018年11月16日
標的型メール攻撃が来るとどうなるのか、キーロガーでどのようにパスワード抜き取られるか、PCの内カメラに付箋を貼ってないとどういう危険に晒されるのか。攻撃者と被害者のPC画面を再現して、実際に何が行われるのかをわかりやすく表現していました。
専門講座
サイバー攻撃対応実践(講師: 川口 洋)
セキュリティ・ミニキャンプ in 岡山 2018 専門講座、午前の講義はセキュリティ・キャンプ講師/株式会社川口設計の川口 洋氏による『サイバー攻撃対応実践』です。 「ホームページ改ざんと対応」をテーマにし、サイバー攻撃が身近であることを体感します。 #seccamp pic.twitter.com/fhlF71bxGo
— セキュリティ・キャンプ (@security_camp) 2018年11月17日
20個のWebページが受講生に与えられ、それらのページが改ざんされているか否かを突き止めるという問題に取り組みました。
「全国大会を修了したチューターの皆さんなら全てできて当然ですよね!?」
と煽られながらチューターや見学者の方々も挑戦しました。
画像が差し替えられているという一目で分かるものから、問い合わせフォームを送信すると悪意のあるページに誘導されるなど様々な改ざんパターンがありました。
僕はwget
で全てのディレクトリを落としてdiff
で比較して満足していました。
しかし、残念ながら受講生でもチューターでも全ての改ざんを見つけることはできませんでした。Chromeでアクセスすると変化はありませんが、FirefoxやIEからアクセスするとドクロマークが表示されるようになっていたのです。.htaccess
ファイルでUser agent情報を使って制御しているというものでした。
サーバーにある普通はアクセスできないファイルなので見つからなかったのか...。
Webセキュリティ入門-攻撃者の狙いを先読みする(講師: 米内 貴志🤔)
セキュリティ・ミニキャンプ in 岡山 2018 午後の講義はセキュリティ・キャンプ修了生の米内 貴志氏による『Webセキュリティ入門-攻撃者の狙いを先読みする』です。「多層防御」「境界」をテーマに、演習を通してWebセキュリティについて学びます。 #seccamp pic.twitter.com/svFjQp41ix
— セキュリティ・キャンプ (@security_camp) 2018年11月17日
講義ではSOP(Same-Origin Policy)について説明があり、ブラウザでSOPをオン(通常)の時はCross-Originの情報にアクセスできないけれど、SOPをオフにするとCross-Originの情報を受け取れることを実際に体験しました。これで悪意のあるサイトが別のOriginのサイトの情報を呼び出そうとしても、できないということを学びました。
でもお天気APIのようにOriginが違うところから情報を得るのはどうすればいいか。そのためにCORS(Cross-Origin Resource Sharing)という仕組みがあり、Cross-Originで呼ばれることを許可することもできます。
ここで攻撃者の立場に立ってみると、SOPがあるために情報を盗めません。それをかいくぐるためにXSS(Cross-Site Scripting)を試みます...。 被害者は自身のOrigin(Same-Origin)ならアクセスできるので、Same-Origin内でスクリプトを実行させデータを攻撃者宛てに送信させるということです。 Cookieを送信させてしまえば、その中にあるセッションIDで成りすましが可能となります。 こうした一連の危険さを、XSSの脆弱性のあるサイトを見つけるところから手を動かして体感しました。
感想
サポートするだけの立場かと思っていましたでしたが、ミニキャンプをフルで楽しむことができました。
チューターとしては、受講生に分からせてあげられると「おお〜!」という反応があり、非常に教え甲斐がありました。
今後もこうしたセキュリティ関連のイベントに積極的に参加して行きたいです。