WordBench大阪#22資料「Webサイトを安全にするために」

WEBサイトを安全にするために
2013/10/19
第22回 WORDBENCH 大阪

こばやしたけし (@tama200x)

13年10月19日土曜日

WEB改ざんの件数

IPA 独立行政法人情報処理推進機構：
ウェブサイト改ざん等のインシデントに対する注意喚起∼
ウェブサイト改ざんが急激に増えています∼
http://www.ipa.go.jp/security/topics/alert20130906.html

攻撃


だれが攻撃するのか？
なぜ攻撃するのか？


攻撃者の正体
【２００１年頃】
• 主に個人

【現在】
• プロ集団
• 国家的組織

セキュリティ上の脅威の進化と企業への影響 - The Ofﬁcial Microsoft Japan Blog http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2013/09/25/3598650.aspx

攻撃者の目的
【２００１年頃】

【現在】

• コミュニティ内の名声

• 金銭目的

• 脆弱性の指摘

• 知的財産や機密情報の

入手
• サービス妨害


攻撃者の手口
【２００１年頃】

【現在】

• 無作為に攻撃

• ターゲットを絞り込む

• Webサイトの書き換え

• データの不正入手

• DoS攻撃

• DDoS攻撃
• ボットネット


闇市場で取引されるもの
• 電子メールアドレスのリスト
• クレジットカード番号のリスト
• ネットバンキングのID/PW
• 攻撃用ツール


なぜ気づかないのか


埋め込まれている状況

0day.jp (ゼロデイ.JP):
OCJP-115：本日の分マルウェア感染コードにインジェクションされた国内のサイト
http://unixfreaxjp.blogspot.jp/2013/07/ocjp-115i.html

PC遠隔事件犯のメッセージ
『iesys(トロイプログラム)については見つけら
れなくても仕方が無いです。
投入前に、主要なウイルス対策ソフトの体験版
をいくつか試用し、検知に引っかからないこと
を確認しました。（以下略）』

【PC遠隔操作事件】ラストメッセージ全文（上）(江川紹子) - 個人 - Yahoo!ニュース
http://bylines.news.yahoo.co.jp/egawashoko/20130810-00027168/

なぜWORDPRESSが狙われるのか？
• 利用者が多い
• オープンソースである
• Webサイト上のWordPressの

アップデートが行われていない


Webサイトの 20.1% が WordPress
(2013/10現在)
ということは
WordPress用攻撃コードは
Webサイトの20％に有効
Historical trends in the usage of content management systems, October 2013
http://w3techs.com/technologies/history_overview/content_management/all/

オープンソースのメリット・デメリット
• メリット

多くのエンジニアがソースコードを参照するこ
とができるので脆弱性を発見しやすい
• デメリット

攻撃者はソースコードを参照することで脆弱性
を特定し、攻撃手法を確立することが可能

WORDPRESSのアップデート状況

８割のWordPressサイトは
既知の脆弱性を含んでいる
WordPress > About >>Statistics
http://wordpress.org/about/stats/

SECURITY FIX (2013∼)

• WordPress

3.5.1 (2013/1/24) ... 3 security fix

• WordPress

3.5.2 (2013/6/21) ... 7 security fix

• WordPress

3.6.1 (2013/9/11) ... 3 security fix


プラグインの脆弱性

•プラグインの２０％に脆弱性
•eコマースプラグインの多くに脆弱性
The Security State of WordPress' Top 50 Plugins - Checkmarx'
http://www.checkmarx.com/white_papers/the-security-state-of-wordpress-top-50-plugins/

WORDPRESSへの攻撃例
• 脆弱性
• timthumb.phpの脆弱性(2011/8)

任意のphpをアップロードして実行可能
• 管理画面への攻撃
• ブルートフォース攻撃


どんな攻撃があるのか


FTPアカウント盗用攻撃

IPA 独立行政法人情報処理推進機構：
コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について
http://www.ipa.go.jp/security/txt/2010/02outline.html

パスワードリスト攻撃

IPA 独立行政法人情報処理推進機構：2013年8月の呼びかけ
https://www.ipa.go.jp/security/txt/2013/08outline.html

想定される攻撃
• WordPressへの攻撃
• Webサーバへの攻撃
• サーバ本体(OS等)への攻撃


想定される攻撃
• WordPressへの攻撃
•

管理画面へのブルートフォース攻撃

•

既知の脆弱性への攻撃

•

未知の脆弱性への攻撃

• Webサーバへの攻撃
•


FTPアカウント盗用による攻撃

防御


WEBサイトを守るために
• サイトを守る
• 改ざんを検知する
• アクセスを記録する
• サイトを復旧する
• 改ざんに備える


サイトを守る

• 一般的なWebサイトの防御
• WordPress固有の防御


一般的なWEBサイトの防御


【管理端末の防御】
FTPアカウント盗用攻撃からの防御
•

OS/アプリケーションのアップデート
(特にAdobe Reader / Flash Player / Java(JRE))

•

FTPS/SFTP/sshなどセキュアなプロトコルの使用

•

FTP/sshの接続元制限


【 WAFの併用】
不正なアクセスの検出と防御
•

Web Application Firewallの略

•

Webサーバの手前に設置する

•

Webを経由した攻撃(SQLインジェクション・XSS等)を
検出する


WORDPRESSサイト固有の防御


【管理画面への不正侵入防止】
•

ユーザーIDの変更(ADMINを使用しない)
→ 現在のブルートフォース攻撃には有効だが...

•

ユーザーIDのパスワードの複雑化
→ ブルートフォース攻撃対策

•

ユーザーIDとパスワードを他と同じにしない
→ パスワードリスト攻撃対策

•

管理画面へのIPアドレスでのアクセス制限


【脆弱性への対応】
• WordPress本体、テーマ、プラグインの更新

→ 脆弱性への対応が含まれる場合がある
• 野良テーマ、野良プラグインの使用は控える

→ 安全性をどこで担保するか？


【更新端末の防御】
ユーザーID/PWの盗聴防止
•

管理画面のSSL化

•

ワンタイムパスワードの使用

•

OS/アプリケーションのアップデート


改ざんを検知する
• IPA推奨の手順
• Google Webマスターツール
• Google

セーフブラウジング診断ページ

• 改ざん検知サービス


IPAが推奨する検知手順
• オリジナルHTMLソースとの比較
• HTMLソースをセキュリティソフトでスキャン
• ftpアクセスログを確認

http://www.ipa.go.jp/security/txt/2013/06outline.html


GOOGLE WEBマスターツール
•

Webマスターツールに登録しておくと、悪意のあるソフトウェア
をホストまたは配布しているサイトをしてGoogle側で認識する
と、管理画面および関連のメールアドレスに通知がされる

•

被害拡大を抑えるため、 URL削除ツールにより一時的に検索結果
から外すことが可能

•

Fetch As Google ツールを使用すると随時検査が可能。完全に除去
されたかを確認するために使用できる


GOOGLE セーフブラウジング診断ページ

http://www.google.com/safebrowsing/diagnostic?site=www.example.com


改ざん検知サービスの例
• 「gredセキュリティサービス」

( http://www.securebrain.co.jp/products/gred/ )
• HTMLのソースを解析し、改ざんによく使用され

る記述を検出
• ホスティング事業者でも採用(ファーストサーバ

等)


アクセスを記録する
• なにを記録するのか？
• いつ、どこから、どのようなアクセスが発生し

たかを記録に残す
• なぜ記録するのか？
• 攻撃日時の特定
• 原因となった脆弱性の特定と再発防止


CRAZY BONE(狂骨)

• @wokamotoさん作のWordPressのログイン履歴を

記録するプラグイン
• 攻撃者の侵入履歴が確認できる可能性がある


サイトを復旧する
• 被害から復旧までの流れ

1. サイトの停止
2. 原因の調査と、攻撃ルートの確定
3. 復旧作業
4. サイト再開
5. 利用者への告知


復旧時の注意点
•

信頼がおけないデータは使用しない
→ 攻撃用のプログラムが残置し再攻撃の可能性も

•

いつのバックアップであれば信頼できるか
→ 攻撃をうけた時刻を記録することの重要性

•

信頼がおけるデータをもとに復旧する
→ バックアップの重要性


復旧あるある
• バックアップデータが戻せません！
• バックアップデータが不足しています！
• phpMyAdminがタイムアウトします！
• リストアするのに何時間かかるんだろう...


インシデントに備える
•

インシデント発生時の連絡体制
•

社内

•

お客様

•

制作会社

•

ホスティング事業者・サーバ運用会社

•

Webサイトを停止する判断はだれがするのか？

•

インシデント発生時の復旧までの予行演習


まとめ
• 攻撃は他山の石。明日は我が身
• 防御だけがセキュリティではない。

Webサイト再開までを視野に入れる
• インシデント発生時に慌てても遅い。

事前の準備が重要


「まずは、最新OSを導入し、ファイアウ
ォールをきちんと設定して、むやみやたら
に公開サービスを動作させないこと。ま
た、無償の適当なセキュリティ製品は使わ
ない。結局セキュリティ対策は基本が重要
ということだ。」

@IT「基本に勝る防御なし：直撃取材！「たて」の裏側」
http://www.atmarkit.co.jp/ait/articles/1306/21/news016.html

CMS管理画面
•

GoogleにはCMSの管理画面URLがインデックスされている

WordPress
約191万件


MT
約8千件

よくある質問
•

以下の対策は効果があるのか？
•

バージョン情報の削除

•

DBプレフィックス(wp_)の変更

•

管理者ユーザー名の変更

•

管理画面の海外からのアクセス禁止

•

管理画面のBasic認証適応

•

管理画面のSSL化


セキュリティ参考サイト
•

IPA(独立行政法人情報処理推進機構)セキュリティセンター
http://www.ipa.go.jp/security/index.html

•

NISC(内閣官房情報セキュリティセンター)
http://www.nisc.go.jp

•

@POLICE (警察庁セキュリティポータルサイト)
http://www.npa.go.jp/cyberpolice/

•

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
http://www.jpcert.or.jp/


セキュリティ参考サイト
•

マルウェアとハッキングされたサイトについて - ウェブマスターツールヘルプ
https://support.google.com/webmasters/answer/163633?hl=ja&ref_topic=2365140

•

WordPress の安全性を高める - WordPress Codex 日本語版
http://wpdocs.sourceforge.jp/WordPress_%E3%81%AE%E5%AE
%89%E5%85%A8%E6%80%A7%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B


ご清聴ありがとうございました


WordBench大阪#22資料「Webサイトを安全にするために」

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

WordBench大阪#22資料「Webサイトを安全にするために」