Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
2. 脆弱性により引き起こされた被害~ 被害事例のケーススタディ ~
独立行政法人 情報処理推進機構 (IPA)
セキュリティセンター
情報セキュリィ技術ラボラトリー
2010年8月6日公開
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
目次
1
1. 被害事例に基づくケーススタディ2. ケーススタディ(A)
ショッピングサイトAへのSQLインジェクション攻撃
3. ケーススタディ(B)レンタルサーバBへのOSコマンド・インジェクション攻撃
4. 攻撃事例のケーススタディJVN iPediaへの攻撃事例
5. まとめ
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
被害事例に基づくケーススタディ
2
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
相次ぐウェブサイトにおける事件
• 日々報道されるウェブサイトにおける事件
• 事件の原因の1つ– ウェブアプリケーションの脆弱性
3
改ざん
個人情報の漏えい
企業のウェブサイトにおける医療系企業のウェブサイト地方自治体のウェブサイト
ショッピングサイトにおける アウトドア用品販売サイト PC ソフト販売サイト
オンラインゲームにおける 不正アクセス
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
脆弱性の届出状況
• 脆弱性のあるウェブサイトの存在
– 届出されるウェブサイトは氷山の一角
4
37 46 49 66 52 69 54 60 51 43 39 24 32 96 95 103 80 244 208
509
1,430
801
386
131 127 139465 511 560 626 678 747 801 861 912 955 994 1,018 1,050845 940 1,043 1,1231,3671,575
2,084
3,514
4,3154,701 4,832 4,959 5,098
0
1,000
2,000
3,000
4,000
5,000
0200400600800
1,0001,2001,400
1Q2007
2Q 3Q 4Q 1Q2008
2Q 3Q 4Q 1Q2009
2Q 3Q 4Q 1Q2010
累計件数
四半期件数
ソフトウェア製品
ウェブサイト
ソフトウェア製品(累計)
ウェブサイト(累計)
図1.脆弱性関連情報の届出件数の四半期別推移
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
脆弱性により引き起こされた被害
• 脆弱性が悪用されると・・・
5
いつも同じこと言われているから、全然怖くない。うちで起こることはないだろうし。
改ざん 個人情報の漏えい 不正アクセス
こういった被害はすでに報道等で聞いたことがある
レンタルサーバを使っているから、レンタルサーバ会社にまかせれば大丈夫。
実際に自社のウェブサイトで事件が起こったら、何が起きるのか?
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
被害事例に基づくケーススタディ
• 被害事例に基づく2つのケーススタディ
6
ケーススタディ(A):ショッピングサイト A への
SQLインジェクション攻撃
ケーススタディ(B):レンタルサーバ B への
OSコマンド・インジェクション攻撃
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(A):ショッピングサイトAへのSQLインジェクション攻撃
7
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(A):ショッピングサイトA <概要>
8
ショッピングサイトA●●株式会社が運営するショッピングサイト
10万人以上の個人情報を保持自社開発のウェブアプリケーション セキュリティ対策の実施 ファイアウォールの導入脆弱性診断ツールの実施
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(A):ショッピングサイトA <事件>
■ SQLインジェクション攻撃による被害
9
改ざん 個人情報の漏えい
生活用品のインターネット通販を展開する●●株式会
社が運営するショッピングサイトAが不正アクセスに遭い、個人情報の漏えい事件が発
生した。●●株式会社は、同社が保持するクレジット
カード情報を含む最大10万件の個人情
報が漏えいした事実を確認した。同社は、事件の原因
およびクレジットカード情報の不正利用がないか、調査を継続中と発表している。・・・・・
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
【参考】SQLインジェクションの脆弱性
• SQLインジェクションの脆弱性
– 発生しうる脅威
• データベース(*)に蓄積された非公開情報の閲覧
• データベースに蓄積された情報の改ざん、消去
10
悪意のある人 ウェブサイト
データベース
改ざん
情報漏えい
(*) データベース: 関連し合うデータを収集・整理して、検索や更新を効率化したファイル。
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(A):ショッピングサイトA <被害>
ウェブサイトはどんな被害を受けたのか
– 営業停止期間の機会損失
– 賠償用買い物ポイント
• 500円分/人 x 10万人 = 5,000万円相当
– 詫び状送付関連費用
– 調査人件費
– 被害者対応人件費
– (失った顧客、信用)
11
これらの被害をもう少し掘り下げてみよう
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(A):ショッピングサイトA <考察>
●●株式会社 代表取締役の視点
12
■ 営業停止期間の機会損失■ 賠償用買い物ポイント■ 詫び状送付関連費用■ 調査人件費■ 被害者対応人件費
顧客にどう説明するか。クレジットカード会社に補償に関して相談しないと。刑事事件
として届出でるか。
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(A):ショッピングサイトA <考察>
ショッピングサイトA運営者の視点
13
■ 休日を含む連日連夜の徹夜作業• 突発的なウェブサイト再構築• 度重なる顧客からの問い合わせ• 関係組織との打ち合わせ
■ 突発的な作業にともなう2次トラブル• お詫びメールの誤送信
新しい販促キャンペーンの検討しなきゃいけないのに・・・
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
このケーススタディから学ぶこと
14
ケーススタディ(A):ショッピングサイトA <考察>
脆弱性が悪用されると・・・
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
このケーススタディの勘どころ
15
ケーススタディ(A):ショッピングサイトA <勘どころ>
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバBへのOSコマンド・インジェクション攻撃
16
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <概要>
17
レンタルサーバB ▲▲株式会社が運営しているレンタルサーバB 利用者にウェブサイトスペースを提供 1万以上のウェブサイトを収納 ウェブアプリケーションを標準でインストール済み ディスク容量に応じた料金プラン 10GB: 1,000円、20GB: 2,000円、30GB:3,000円
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <概要>
18
レンタルサーバB 標準でインストール済みのウェブアプリケーション データベース 日記ソフト 掲示板 問い合わせフォーム
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <事件>
■ OSコマンド・インジェクション攻撃による被害
19
▲▲株式会社が提供しているレンタルサーバBが不正アクセスに遭い、レンタルサーバBの200以上のウェブサイトのトップページが改ざんされた。
▲▲株式会社のプレスリリースによると、この不正アク
セスには同社のレンタルサービスで提供しているウェブアプリケーション(問い合わせフォーム)
の脆弱性が悪用された。現在同社はレンタルサー
バBからこのウェブアプリケーションを削除し、レンタルサービス利用者にも削除するよう、連絡している。・・・・・
改ざん
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <事件>
• OSコマンド・インジェクション攻撃による
200以上のウェブサイト改ざん
20
悪意のある人 レンタルサーバB
・・・・・
・・・・・
ウェブサイトA
ウェブサイトC
ウェブサイトB改ざん
改ざん
改ざんウェブサイトのトップページが改ざん
問い合わせフォームのOSコマンド・インジェクションの脆弱性が悪用された
・・・
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ウェブサイト
【参考】OSコマンド・インジェクションの脆弱性
• OSコマンド・インジェクションの脆弱性
– 発生しうる脅威
• サーバ内ファイルの閲覧、改ざん、削除
• システム操作
21
シェル(*)
システム不正操作
悪意のある人
改ざん
情報漏えい
(*) シェル: ユーザから入力された文字列を解釈し、他のプログラムの起動や制御を行うプログラム。
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <被害>
ウェブサイトはどんな被害を受けたのか
– 調査人件費
– 被害者対応人件費
– レンタルサーバ構成変更人件費
– コンテンツ復旧対応人件費
22
「誰が」これらの被害を受けたのか?
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <考察>
レンタルサーバB利用者の視点– 調査人件費用
– 被害者対応人件費用
– レンタルサーバ構成変更人件費用
– コンテンツ復旧対応人件費用
23
■ コンテンツ復旧対応人件費用改ざんされたトップページの更新他のコンテンツの更新
私たちでは脆弱なウェブアプリケーションを修正できない・・・
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <考察>
レンタルサーバB提供者の視点– 調査人件費用
– 被害者対応人件費用
– レンタルサーバ構成変更人件費用
– コンテンツ復旧対応人件費用
24
■ 調査人件費用■ 被害者対応人件費用■ レンタルサーバ構成変更人件費用 脆弱なウェブアプリケーションの削除
標準インストールウェブアプリケーションの見直し
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
ケーススタディ(B):レンタルサーバB <考察>
このような被害はレンタルサーバに限らない
– ASPサービス
– クラウドコンピューティング
• Software as a service(SaaS)• Platform as a service(PasS)• Infrastructure as a service(IasS)
25
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
このケーススタディから学ぶこと
26
ケーススタディ(B):レンタルサーバB <考察>
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
このケーススタディの勘どころ
27
ケーススタディ(B):レンタルサーバB <勘どころ>
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
【参考】IPAに寄せられたウェブサイト運営者の声
28
「脆弱性を修正しようにも、ASPサービスの
部分の脆弱性だから、私たちでは修正できないんです・・・」
「レンタルサーバ提供事業者に脆弱性の修正を相談しているんですが、なかなか対応してもらえないんです・・・」
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
攻撃事例のケーススタディJVN iPediaへの攻撃事例
29
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
攻撃事例のケーススタディ
• 脆弱性対策を行っていれば、ケーススタディの基にした事件は起こらなかった
30
狙われるウェブサイトは限られているんじゃないの?それなら脆弱性対策しなくてもいいんじゃないか?
脆弱性対策をやっていれば攻撃の被害に遭わないの?
実際のウェブサイトへの攻撃事例を見てみよう
だけど・・・
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
JVN iPediaへの攻撃事例2009年1月~2010年3月
ウェブサイトを狙った攻撃があったと思われる件数
攻撃があったと思われる件数:平均14.7件/日攻撃が成功した可能性の高い件数:0件
312009年
(件)
2010年
SQLインジェクションの
脆弱性を狙った攻撃は全体の46%
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
JVN iPediaへの攻撃事例2010年2月 iLogScanner解析結果
32
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
JVN iPediaへの攻撃事例SQLインジェクション攻撃事例(1)
33
xxx.xxx.xxx.xxx - - [04/Feb/2010:16:50:23 +0900] "GET /search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=en&useSynonym=1&keyword=CVE-YYYY-NNNN'%20and%20char(124)%2Buser%2Bchar(124)=0%20and%20''=' HTTP/1.1" 200 44500 "-" "Internet Explorer 6.0“
xxx.xxx.xxx.xxx - - [04/Feb/2010:16:50:35 +0900] "GET /search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=en&useSynonym=1&keyword=CVE-YYYY-NNNN'%20and%201=1%20and%20''=' HTTP/1.1" 200 44477 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
■ SQLインジェクション攻撃の調査行為
SQL文として意味を持つ文字列を入力してくるウェブブラウザからアクセスに偽装してくる
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
JVN iPediaへの攻撃事例SQLインジェクション攻撃事例(2)
34
yyy.yyy.yyy.yyy - - [14/Feb/2010:06:04:14 +0900] "GET //index2.php?option=com_joomradio&page=show_radio&id=-1+union+select+1,concat_ws(username,0x3a,password),3,4,5,6,7+from+jos_users-- HTTP/1.1" 404 208 "-" "libwww-perl/5.812"
zzz.zzz.zzz.zzz - - [20/Feb/2010:16:42:00 +0900] "GET /ja/contents/2008/JVNDB-2008-002127.html//index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,concat_ws(0x3a,username,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users-- HTTP/1.1" 404 248 "-" "libwww-perl/5.803“
■オープンソースソフトウェアの脆弱性を悪用する攻撃
コンテンツ管理システム Joomla の脆弱性を狙っている
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
JVN iPediaへの攻撃事例<考察>
■ 確認できたSQLインジェクション攻撃
35
(1). SQLインジェクション攻撃の調査行為(2). オープンソースソフトウェアの脆弱性を悪用する攻撃
(1). の対策:SQLインジェクションの脆弱性を作り込まない(2). の対策:最新バージョンのソフトウェアを使用する
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
JVN iPediaへの攻撃事例<勘どころ>
36
このケーススタディの勘どころ
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
【参考】「古いバージョンを使用しているサイトへの注意喚起」
37
計49サイトにおける届出があった
計88サイトにおける届出があった
出典元: http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.htmlhttp://www.ipa.go.jp/security/vuln/documents/2009/200909_openssl.html
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
まとめ
38
Copyright © 2010 独立行政法人 情報処理推進機構 ウェブサイト運営者向けセキュリティ対策セミナー
まとめ
• 本業に専念するために脆弱性対策をしよう
– ウェブサイトにおける事件が起こったら・・・
• 経営者、ウェブサイト運営者、現場のエンジニア全員に、本業以外の過度の作業が生じる
• ウェブサービスを提供している立場であると、多くのウェブサービス利用者に被害を与えてしまう
• 脆弱性対策ができていれば、ウェブサイトを多くの攻撃から防御できる
39