Upload
six-apartltd
View
546
Download
2
Embed Size (px)
DESCRIPTION
2014年11月17日 ビジネスセミナーの資料です
Citation preview
2014年11月17日シックス・アパート株式会社
長内 毅志
Movable Type と CMS のセキュリティ
アジェンダ
•Web改ざんの実際
•攻撃の実際
•Movable Type の特徴と安全性
•安全性を高めるために
•Movable Type のご紹介
Web改ざんの実際
データ出典:JPCERT/CC インシデント報告対応レポートグラフ:http://www.nca.gr.jp/2013/web201303/
ガンブラー
http://www.ipa.go.jp/security/txt/2013/07outline.html
最近の改ざん手法
http://www.ipa.go.jp/security/txt/2013/07outline.html
http://cybermap.kaspersky.com/
•CMSの管理権限を奪取してウェブサイトを
改ざん
•CMSの公開ディレクトリに任意のファイル
をアップロードしてウェブサイトを改ざん
CMSに関するハッキングの傾向
•20%はCMSのコア部分にある脆弱性への
攻撃、80%はプラグインなど周辺プログラム
の脆弱性を狙った攻撃
BSI「Content Management Syttem」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html
Via http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
ここまでのまとめ
•最近のウェブ改ざんは、ウェブサーバーや
CMSの脆弱性を狙って攻撃するケースが
多い
どのような攻撃が存在するか
もっとも多いパターン
•使用されているCMSを識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
ブルートフォースアタック(総当り攻撃)
イラスト:「2014年版 情報セキュリティ10大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html
ファイルアップロード攻撃(バックドア)
イラスト:「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
•http://jvndb.jvn.jp/
その他
•SQLインジェクション
•CSRF
•XSS
–主にソフトウェアの脆弱性を付くもの
ここまでのまとめ
•CMSが特定できると、攻撃しやすい
•総当たり攻撃やファイルアップロード攻撃
など、攻撃者はCMSとプラグインの脆弱性
を狙って攻撃をおこなう
Movable Type の特徴と安全性
CMSサーバーと公開サーバーの分離
ロックアウト
アップロードファイルの制限設定
•AssetFileExtensions
–アップロードできるファイルの種類を制限
•DeniedAssetFileExtensions
–アップロードできないファイルを設定
ジェネレーター情報の消去
ここまでのまとめ
•Movable Type は安全性を高めるための設
定・機能が揃っている
Movable Type の安全性を
さらに高めるために
最新版を使う
•最新版を使う
管理画面にBasic認証をかける
•管理画面にBasic認証をかける
CGIスクリプトの名称を変える
•CGIスクリプトの名称を変える
–AdminScript
•管理プログラムの CGI スクリプト名を設定します
–UpgradeScript
•アップグレードスクリプトを設定します
使わないCGIスクリプトの権限を変える
•使わないCGIスクリプトの権限を変える
–MTのコメント機能を利用していない
•mt-comments.cgi の実行権限を無くす
–トラックバック機能を利用していない
•mt-tb.cgi の実行権限を無くす
例
–Data API 機能を利用していない
•mt-data-api.cgi の実行権限を無くす
–ログフィード機能を利用していない
•mt-feed.cgi の実行権限を無くす
–公開サイトで MTの検索機能を利用していない
•mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
パスワードの強度を上げる
•パスワードの強度を上げる
ロックアウト設定をする
パスワードの桁数と組み合わせの種類
文字種の数 4桁 6桁 8桁
10種(数字のみ)
1万 100万 1億
26種(英小文字)
約46万 約3億 約2千億
62種(英数字)
約1500万 約570億 約220兆
94種(英数記号)
約7800万 約6900億 約6100兆
「Web担当者フォーラム」よりhttp://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
参考
使用する文字の種類
使用できる文字数
最大解読時間
入力桁数
4桁 6桁 8桁 10桁
英字(大文字、小文字区別無)
26約3秒 約37分 約17日 約32年
英字(大文字、小文字区別有)+数字
62約2分 約5日 約50年 約20万年
英字(大文字、小文字区別有)+数字+記号
93
約9分 約54日 約1千年約1千万年
IPA 2008年発表の資料から http://www.ipa.go.jp/security/txt/2008/10outline.html
参考
https://howsecureismypassword.net/
•Movable Type を
安全に利用するために
http://www.movabletype.jp/blog/
secure_movable_type.html
ここまでのまとめ
•常に最新版へアップデートすることが改善
防止につながる
•Movable Type の設定を調整することで、さ
らに安全性は高まる
その他
CMSの情報、バージョン情報を消す
•ジェネレータータグをすべて削除する
•RSS、Atom、RDFファイルなども注意
CMSサーバーの場所を特定しづらくする
•検索、コメント、トラックバックなどを使って
いない場合、MTのアプリケーション・サー
バー情報は隠せる
•特定しづらい場所に配置する
公開サーバーとCMSサーバーを分ける
•MTクラウドには標準機能でサーバー配信
機能が含まれている
参考情報
IPA 「安全なウェブサイトの作り方」
• https://www.ipa.go.jp/security/vuln/websecurity.html
http://www.ipa.go.jp/security/txt/2013/07outline.html
Movable Type 最新情報
最新バージョン
Movable Type 6.0.5
5つの新機能
•Data API
•Chart API
•非公開日指定
•Google Analyticsとの連携
•メッセージセンター
Data API
•JSON形式でデータを取得•PHP、JavaScriptなど言語を問わず拡張
Google Analyticsの連携
• Google Analyticsと連携してアクセスデータをダッシュ
ボード上に表示
レスポンシブウェブデザインテーマ
•Rainier
–ブログ向けテーマ
•Eiger
–企業サイト向けテーマ
Apex
•追加テーマ「Apex」
http://plugins.movabletype.jp/movable_type/apex.ht
ml
RainierとEiger、Apexのライセンス
•MITライセンス(オープンソース)
–自由にカスタマイズ、再頒布可能
–ビジネス利用も可能、オープンソース頒布も
パフォーマンス改善
Movable Type クラウド版
•クラウド環境でMTを提供
•サーバー保守、メンテナンスはシックス・ア
パートが担当
•月額5000円~
サーバー配信機能
•外部サーバーへhtml送信
•ステージング構成が簡単
バックアップ機能
•1日に1度データをバックアップ
•いつでも復旧可能
2つの新機能
• IP制限
–管理画面、公開サイトへのアクセス制限が可能
•マルチドメイン対応
–S4i、S4g以上、10ドメインまで利用可能
MT on AWS
•AWS marketplace で提供
•T1microは無料(AWS使用料別)
HVMインスタンスに対応
•T2インスタンスに対応
•再構築時に力を発揮
MTコミュニティとイベント
•MT蝦夷
•(MT東北)
•MT東京
•MTなごや
•MT関西
•MT広島
•MT福岡
MTDDC Meetup 2014 開催!
•2014年11月29日(土) 11:00-19:00
•六本木ミッドタウン
Yahoo! Japan セミナールーム
MT Live 開催中!
•第2、4水曜日 茅場町で開催中!
http://blog.sixapart.jp/2014-09/mt-live-movable-type.html