「企業公開サイトのセキュリティ対策セミナー」に参加してきました


壁

※当ブログではアフィリエイト広告を利用しています。

バラクーダネットワークスジャパン株式会社主催の「企業公開サイトのセキュリティ対策セミナー」に参加してきました。

HASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)代表取締役の徳丸浩氏による講演がとてもためになり、WEBセキュリティの意識づけを改める必要があると感じたので重要だと思ったことをまとめたいと思います。

セミナー概要

参加者は多数いらっしゃいました。WEBサイトへの攻撃による情報漏えいは毎日のようにニュースサイトで見ることもあり、WEBセキュリティが重要視されていると感じました。

徳丸先生による講演は下記の内容でした。
この後、バラクーダネットワークスによるWAF導入メリットの紹介がありました。

  • Webサイトへの侵入事件のトレンド
  • 侵入経路は2種類しかない
  • 侵入の手口と対策
    1. phpMyAdminの脆弱性による侵入
    2. SQLインジェクションによる侵入
    3. パスワードリスト攻撃
  • まとめ

重要だと思った点

攻撃手法を知る

本日の講演ではデモサイトを用いて、実際に攻撃用ツールでphpMyAdminの脆弱性を悪用した攻撃のデモがありました。いとも簡単に乗っ取りが成功する様子を見ると、脆弱性を放置しておくことがいかに危険かを実感しました。

侵入経路の防御

侵入経路は大きく「脆弱性」と「認証の突破」(管理ツール等)に分類されるため、ソフトウェア・ツールの脆弱性への速やかな対応や不要なポートは公開しない等の対応が重要だと思いました。

■攻撃は進化しても侵入経路は限られる、防御の原則は変わらない – 徳丸氏
http://news.mynavi.jp/articles/2012/10/11/tokumaru/index.html

パスワードリスト攻撃への対策

サービスごとに異なるID・パスワードを使うのは面倒なので使いまわしがちなのですが、本日一番怖いと思ったのはこれでした。

パスワードリスト攻撃の概要は下記サイトが参考になります。徳丸先生のブログでも対策と概要が紹介されています。

■パスワード攻撃に対抗するWebサイト側セキュリティ強化策
http://blog.tokumaru.org/2013/05/how-to-protect-your-website-from-password-attacks.html

■eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
http://blog.tokumaru.org/2013/04/password-list-attack.html

パスワードを使いまわしていると平文でパスワードを保存しているような脆弱なサイトからID・パスワードが漏れてしまうとアウトなので、本日帰宅後にできるだけ異なるものに変更しました。

GoogleやTwitterアカウントを利用して別のサービスにログインできるOpenIDは、パスワード管理の手間が減って便利程度の認識だったのですが、パスワードリスト攻撃にも効果があるようなので積極的に使っていきたいです。
Googleアカウントの二段階認証プロセスは設定済みですが、もはやほぼ必須の機能だと思いました。

■2 段階認証プロセスについて – Google アカウント ヘルプ
https://support.google.com/accounts/answer/180744?hl=ja

セキュアプログラミング+WAF

WAF(Web Application Firewall)を導入すればWEBサイトへの多くの攻撃は防御可能とのことでしたが、それだけではやはり絶対ではないため、セキュアプログラミングも意識し、防御力をより100%に近づけることが重要だと思いました。

おわりに

ロリポップ上のサイトのWordpress改ざん事件が同日に発生したこともあり、サイトの規模の大小にかかわらずWEBセキュリティ対策は重要だと思いました。

■【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます
http://www.landerblue.co.jp/blog/?p=8402

明日は我が身かもしれないので、できることから実施していけたらと思います。