今日は
~さくらのセキュリティ対策とSophos UTM9徹底解説~」
に参加をしてきました。
元々Facebookでお友達になっているさくらの中の人がイベントをシェアしていて「なにこれ面白そー」って思ったのでポチったのでした。
久しぶりに都内です。
気合を入れるためにいきなりステーキで300gのワイルドステーキを食べてきました。
喉に詰まって死ぬかと思いました。
それでも肉を喰らうカタルシスを味わう為に、都内に来る度に私のご飯はいきなりステーキです。
閑話休題。
目次
「サイバーセキュリティのお話」
表に出せない話も大量にありまして、非常に興味深かったです。いやー、質問したかった。(手を上げる勇気がなく…)
その中でも興味深かった項目について書いていきたいと思います。
はじめに・ユーザに行ってほしい対策
これは全てのサイト運営者に見て欲しいですね。
パッと見た感じ企業の方とかが多かったのですが、自社サイト管理者様、自分のブログを運営されている方、自分はどれだけ対策できていますか?
- パスワードは全て適切な強度を満たすように
- パスワードはあらゆるアプリケーションが狙われる
- ザルなユーザから狙われる
- 自動アップデートを利用しよう
- 情報資産を全て把握管理することは非常に難しい
- 自動アップデートをうまく使い、管理コストとリスクを減らしませんか
- Firewall・WAF
- WAFを活用して、アップデート作業の時間を稼ぎましょう
- ただし、全てを防御してくれるわけではないので過信は禁物
このサイトを運営しているぬいぐるみはと言うと…
パスワード→全部違うのにしています。SISパスワード管理というアプリでパスワードを管理しています。
自動アップデート→2つのWordPressサイトを管理していますが、両方共オンにしています。
WAF→私が使っているMixHostはWAF機能も提供をデフォルトで提供しているのでオンにしています。
とりあえず、サイトを運営するものとして3つはちゃんと出来ていたのでほっとする私…。
2017年・2018年の大規模インシデント振り返り
〜事業者はどのように対応をしたのか〜
2017/2 WordPress REST-API脆弱性の対応
ちょうど1年前に盛大にWordPress環境が改ざんされたあの事件。元情シスだった私は社内のWordPress環境を全部リストアップして泣きながらアップデートしました。
その中に魔改造されたWordPressがありまして…というお話は今回は割愛いたしましょうw
REST-API脆弱性を利用して、リモート環境からWordPressのコンテンツを勝手に改竄可能。簡単に改ざんが可能なため、被害が広まりました。
zone-h(エストニアのセキュリティニュースサイト)の情報を元にJPドメインの改ざんリストをリスト化している人がいた。これが非常に助かった。
調べてみた所、多分これかな?と思うサイトを発見。
http://izumino.jp/Security/def_jp.html
さくらのRSにおける検出・対応例
とある改ざんの事例紹介。
バックドアを設置→設置したバックドアから侵入→クラッキングという流れだったらしいのですが、
バックドアのスクリプトが設置されたのが2012年
バックドアを利用して攻撃用のスクリプトが設置されたのが2015年
3年の隔たりがある?
これがどういうことかというと、「バックドアを設置する人」「設置したバックドアを利用し、クラックする人」が違うのではないか?
例えば、バックドアを設置したサイトがブラックマーケットとかで売ってたりするのかな…。
これ聞いててヤバいな〜〜。と思ったんですけれど、
例えば私が使っているMixHostは14日間のバックアップがあるわけです。これはmixhostにかぎらず、色々なレンタルサーバ会社で自動バックアップの提供を行っています。
クラックされたとしても一番昔のファイルに戻せばよいのでは?と思っていたのですが、
バックドアが残っている限り何度も改ざんされる可能性があるのですね。
なので万が一、自分のサイトがクラックされた場合は全てのファイルを目grepで確認して、改ざんされたファイル+バックドアのファイルを削除する必要がある、なにそれ超大変…。
クラッキングされた時は
これはさくらさんだけでなく、どのレンタルサーバでもそうなんですけれど、
クラッキングされた場合、レンタルサーバ会社にどうにかしてもらおうっていうのはまず無理です。
レンタルサーバ会社はあくまでサーバを提供しているだけであって、セキュリティのプロフェッショナルではないからです。
ソフトウェアの脆弱性までレンタルサーバ会社は面倒見きれないので、そのへんは自己責任という形ですね。
あとは悪意を持ったプロセスは常駐しているとは限らないので発見が非常に難しい。という話もされていました。
マジでどうにかしたいなら「WordPress 改ざん 業者」とかで検索をして対応をして貰う必要があります。
自分も改ざんされたサイトのソースを見たことがあるのですが、1ファイル改ざんされてるかも?と思ったら100ファイルくらい汚染されています。マジで。
あれは素人にどうにかするのは無理なので、「業者を頼る」か「全てを諦めて初期化する」のどちらかになるかと思います。
中途半端に自分で復旧をしてもまた改ざんされるのがオチなので。
(記事と画像だけエクスポートして、再構築し直せばなんとかなったりするのかなー。)
さて、そんな面倒なことになる前に、私たちにできる対策はないのでしょうか?
そこで1番上の対策に戻るわけです。
- パスワードは全て適切な強度を満たすように
- パスワードはあらゆるアプリケーションが狙われる
- ザルなユーザから狙われる
- 自動アップデートを利用しよう
- 情報資産を全て把握管理することは非常に難しい
- 自動アップデートをうまく使い、管理コストとリスクを減らしませんか
- Firewall・WAF
- WAFを活用して、アップデート作業の時間を稼ぎましょう
- ただし、全てを防御してくれるわけではないので過信は禁物
これに加えて、WordPressの場合は「Site Guard」などのプラグインを導入して自衛する、などもあげられるでしょう。
改ざんされると上記のように素人だとほぼリセット以外の選択肢がないような、非常に面倒な事態になります。なので、まずは「改ざんされないための対策」をしていきましょう。
Q and A
Q 自動アップデートを有効にしておくと、バグ入りのアップデートが走ることがあると思います。そういうことを考えると、自動アップデートは無効にしておいたほうがいいと思うけど、どうですか?
A ベンダーからの情報を常にチェックしているような担当者が社内にいるなら手動のほうが安全。そうでない場合は自動アップデートを推奨。
私も昔、Let's noteが全く起動しなくなったことがあって、調べてみたらWindows updateでワコムのドライバアップデートによる不具合、みたいなのに巻き込まれたことがありました。(ほぼ1日仕事できなかった)
自動アップデートもそういう事が起こる可能性はありますが、攻撃されるリスクを考えた時に、どちらの方がリスクが大きいのか。どちらを取るべきか。企業の担当者は今一度検討する必要がありそうです。
おわりに
いやー、物凄く楽しかったです。
色々とお土産もいただきました。わーい!
ここだけの話…って言われたことは書いていないつもりなんですけれど、もしまずいことを書いていた場合は御連絡ください。直ぐに対応をします。