デブサミ2014に行ってきた!シリーズ
暗号破りに新たな攻撃!
進化する脅威に対抗するためのWebサイトセキュリティとSSLの進化
をメモメモ
■電子証明書-現代ネット社会の安全を守る鍵
SSLサーバー証明書
コードサイニング証明書
セキュアメールID
→すべてに暗号技術
■SSLサーバー証明書
ハッシュアルゴリズムの行こう
・認証局とSSLの仕組み
・SSLを支える技術
公開鍵暗号:実在性の証明
共通鍵暗号:ブラウザまでの暗号化通信
ハッシュアルゴリズム:改ざん検知
・ハッシュアルゴリズムとは
封筒に封字するような行為
通信経路上で改ざんされていないか、受け取ったデータが壊れていないか確認
・ショッピングサイト
・暗号の世代交代の必要性
昔:MD5→Sha1→Sha2へ
公開鍵:暗号の2010年問題→移行終了
・暗号の世代交代で考慮すべきこと
暗号強度を上げるほど、エンドユーザのカバレッジは低くなる
→対応していない
→時間が解決するけど
・ハッシュアルゴリズム移行の背景
PCIDSS,NISC,
マイクロソフトのアナウンス
SHA-1発行終了
・SHA1を使い続けると
・偽証明書による成りすまし証明書
・赤く表示され、見えなくなる
・シマンテックの移行方針
購入できる
・SHA1もかえる
・SHA2もかえる
・求められるアクション
SHA2の検証→運営できるか
・各種プラットフォームの対応状況
今のは対応→古いものだと・・・
古い携帯電話は足かせ
・ECC(楕円曲線暗号)
RSAよりカバレッジ低い
■コードサイニング証明書
・SSLとおなじ。対策要る
・証明書は3年だが、コードサイニングは2年
→前倒しで
■セキュアメールID
・同様な対応、SSLとおなじく3年
■ウェブサイト攻撃の最新動向
・SSLに新しい機能をつけてうっている
・Webさいとの攻撃増加
・攻撃ツールが手に入りやすくなった
→だれでも攻撃
・決して大手企業だけの脅威ではない
・情報漏えいの影響
損害賠償
調査、再構築
風評被害
・98%のウェブサイトが何らかの脆弱性を抱えている
危険度高も3分の2
・新たな手口の追加
・攻撃手法はさまざま
Struts2の脆弱性
SQLインじぇくしょん
パスワードリスト攻撃
:
:
・覚えられるIDパスワード・2~3組→使いまわし
Webサイト攻撃対策
・自分は受けないと思う
セキュリティを考慮した設計
セキュアコーディング
脆弱性診断
脆弱性診断・WAF
・約48%が脆弱性対策に3ヶ月以上
・なぜ?
SSL証明書にマルウェアスキャンをつけている
EVSSL証明書、グローバルサーバID
→クローリング→脆弱性アセスメントレポート
・いかに守るか
ゲートウェイ方セキュリティ俯瞰図
IDS/IPS
UTM
→WAF
・事例:自民党
→グリーンバーになる
・従来型WAFとクラウド型WAF
→価格と運用
→すぐに入れたい場合
→不正ログインも
暗号破りに新たな攻撃!
進化する脅威に対抗するためのWebサイトセキュリティとSSLの進化
をメモメモ
■電子証明書-現代ネット社会の安全を守る鍵
SSLサーバー証明書
コードサイニング証明書
セキュアメールID
→すべてに暗号技術
■SSLサーバー証明書
ハッシュアルゴリズムの行こう
・認証局とSSLの仕組み
・SSLを支える技術
公開鍵暗号:実在性の証明
共通鍵暗号:ブラウザまでの暗号化通信
ハッシュアルゴリズム:改ざん検知
・ハッシュアルゴリズムとは
封筒に封字するような行為
通信経路上で改ざんされていないか、受け取ったデータが壊れていないか確認
・ショッピングサイト
・暗号の世代交代の必要性
昔:MD5→Sha1→Sha2へ
公開鍵:暗号の2010年問題→移行終了
・暗号の世代交代で考慮すべきこと
暗号強度を上げるほど、エンドユーザのカバレッジは低くなる
→対応していない
→時間が解決するけど
・ハッシュアルゴリズム移行の背景
PCIDSS,NISC,
マイクロソフトのアナウンス
SHA-1発行終了
・SHA1を使い続けると
・偽証明書による成りすまし証明書
・赤く表示され、見えなくなる
・シマンテックの移行方針
購入できる
・SHA1もかえる
・SHA2もかえる
・求められるアクション
SHA2の検証→運営できるか
・各種プラットフォームの対応状況
今のは対応→古いものだと・・・
古い携帯電話は足かせ
・ECC(楕円曲線暗号)
RSAよりカバレッジ低い
■コードサイニング証明書
・SSLとおなじ。対策要る
・証明書は3年だが、コードサイニングは2年
→前倒しで
■セキュアメールID
・同様な対応、SSLとおなじく3年
■ウェブサイト攻撃の最新動向
・SSLに新しい機能をつけてうっている
・Webさいとの攻撃増加
・攻撃ツールが手に入りやすくなった
→だれでも攻撃
・決して大手企業だけの脅威ではない
・情報漏えいの影響
損害賠償
調査、再構築
風評被害
・98%のウェブサイトが何らかの脆弱性を抱えている
危険度高も3分の2
・新たな手口の追加
・攻撃手法はさまざま
Struts2の脆弱性
SQLインじぇくしょん
パスワードリスト攻撃
:
:
・覚えられるIDパスワード・2~3組→使いまわし
Webサイト攻撃対策
・自分は受けないと思う
セキュリティを考慮した設計
セキュアコーディング
脆弱性診断
脆弱性診断・WAF
・約48%が脆弱性対策に3ヶ月以上
・なぜ?
SSL証明書にマルウェアスキャンをつけている
EVSSL証明書、グローバルサーバID
→クローリング→脆弱性アセスメントレポート
・いかに守るか
ゲートウェイ方セキュリティ俯瞰図
IDS/IPS
UTM
→WAF
・事例:自民党
→グリーンバーになる
・従来型WAFとクラウド型WAF
→価格と運用
→すぐに入れたい場合
→不正ログインも