タグ: セキュリティ

tagsに11件の記事があります

Micro Hardening研修参加レポート

セキュリティ

セキュリティ研修「マイクロハーデニング」に参加した記録です。

研修の概要

実際のECサイト(WordPress+Apache+MySQLが1台のサーバーで稼働)を4人1組のチームで防御し、売上最大化を目指す内容。1分ごとにクローラーがECサイトで購入を行い、45分間で購入できた点数を競う。攻撃による改ざんで売上が下がったり、防御に成功するとボーナスが加算される仕組み。

研修は45分×4セットで実施。

※具体的な脆弱性はネタバレ防止のため記載しません。自分たちの考えや学びを中心にまとめています。

各セットの取り組み

1セット目

最初は攻撃手法や脆弱性の全容が分からず、まず「どんな攻撃が来るのか」を知ることを重視。サービスが止まった場合は復旧のみ行い、観察フェーズとした。

  • アクセスログを確認(自分たちのIPを除外) 
    sudo tail -n 500 /var/log/httpd/access_log | grep -v "192.168.0.200"
  • lastコマンドでアクセスユーザーの確認
  • /var/www/htmlの改ざんチェック
  • アクセスログをzip化しAI(ChatGPT)に投げてアドバイスをもらう

2セット目

1セット目の観察で「SSH経由での侵入・改ざん」や「WordPressの脆弱性を突かれ設定ファイルが取得されている」ことが判明。改ざん検知や復旧体制を強化し、被害拡大を防ぐことを重視。

  • /var/www/htmlをバックアップし、diffで改ざんを検知 
    cp -r /var/www/html /tmp/html
sudo diff -r /var/www/html /tmp/html
  • 改ざんがあれば即時復旧
  • MySQLのデータもdumpしてバックアップ 
    mysqldump -u root -p wordpress > /tmp/wordpress_backup.sql
  • ログ監視も継続

3セット目

2セット目までの観察・検知で「FTP経由での攻撃」や「不要なプラグインの悪用」「PUTメソッドの悪用」など、攻撃者が使える余計な入り口が多いことが判明。不要なサービスやアカウントを整理・制限し、攻撃面を減らすことに注力。

  • 不要なWordPressプラグインの洗い出し・停止
  • FTPが悪用されていたためFTPサービス停止 
    sudo service vsftpd stop
  • 不要アカウントのロック、利用アカウントのパスワード変更 
    sudo passwd -l admin
  • PUTメソッド(正常運用で不要)が悪用されていたため禁止

サービスやプラグインの削除・停止は1つずつ行い、影響を都度確認しながら進めた。

4セット目

前回までで主なバックドアや攻撃経路を塞いだつもりだったが、特定の商品だけ購入できなくなるという異常が発生。「データ改ざんが起きている」と判断し、原因究明とアクセス制限を強化。

  • phpMyAdminへのアクセスを禁止
  • 特定商品のみ購入できなくなり、データ改ざんを疑うも、どこが改ざんされたか特定できずにタイムアップ
  • ネタバレで「商品タイトルの改ざん」と判明。自分たちは「商品情報自体(在庫や価格など)の改ざん」と思い込み、DBばかりを重点的に調査していた。

ネタバレで印象に残ったこと

  • 脆弱なWordPressは「停止」だけでなく「削除」も必要な場合がある
  • 一部プラグインはdisable関数が未実装で、WordPressからデータが渡ることがある
  • WebDAVの設定やFTPサーバーのログも要注意

上野宣さんの解き方が一番美しかったとのこと。

  • 1回目は徹底的にログを取り続ける
  • クローラーの1分ごとのアクセスに合わせて、1分ごとに設定を変え、どの設定で購入できなくなるかを確認する

一般的な障害対応については、以下の記事が参考になる。

チームの振り返り

チーム運営・情報共有

  • 防御対応の役割分担を明確にして対応
  • セットごとにスレッドでやったこと・気づきを共有
  • 怪しい点や解決案も積極的に提案

AI活用

  • アクセスログやエラーログをAIに投げて助言・対策案をもらった

今後の開発運用で取り入れたいこと

  • 余計なライブラリは入れない
  • 脆弱なバージョンは使わない
  • EOL対応を徹底
  • 権限管理の徹底

まとめ・個人の学び

  • 普段はSplunkやk8s環境で運用しているため、Linuxのログの場所や見るべきポイントの知見が少なかったと実感
  • あらゆるログを幅広く確認することの大切さ
  • 改ざん箇所は先入観なく、システマチックに1つずつ確認する必要性
  • 不要なサービスやアカウントは作らない

Hackfes2025参加メモ

セキュリティ

イベント概要

「Webアプリケーション(SPA)脆弱性診断入門」徳丸 浩

10:10 - 11:40

Burp Suiteを用いてSPA(Single Page Application)に対する脆弱性診断を実践。 対象は、HTMLとJavaScriptで構成された動的コンテンツ生成型のシンプルなSPAサーバー。

CORS(Cross-Origin Resource Sharing)の設定不備

ログインAPIへのプリフライトリクエスト(OPTIONSメソッド)は、CORSによって処理されます。

プリフライトリクエスト

OPTIONS /api/v1/login HTTP/1.1
Host: api.example.jp
Accept: */*
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type
Origin: http://spa.example.jp
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Sec-Fetch-Dest: empty
Referer: http://spa.example.jp/
Accept-Encoding: gzip, deflate, br
Accept-Language: ja,en-US;q=0.9,en;q=0.8
Priority: u=1, i
Connection: keep-alive

レスポンス

HTTP/1.1 204 No Content
X-Powered-By: Express
Access-Control-Allow-Origin: http://spa.example.jp
Vary: Origin, Access-Control-Request-Headers
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET,HEAD,PUT,PATCH,POST,DELETE
Access-Control-Allow-Headers: content-type
Access-Control-Max-Age: 300
Content-Length: 0
Date: Sat, 19 Jul 2025 01:31:57 GMT

Burp Repeaterを使ってOriginヘッダーを悪意あるドメインに書き換えたリクエストを送信すると、本来許可されるべきではないオリジンからのリクエストに対しても、アクセスが許可されてしまいます。

自費で18万円かけてCISSP試験に挑戦してみた話

セキュリティ

きっかけ

昨今の情報漏洩うんぬんかんぬんの話を聞くと、やらかしそうで怖い。(学生時代、サークルのDBを消し飛ばしたりした。。。)
もちろん、誰のPCがハッキングされてもおかしくありませんし、その人を責める文化は良くないと思います。しかし、自分のPCが原因で情報漏洩するのは嫌だああああああああ。
ということで、まずは知識をつけねばと思い、手近なところでIPAが実施する情報処理安全確保支援士を取ってみました。
こちらは運良く合格した部分もありもう少し学習したいなと考えていました。
そんな時、セキュリティ業界ではCISSP(Certified Information Systems Security Professional)という資格があると聞き、受験してみようと思いました。(名前もかっこいいし。。。。x2)

補足

CISSPの認定を受けるためには、試験に合格することと5年間の実務経験が必要になります。
私には実務経験が足りないため、現在はAssociate会員というステータスにあります。したがって、正確にはCISSPを取得したわけではなく、CISSPの試験に合格しただけということになります。

学習期間と教材

  • 学習期間:2024年6月初ー9月末
  • 教材選び:身近に資格保持者がいなかったため、社内のセキュリティ担当の方にアドバイスいただきました。

  • 新版 CISSP CBK公式ガイドブック
  • CISSP公式問題集
  • Eleventh Hour CISSP®: Study Guide
  • Official Practice Tests(英語版の公式問題集)
  • CISSP Exam Cram (English Edition)
  • CISSP Study Guide (English Edition)

記事系

動画

  • Udemyの講座
    • 【日本語】初心者から学べるCISSP講座:CISSP Domain1 ビデオ学習 2024年度版
    • …..
    • 【日本語】初心者から学べるCISSP講座:CISSP Domain7 ビデオ学習 2024年度版

やったこと

  1. 記事で全体像を把握。
  2. Udemyの講座を2周。
  3. CISSP CBK公式ガイドを1周+付属問題3周。
  4. CISSP公式問題集を4周。

その他

この期間に以下の本を新しく読んだり、読み直したりしました。(趣味も兼ねて読んでいたので試験に直接関係しないのも多いです。)

おかね

思ったより金がかかった。(自費)

『OSINT実践ガイド』読書メモ:オープンソースインテリジェンスの基礎

セキュリティ

面 和毅; 中村 行宏. サイバー攻撃から企業システムを守る! OSINT実践ガイド. 日経BP. Kindle 版. を読んだ感想メモ

概要

OSINTとは、Open Source Intelligence(オープンソースインテリジェンス)の略で、公開されている情報源から有益な情報を収集・分析する手法のことです。インターネットや公的なデータベース、ニュース記事、SNSなど、誰でもアクセス可能な情報からインテリジェンスを生成することが主な目的です。OSINTはサイバーセキュリティの分野で特に重要であり、攻撃の予防や対策、リスク管理において欠かせない手法となっています。

OSINTの歴史

OSINTの概念は新しいものではなく、歴史的には情報戦の一部として用いられてきました。例えば、第二次世界大戦中の1941年、CIAの前身であるOSS(Office of Strategic Services)は、OSINTを用いてナチス・ドイツの新型戦艦や航空機の画像を収集していました。これにより、敵の技術や戦力の評価が可能となり、戦略的な意思決定に役立てられました。

現在のOSINT

現代においては、OSINTは主にインターネット上の情報を対象としています。次のような多岐にわたる情報源からデータが収集されます。

  • ウェブサイトやニュース記事: 一般公開されている情報源。
  • ソーシャルメディア(SNS): Twitter、Facebook、Instagramなど、個人や組織が情報を発信するプラットフォーム。
  • GitHubなどのコード共有サイト: ソースコードやプロジェクトの進捗状況が公開されている。
  • 脆弱性データベース: CVEやNVDといった、既知の脆弱性情報が集約されているデータベース。
  • ゼロデイ攻撃に関する情報: 未知の脆弱性を狙った攻撃についての公開情報。

OSINTの調査方法

データソースの見つけ方

OSINT調査を行う際には、目的に応じたデータソースを見つけることが重要です。以下のツールやリソースは、OSINTのデータソースを探索する際に役立ちます。

便利ツール

以下のツールは、OSINT調査を支援するために広く利用されています。

  • Shodan: インターネットに接続されたデバイスの検索エンジン。デバイスのセキュリティ状況を確認可能。 Shodan
  • Censys: インターネット上のデバイスとサービスを調査するためのプラットフォーム。 Censys
  • Have I Been Pwned: メールアドレスの漏洩をチェック。 Have I Been Pwned
  • VirusTotal: ファイルやURLをスキャンしてマルウェアの有無を確認。 VirusTotal
  • Aguse: Webサイトのレピュテーションを調べる。 Aguse
  • Exploit Database: 公開されているエクスプロイト情報のデータベース。 Exploit-DB
  • SecurityTrails: ドメインやIPアドレスの利用履歴を確認。 SecurityTrails

その他の重要リソース

脆弱性情報収集

  • NVD: National Vulnerability Databaseは、米国政府が提供する脆弱性情報のデータベース。 NVD
  • JVN iPedia: 日本の脆弱性データベース。 JVN iPedia
  • Vulmon: グローバルな脆弱性情報を提供。 Vulmon

SSL/TLSの強度確認

  • SSL Labs: サーバーのSSL/TLS設定の強度をチェック。 SSL Labs

その他の調査ツール

  • Anymail Finder: メールアドレスの漏洩状況を確認。 Anymail Finder
  • MaxMind: IPアドレスの地理的情報を調査。 MaxMind
  • Wigle: WifiネットワークのSSID情報を収集。 Wigle
  • BuiltWith: ウェブサイトで使用されている技術を確認。 BuiltWith
  • Phishtank: フィッシングサイトを報告・検証するためのリソース。 Phishtank

諸外国のOSINT活動事例

中国のAPT1に関するレポート (Mandiant)

Mandiantが発表したレポートでは、中国のAPT1(Advanced Persistent Threat 1)、別名「61398部隊」として知られるグループに関する詳細な調査結果が示されています。このレポートでは、中国の人民解放軍総参謀部GSD第3部第2局との関係が特定されており、APT1の以下のような活動が明らかにされました。

主要セキュリティモデルの比較:Biba完全性モデル、Clark-Wilsonモデル、Brewer-Nashモデル、Bell-LaPadulaモデル

セキュリティ

セキュリティガバナンスを効果的に管理するために、以下の主要なセキュリティモデルがあります。

Biba完全性モデル

  • 策定者: ケネス・J・ビバ(Kenneth J. Biba)
  • 策定年: 1977年
  • 策定国: アメリカ合衆国
  • 特徴:
    • データの完全性を保護することを目的としたセキュリティモデル。
    • 主なルールは「no write up, no read down」で、低い信頼レベルのデータを高い信頼レベルに書き込むことや、高い信頼レベルのデータを低い信頼レベルから読むことを防止。
    • 主に商業環境でのデータの完全性維持に利用される。
  • 違い:
    • 完全性に特化しており、機密性や可用性は対象外。
    • 軍事用途よりも商業用途に向いている。

Clark-Wilsonモデル

  • 策定者: デイビッド・D・クラーク(David D. Clark)とデイビッド・R・ウィルソン(David R. Wilson)
  • 策定年: 1987年
  • 策定国: アメリカ合衆国
  • 特徴:
    • 商業的なトランザクションのセキュリティを確保するためのモデル。
    • 3つの主要概念(CDI:Constrained Data Items、TP:Transformation Procedures、IVP:Integrity Verification Procedures)を使って完全性を維持。
    • 分離の義務(セグリゲーション・オブ・デューティ)を強調し、不正行為を防止。
  • 違い:
    • トランザクションと完全性に特化しており、他のセキュリティ属性は二次的。
    • 商業環境に特に適している。

Brewer-Nashモデル(中国のウォールモデル)

  • 策定者: デビッド・F・C・ブリュワー(David F.C. Brewer)とマイケル・J・ナッシュ(Michael J. Nash)
  • 策定年: 1989年
  • 策定国: イギリス
  • 特徴:
    • 利益相反を防止することを目的としたモデル。
    • ユーザーは、一度アクセスした情報に基づいて、競合するデータへのアクセスが制限される。
    • 主に金融や法律などの分野で利用される。
  • 違い:
    • 利益相反の管理に特化しており、他のセキュリティ属性は対象外。
    • ダイナミックなアクセス制御を提供。

Bell-LaPadulaモデル

  • 策定者: デビッド・E・ベル(David E. Bell)とレナード・J・ラパドゥラ(Leonard J. LaPadula)
  • 策定年: 1973年
  • 策定国: アメリカ合衆国
  • 特徴:
    • 機密性を保護するためのセキュリティモデル。
    • 主なルールは「no read up, no write down」で、低いクリアランスレベルのデータを高いクリアランスレベルから読むことや、高いクリアランスレベルのデータを低いクリアランスレベルに書き込むことを防止。 主に軍事や政府機関で利用される。
  • 違い:
    • 機密性に特化しており、完全性や可用性は対象外。
    • 軍事用途や機密情報の管理に向いている。

CISSP:セキュリティガバナンスにおける主要フレームワークの比較

セキュリティ

セキュリティガバナンスを効果的に管理するために、以下の主要なフレームワークと標準があります。

NIST (National Institute of Standards and Technology)

  • 策定団体: アメリカ合衆国商務省の国家標準技術研究所(NIST)
  • 特徴:
    • 主にアメリカ国内の政府機関や企業向けに標準とガイドラインを提供。
    • 特にサイバーセキュリティに関するフレームワーク(NIST Cybersecurity Framework)が有名。
    • NIST SP 800シリーズは、具体的なセキュリティ管理と技術に関する詳細なガイドラインを提供。
  • 違い:
    • 政府主導であり、特にアメリカ国内での適用が多い。
    • 実践的で技術的なガイドラインが豊富。

ITIL (Information Technology Infrastructure Library)

  • 策定団体: AXELOS(英国政府と民間企業の合弁企業)
  • 特徴:
    • ITサービスマネジメントのベストプラクティスを提供。
    • セキュリティ管理も含むが、主にITサービス全般の効率化と品質向上を目的とする。
    • サービスライフサイクル(サービスストラテジー、サービスデザイン、サービストランジション、サービスオペレーション、継続的サービス改善)に焦点を当てている。
  • 違い:
    • ITサービスマネジメント全般に焦点を当てており、セキュリティはその一部として扱われる。
    • プロセスと役割の明確な定義が特徴。

ISO/IEC 27000シリーズ

  • 策定団体: 国際標準化機構(ISO)と国際電気標準会議(IEC)
  • 特徴:
    • 情報セキュリティ管理のための国際標準。
    • ISO/IEC 27001: 情報セキュリティマネジメントシステム(ISMS)の要件を定義。
    • ISO/IEC 27002: ISO/IEC 27001の実装ガイドラインを提供。
    • グローバルに認知され、広く適用される。
  • 違い:
    • 国際標準として広く受け入れられており、認証制度が存在する。
    • 組織全体の情報セキュリティ管理に焦点を当てている。

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

  • 策定団体: COSO(トレッドウェイ委員会スポンサー団体委員会)
  • 特徴:
    • リスク管理と内部統制のフレームワークを提供。
    • COSO Internal Control - Integrated Framework: 組織の内部統制を強化し、リスクを管理するためのガイドライン。
    • 会計と財務報告の視点からもリスク管理を強調。
  • 違い:
    • 主に内部統制とリスク管理に焦点を当てており、情報セキュリティはその一部。
    • 財務報告の信頼性確保にも関連。
  • 策定団体: ISACA(Information Systems Audit and Control Association)
  • 特徴:
    • ITガバナンスと管理のためのフレームワーク。
    • COBIT 2019: ITガバナンスと管理のための包括的なフレームワークを提供し、リスク管理、コンプライアンス、セキュリティ管理を含む。
    • ビジネスとITの整合性を重視。
  • 違い:
    • ITガバナンスに特化しており、ビジネス目標とIT戦略の整合性を強調。
    • フレームワーク全体がIT管理とガバナンスに焦点を当てている。