最近話題になったセキュリティ @ 第13回 creators meetup
DESCRIPTION
Session02「最近話題になったセキュリティ」 2013年もいろいろなセキュリティ事件/事故がありました。その中からクリエーターのみなさまに特に知っていただきたいものをピックアップして対策などをご紹介します。TRANSCRIPT
最近話題になったセキュリティ ももいやすなり <<mmoommoo@@iiiijj..aadd..jjpp>>
TTwwiitttteerr @@ssbbgg,, FFaacceebbooookk yymmoommooii 22001144--0022--1155 第1133回 CCrreeaattoorrss MMeeeettUUpp
自己紹介
! セキュリティ関連の研究開発
! WWeebb 系の開発
! ログ処理基盤
! FFWW,, IIPPSS//IIDDSS
! 大規模インシデントの動向�
! サーバのお守り
! TTwwiitttteerr @@ssbbgg
! FFaacceebbooookk yymmoommooii
! 食べ物,ネコ,HHMM//HHRR
セキュリティのイメージ?
! 難しい
! よくわかんない
! めんどくさい
! はい,そのとおりです
! でも,誰でもやられちゃう…�
! リーズナブルな対策を!
\そこそこセキュリティ!/
\そこそこセキュリティ!/
今日のお題とお願い
! クリエーターのみなさまに特に知って欲しいもの
! IIDD とパスワードのお話
! パスワードリスト攻撃
! サービス提供者の責任?
! 頻発する WWeebb 改�ざん事件
! 水飲み場攻撃,ホスティング業者
! クラウド // WWeebb サービスとアプリ
! その他
! お願い:: IITT リテラシの高い人
! 周�囲の一般の人たちを導いて欲しい!
古くて新しいパスワードのお話
! 大規模流出事件とパスワードリスト攻撃
! IIDD とパスワードの組を入�手し,別サイトを攻撃
! 流出の場合,パスワードの強度は関係ない
! メールアドレスを IIDD にした弊害?
! ユーザはどこでも同じ IIDD を使いたい
Adobe の例でみると、漏洩件数のおよそ 1.5% が「123456」で、トップ 10 だけで全体の 3% を越える結果になっています。 出典「セキュリティは楽しいかね? Part 2」 2014-01-21 記事
その一方で…�
良い//悪いパスワード
! 文字種を増やす慣習は長さ制限があったから
! 母集団が変わらなければ強度は変わらない
! 覚えにくいなら,記号に悩むより長くするべし
! 俺ルールを作って長さを確保
! 末尾に//頭に○○をつける
! 視点を考える:: 誰から//何から守るのか?
! 攻撃者には あなたのパスワードの構成文字種は分からない
! 遠隔地の攻撃者が あなたに近づくのはとても難しい
パスワード管理のおすすめ
! したいこと
! パスワードは十分に長く
! 同じものを使い回さない
! 覚えられるはずがない
! パスワード管理ソフトを使う
! 長いのをひとつだけ覚える
! 紙に書く
! 物理セキュリティに頼る
! 俺ルールとの組み合わせ
パスワードのトビラ(4) パスワードの使い回しをやめるための具体策 出典: マイナビニュース セキュリティのトビラ
サービス提供者はどうする?
! ユーザ登録してもらう側として
! 利便性とのトレードオフ
! 長くする,簡単なパスワードは拒否する
! 定評あるものを素直に使う
! フレームワーク,ライブラリ
! OOppeennIIDD
! 識者に従う
! 徳丸本
! IIPPAA,, OOSS ベンダ,セキュリティベンダ
! 不要なものは集めない
! 面倒をみる.終わったらちゃんと片付ける
! 人気アプリ // サービスは狙われます
安全な Web アプリケーションの作り方 徳丸 浩 著 / 電子書籍版も各種あります
頻発するウェブ改�ざん
! 一昨年〜昨年に大流行
! 主張,見せしめ,閲覧者への攻撃
! 実利を狙った攻撃
! 潜伏型
! 全ての構成要素が狙われる
! コンテンツ,OOSS
! CCMMSS,モジュール,管理画面…�
! どうしよう…�
! ネットワーク的なアクセス制限
! 多くの攻撃は海外から -->> 9999%% 以上のアクセスを防げる
! 狙われやすい脆弱性に気をつける
! OOrraaccllee JJRREE,, AAddoobbee RReeaaddeerr
止まらない! Web改ざんの実態と対策 出典: ISOG-J (日本セキュリティオペレーション事業者協議会)
Tokyo SOC から見たウェブ改ざんの実態 同セミナー資料より
クラウド // ウェブサービス // アプリ
! たくさん使ってますよね?
! 重要なものがいっぱい
! データ // 設定 // バックアップ
! パスワード管理
! IIMMEE のクラウド機能
! 便利なものもいっぱい
! サーチエンジン // 翻訳
! ソーシャルブックマーク
! 脆弱性診断サイト
! 何をどこまで信用するか
! 利便性とのトレードオフ
! サービスの継続性
IME のオンライン機能利用における注意について 出典: IIJ Security Diary 2013-12-17 記事
その他
! 最近話題になったその他のトピック
! インターネットバンキング不正送金
! 手口が高度化して激増中
! NNTTPP 増幅攻撃 ((NNTTPP mmoonnlliisstt を悪用))
! 標的型攻撃
! 遠隔操作ウイルス
! 悪意あるアプリ ((PPCC,, スマホ))
! ちょっとエキスパート? を狙う
! ホームルータ,家電を狙う攻撃
! WWiinnddoowwss XXPP サポート終了
まとめ
! そこそこにセキュリティ対策!
! パスワードは何かに覚えさせる
! 餅は餅屋,蛇の道は蛇
! 必要ないものは集めない
! 遊んだらちゃんと片付ける
! 怪しいと思ったら直接確認
! 周�囲の人に声がけして助けよう
情報源
! IIPPAA ((独立行政法人 情報処理推進機構))
! @@ppoolliiccee -- インターネット治安情勢
! JJPPCCEERRTT//CCCC
! 最近のパスワード話
! マイナビニュース セキュリティのトビラ
! セキュリティは楽しいかね? PPaarrtt 22 ((22001144--0011--2211))
! ##JJIICCSS22001144
! ppiiyyoolloogg 22001133--1122--2266 ((BBaaiidduu IIMMEE と SSiimmeejjii の情報送信問題についてまとめてみた))
! 徳丸浩の日記
! IISSOOGG--JJ:: ウェブ改�ざんの実態とその対策 セミナー
! JJPPNNIICC:: オープンリゾルバ((OOppeenn RReessoollvveerr))に対する注意喚起