- 2015年9月30日
- 社員日記
株式会社fonfunと、セキュリティセミナーを開催いたしました! 〜当日のまとめ〜
去る9月28日、株式会社fonfunと、セキュリティセミナーを共同で開催いたしました。
テーマは、
【見た瞬間攻撃したくなるサイトとセキュリティ対策について教えます
~Webのお医者さんが教える、ここだけの話~】
です。
第一部では、特別な知識、ツールを用いずに、セキュリィティの対策ができる脆弱性についてお話をいたしました。
攻撃をしたい人は、とてもたくさんいます。多すぎてわからないくらいです。それらの人は実は専門知識の有無にかかわらず、攻撃できます。
集団は、自分でやるか、デキる人に依頼するかどちらかです。
1)自分でやる⇒小学生でも検索エンジンが使えれば、攻撃できる
2)デキる人に依頼⇒海外に依頼サイトがある。DDos⇒1時間25ドルでやります、という人。ハッカーコミュニティに依頼することもできる
攻撃を受けると、サイトが閲覧不可、機密情報が取得されます。特に後処理に莫大な費用がかかる可能性がありますので、対策を知る必要があります。
対策の内容ですが、今回は3つの攻撃への対策について、お話をいたしました。
1.ブルートフォースアタック
ID、Passを辞書を使って突破しようと言う攻撃。8桁半角英数字のパスワードであれば、2,3秒で突破される。パスワードは難しくしてください。
その他にも、3つほどブルートフォースアタックに対してやらなければならいことがあります。
例:ログイン失敗時のエラーコメントが不適切
IDは半角英数8桁です、パスワードがちがいます。IDがメールアドレスです、などというコメントは不適切です。IDが特定でき、パスワード8桁だと、数日で突破出来てしまう。
この場合、エラーが発生しました など、シンプルなコメントにしてください。
例:パスワードリマインダ機能が吐き出すメッセージが不適切
パスワードを問い合わせるための機能が、そのアドレスは登録されていません。パスワードを送付いたしました、などのメッセージを吐き出すと、そのアドレスの登録の有無がわかってしまいます。
例:アカウントロック機能の不備
パスワードを間違っても、画面が変わらずに、パスワードを永遠にトライし続けられる場合、数日でログインを許してしまう可能性があります。
ログインを数回ミスした時、追加の認証を要求するか、アカウントをロックするなどの対応が必要です。
2.強制ブラウジング
外部からリンクのはられていないページに、URLを直接撃ちこむことでアクセスを行う行為です。特にCMSを利用しているサイト、管理画面へのアクセスが一定のディレクトリに配置されているので、攻撃者がそれらのページを特定しやすく、隠したほうが良いです。
例えば、
・/icons /phpinfo.php
・/wp-admin /admin mt/mt.cgi
などのディレクトリにアクセス出来ないよう、制限を行うべきです。
3.ディレクトリリスティング
本来見えるべきではないディレクトリが見えてしまっている状態は、脆弱性が存在します。特に
/js
/img
/lib
/test
などのディレクトリが見えてしまっているサイトは、管理されていないサイトである可能性が高いと攻撃者も判断します。
ディレクトリリスティングの無効化設定を行ってください。
以上となります。10月15日にもセミナーを行いますので、ご興味のある方はぜひご参加ください!