20140824 mt tokyo_slideshare
TRANSCRIPT
![Page 1: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/1.jpg)
2014 年 8 月 24 日シックス・アパート株式会社
長内 毅志
Movable Type と CMS のセキュリティ
![Page 2: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/2.jpg)
•長内毅志–2011 年~ Movable Type プロダクトマネージャー
–2014 年~ ディベロッパーリレーションマネー
ジャー
エバンジェリスト
–ダンスとジョギングと家族が大好きです。
![Page 3: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/3.jpg)
アジェンダ
•最近の Web 改ざん
•どのような攻撃が存在するか
•Movable Type の特徴と安全性
•安全性を高めるために
![Page 4: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/4.jpg)
最近の Web 改ざん
![Page 5: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/5.jpg)
データ出典: JPCERT/CC インシデント報告対応レポートグラフ: http://www.nca.gr.jp/2013/web201303/
![Page 6: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/6.jpg)
ガンブラー
http://www.ipa.go.jp/security/txt/2013/07outline.html
![Page 7: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/7.jpg)
最近の改ざん手法
http://www.ipa.go.jp/security/txt/2013/07outline.html
![Page 8: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/8.jpg)
•CMS の管理権限を奪取してウェブサイ
トを改ざん
•CMS の公開ディレクトリに任意のファ
イルをアップロードしてウェブサイト
を改ざん
![Page 9: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/9.jpg)
CMS に関するハッキングの傾向
•20% は CMS のコア部分にある脆弱性
への攻撃、 80% はプラグインなど周
辺プログラムの脆弱性を狙った攻撃
BSI 「 Content Management Syttem 」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.htmlVia http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
![Page 11: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/11.jpg)
ここまでのまとめ
•最近のウェブ改ざんは、ウェブサー
バーや CMS の脆弱性を狙って攻撃す
るケースが多い
![Page 12: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/12.jpg)
どのような攻撃が存在するか
![Page 13: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/13.jpg)
もっとも多いパターン
•使用されている CMS を識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
![Page 14: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/14.jpg)
ブルートフォースアタック ( 総当り攻撃 )
イラスト:「 2014 年版 情報セキュリティ 10 大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html
![Page 15: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/15.jpg)
ファイルアップロード攻撃 ( バックドア )
イラスト:「 2014 年版 情報セキュリティ 10 大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
![Page 16: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/16.jpg)
その他
•SQL インジェクション
•CSRF
•XSS
–主にソフトウェアの脆弱性を付くもの
![Page 17: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/17.jpg)
ここまでのまとめ
•CMS が特定できると、攻撃しやすい
•総当たり攻撃やファイルアップロード
攻撃など、攻撃者は CMS とプラグイ
ンの脆弱性を狙って攻撃をおこなう
![Page 18: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/18.jpg)
Movable Type の特徴と安全性
![Page 19: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/19.jpg)
CMS サーバーと公開サーバーの分離
![Page 20: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/20.jpg)
ロックアウト
![Page 21: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/21.jpg)
アップロードファイルの制限設定
•AssetFileExtensions
–アップロードできるファイルの種類を制限
•DeniedAssetFileExtensions
–アップロードできないファイルを設定
![Page 22: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/22.jpg)
ジェネレーター情報の消去
![Page 23: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/23.jpg)
• https://www.ipa.go.jp/security/topics/alert20130913.html
![Page 24: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/24.jpg)
ここまでのまとめ
•Movable Type は安全性を高めるため
の設定・機能が揃っている
![Page 25: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/25.jpg)
Movable Type の安全性を
さらに高めるために
![Page 26: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/26.jpg)
最新版を使う
•最新版を使う
![Page 27: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/27.jpg)
管理画面に Basic 認証をかける
•管理画面に Basic 認証をかける
![Page 28: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/28.jpg)
CGI スクリプトの名称を変える
•CGI スクリプトの名称を変える
–AdminScript
•管理プログラムの CGI スクリプト名を設定します
–UpgradeScript
•アップグレードスクリプトを設定します
![Page 29: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/29.jpg)
使わない CGI スクリプトの権限を変える
•使わない CGI スクリプトの権限を変え
る
–MT のコメント機能を利用していない
•mt-comments.cgi の実行権限を無くす
–トラックバック機能を利用していない
•mt-tb.cgi の実行権限を無くす
![Page 30: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/30.jpg)
例
–Data API 機能を利用していない
•mt-data-api.cgi の実行権限を無くす
–ログフィード機能を利用していない
•mt-feed.cgi の実行権限を無くす
–公開サイトで MT の検索機能を利用していな
い
•mt-search.cgi, mt-ftsearch.cgi の実行権限を無く
す
![Page 31: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/31.jpg)
ロックアウト設定をする
![Page 32: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/32.jpg)
パスワードの強度を上げる
•パスワードの強度を上げる
![Page 33: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/33.jpg)
パスワードの桁数と組み合わせの種類
文字種の数 4 桁 6 桁 8 桁
10 種( 数字のみ )
1 万 100 万 1 億
26 種( 英小文字 )
約 46 万 約 3 億 約 2 千億
62 種( 英数字 )
約 1500 万 約 570 億 約 220 兆
94 種( 英数記号 )
約 7800 万 約 6900 億 約 6100 兆
「 Web 担当者フォーラム」よりhttp://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
![Page 34: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/34.jpg)
参考
https://howsecureismypassword.net/
![Page 35: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/35.jpg)
•Movable Type を
安全に利用するために
http://www.movabletype.jp/blog/
secure_movable_type.html
![Page 36: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/36.jpg)
まとめ
•常に最新版へアップデートすることが
改善防止につながる
•Movable Type の設定を調整すること
で、さらに安全性は高まる
![Page 37: 20140824 mt tokyo_slideshare](https://reader035.vdocuments.mx/reader035/viewer/2022081602/556bedcfd8b42a65458b4d18/html5/thumbnails/37.jpg)