Embed Size (px)
DESCRIPTION
名古屋EC-CUBE勉強会 vol.11
Citation preview
名古屋EC-CUBE勉強会 vol.11
明日は我が身。 他人事ではないECサイトのセキュリティのお話。
2014年2月1日 @AlomaForest!大河内健太郎
自己紹介❖ 名前: 大河内健太郎(@nanasess) 年齢: 37才!
❖ 出身: 愛知県西尾市一色町!
❖ 在住: 宝塚市!
❖ 前職: 寿司屋の板前(安城市の「ひで寿司」)!
❖ 資格: 調理師・ふぐ処理師!
❖ Mac OS X / Windows Azure !❖ EC-CUBE コミッター・公式エバンジェリスト!
❖ GNU Emacs のアイコンを作った人です
Agenda
❖ 本当にあった不正アクセスのお話!❖ 不正アクセスのいろいろ!
❖ 他人事ではない! 危険なポイント!
❖ 今すぐできるセキュリティ対策!
❖ 大丈夫?! クラウドのセキュリティ
番外: 消費税額計算の落し穴
本当にあった不正アクセスのお話 某雑貨屋さん
❖ クレジットカードの不正利用の報告!
❖ カード情報を保持しない決済モジュールなのに何故?!
❖ 立て続けに3件。明らかにおかしい
本当にあった不正アクセスのお話 某雑貨屋さん
❖ 調査をすると、、、!
❖ カード入力フォームの PHP を改竄された(゚〇゚;)!
❖ サーバーコントロールパネルの脆弱性を攻撃!❖ カード番号を保持していなくても、ユーザーの入力値がそのまま流出していた!
❖ 3Dセキュアを使用していても防げない…
本当にあった不正アクセスのお話 某雑貨屋さん
❖ コントロールパネルで使用しているソフトの保守が切れていた!❖ バージョンアップするには、サーバー移行が必要!
❖ サーバー移行に伴い、PHPのバージョンが上がるためコンテンツに影響あり!
❖ 移行の検討をしていたところ、被害に遭遇(涙)
本当にあった不正アクセスのお話 某アパレル屋さん
❖ サイトがやけに重くなってきた。と思ったら
本当にあった不正アクセスのお話 某アパレル屋さん
❖ 全てのPHPを改竄されていた∑(゚□゚;)
本当にあった不正アクセスのお話 某アパレル屋さん
%x7825G]y6d]281Ld]6]271]y7d]252]y74]256]y39]252]y83]273]y72]282#<!%x5c%x7825tjw!>!#]x5c%x7825tww**WYsboepn)%x5c%x7825bss-%x5c%x78%x787f_*#fubfsdXk5%x5c%x7860{66~6<&w6<%x5c%x787fw6*CW]254]y76#<%x5c%x7825tmw!>!#]y84]275]y83]273]y76]277#<%x5c%x7825t5c%x78e%x5c%x78b%x5c%>X)!gjZ<#opo#>b%x5c%x782x5c%x7825ww2)%x5c%x7D6#<%x5c%x7825fdy>#]D4]273]D6P2L5Pc%x7827!hmg%x5c%x7825)!gj!<2,*j%x5c%qpuft%x5c%x7860msvd},;uqpuft%x5c%x7860msvd}+;!782f},;#-#}+;%x5c%x7825-qp%x5c%5c%x7860LDPT7-UFOJ%x5c%x7860GB)fubfsdx5c%x787f;!|!}{;)gj}l;33bq}k;opjudovg}%x5c%x7878;0]=])0#)U!%x5c%x782c%x7825i%x5c%x785c2^<!Ce*[!%x5c%x7825cIjQeTQcOcW&)7gj6<.[A%x5c%x782c%x7825)}.;%x5c%x7860UQPMSVD!-id%x5c%x7825)u%x5c%x7825!*3>?*2b%x5c%x7825)gpf{jt)!gj!<*2bdx7825)sutcvt-#w#)ldbqov>*ofmy%x5c%x756<pd%x5c%x7825w6Z6<.4%x5c%x7860hA%x5c%x7827pd%x5c%x78256<pd%x5c%x7825c%x7827&6<.fmjgA%x5c%x7827doj%x5c%x78c%x7824*<!~!dsfbuf%x5c%x7860gvodujpo)c%x7827u%x5c%x7825)7fmji%x5c%x78786<C%x5c%x7827&6<*rfs%x5c%x782#]D6]281L1#%x5c%x782f#M5]DgP5]825hIr%x5c%x785c1^-%x5c%nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]368]322]3]%x5c%x7825-#1GO%x5c%x7822#)fepmqyfA>2b%x5c%x7825!<81#%x5c%x782f#7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6x7825%x5c%x785cSFWSFT%utpi}Y;tuofuopd%x5c%x7860ufh25)3of:opjudovg<~%x5c%x7824<!%x5c%x7825o:!>!%x364]6]283]427]36]373P6]36]73]83]238M7]381]211M5245]K2]285]Ke]53Ld]53]Kc]55Ld]55#*<%x5c%x7825bG9}:}.}-}!#*<%x5c%x77{**u%x5c%x7825-#jt0}Z;0]=]0#)2q%x5c%x7825l}S;2-u%x5c%x7825*3qj%x5c%x78257>%x5c%x78,*j%x5c%x7825!-#1]#-256<%x5c%x787fw6*%x5c%x787fXA%x5c%x7827K6<%x5c%x787fw6)%x5c%x7825cB%x5c%x7825iN}#-!tussfw)%x5c%x7825c*W%x5c%x7825eN+#Qi%x87f<u%x5c%x7825V%x5c%x7827{ftmfV%x5c%x787f<*X&Z&S{ftmfV%x5c%x787fx7825)54l}%x5c%x7827;%x5c%x7825!<*#}_;#)323ldfid>}&;!osvufs}%x5c%x>%x5c%x7825s:%x5c%x785c%x5c%x7825j:^<!%x5c%x7825w%5!**X)ufttj%x5c%x7822)gj!|!*nbsbq%x5c%x7825)32)!gj!<*#cd2bge56+99386c6f+9f5d816:+y8%x5c%x7824-%x5c%x7824]26%x5c%x7824-%x5c%x7824<%x5c%x7825j,,*!|%x5cR37,#%x5c%x782fq%x5c%x7825>:%x5c%x785c%x5c%x7825j:.2^,%x5c%x7825b:<!%x5c%x7825c:utcvt)!gj!|!*bubE{h%x5c%x7825)j{hnpd!opjudovg!|x7825-#1]#-bubE{h%x5c%x7825)tpqsutx7825r%x5c%x785c2^-%x5c%x7825hOh5c%x7825>j%x5c%x7825!*3!%x5c%x7827!hmg%x5c%x7825!)!gj!<265","%x65%166%x61%154%x28%151%x6d%160%x6c%157%x64%145%x28%141%xx7824-%x5c%x7824!>!tus%x5c%x7860sfqmbdf)%x5c%x782c%x7825bbT-%x5c%x7825bT-%x5c%x7825hW~%x5c782f#%x5c%x782f#%x5c%xgj6<^#Y#%x5c%x785cq%x5c%xq%x5c%x7825)ufttj%x5c%x7822)7825tzw>!#]y76]277]y72]265]y39]27<*msv%x5c%x78257-MSV,6<*)ujojR%x5c%x7825kj:-!OVMM*<(<%x5c%x78e%x5>!}%x5c%x7827;!>>>!}_;gvc%x5c%x7825}&;ftmbg}%x5c24*<!%x5c%x7824-%x5c%x7824gps)%x5c%x7825j>1787f;!opjudovg}k~~9{d%x5c%x7825:osvufs:~928>>%x5c%x7822:ftmbg39*56A:>:pd%x5c%x7825w6Z6<.5%x5c%x7860hA%x5c%x7827pd%x5c%x782146%x21%76%x21%50%x5c%x7825:4:|:**#ppde#)tutjyf%x5c%x12>j%x5c%x7825!|!*#91y]c9y]g2y]#>>*4-1-bubE{h%x5c
※ 一部抜粋です
本当にあった不正アクセスのお話 某アパレル屋さん
❖ よくある共有サーバーの脆弱性を攻撃されたらしい!❖ パーミッションの不備が原因!
❖ 全PHPファイルを修正して、サーバーを移行することに!
❖ 移行先も共有サーバーなので似たような問題を抱えている
不正アクセスが発覚したら❖ すぐにサイトを閉じる!!
❖ FTPやログインのパスワードを変更する!!
❖ サーバーの管理会社、制作会社、IPAなどへ報告する!!
❖ 指示に従う。調査のために勝手にサイトを復旧させない!❖ サーバーを移行しても解決にならない場合もあります!
❖ 困った時にはすぐご連絡を! @nanasess
不正アクセスのいろいろ❖ Webサイトの改竄!
❖ 脆弱性攻撃!❖ 設定不備攻撃!
❖ メールサーバー乗っ取り!
❖ PCからのウイルス感染!
❖ FTPパスワード盗用!
❖ 総当たり攻撃!
❖ DoS(Denial of Service attack)!
❖ ソーシャルハッキング!❖ フィッシング
などなどhttp://www.ipa.go.jp/files/000026728.pdfIPAのくわしい資料
他人事ではない! 危険なポイント❖ フリーのCGI!
❖ おぼえやすいパスワード!❖ パーミッション!❖ 共有サーバー!
❖ PHPを使っている ガーン!(‾□‾;)!
❖ http://blog.ohgaki.net/lamp-4!❖ もちろん他の言語でも危険!
!
!
❖ FTPのパスワード!
❖ SCP がおすすめ、でも管理がずさんだと同じ!
❖ 古いバージョンのアプリケーション!❖ セキュリティホールが放置されている可能性
今すぐできるセキュリティ対策❖ パスワードを難しいものに変える!!
❖ 記号を入れるだけで、ずいぶん強力になる!❖ パーミッションの確認!
❖ 777 は駄目。書き込み、実行権限は最低限に!!
❖ FTPを FTPS にする!
❖ 手軽に暗号化できる!
❖ IPAのサイトを参考に! http://www.ipa.go.jp/security/vuln/
index.html
大丈夫?! クラウドのセキュリティ
❖ 銀行にお金を預けるようなもの!
❖ ISO/IEC 27001:2005 などの主要な業界標準に準拠!
❖ データを自分で持ってるより安全かも!
❖ でも管理方法が悪ければだめ(´・ω・`)!
❖ 特に IaaS はふつうのレンサバとあまり変わらない…
http://aws.amazon.com/jp/security/
http://www.windowsazure.com/ja-jp/support/trust-center/security/
番外: 消費税額計算の落し穴
税込価格 ÷ 1.05 = 税抜価格!
税込価格 x 5 ÷ 105 = 消費税額!!
❖ どちらで運用してますか?!
❖ どちらも正しいけど、まぜるな危険!!
❖ 割引額の計算、端数処理も要注意!
質疑応答
ご静聴ありがとうございました!
