Hardening day's Night~俺たちの Hardening in 沖縄 レポート 第6回「攻撃開始」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

Hardening day's Night~俺たちの Hardening in 沖縄 レポート 第6回「攻撃開始」

研修・セミナー・カンファレンス セミナー・イベント

●Hardenning Day編 繰り広げられる攻撃

朝10時から実行委員長 門林さんの開会宣言。内閣府 沖縄総合事務局の大城さん、StarBED産みの親JAIST篠田先生のご挨拶に引き続き、kuromame6 川口さんによるルール説明が行われ、競技は11時半から開始されました。

1.情報が足りないとき、事故が起きる!

Hardeningは、売上げや稼働率が重要な指標であることは間違いないですが、法令および社内の運用ルール遵守を重視しています。システム構成資料と社内の運用ルールドキュメントは、当日配布されますので十分に読み込んで理解しておく必要があります。

ドキュメントをチーム内でシェアするために、スキャナや、プリンタを持ち込むチームもいました。最終的には紙に出して確認するのが、一番確実な方法かもしれません。

ただし、システム構成資料には幾つかミスがあり(これはあえて残しているものです)、ホスト一覧にはないシステムが稼働していました。

しかもそのサーバが稼働していなければ、売上げはカウントされない設定になっており、存在しないはずのシステムを見つけるためのヒントは、配られた資料の別のページに存在していたのです。また、資料の中から見つける事が出来なかったとしても、管理外の機器が存在していないか、ネットワークスキャナなどを使って最初に確認するのは重要なことです。存在しないはずのWebサーバに気づいたチームは、早期に監視対象に組み込むことができ、後々の売上げ増に繋がったようです。

翌日のSofteningでは「あとで考えれば、資料が正しいはずだと思い込んだのは間違っていた」「構成管理が現実とは違うのはよくある話」という発言が複数のチームから聞かれました。

2.BaiduIME で変換情報が外部に送られる

参加者用Windowsの一つには、BaiduIMEがインストールされていました。

この記事を読んでいる皆さんはピンと来た方もいらっしゃると思いますが、以前のBaiduIMEは既定で文字変換情報をクラウド上のサーバに送る設定になっており、それが情報漏えいに繋がるのではないかと騒ぎになったことがありました。

kuromame6は、変換情報を参照できるサーバを用意して、競技開始直後から参加者がWindowsに入ってくるのを今か今かと待っていました。

参加者が、その端末でメールを作り始めると一斉に変換情報がkuromame6のもとに送られてきます。

早々に気づいてアンインストールあるいは設定変更したチームもいましたが、最後まで気づかないチームも幾つかありました。

※現在のBaiduIMEは、クラウド変換がデフォルトOFFに変更されています。

3.管理画面の脆弱なパスワード

コーポレートサイトには、WordPressを採用しました。WordPressで改ざん等の被害を受ける原因の一つに、管理者画面のパスワードが脆弱であることがあげられます。

今回も非常に脆弱なパスワードを設定していましたが、ショップサイトのメンテナンスでこちらに手が回らなかったのでしょうか。最終的にパスワードを修正していたのは、半分の4チームだけでした。

このコーポレートサイトが、kuromame6のyouによって改ざんされ、遠隔操作ウィルスに感染する被害を受けた参加者は、3チームでした。コンソールをのぞかれた参加者は、ちょうどメールを書いているところで、エディタを使ってyouとひと時のチャットを楽しんだそうです。

添付ファイルにマルウェアをつけた標的型攻撃メールも同様に送信されていましたが、Hardening経験者がいるチームでは、未経験のチームメンバに「添付ファイルは開くなっ!」と指示が飛んでいたようです。


4.次々と舞い込む問い合わせやクレーム

参加者は7つのメールアカウントを渡され、そこに届くメールに対処しながら競技をすすめていきます。

1発目は、いきなりの情報漏洩。岡田社長の友人でもあるエンドユーザから社長に直接苦情のメールが届き、社長から早急に解決して報告書を提出するように指示されます。各チームから提出された報告書はその場で印刷され、共催、スポンサー企業のゲストの皆様に評価してもらいました。

そのほかにも、以下のようなメールを送りました。

<HeartBleed  JPCERT/CCからの注意喚起>

CAあてに、証明書の再発行依頼があるかどうかがポイント。

<なりすましによる不正ログイン IPAからの注意喚起>

対象ユーザの特定、パスワードのリセット、Webでの注意喚起を実施したかどうかがポイント。

<フィッシングサイト エンドユーザからの情報提供>

フィッシング対策協議会に対応を依頼するかがポイント。

<DNS open resolver / NTP monlist  JPCERT/CCからの注意喚起>

DNSサーバ、NTPサーバの設定変更を実施するかがポイント。

<標的型攻撃 標的型攻撃メール>

うっかり添付ファイルを開かないかがポイント。


5.ラスト30分の攻防

4つのサイトの稼動を維持しながら、様々な攻撃に対処し、脆弱性を修正しながら、売り上げを維持する活動もいよいよ佳境に入ってきます。

攻撃の一つにkuromame6のkeigoによる無慈悲なる攻撃「在庫ゼロ攻撃」がありました。SQLインジェクションの脆弱性をついて、商品の在庫をゼロにしてしまう恐ろしい攻撃です。残念ながら、当該脆弱性を修正したチームは1チームもありませんでしたが、在庫状況を監視してゼロになったら増やすという地道な対応によって売り上げを維持していたようです。

さらに、WebDAVのPUTによるトップページの改ざんもありました。

これらの監視を効率よく実施したチームは、売り上げを伸ばして他のチームを逆転することができたようです。

6.元気の源と癒しの演出編

Hardeningといえば、ユニークなお弁当。最近カレー大学 カレー伝統師の資格を取得したiromame7 食のエバンジェリスト 岡田さんのチョイスによる、おいしいお弁当が参加者に振舞われます。今回は沖縄の食材で作られた「季節の30品目弁当」。参加者は味わって食べる暇はなかったようですが、ヘルシーなおいしい弁当でした。

午後には、カーテンを締め切って空調が効いた(むしろ沖縄らしくない寒さの)会場に、良い香りが漂ってきました。

地元沖縄の自家焙煎珈琲豆宅配専門店「HOME COFFEE」からバリスタにお越しいただき、おいしいコーヒーを淹れていただきました。冷えた体に温かいコーヒーが心地よくおかわりしてしまいました。

HOME COFFEE
http://homecoffee.ti-da.net/

コーヒーと言えば、おやつが欲しくなりますね。こちらも沖縄のケーキ屋さんデザートラボ「ショコラ」からたくさんの焼き菓子が提供されました。疲れた脳に糖分が行き渡り、攻撃の勢いがアップしたのは言うまでもありません。ご馳走様でした。

ショコラ
http://www.chocolat2007.jp/

●協賛企業

今回もたくさんの企業、組織に後援、協賛していただきました。遠い沖縄までお越しいただき、参加者に激励を送り、報告書の評価も手伝っていただきました。

お弁当やランチパーティなど、美味しい食事がいただけるのもスポンサー企業のおかげですね。

また、Hardeningオンラインカンファレンスには、ゲストスピーカーとして、総務省の鈴木さん、サイボウズの竹迫さんにお越しいただきました。

(Hardening 実行委員 中西 克彦)
《中西 克彦》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 脆弱性診断サービスはどこまで標準化できるのか(SHIFT SECURITY)

    脆弱性診断サービスはどこまで標準化できるのか(SHIFT SECURITY)

  2. [今週開催] 日本発の国際サイバーセキュリティ会議 CODE BLUE 2017、三つの挑戦

    [今週開催] 日本発の国際サイバーセキュリティ会議 CODE BLUE 2017、三つの挑戦

  3. 京王電鉄のサイバーセキュリティ、2005年の契機

    京王電鉄のサイバーセキュリティ、2005年の契機

  4. サイバー犯罪対策、産学官連携の成果 -- JC3 間仁田氏報告

  5. DMARCの国内ISP導入事例

  6. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第5回「知らないと困る?! 認証局とHTTPSの最新動向」について語る

  7. 総務省の「自治体情報システム強靱性向上」、その成果と新たな課題

  8. 2017年8月25日 名和利男の目に映った光景

  9. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第4回「サイバー攻撃最前線2017」について語る

  10. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第3回「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」について語る

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×