OpenVPN&セキュリティ情報
2011-07-28
Webアプリケーション・ファイアウォール(WAF)の限界
ModSecurity SQL Injection Challenge: Lessons Learned から。この元記事はWebアプリケーションを開発している(特にデータベースを使用している)方にはぜひ一度ご覧いただきたいと思います。
mod_securityはご存知のとおり、Apacheモジュールとして提供されているWebアプリケーション・ファイアウォール(WAF)です。少し前に、mod_securityが導入されたテストサーバーへのSQLインジェクション攻撃を仕掛ける「SQL Injection Challenge」というイベントが開催されました。「とにかく早く攻撃を成功させる」という「Level.1」と、「mod_securityの警告を表示させることなく攻撃を成功させる(より実践的といえるでしょう)」という「Level.2」の2つのカテゴリで行われ、見事に何人かのユーザーが攻撃を成功させました。この記事では、このうち「Level.2」で攻撃を成功させた9人の手順を詳しく解説しています。SQLのコメント機能を使ったもの、Cookieを使ったもの、タブ文字などの特殊文字を使ったものなど、まさに多彩といえる攻撃パターンです。
Webアプリケーション・ファイアウォールを使用する際には、以下の点を覚えておいたほうがよいでしょう。
Read More
mod_securityはご存知のとおり、Apacheモジュールとして提供されているWebアプリケーション・ファイアウォール(WAF)です。少し前に、mod_securityが導入されたテストサーバーへのSQLインジェクション攻撃を仕掛ける「SQL Injection Challenge」というイベントが開催されました。「とにかく早く攻撃を成功させる」という「Level.1」と、「mod_securityの警告を表示させることなく攻撃を成功させる(より実践的といえるでしょう)」という「Level.2」の2つのカテゴリで行われ、見事に何人かのユーザーが攻撃を成功させました。この記事では、このうち「Level.2」で攻撃を成功させた9人の手順を詳しく解説しています。SQLのコメント機能を使ったもの、Cookieを使ったもの、タブ文字などの特殊文字を使ったものなど、まさに多彩といえる攻撃パターンです。
Webアプリケーション・ファイアウォールを使用する際には、以下の点を覚えておいたほうがよいでしょう。
2011-07-19
[OpenVPN TIPS] 証明書認証ではなく、ID/パスワード認証を使用する
OpenVPNを使用している方ならよくご存知だと思いますが、通常OpenVPNでは証明書認証を使用します。証明書認証はID/パスワード認証に比較すると安全性が高いとされます(もちろん、秘密鍵の管理方法に大きく依存します)が、証明書認証の概念を理解しにくいユーザーが秘密鍵や証明書を紛失しやすい(しかも、たいていバックアップは取っていない...)というリスクや、管理者の手間(証明書の更新、失効手続などが必要になる)などのハードルもあります。それで、OpenVPNをID/パスワード認証で使用したいというニーズも少なからずあります(プラムシステムズ株式会社のvpnux miniでは、認証方式としてID/パスワード認証を採用しています)。
OpenVPNでID/パスワード認証を使用する場合は、以下のようにします。
では、iniファイル形式で記述されたID/パスワードファイルを使って認証を行う、簡単なpythonスクリプトを作成してみましょう。
Read More
OpenVPNでID/パスワード認証を使用する場合は、以下のようにします。
[1] ID/パスワード認証を行うプラグインを作成する
OpenVPNでID/パスワード認証を行うには、ユーザーから送信されてくるID/パスワードを認証する機能を独自に実装する必要があります。この実装方法には2つの方法があり、(1) スクリプトプラグイン(auth-user-pass-verifyディレクティブと組み合わせる)を使用する、(2) コンパイルされたShared ObjectやDLLとしてのプラグイン(pluginディレクティブと組み合わせる)を使用する、のいずれかになります。動作速度やセキュリティの面では (2) が優位ですが、(1) のほうが手軽に利用できます。基本的な動作は共通で、スクリプト内で認証処理を行い、認証に成功したら 0 を、失敗したら 1 を戻り値として返します。[2] サーバー側のOpenVPN設定ファイルを変更する
サーバー側のOpenVPN設定ファイルを変更し、作成したプラグインを使って認証を行うよう設定します。では、iniファイル形式で記述されたID/パスワードファイルを使って認証を行う、簡単なpythonスクリプトを作成してみましょう。
2011-07-14
インターネット上でまた一人の死者が生まれた
Hugh Hefner is NOT dead - hoax spreads across the internet から。「PLAYBOY」誌の発刊者として知られ、少し前には結婚式直前に婚約破棄となったことでメディアを賑わせたヒュー・ヘフナー氏が死んだというニュースがインターネット上を駆け巡りました。結局これはデマで、ご本人がTwitterで「元気ピンピンだよ!(I'm very much alive & kicking.)」とおっしゃってます。
こちらでもオバマ大統領暗殺のデマについて取り上げましたが、SNSの普及により情報の発信と拡散が容易になった結果、この手のデマの広がる規模やその速度は今まで以上になっています。他にも、過去にはトム・クルーズやジョニー・デップ、エマ・ワトソンやカニエ・ウェストなどがインターネット上では一度死んだことになっています。
単なるいたずらとしてのデマだけでなく、衝撃的なニュースで興味を引かせ、URLにリンクさせてマルウェアを仕込むような攻撃も頻発しています。大きなニュースや、「まさか!?」と思うようなニュースのときには特に、複数の情報源、特に信頼できる情報源から裏を取るような習慣を根付かせておくことは大切ですね。
Read More
こちらでもオバマ大統領暗殺のデマについて取り上げましたが、SNSの普及により情報の発信と拡散が容易になった結果、この手のデマの広がる規模やその速度は今まで以上になっています。他にも、過去にはトム・クルーズやジョニー・デップ、エマ・ワトソンやカニエ・ウェストなどがインターネット上では一度死んだことになっています。
単なるいたずらとしてのデマだけでなく、衝撃的なニュースで興味を引かせ、URLにリンクさせてマルウェアを仕込むような攻撃も頻発しています。大きなニュースや、「まさか!?」と思うようなニュースのときには特に、複数の情報源、特に信頼できる情報源から裏を取るような習慣を根付かせておくことは大切ですね。
2011-07-13
今後1年の間に、1/20のAndroid/iOSデバイスがマルウェアに感染するという予測
5% of iPhones/Android handsets to be infected in next 12 months から。この記事では、単にマルウェアによる被害が拡大する、という点よりも、オンラインバンキングや支払い機能などをターゲットにしたマルウェアやトロイが大幅に増加するという懸念が取り上げられています。ユーザーの名前やメールアドレスといった基本情報を盗み出す段階から、お金に直結する情報、オンラインバンキングのIDとパスワードなどの重要な情報を抜き出す段階に移行してきているということでしょう。
現時点においては、AndoroidやiOSを搭載したスマートフォンから使用できるオンラインバンキング機能を提供している金融機関はまだそれほど多くはありません。しかし、金融機関の公式Webサイトからのアクセスという形での利用は可能な場合も多く、専用アプリなどによる対応も今後は広がっていくことになるでしょう。何らかのマルウェアに攻撃されたスマートフォンでオンラインバンキング機能を使用したときにIDやパスワードが抜き取られるという「Man in the Mobile」攻撃が発生することは容易に想像できますし、既にこの種のツールがAndroidへ移植されているという観測もあります。
「Man in the Mobile」攻撃については、NTTデータ DIGITAL GOVERNMENTでもインタビューの形で同じ問題が取り上げられています。
iOSについても、仕組み上はAndroidよりも安全なようですが、ユーザーが思っているほどは安全ではないとのこと。少なくないユーザーがJailBreakしていることもあり、やはり同じリスクがあると述べられています。
スマートフォンのユーザー層の拡大は疑いようはありませんし、今後も世界中で拡大を続けていくでしょう。その中での5%とすると、その数も相当になります。スマートフォンは機能性や手軽さが強調されることが多いですが、こういったリスクや危険性があることも併せて知っておく必要がありますね。
2011-07-07
Dropbox 認証バイパス事件、集団訴訟へ
こちら(続編はこちらとこちら)で取り上げたDropboxの認証システムのバグですが、その後の対応について集団訴訟が起こされました。Dropbox Cloud Authentication Bug Sparks Class Action Suit で報じられています。
これらの記事によると、ロサンゼルス在住のDropboxユーザー Cristina Wong が集団訴訟を起こしたとのこと。訴えによると、Cristinaはユーザーだったのに、この問題や危険性について数日後のニュース報道まで知らず、Dropboxから何の連絡も来なかったことを問題視しています。Dropboxの唯一の公式アナウンスとなったブログでの投稿はユーザーへの通知としては不十分であり、すべてのユーザーが適切な通知を受け取るべきだったと主張し、さらにはDropboxが「他のストレージサービスよりも安全」であると宣伝し、ユーザーに機密データや重要なデータをアップロードさせた、としています。
ちょうどこのタイミングでDropboxが規約を変更したことも相まって、ユーザーに議論を巻き起こしているようです(なお、Dropboxの公式サイトに掲載されている改定後のサービス規約やプライバシーポリシーはまだ英語のみです。Dropboxは日本でもかなりのユーザーがいますが、ここに掲載されている英語の長文の文書を日本の多くのユーザーは理解できないことになります)。
まだ訴訟が起こされた直後という段階ですが、個人的にもDropboxの今回の対応に懸念を抱いていたこともあり、今後も注目していきたいと思います。まさにクラウド時代の構造とも言える、それほど大きくない会社が世界中に膨大なユーザーを抱えるという『クラウドサービス』で起きた問題に対するユーザー対応という意味でも、特に注視すべき事例と言えると思います。
2011-07-04
FoxNewsのTwitterアカウントがハックされて...バラク・オバマの暗殺をツイート
Fox News Twitter account announces Barack Obama dead after hack から。アメリカのニュース専門放送局であるFox Newsの政治部の公式Twitterアカウントがハックされ、アメリカ大統領バラク・オバマが暗殺されたと報じました。もちろん、デマです。
報道機関の公式Twitterアカウントの情報は、ユーザーから一定の信頼を持って受け止められますから、その公式アカウントでデマが流れることは大きな問題です。当然このデマは人々の関心を呼び、リツイートされていると報じられています。当然他のニュース報道などから見て事実ではないことはすぐにわかりますから、デマとわかって拡散しているのでしょう。
ちなみに、日本時間の7月4日の午後8時45分現在、このツイートは削除されていません。パスワードを変えられて(まあハッキングした後は当然そうするでしょうが)入れなくなり、ツイートの削除ができないということでしょうか。
ID(メールアドレス)とパスワードだけでログインでき、いとも簡単に情報を広く拡散できるのは、Twitterの大きなアドバンテージであると同時に、リスクでもあります。企業の公式Twitterアカウントもたくさん存在していますが、アカウントの乗っ取りなどが発生しないよう、今まで以上に情報管理の徹底が求められますね。
Read More
報道機関の公式Twitterアカウントの情報は、ユーザーから一定の信頼を持って受け止められますから、その公式アカウントでデマが流れることは大きな問題です。当然このデマは人々の関心を呼び、リツイートされていると報じられています。当然他のニュース報道などから見て事実ではないことはすぐにわかりますから、デマとわかって拡散しているのでしょう。
ちなみに、日本時間の7月4日の午後8時45分現在、このツイートは削除されていません。パスワードを変えられて(まあハッキングした後は当然そうするでしょうが)入れなくなり、ツイートの削除ができないということでしょうか。
ID(メールアドレス)とパスワードだけでログインでき、いとも簡単に情報を広く拡散できるのは、Twitterの大きなアドバンテージであると同時に、リスクでもあります。企業の公式Twitterアカウントもたくさん存在していますが、アカウントの乗っ取りなどが発生しないよう、今まで以上に情報管理の徹底が求められますね。
2011-07-01
2010年 情報セキュリティインシデントに関する調査報告書から
日本ネットワークセキュリティ協会(JNSA)の「2010年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」から。最新の日本国内の状況を知る上で貴重な資料です。本編、付録それぞれ 50ページ以上ありますが、企業の情報セキュリティを扱う立場にある方は一度ご覧になることをお勧めします。
この報告書の内容で、注目すべき傾向はこのようなものです。
意外なことに、家で業務をするなどの理由で不正にデータを持ち出してしまうケース(「不正な情報持ち出し」)というのはそれほど多くないようです(上記の「紛失/置き忘れ」は許可されている状況下でデータを持ち出し、紛失してしまったというケースです)。最近は個人情報の持ち出しについてはかなり意識されているということでしょうかね。
この報告書の結果から見える一つの点は、「セキュリティ」といってもシステム的な面だけでなく、ユーザーの意識や行動に起因するものもかなり多い、という状況です。
「管理ミス」や「誤操作」は基本的に人間のミスに起因するものです。人間はどうしてもミスをするものなので、そのミスをシステムでカバーする、またはそもそもミスを起こりにくくする、という観点から仕組みを作る必要があります。たとえば「BCCに入れるべきアドレスをCCに入れてしまった」というような典型的なケースを避けるために、通常のメールソフトを使わずに配信専用のツールを使う、などの方法も簡単な一例ですね。
外部からの攻撃に備えると同時に、ヒューマンエラーによる情報流出被害を最小化するためにいかにシステムやツールを活用できるか。こういった提案力が求められる時代、特にユーザーの観点に立った現実的なソリューションを提供できるよう考えていきたいと思います。
Read More
この報告書の内容で、注目すべき傾向はこのようなものです。
- 原因としては、「管理ミス」、「誤操作」、「紛失/置き忘れ」という3つの合計で80%に。いわゆる外部からの攻撃というよりは、内部の問題が多いことがわかります。
- 流出媒体として一番多いのは「紙媒体」で約70%。その後「USB等可搬記録媒体」の12.4%、「電子メール」の6.8%と続きます。
- 業種として一番多いのが「公務」で33.1%。その後「金融業、保険業」、「教育、学習支援業」と続きます。
意外なことに、家で業務をするなどの理由で不正にデータを持ち出してしまうケース(「不正な情報持ち出し」)というのはそれほど多くないようです(上記の「紛失/置き忘れ」は許可されている状況下でデータを持ち出し、紛失してしまったというケースです)。最近は個人情報の持ち出しについてはかなり意識されているということでしょうかね。
この報告書の結果から見える一つの点は、「セキュリティ」といってもシステム的な面だけでなく、ユーザーの意識や行動に起因するものもかなり多い、という状況です。
「管理ミス」や「誤操作」は基本的に人間のミスに起因するものです。人間はどうしてもミスをするものなので、そのミスをシステムでカバーする、またはそもそもミスを起こりにくくする、という観点から仕組みを作る必要があります。たとえば「BCCに入れるべきアドレスをCCに入れてしまった」というような典型的なケースを避けるために、通常のメールソフトを使わずに配信専用のツールを使う、などの方法も簡単な一例ですね。
外部からの攻撃に備えると同時に、ヒューマンエラーによる情報流出被害を最小化するためにいかにシステムやツールを活用できるか。こういった提案力が求められる時代、特にユーザーの観点に立った現実的なソリューションを提供できるよう考えていきたいと思います。
登録:
投稿
(
Atom
)
Profile
- 山崎 太郎 (Taro Yamazaki)
- プラムシステムズ株式会社所属。 主にVPN(OpenVPN)やセキュリティ関連技術、Webアプリケーションを手がけています。
Page Views
Popular Posts
-
「VPNっていろいろあるけど、OpenVPNのメリットって何?」 という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。
-
現在ダウンロードできるOpenVPNでは、今まで認証局の構築で使用していたeasy-rsaが含まれなくなっています。 OpenVPN.netのダウンロードページ にも Note that easy-rsa is no longer bundled with OpenVPN...
-
Jan Just Keijser氏の記事「 Optimizing performance on gigabit networks 」については こちら でも概要を取り上げましたが、記事全体にいろいろなヒントが含まれていますので、全文の日本語訳を掲載しています。意訳している部分も...
-
OpenVPNでは、接続してきたクライアントのVPNアドレスは動的に割り振られます(その際に割り振られる際のアドレス範囲はOpenVPNサーバー側設定ファイルに基づきます)。特定のVPNクライアントに特定のVPNアドレスを割り振りたい場合、OpenVPNでは以下の2つの方法で設定...
-
では、いよいよiPhone構成ユーティリティでVoDの設定をしてみましょう。あ、 前の記事 での準備はきちんとやっておいてくださいね!
-
前回 は2つのワンタイムパスワードの生成方法について取り上げました。今回はいよいよ実際の生成アルゴリズムを取り上げましょう。TOTPをベースに説明します(ただ、前回も解説したように、基本的なロジックはTOTPとHOTPで同じです)。 参考としてpythonのコードも併記してみま...
-
OpenVPNはLinuxをはじめとした幅広いプラットフォームで動作実績があるのが特徴の一つです。 今回は、最近の電子工作ブームでも話題のシングルボードPC 3機種をOpenVPNサーバーとしてセットアップし、OpenVPNのVPNパフォーマンスを測定してみましょう。
-
現時点においてはマニュアルやHowToにも記載されていない(ChangeLogにちょっとだけ出てきます)あまり知られていない機能なのですが、「設定ファイルで鍵ファイルや証明書ファイルのパスを記載する」という通常の方法とは別に、「鍵ファイルや証明書ファイル内のデータをそのまま設定フ...
-
前回 はワンタイムパスワードの基本的な仕組みについて説明しました。サーバー側とクライアント側で、それぞれ共通のルールに基づいてパスワードを生成させる必要があることを取り上げましたが、今回は OATH が規定しているその生成ルールについて具体的に説明します。 ワンタ...
-
OpenVPN Connect for iOSがリリース されましたので、それを記念(?)して、OpenVPNサーバーにiPhoneから接続する手順をまとめてみましょう。
© yamata::memo 2013 . Powered by Bootstrap , WebLyb