最終報告書を読む
九州商船株式会社のWEB予約サービスに対する不正アクセスについて、最終報告書が公開されました。報告書を読ませていただきましたが、その内容に関して大変勉強となることが多く含まれています。
弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船
※ITmediaでニュースにもなっていましたので追記しておきます。
不正アクセスの目的は、linuxに不正侵入し仮想通貨マイニングを行うというものです。データを盗み出すのではなくマイニングというところが2018年っぽいです。ただCPUが100%に張り付くのですぐに見つかってしまっていますが。
この報告書について考察してみます。
原因についての考察
原因はvsftpdで使っているFTPプロトコルをANYで開けていて、ブルートフォースでパスワードが割れてしまったこと。かつ、OS/ミドルウェアの更改時に乗せ替え用の仮パスワードを設定し、そのまま本運用に入ってしまったという、あるある不正アクセスです。
もはや、ANYで開けていいものは、HTTP/HTTPS、あとはSMTPぐらいだと思います。
また、FTPはもはや古すぎるプロトコルで平文のパスワード認証も危険です。PDF中にもある通り、秘密鍵認証で利用する人だけがSCPでファイルコピーする方法がベストだと思います。
※と、報告書にも書いてあります。
報告書の出来が秀逸
とうことで不正アクセスの原因と手口については、他で頻発していることと差はないのですが、この報告書の綿密さはすごいと思います。調査委員会の報告書はいわゆるISMS的な観点から見た対策、解析編については専らアプリおよびインフラの技術的な内容に終始しています。この「解析編」の方が特に、これを外部に公開し同業に注意喚起を促す意味でかなりの効果があると思います。
もし、同様の現象に当たってしまったら、おそらくこの粒度で報告書を書かなければいけないということだと思います。この粒度まで書いてある報告書を正直見たことがありません。インフラ側だけであったり、アプリ側だけであったり。
また、報告書を見ればわかるのですが、構築時にログの詳細度を変更しており、またログをきちんとアーカイブして保管していたので現象が細部まで追えたということもわかります。ログの詳細度をあげた上でこれをきちんと保管すること、これも大事。
また、二次被害を避けるためddコマンドでディスクの内容をコピーして解析しているところも慎重極まりないです。
読み取れたこと
私は以下が読み取れました。
・不正アクセスは起こってみるとだいたいが稚拙なところを狙われている。技術的には高いレベルではない場合が多い。いわゆる戸締りを忘れたぐらいなレベル。しかし攻撃者は全部のドアを開けようとしてくるからタチが悪い。ドアを設けないのが一番のセキュリティー対策。
・被害にあったらまずサービスを閉じる。そしてオフラインにする。調査はそのまま行わず、レスキューCDなどでディスクを読み取り専用でマウントしてから、中身をコピーするなどの対策を行って、コピーしたディスクを解析する。(証拠を隠滅するプログラムが中で動いている可能性あり)
・構築時のパスワードがそのまま運用に残らないよう、IDの棚卸は本番リリース前にやったほうがいい。
・普段の運用で、ログの詳細度を上げておき、有事の際は解析できるようにしておく。デフォルトでは困るケースがある。
・解析は、アプリケーション・インフラ両方の観点が必要となる。
・当該不正アクセスの直接の影響だけではなく、他の脆弱性の検討も行い記載する必要がある。
・データの不正読み出しがあったかどうかを検討するためには、データベースログの解析が必要となる。個人情報等を預かるデータベースにおいてはこれを可能な状態にしておいた方がよい。(※大量更新が行われるシステムの場合はなかなか難しいかもしれないので、監査ログを残すなどでもいいかもしれない、何しろ監査の仕組みが必要)
・不正アクセス発生時は、技術的な観点まで公開することにより、他の同業者の啓蒙を計ることができる(大事)。
何しろ、勉強になりました。何度も読み返したくなる報告書です。いろんな立場の方に読んでいただきたいと思いました。