![被害を受けた場合、加害者となるケースが少なくない
攻撃を受ける [被害者]
例:パスワードクラック
攻撃を行う [加害者]
例:spam送信、DoS攻撃、フィッシングサイト
第三者、他のユーザへの影響
例:DNSBLへの登録
Copyright (C) 1996-2014 SAKURA Internet Inc.
15](https://image.slidesharecdn.com/201403060306-140306045441-phpapp01/85/20140306-15-320.jpg)
![主な攻撃の種類(攻撃を受ける[被害者]側として)
1.パスワードをクラックする
パスワードの種類
・FTP
・SSH
・メール
・CMS等のWebアプリケーション
手法
・ブルートフォース
・漏えいしたリストを利用
Copyright (C) 1996-2014 SAKURA Internet Inc.
16](https://image.slidesharecdn.com/201403060306-140306045441-phpapp01/85/20140306-16-320.jpg)
![主な攻撃の種類(攻撃を受ける[被害者]側として)
(続き)
2.公開サービスの設定不備を利用する
踏み台にされるサービスの例
・DNS
・NTP
・メールサーバ
3.DoS攻撃(Denial of Service attack)
大量の通信を発生させることにより、サーバや通信を
麻痺させる
分散した多数のサーバから一斉に行われるケースが多い
(DDoS… Distributed DoS)
Copyright (C) 1996-2014 SAKURA Internet Inc.
17](https://image.slidesharecdn.com/201403060306-140306045441-phpapp01/85/20140306-17-320.jpg)
![主な攻撃の種類(攻撃を行う [加害者]側として)
1.spam送信
2.不正アクセス
3.サイト改竄
-フィッシングサイト
-マルウェア設置
Copyright (C) 1996-2014 SAKURA Internet Inc.
18](https://image.slidesharecdn.com/201403060306-140306045441-phpapp01/85/20140306-18-320.jpg)
![今後の計画
DoS攻撃への対応について
[これまで]
・該当するアドレスの通信全てを除外
[新たな取り組み]
・該当するアドレスに関する通信のうち、
DoS攻撃の通信のみを除外し、それ以外の
通信は可能な状態にする
Copyright (C) 1996-2014 SAKURA Internet Inc.
34](https://image.slidesharecdn.com/201403060306-140306045441-phpapp01/85/20140306-34-320.jpg)
さくらの夕べ 大阪 20140306 セッション資料
- 1. 当社における セキュリティに関する取り組み さくらインターネット株式会社 2014年3月6日 Copyright (C) 1996-2014 SAKURA Internet Inc.
- 2. アジェンダ 1.当社ご紹介 2.当社サービスについて 3.当社に対する通報への対応状況 4.「サイバー攻撃」の種類 5.当社の取り組み 6.お客様にご注意いただきたいこと Copyright (C) 1996-2014 SAKURA Internet Inc. 2
- 3. 当社ご紹介 Copyright (C) 1996-2014 SAKURA Internet Inc. 3
- 4. さくらインターネットについて 9,482 9,164 (百万円) 8,584 7,812 7,106 6,204 4,398 売上高 経常利益 2,758 207 -162 85 349 723 1,194 873 867 06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期 Copyright (C) 1996-2014 SAKURA Internet Inc. 4
- 5. 企業理念 Mission 当社の使命 私たちは、人々とビジネスの可能性を広げるデータセンターサービスの提供を通じ、 インターネットによってひらかれる創造性と驚きに満ちた未来の実現に貢献します。 Vision 当社が目指す姿 Service 高品質で低価格なITプラットフォームと革新的で面白いインターネットサービスの提供 Infrastructure スケールメリットと柔軟性を兼ね備えたコスト競争力の高いITインフラの実現 Technology 価値あるサービスの実現とインターネットの発展に寄与する先進的な技術の探求 Value 当社が重視する価値観 質の高いサービスを生み出す絶えざるイノベーション コストパフォーマンスを支える卓越したオペレーション 全ての活動のベースになる良質なコミュニケーション Copyright (C) 1996-2014 SAKURA Internet Inc. 5
- 6. 当社サービスについて Copyright (C) 1996-2014 SAKURA Internet Inc. 6
- 7. 当社の提供するサービスの分類 タイプ ハウジング 説明 回線と場所の提供 サービス名称 ハウジング 専用サーバ サーバ1台の提供 さくらの専用サーバ 共用サーバ 1台のサーバを複数 ユーザで共用 さくらのレンタル サーバ 仮想サーバ 仮想サーバの提供 さくらのVPS さくらのクラウド ※他にも、ハイブリッド型等、多様なサービス形態が存在する。 Copyright (C) 1996-2014 SAKURA Internet Inc. 7
- 8. 各サービスの比較 サーバ 所有 サーバ 管理 コンテン ツ 管理 サーバ 設置場所 共有/ 専有 ハウジング お客様 お客様 お客様 当社 専有 専用サーバ 当社 お客様 お客様 当社 専有 共用サーバ 当社 当社 お客様 当社 共有 仮想サーバ 当社 お客様 お客様 当社 共有 タイプ Copyright (C) 1996-2014 SAKURA Internet Inc. 8
- 9. バックボーンネットワーク ※2014年3月3日現在 Copyright (C) 1996-2014 SAKURA Internet Inc. 9
- 10. 当社に対する通報への対応状況 Copyright (C) 1996-2014 SAKURA Internet Inc. 10
- 11. 通報への対応について 外部より寄せられる通報への対応件数の推移。 Copyright (C) 1996-2014 SAKURA Internet Inc. 11
- 12. このセッションでお伝えしたいこと • お客様のサービスが悪用されるケースには どのようなものがあるのか • お客様にどのような対応を行っていただく 必要があるのか • 当社がどのような取り組みを行っているのか Copyright (C) 1996-2014 SAKURA Internet Inc. 12
- 13. 「サイバー攻撃」の種類 Copyright (C) 1996-2014 SAKURA Internet Inc. 13
- 14. 「サイバー攻撃」とは 防衛省・自衛隊のページによれば、サイバー攻撃に ついて、確立した定義は無いが、一般的には、情報 通信ネットワークや情報システムを利用して行われ る、以下のような行為等を指すとされる。 • • • • 不正侵入 データの窃取・破壊 不正プログラムの実行 DDoS攻撃(分散サービス不能攻撃) Copyright (C) 1996-2014 SAKURA Internet Inc. 14
- 15. 被害を受けた場合、加害者となるケースが少なくない 攻撃を受ける [被害者] 例:パスワードクラック 攻撃を行う [加害者] 例:spam送信、DoS攻撃、フィッシングサイト 第三者、他のユーザへの影響 例:DNSBLへの登録 Copyright (C) 1996-2014 SAKURA Internet Inc. 15
- 16. 主な攻撃の種類(攻撃を受ける[被害者]側として) 1.パスワードをクラックする パスワードの種類 ・FTP ・SSH ・メール ・CMS等のWebアプリケーション 手法 ・ブルートフォース ・漏えいしたリストを利用 Copyright (C) 1996-2014 SAKURA Internet Inc. 16
- 17. 主な攻撃の種類(攻撃を受ける[被害者]側として) (続き) 2.公開サービスの設定不備を利用する 踏み台にされるサービスの例 ・DNS ・NTP ・メールサーバ 3.DoS攻撃(Denial of Service attack) 大量の通信を発生させることにより、サーバや通信を 麻痺させる 分散した多数のサーバから一斉に行われるケースが多い (DDoS… Distributed DoS) Copyright (C) 1996-2014 SAKURA Internet Inc. 17
- 18. 主な攻撃の種類(攻撃を行う [加害者]側として) 1.spam送信 2.不正アクセス 3.サイト改竄 -フィッシングサイト -マルウェア設置 Copyright (C) 1996-2014 SAKURA Internet Inc. 18
- 19. その他、派生する問題 メール送信に関する問合せ件数の推移(メール・電話) 1.DNSBLへの登録 メール受信の拒否・遅延 2.周辺のお客様への影響 2013年11月 2013年12月 2014年1月 共用サーバにおける、負荷の上昇等 3.管理責任が問われる 警察からの問合せが寄せられる場合も Copyright (C) 1996-2014 SAKURA Internet Inc. 19
- 22. 当社の取り組み Copyright (C) 1996-2014 SAKURA Internet Inc. 22
- 23. 関係する組織の機能(概念図) 通報元 お客様 お客様への連絡 相談受付 通報受付 窓口 当社 システム 監視 サーバ ・ ネット ワーク 機能追加、フロー改善等 仕組み作り Copyright (C) 1996-2014 SAKURA Internet Inc. 23
- 24. (対応1)パスワード強度チェック • • • 会員メニュー コントロールパネル その他 8文字以上を必須とし、強度の低いパスワードが 設定されるリスクを低減 Copyright (C) 1996-2014 SAKURA Internet Inc. 24
- 25. (対応2)メールパスワード漏洩への対応 ・共用サーバサービスにおける、メールパスワード漏洩と 見られるspam送信を定期的に確認し、対応を実施。 2013年11月 2013年12月 2014年1月 2014年2月 対応メールアドレス数の推移 Copyright (C) 1996-2014 SAKURA Internet Inc. 25
- 26. (対応3)共用サーバにおけるサーバ管理者としての対応 • 関連プログラムのアップデート、セキュリティホール等の脆弱性へ の対応等の作業を当社にて実施。 • お客様はサーバ管理から解放され、コンテンツ管理に注力いただけ る。 Copyright (C) 1996-2014 SAKURA Internet Inc. 26
- 27. 参考:共用サーバにおけるセキュリテイリスクの例「Symlink Attacks」 • Symlink Attacksとは 同サーバの別ユーザのファイルへシンボリックリンクを張 り、自分のURLから該当のファイルへのアクセスができる ようにする手法。 Copyright (C) 1996-2014 SAKURA Internet Inc. 27
- 28. 参考:共用サーバにおけるセキュリテイリスクの例「Symlink Attacks」 (続き) • Symlink Attacksへの対応 -「SymLinksIfOwnerMatch」の設定 -ユーザが上記設定を変更できないようにする -Apache権限にて、不特定多数のユーザがスクリプトを 実行できないようにする(suEXEC機能の使用) Copyright (C) 1996-2014 SAKURA Internet Inc. 28
- 29. (対応4)SSHブルートフォース攻撃への対応 • 不正接続検知及び接続拒否を行うツール「Fail2ban」の OS初期イメージへの同梱。 OS初期イメージ Fail2ban • 自動検知・遮断システムの構築 Copyright (C) 1996-2014 SAKURA Internet Inc. 29
- 30. (対応5)DoS攻撃への対応 • DoS攻撃とは – 直訳すると、“サービス不能攻撃” – 攻撃対象ホストに、無関係なパケットを大量に送りつけることによ って、そのホストが提供するサービスが正常に提供できなくなるよ うに外部から攻撃を行うこと。 • 単純に帯域を食いつぶす • 帯域は少なくとも、セッションを食いつぶす • セキュリティホールをつくクラックもDoSといえばDoS • DNSオープンリゾルバ、NTPを踏み台とした攻撃が増加し ている。 • 大量トラフィックの検知及びパケット破棄の仕組みを構築 Copyright (C) 1996-2014 SAKURA Internet Inc. 30
- 31. RTBHとは? • Remote Triggered Black Holeの略 – DoS攻撃の宛先IPアドレスを、内部BGPで特殊な宛先(事前に仕込む)宛に 広報し、ボーダルータで破棄する仕組み RTBH 無しの場合 RTBH有りの場合 DoS DoS ボーダルータ ボーダルータ DoS DoS DoS スイッチ サーバ サーバ スイッチ サーバ サーバ Copyright (C) 1996-2014 SAKURA Internet Inc. 31
- 32. DoS攻撃が発生時の対応フロー DoS攻撃発生! 数秒でアラート発砲 WebUIでクリックするだけでRTBH! 対応終了 Copyright (C) 1996-2014 SAKURA Internet Inc. 32
- 33. その他の対応 • SPFレコード設定機能 スパムメール判定の為にSPFレコードによる信用度チェックが行われるケース への対応として、共用サーバにおいて、SPFレコード設定機能の提供を開始 Copyright (C) 1996-2014 SAKURA Internet Inc. 33
- 34. 今後の計画 DoS攻撃への対応について [これまで] ・該当するアドレスの通信全てを除外 [新たな取り組み] ・該当するアドレスに関する通信のうち、 DoS攻撃の通信のみを除外し、それ以外の 通信は可能な状態にする Copyright (C) 1996-2014 SAKURA Internet Inc. 34
- 35. お客様に ご注意いただきたいこと Copyright (C) 1996-2014 SAKURA Internet Inc. 35
- 36. お客様にご注意いただきたいこと • パスワードは強度の高いものを • ファイアウォールを適切に設定する • CMS等アプリケーションのバージョンアップを する • 登録連絡先情報の確認 • 当社からのお知らせの確認 Copyright (C) 1996-2014 SAKURA Internet Inc. 36
- 37. ご清聴 ありがとうございました Copyright (C) 1996-2014 SAKURA Internet Inc. 37