# チェック用リスト ## サービス提供者側のミスや不手際によって想定されること ### WEB関連 - Webサーバの設定にミスが存在していないか？ - Apache,Nginx等公開範囲やルートディレクトリの設定にミスがないか？ - 各Webアプリケーションの設定にミスが存在していないか？ - Webアプリケーション ### 暗号化関連 - 暗号化を利用した通信方式であるか？ - HTTPS、TLS、AES 現在の安全とされる暗号化方式に則っているか？ - セキュリティ強度の弱い or 脆弱性の存在する暗号化方式を利用していないか？ - SHA1、SSLv3、WEP、WPA etc... - パスワードや暗号鍵の流出はしていないか？ - VPN、SSHサーバ、各種サービスに必要なパスワードの流出を確認 ### 認証関連 - LDAP,Active Directoryで認証システムに適切な設定が施されているか？ - ユーザや権限を登録している情報にミスはないか？ - 誤ってAdmin権限に相当するGroupに所属させたりしてないか？ ### ファイアーウォール - ファイアーウォールが無効化されていないか、firewalldの起動状態確認 - 管理者が誤ってkillした可能性がある - 不要なサービスのポートが解放されていないか？ - テストで試したまま、本番サーバで修正忘れなど、管理者のミスか？ - FWのルールの設定に誤りはないか？ - テストで忘れた、または管理者等のミスか？ - WAFの設置、もしくは適切なWAFの設定が行なえているか？ - 管理者の設定ミスの可能性？ ### マルウェア感染の疑い - 利用している機器にマルウェアが感染している可能性 - アンチウイルスソフトでスキャンを行う - 不審なプロセスが起動していないか、プロセスの確認 - ### 不正アクセスを受けている可能性 - Admin権限で不正ログインされている可能性 - Whoコマンドなど管理システム上で現在のログイン状況確認？ - ログイン履歴をログから確認する - 発見できなくとも、犯人によるログ削除がすでに行われている可能性 - 早急にパスワードの変更を要求する ### 内部犯行の可能性 - 外部からの攻撃と想定しづらい案件 - もしかすると、OBや内部情報を知っているものによる攻撃の可能性 - 管理システムへのアクセスがきちんと制限されているか？ - 一般の社員からは完全に隔離された環境で運用されているか？ ### 脆弱性問題 - バージョンの古いOSやアプリケーションを利用している可能性 - 早急に最新バージョンのパッチを当ててもらう - 脆弱性に該当するアプリケーション等の利用自粛のお願い - 無線LANの運用に問題がないか？ - WPA2 Personal or Enterpriseを利用しているか？ - バッファオーバーフローの可能性 - バッファオーバーフローによって、不正なプログラムや、不正に権限の昇格が行われている可能性 - プログラム依存の仕様やバグについて適切に対処できていないため、 - メモリリーク等の発生により... ## サイバー攻撃による被害として想定されること ### WEB関連 - XSS(クロスサイトスクリプティング)の発生の可能性 - リフレクト型XSS - Stored XSS - DOM Based XSS - CSRF(クロスサイトリクエストフォージェリ）の発生の可能性 - Same Origin Policy、アクセストークンなど対応策として適切に設定されているか？ - セッションハイジャックの発生の可能性 - 暗号化されていない通信では、セッションIDの搾取と成りすましの可能性 - SQLインジェクションの発生の可能性 - 適切なエスケープ処理が施されているか？ - WAFでSQLインジェクションの検知ができる環境か？ - OSコマンドインジェクションの発生の可能性 - 適切にエスケープ処理の行われていないことで、formタグ等で発火していないか？ - WAFでOSコマンドインジェクションの検知ができる環境か？ - ディレクトリトラバーサル攻撃の発生の可能性 - 適切なWebサーバの設定が施されているか？ - エスケープ処理、検知できる環境か？ - 適切なRootDirectoryの設定 ### DoS/DDoS攻撃関連 - アクセス過多によるサービスの停止の可能性 - アクセスの多いIPアドレスを特定し、ブロックを試みる - 単にアクセスが多い場合も、サーバの増強もおすすめする - BoTネットワークによる大量のDoS攻撃の可能性 - (IPもバラバラなBoTネットからの攻撃、どう対応すればいいだろう...?) - 単一IPからの連続アクセスを制限？（10秒とか短時間の間に何度も連続するアクセスに対しての応答を制限してみるとか？） - Slow HTTP DoS攻撃の可能性 - 意図的に超低速な通信を大量に発生させられ、サーバのセッション数がハイジャックされてしまっている - SYN Flood攻撃の可能性 - 存在しない送信元IPアドレスに偽装したホストから、延々とSYNパケットを投げ続けられている可能性。 - ACK Flood攻撃の可能性 - ### 脆弱性関連 - ゼロデイ攻撃の発生の可能性 - 利用しているサービスに修正適応前の脆弱性問題の有無の確認 - 脆弱性を狙った権限昇格による攻撃展開の可能性 - - 古いパッチのサービスを狙った脆弱性攻撃 - 疑われるソフトのバージョン確認、パッチ更新の適応のお願い ### 標的型攻撃 - 標的型攻撃の発生の可能性 - 標的型メール攻撃として、怪しいメールを受け取っていないか - もしくは添付ファイルを実行していないか？ - ファイルレス型攻撃が展開されている可能性 - PowerShellを利用した攻撃展開がされている可能性 - PowerShellにAppLockなど制限をかける - 水飲み場攻撃の被害にあってしまった - 貴社がよくアクセスしそうなサイトに攻撃が仕掛けられており発火してしまった - フィッシング詐欺に引っかかった可能性 - 偽サイトに貴社の社員が誤って重要情報を入力してしまった ### 中間者攻撃（Man in the middle Attack) - 第三者による通信傍受の可能性 - 通信方式は暗号化がなされているか？ - 使用しているアプリに既知の脆弱性が存在していないか？ - ARPスプーフィングの発生の可能性 - 悪意あるユーザによるARPリプライにより、ARPキャッシュテーブルの宛先が偽装され、情報が転送されてしまっている。 - ARPWatchを導入し、ARPテーブルの更新がかかった際にログやアラートして上がるように設定しておく ### 不正アクセス関連 - Adminの機能が乗っ取られてしまった - サービス、該当サーバの停止 - 早急なパスワードの変更 - 重要な基幹システムへのアクセスはプライベートLAN内からのアクセスに制限をかける ### DNS/ドメイン解決での被害の想定 - DNSキャッシュポイズニングの発生の可能性 - DNSサーバが攻撃を受けており、攻撃者が用意されたページに遷移されてしまっている - ## 利用者側によって引き起こされる事案の想定 - 利用者の設定ミス - 利用者の虚言 - 利用者の誤解 - 利用者の確認不足 - 利用者の端末にマルウェア感染の疑いがある - 利用者の環境に何らかの脆弱性がある - 暗号強度の低いWi-Fiの利用による情報搾取 - 古いパッチのまま運用しているシステム - ソーシャルエンジニアリング - shoulder hacking ## 事後対応としての考案 ### パスワード、認証関連 - 無期限運用でなく、定期的にパスワードを変更する期限付き運用 - 多段階認証の採用を行う - セッションの有効時間を設ける - 不審なサイトにはアクセスしないようにする