SlideShare une entreprise Scribd logo

脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する

Hiroshi Tokumaru
Hiroshi Tokumaru

ウェブサーバーにウイルス対策ソフトを導入していますか? ウェブサーバーにウイルス対策ソフトは必要なのか否か、脅威分析の手法により分析した例を示します。 このスライドでお伝えしたいこと ・ウェブサーバーにウイルス対策ソフトは必要か ・脅威分析の手法により、ウェブサイトとウイルス対策ソフトの関係を分析します ・ウェブサイトにウイルス対策ソフトを導入すべきケース YouTube動画 https://www.youtube.com/watch?v=2bJPa5ceo3w

Technologie
1  sur  27
脅威分析の手法によりウェブサーバーにウイルス対策ソフ トが必要かを検証する EG セキュアソリューションズ株式会社 徳丸 浩 © 2020 Hiroshi Tokumaru
• 本日お伝えしたいこと – ウェブサーバーにウイルス対策ソフトは必要か – 脅威分析の手法により、ウェブサイトとウイルス対策ソフトの関係 を分析します – ウェブサイトにウイルス対策ソフトを導入すべきケース © 2020 Hiroshi Tokumaru
ウェブサイトのウイルス対策を巡る状況 © 2020 Hiroshi Tokumaru
PCI DSSでは要件5としてウイルス対策ソフトを要求しているが 要件 5: すべてのシステムをマルウェアから保護し、ウイルス対 策ソフトウェアまたはプログラムを定期的に更新する 5.1 悪意のあるソフトウェアの影響を受けやすいすべてのシス テム(特にパーソナルコンピュータとサーバ)に、ウイルス対 策ソフトウェアを導入する。
PCI DSSの実務上はどうか? 要件5はアンチウィルスソフトウェアの使用とその運用方法について、要件6では開 発、保守フェーズにおける対策とパッチ適用についての要件となっています。アン チウィルスソフトウェアに関しては、多くの記述はありませんが、ウィルスの影響 を受けやすいシステムへのアンチウィルスソフトウェアの導入、スパイウェア、ア ドウェアなどに対する検知、除去、防護が必要、とされていて、現在普及している アンチウィルスソフトウェアを選択すれば、間違いはないでしょう。 アンチウィルスソフトウェアを導入しなければならない対象は、「ウィルスの影響 を受けやすいシステム」とありますが、これは主にWindows系サーバおよびクライ アントを指しており、UNIX系サーバやメインフレームなどは除外して問題ありませ ん。もちろん、場合によってはLinuxサーバにアンチウィルスソフトウェアを導入す ることが無意味であるというわけではありませんが、最低限必要なのはWindows系 サーバおよびクライアントであるといえます。 PCI DSSの概要 -PCI DSSの12要件を読み解く- | NTTデータ先端技術株式会社 より引用 http://www.intellilink.co.jp/article/pcidss/02.html
内閣官房情報セキュリティセンター のドキュメントより https://www.nisc.go.jp/active/general/pdf/dm6-07-101_manual.pdf より引用 「情報システムの構築等におけるセキュリティ要件及びセキュリティ機能の検討に関 する解説書」より 「参考例Ⅱ インターネットサービスシステム」の脅威および技術対策の例
藤沢市のセキュリティポリシー ウェブアプリケーションのセキュリティ対策に関する仕様書 1 趣旨 この仕様書は、○○○○○○○○○○契約の受託者がホームページの改ざん等をはじめとしたイン ターネット上の脅威に対処するため、開発及び運用等において、ウェブアプリケーションに対して実 施する対策について定めることを目的とする。 3 ウェブアプリケーション運用のためのセキュリティ対策 受託者は、ウェブサイトを安全に運用するために次のセキュリティ対策を施さなければならない。 【略】 (3)ウイルス対策ソフトの導入 ウェブアプリケーションが稼働するサーバにウイルス対策ソフトを導入し、保護しなければならない。 https://www.city.fujisawa.kanagawa.jp/joho006/documents/documents/webapplication.pdf より引用
セキュリティ要件とウイルス対策ソフトの微妙な関係 • PCI DSSでは要件5にて「悪意のあるソフトウェアの影響を受けやすい すべてのシステム(特にパーソナルコンピュータとサーバ)に、ウイ ルス対策ソフトウェアを導入する」と要求している – しかし、日本の実務上は、Linux等によるウェブサーバーでは必須としていない • 地方公共団体等の公開されているセキュリティ要件ではウイルス対策 ソフトの導入を義務付けているものが多い – おそらく多くの企業でも同じ状況 – Linuxだとウイルス対策ソフトの選択肢が乏しいので、ウイルス対策ソフトの選 択肢が豊富なWindowsサーバーを敢えて選択するベンダーもある • いったい、ウェブサーバーのウイルス対策ソフト必須なのか • ウェブサーバーのウイルス対策ソフトが必須なケースはどの場合か © 2020 Hiroshi Tokumaru
ウイルス感染の経路 © 2020 Hiroshi Tokumaru
https://www.ipa.go.jp/security/txt/2018/q2outline.html より引用 コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ウェブサイトに侵入してウェブシェル設置 © 2016-2020 Hiroshi Tokumaru ターゲットサイト 攻撃者 ウェブシェル(マルウェアの一種) 秘密情報
ウェブサイトに侵入してウェブシェル設置された例 エイベックス 個人情報不正アクセスに関する調査報告書(要約版) より引用
ウェブサイトが改ざんされてウイルス感染する「仕掛け」を設置された © 2016-2020 Hiroshi Tokumaru ターゲットサイト 利用者 コンテンツ 攻撃者 ウイルス感染ウイルス感染の仕掛け
ウェブサイトに侵入されて、暗号通貨を採掘するマルウェアを設置される © 2020 Hiroshi Tokumaru マイニング プログラム設置 マイニング プログラム 暗号通貨の マイニング 暗号通貨 サイト利用者 攻撃者 ターゲットサイト
サイト管理者のパソコンがウイルス感染してそこから… © 2020 Hiroshi Tokumaru 利用者(被害者) 攻撃者 管理者 コンテンツ アップロード サイトアクセス ターゲットサイト バラマキ型 メール攻撃 ウイルス感染 ウイルス感染
ソフトウェア配布ソフトが攻撃されソフトウェアが汚染された © 2020 Hiroshi Tokumaru 利用者(被害者) 攻撃者 管理者 ソフトウェア アップロード サイトアクセス ソフトウェア配布サイト ダウンロード ターゲットサイト ウイルス感染 秘密情報盗み取り 秘密情報 ソフトウェア
悪意のサイト利用者がウイルスファイルをアップロードする © 2020 Hiroshi Tokumaru 利用者 悪意の利用者 利用者(被害者) ターゲットサイト ウイルス感染 ウイルス コンテンツ
ウェブサーバーのウイルス感染脅威分析 © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 悪意の管理者 管理者がウイルスを設置 ウェブサーバー自体 利用者 利用ソフトウェアの 汚染 サーバースクリプトがマル ウェア感染していた ウェブサーバー自体 管理者端末のウイル ス感染 コンテンツがマルウェア感染 していた 利用者 悪意のユーザー ファイルアップロード機能で マルウェアをアップロード 利用者 © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 悪意の管理者 管理者がウイルスを設置 ウェブサーバー自体 利用者 利用ソフトウェアの 汚染 サーバースクリプトがマル ウェア感染していた ウェブサーバー自体 管理者端末のウイル ス感染 コンテンツがマルウェア感染 していた 利用者 悪意のユーザー ファイルアップロード機能で マルウェアをアップロード 利用者 © 2020 Hiroshi Tokumaru
US CERTから公表されたウェブシェルへの警告 Detection Due to the potential simplicity and ease of modification of web shells, they can be difficult to detect. For example, anti-virus products sometimes produce poor results in detecting web shells. 検知(私訳) ウェブシェルは潜在的に単純で変更が容易なため、検出するのは困難な場合がある。たと えば、ウイルス対策製品は、ウェブシェルの検出は貧弱な結果になることがある。 https://www.us-cert.gov/ncas/alerts/TA15-314A より引用
日本テレビ「個人情報不正アクセスに関する調査報告書」から A)侵入を検知・防御する対策(入口対策) ①ツールによる脆弱性診断を約2年前に実施済みであった。しかし、今 回の攻撃に悪用された脆弱性は、当該診断時には発見できなかった。 また、上記時点以降は脆弱性診断を実施していない。 ②IDS(不正侵入検知システム)を導入しており、常時監視をしていた。 しかし、今回のOSコマンドインジェクションは検知できなかった。 ③不要なウェブリクエストがプログラム上で制限されていなかった。 ④プログラム言語の設定として不要な呼び出し関数の実行が制限されて いなかった。 ⑤ファイルが不要に設置されたことを検知する仕組みがなかった。 ⑥プログラムが動作する範囲が適切でなかった。 「個人情報不正アクセスに関する調査報告書」より引用 http://www.ntv.co.jp/oshirase/20160714.pdf ファイル改竄検知システムを指すと思われる ウイルス対策ソフトについては言及なし
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 悪意の管理者 管理者がウイルスを設置 ウェブサーバー自体 一人1ID、権限最小化 操作ログの取得・監査利用者 利用ソフトウェアの 汚染 サーバースクリプトがマル ウェア感染していた ウェブサーバー自体 管理者端末のウイル ス感染 コンテンツがマルウェア感染 していた 利用者 悪意のユーザー ファイルアップロード機能で マルウェアをアップロード 利用者 © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 悪意の管理者 管理者がウイルスを設置 ウェブサーバー自体 一人1ID、権限最小化 操作ログの取得・監査利用者 利用ソフトウェアの 汚染 サーバースクリプトがマル ウェア感染していた ウェブサーバー自体 信頼できる配布元の利 用、配布元サイトの定 期的な確認 管理者端末のウイル ス感染 コンテンツがマルウェア感染 していた 利用者 悪意のユーザー ファイルアップロード機能で マルウェアをアップロード 利用者 © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 悪意の管理者 管理者がウイルスを設置 ウェブサーバー自体 一人1ID、権限最小化 操作ログの取得・監査利用者 利用ソフトウェアの 汚染 サーバースクリプトがマル ウェア感染していた ウェブサーバー自体 信頼できる配布元の利 用、配布元サイトの定 期的な確認 管理者端末のウイル ス感染 コンテンツがマルウェア感染 していた 利用者 管理者端末のウイルス 対策 悪意のユーザー ファイルアップロード機能で マルウェアをアップロード 利用者 © 2020 Hiroshi Tokumaru
ウェブサーバーのウイルス感染脅威分析と対策 アタックベクタ 脅威 直接影響を与える対象 対策 脆弱性をついた攻 撃・認証突破 ウェブシェル等の設置 ウェブサーバー自体 脆弱性対処・認証強化 WAF、改ざん検知シス テムの導入 悪意の管理者 管理者がウイルスを設置 ウェブサーバー自体 一人1ID、権限最小化 操作ログの取得・監査利用者 利用ソフトウェアの 汚染 サーバースクリプトがマル ウェア感染していた ウェブサーバー自体 信頼できる配布元の利 用、配布元サイトの定 期的な確認 管理者端末のウイル ス感染 コンテンツがマルウェア感染 していた 利用者 管理者端末のウイルス 対策 悪意のユーザー ファイルアップロード機能で マルウェアをアップロード 利用者 ウェブサーバーにウイ ルス対策ソフト © 2020 Hiroshi Tokumaru
まとめ • 脅威分析の手法により、ウェブサーバーがウイルス感染する経路と影 響を分析 • ウェブサーバーにおけるウイルスの脅威は以下の2パターンがある – サーバー自身が侵害される – ウェブサイトの利用者がウイルス感染する • ウェブサーバーにウイルス対策ソフトの導入が必須なケースは、サイ トにファイルアップロード機能がある場合 • ウイルス対策ソフトに限らず、セキュリティソリューションの導入前 には脅威分析を実施して効果的なソリューションを導入するとよい © 2020 Hiroshi Tokumaru

Recommandé

ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門Hiroshi Tokumaru
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)Hiroshi Tokumaru
 
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方kwatch
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
XSS再入門
XSS再入門XSS再入門
XSS再入門Hiroshi Tokumaru
 

Recommandé

ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門Hiroshi Tokumaru
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)Hiroshi Tokumaru
 
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方kwatch
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座Hiroshi Tokumaru
 
XSS再入門
XSS再入門XSS再入門
XSS再入門Hiroshi Tokumaru
 
SQLインジェクション再考
SQLインジェクション再考SQLインジェクション再考
SQLインジェクション再考Hiroshi Tokumaru
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)abend_cve_9999_0001
 
SpringBootTest入門
SpringBootTest入門SpringBootTest入門
SpringBootTest入門Yahoo!デベロッパーネットワーク
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!kazkiti
 
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなテスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなKentaro Matsui
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』Yoshitaka Kawashima
 
負荷試験入門公開資料 201611
負荷試験入門公開資料 201611負荷試験入門公開資料 201611
負荷試験入門公開資料 201611樽八 仲川
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎ken_kitahara
 
Proxy War
Proxy WarProxy War
Proxy Warzaki4649
 
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ 130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ Minoru Sakai
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
Slideshare Japanese
Slideshare JapaneseSlideshare Japanese
Slideshare JapaneseHidenori Goto
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツpospome
 
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ Yoshinori OHTA
 
徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote workShinichiro Kawano
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...Insight Technology, Inc.
 

Contenu connexe

Tendances

SQLインジェクション再考
SQLインジェクション再考SQLインジェクション再考
SQLインジェクション再考Hiroshi Tokumaru
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)abend_cve_9999_0001
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!kazkiti
 
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなテスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなKentaro Matsui
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』Yoshitaka Kawashima
 
負荷試験入門公開資料 201611
負荷試験入門公開資料 201611負荷試験入門公開資料 201611
負荷試験入門公開資料 201611樽八 仲川
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎ken_kitahara
 
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ 130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ Minoru Sakai
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツpospome
 
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ Yoshinori OHTA
 
徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 

Tendances (20)

SQLインジェクション再考
SQLインジェクション再考SQLインジェクション再考
SQLインジェクション再考
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
 
SpringBootTest入門
SpringBootTest入門SpringBootTest入門
SpringBootTest入門
 
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
 
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなテスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
 
ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』
 
負荷試験入門公開資料 201611
負荷試験入門公開資料 201611負荷試験入門公開資料 201611
負荷試験入門公開資料 201611
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
 
Proxy War
Proxy WarProxy War
Proxy War
 
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ 130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
 
Slideshare Japanese
Slideshare JapaneseSlideshare Japanese
Slideshare Japanese
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツ
 
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
 
徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまで
 

Similaire à 脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する

2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote workShinichiro Kawano
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...Insight Technology, Inc.
 
継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料ichikaway
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuokaichikaway
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015ichikaway
 
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策TAKUYA OHTA
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_versionShinichiro Kawano
 
Vaddyサービス説明資料
Vaddyサービス説明資料Vaddyサービス説明資料
Vaddyサービス説明資料katsuya nishino
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座NHN テコラス株式会社
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaVAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaichikaway
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界Shinobu Yasuda
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshareShinichiro Kawano
 
2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohamaShinichiro Kawano
 
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築真吾 吉田
 
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateCMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateOSSラボ株式会社
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LTichikaway
 

Similaire à 脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する (20)

2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
 
継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
 
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
IT エンジニアのための 流し読み Windows - Microsoft Defender ウイルス対策
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟
 
Vaddyサービス説明資料
Vaddyサービス説明資料Vaddyサービス説明資料
Vaddyサービス説明資料
 
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
 
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuokaVAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuoka
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
 
2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama2019 0521 f-secure_radar_for_jaws-ug_yokohama
2019 0521 f-secure_radar_for_jaws-ug_yokohama
 
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
 
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateCMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
 
[Japan Tech summit 2017] DEP 02
[Japan Tech summit 2017] DEP 02[Japan Tech summit 2017] DEP 02
[Japan Tech summit 2017] DEP 02
 
License
LicenseLicense
License
 

Plus de Hiroshi Tokumaru

徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入するHiroshi Tokumaru
 
introduction to unsafe deserialization part1
introduction to unsafe deserialization part1introduction to unsafe deserialization part1
introduction to unsafe deserialization part1Hiroshi Tokumaru
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方Hiroshi Tokumaru
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門Hiroshi Tokumaru
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題Hiroshi Tokumaru
 
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Hiroshi Tokumaru
 
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018Hiroshi Tokumaru
 
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようデバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようHiroshi Tokumaru
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識Hiroshi Tokumaru
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則Hiroshi Tokumaru
 
ウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かりウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かりHiroshi Tokumaru
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016Hiroshi Tokumaru
 
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうHiroshi Tokumaru
 
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかにHiroshi Tokumaru
 
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
『例えば、PHPを避ける』以降PHPはどれだけ安全になったかHiroshi Tokumaru
 
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みセキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みHiroshi Tokumaru
 
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編) Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)Hiroshi Tokumaru
 
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのかSecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのかHiroshi Tokumaru
 

Plus de Hiroshi Tokumaru (20)

徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する
 
introduction to unsafe deserialization part1
introduction to unsafe deserialization part1introduction to unsafe deserialization part1
introduction to unsafe deserialization part1
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
 
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
 
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
 
秀スクリプトの話
秀スクリプトの話秀スクリプトの話
秀スクリプトの話
 
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみようデバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
 
ウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かりウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かり
 
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
 
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
 
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
 
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
 
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みセキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試み
 
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編) Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
 
Phpcon2015
Phpcon2015Phpcon2015
Phpcon2015
 
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのかSecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
 

脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する