さくらの夕べ大阪 20140306 セッション資料

Copyright (C) 1996-2014 SAKURA Internet Inc.

　当社におけるセキュリティに関する取り組み

さくらインターネット株式会社2014年 3月 6日


アジェンダ

　１．当社ご紹介　２．当社サービスについて　３．当社に対する通報への対応状況　４．「サイバー攻撃」の種類　５．当社の取り組み　６．お客様にご注意いただきたいこと

2


当社ご紹介

3


さくらインターネットについて

4

06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期

2,758

4,398

6,204

7,106

7,812

8,5849,164

9,482( 百万円 )

207 -162 85 349

723 1,194

873 867

売上高

経常利益


企業理念

Mission 当社の使命私たちは、人々とビジネスの可能性を広げるデータセンターサービスの提供を通じ、インターネットによってひらかれる創造性と驚きに満ちた未来の実現に貢献します。

Vision 当社が目指す姿

Value 当社が重視する価値観

Service　高品質で低価格な IT プラットフォームと革新的で面白いインターネットサービスの提供Infrastructure　スケールメリットと柔軟性を兼ね備えたコスト競争力の高い IT インフラの実現Technology　価値あるサービスの実現とインターネットの発展に寄与する先進的な技術の探求

質の高いサービスを生み出す絶えざるイノベーションコストパフォーマンスを支える卓越したオペレーション全ての活動のベースになる良質なコミュニケーション

5


当社サービスについて

6


当社の提供するサービスの分類

※ 他にも、ハイブリッド型等、多様なサービス形態が存在する。

タイプ説明サービス名称ハウジング回線と場所の提供ハウジング

専用サーバサーバ 1 台の提供さくらの専用サーバ

共用サーバ 1 台のサーバを複数ユーザで共用

さくらのレンタルサーバ

仮想サーバ仮想サーバの提供さくらの VPSさくらのクラウド

7


各サービスの比較

タイプサーバ所有

サーバ管理

コンテンツ

管理

サーバ設置場所

共有／専有

ハウジングお客様お客様お客様当社専有

専用サーバ当社お客様お客様当社専有

共用サーバ当社当社お客様当社共有

仮想サーバ当社お客様お客様当社共有

8


バックボーンネットワーク

9

※2014 年 3 月 3 日現在


当社に対する通報への対応状況

10


通報への対応について

11

2012

年10

月

2012

年11

月

2012

年12

月

2013

年1月

2013

年2月

2013

年3月

2013

年4月

2013

年5月

2013

年6月

2013

年7月

2013

年8月

2013

年9月

2013

年10

月

2013

年11

月

2013

年12

月

2014

年1月

外部より寄せられる通報への対応件数の推移。


このセッションでお伝えしたいこと

• お客様のサービスが悪用されるケースにはどのようなものがあるのか

• お客様にどのような対応を行っていただく必要があるのか

• 当社がどのような取り組みを行っているのか

12


「サイバー攻撃」の種類

13


「サイバー攻撃」とは

14

防衛省・自衛隊のページによれば、サイバー攻撃について、確立した定義は無いが、一般的には、情報通信ネットワークや情報システムを利用して行われる、以下のような行為等を指すとされる。

• 不正侵入• データの窃取・破壊• 不正プログラムの実行• DDoS 攻撃（分散サービス不能攻撃）


被害を受けた場合、加害者となるケースが少なくない

15

攻撃を受ける [被害者 ]例：パスワードクラック

攻撃を行う [加害者 ]例： spam送信、 DoS 攻撃、フィッシングサイト

第三者、他のユーザへの影響例： DNSBL への登録


主な攻撃の種類 ( 攻撃を受ける [被害者 ]側として )

16

１．パスワードをクラックする

　パスワードの種類　・ FTP　・ SSH　・メール　・ CMS 等の Web アプリケーション

　手法　・ブルートフォース　・漏えいしたリストを利用


主な攻撃の種類 ( 攻撃を受ける [被害者 ]側として ) (続き )

17

２．公開サービスの設定不備を利用する

　踏み台にされるサービスの例　・ DNS　・ NTP　・メールサーバ

３． DoS 攻撃 (Denial of Service attack)　大量の通信を発生させることにより、サーバや通信を　麻痺させる　分散した多数のサーバから一斉に行われるケースが多い（ DDoS… Distributed DoS)


主な攻撃の種類 ( 攻撃を行う [加害者 ]側として )

18

１． spam送信

２．不正アクセス

３．サイト改竄　－フィッシングサイト　－マルウェア設置


その他、派生する問題

19

１． DNSBL への登録

　メール受信の拒否・遅延

２．周辺のお客様への影響

　共用サーバにおける、負荷の上昇等

３．管理責任が問われる

　警察からの問合せが寄せられる場合も

2013 年 11 月 2013 年 12 月 2014 年 1 月

メール送信に関する問合せ件数の推移（メール・電話）


攻撃手法ごとの、対応方法の分類

20

攻撃手法お客様での対応当社での対応

１．パスワードクラック

ブルートフォース強度の高いパスワードを設定する

・強度の低いパスワードが設定できないようにする（対応１）・メールパスワード漏洩と見られるspam送信の監視（対応２）・ Fail2ban による接続制限を実施・メール送信通数制限

漏洩したリストを使用

パスワードをサービスごとに別にする。

・通報を受けた場合、警告等の対応を行う

２．公開サービスの設定不備

DNS 、 NTP 、メールサーバ

対応不可※Web コンテンツは除く

・サーバの設定、日々のメンテナンスを適切に行う（対応３）

３． DoS 攻撃対応不可・検知、対応システムによる、早期発見、早期対処（対応５）

当社が管理者権限を有するサーバ (「さくらのレンタルサーバ」等 )


攻撃手法ごとの、対応方法の分類　 (続き )

21

攻撃手法お客様での対応当社での対応

１．パスワードクラック

ブルートフォース

強度の高いパスワードを設定する

・ Fail2ban を OS初期イメージへ同梱、及び自動検知・遮断システムの構築（対応４）・サーバ停止状態でのサービス提供開始 (VPS)

漏洩したリストを使用

パスワードをサービスごとに別にする


２．公開サービスの設定不備

DNS 、 NTP 、メールサーバ

サーバの設定、日々のメンテナンスを適切に行う


３． DoS 攻撃対応不可・検知、対応システムによる、早期発見、早期対処（対応５）

お客様が管理者権限を有するサーバ ( 「さくらの VPS 」等 )


当社の取り組み

22


関係する組織の機能（概念図）

23

通報受付窓口

システム監視

機能追加、フロー改善等仕組み作り

お客様への連絡相談受付

通報元お客様

サーバ・

ネットワーク

当社


（対応１）パスワード強度チェック

24

• 会員メニュー• コントロールパネル• その他

8文字以上を必須とし、強度の低いパスワードが設定されるリスクを低減


（対応２）メールパスワード漏洩への対応

25

・共用サーバサービスにおける、メールパスワード漏洩と見られる spam送信を定期的に確認し、対応を実施。

2013 年 11 月 2013 年 12 月 2014 年 1 月 2014 年 2 月

対応メールアドレス数の推移


（対応３）共用サーバにおけるサーバ管理者としての対応

26

• 関連プログラムのアップデート、セキュリティホール等の脆弱性への対応等の作業を当社にて実施。

• お客様はサーバ管理から解放され、コンテンツ管理に注力いただける。


参考：共用サーバにおけるセキュリテイリスクの例「 Symlink Attacks 」

27

• Symlink Attacks とは

同サーバの別ユーザのファイルへシンボリックリンクを張り、自分の URL から該当のファイルへのアクセスができるようにする手法。


参考：共用サーバにおけるセキュリテイリスクの例「 Symlink Attacks 」　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　（続き）

28

• Symlink Attacks への対応

－「 SymLinksIfOwnerMatch 」の設定－ユーザが上記設定を変更できないようにする－ Apache権限にて、不特定多数のユーザがスクリプトを　実行できないようにする（ suEXEC機能の使用）


• 不正接続検知及び接続拒否を行うツール「 Fail2ban 」のOS初期イメージへの同梱。

• 自動検知・遮断システムの構築

（対応４） SSH ブルートフォース攻撃への対応

29

OS初期イメージFail2ba

n


（対応５）DoS 攻撃への対応

30

• DoS 攻撃とは– 直訳すると、“サービス不能攻撃”– 攻撃対象ホストに、無関係なパケットを大量に送りつけることに

よって、そのホストが提供するサービスが正常に提供できなくなるように外部から攻撃を行うこと。• 単純に帯域を食いつぶす• 帯域は少なくとも、セッションを食いつぶす• セキュリティホールをつくクラックも DoS といえば DoS

• DNS オープンリゾルバ、 NTP を踏み台とした攻撃が増加している。

• 大量トラフィックの検知及びパケット破棄の仕組みを構築


スイッチ

RTBH とは？

31

• Remote Triggered Black Hole の略– DoS 攻撃の宛先 IP アドレスを、内部 BGP で特殊な宛先 (事前に仕込む )宛に広報し、ボーダルータで破棄する仕組み

ボーダルータ

DoS

サーバサーバ

DoS

DoS

DoS

ＲＴＢＨ有りの場合ＲＴＢＨ無しの場合

スイッチ

ボーダルータ DoS

サーバサーバ


DoS 攻撃が発生時の対応フロー

DoS 攻撃発生！

数秒でアラート発砲

WebUI でクリックするだけで RTBH！

対応終了

32


その他の対応

33

• SPF レコード設定機能スパムメール判定の為に SPF レコードによる信用度チェックが行われるケースへの対応として、共用サーバにおいて、 SPF レコード設定機能の提供を開始


今後の計画

34

DoS 攻撃への対応について

　 [ これまで ]　・該当するアドレスの通信全てを除外

　 [ 新たな取り組み ]　・該当するアドレスに関する通信のうち、　　 DoS 攻撃の通信のみを除外し、それ以外の　　通信は可能な状態にする


お客様にご注意いただきたいこと

35


お客様にご注意いただきたいこと

36

• パスワードは強度の高いものを• ファイアウォールを適切に設定する• CMS 等アプリケーションのバージョンアップ

をする• 登録連絡先情報の確認• 当社からのお知らせの確認


ご清聴ありがとうございました

37

さくらの夕べ 大阪 20140306 セッション資料

Technology

Transcript of さくらの夕べ 大阪 20140306 セッション資料

さくらの夕べ大阪 20140306 セッション資料

Transcript of さくらの夕べ大阪 20140306 セッション資料