Copyright (C) 1996-2014 SAKURA Internet Inc.
当社における セキュリティに関する取り組み
さくらインターネット株式会社2014年 3月 6日
Copyright (C) 1996-2014 SAKURA Internet Inc.
アジェンダ
1.当社ご紹介 2.当社サービスについて 3.当社に対する通報への対応状況 4.「サイバー攻撃」の種類 5.当社の取り組み 6.お客様にご注意いただきたいこと
2
Copyright (C) 1996-2014 SAKURA Internet Inc.
当社ご紹介
3
Copyright (C) 1996-2014 SAKURA Internet Inc.
さくらインターネットについて
4
06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期
2,758
4,398
6,204
7,106
7,812
8,5849,164
9,482( 百万円 )
207 -162 85 349
723 1,194
873 867
売上高
経常利益
Copyright (C) 1996-2014 SAKURA Internet Inc.
企業理念
Mission 当社の使命私たちは、人々とビジネスの可能性を広げるデータセンターサービスの提供を通じ、インターネットによってひらかれる創造性と驚きに満ちた未来の実現に貢献します。
Vision 当社が目指す姿
Value 当社が重視する価値観
Service 高品質で低価格な IT プラットフォームと革新的で面白いインターネットサービスの提供Infrastructure スケールメリットと柔軟性を兼ね備えたコスト競争力の高い IT インフラの実現Technology 価値あるサービスの実現とインターネットの発展に寄与する先進的な技術の探求
質の高いサービスを生み出す絶えざるイノベーション コストパフォーマンスを支える卓越したオペレーション 全ての活動のベースになる良質なコミュニケーション
5
Copyright (C) 1996-2014 SAKURA Internet Inc.
当社サービスについて
6
Copyright (C) 1996-2014 SAKURA Internet Inc.
当社の提供するサービスの分類
※ 他にも、ハイブリッド型等、多様なサービス形態が存在する。
タイプ 説明 サービス名称ハウジング 回線と場所の提供 ハウジング
専用サーバ サーバ 1 台の提供 さくらの専用サーバ
共用サーバ 1 台のサーバを複数ユーザで共用
さくらのレンタルサーバ
仮想サーバ 仮想サーバの提供 さくらの VPSさくらのクラウド
7
Copyright (C) 1996-2014 SAKURA Internet Inc.
各サービスの比較
タイプサーバ所有
サーバ管理
コンテンツ
管理
サーバ設置場所
共有/専有
ハウジング お客様 お客様 お客様 当社 専有
専用サーバ 当社 お客様 お客様 当社 専有
共用サーバ 当社 当社 お客様 当社 共有
仮想サーバ 当社 お客様 お客様 当社 共有
8
Copyright (C) 1996-2014 SAKURA Internet Inc.
バックボーンネットワーク
9
※2014 年 3 月 3 日現在
Copyright (C) 1996-2014 SAKURA Internet Inc.
当社に対する通報への対応状況
10
Copyright (C) 1996-2014 SAKURA Internet Inc.
通報への対応について
11
2012
年10
月
2012
年11
月
2012
年12
月
2013
年1月
2013
年2月
2013
年3月
2013
年4月
2013
年5月
2013
年6月
2013
年7月
2013
年8月
2013
年9月
2013
年10
月
2013
年11
月
2013
年12
月
2014
年1月
外部より寄せられる通報への対応件数の推移。
Copyright (C) 1996-2014 SAKURA Internet Inc.
このセッションでお伝えしたいこと
• お客様のサービスが悪用されるケースにはどのようなものがあるのか
• お客様にどのような対応を行っていただく必要があるのか
• 当社がどのような取り組みを行っているのか
12
Copyright (C) 1996-2014 SAKURA Internet Inc.
「サイバー攻撃」の種類
13
Copyright (C) 1996-2014 SAKURA Internet Inc.
「サイバー攻撃」とは
14
防衛省・自衛隊のページによれば、サイバー攻撃について、確立した定義は無いが、一般的には、情報通信ネットワークや情報システムを利用して行われる、以下のような行為等を指すとされる。
• 不正侵入• データの窃取・破壊• 不正プログラムの実行• DDoS 攻撃(分散サービス不能攻撃)
Copyright (C) 1996-2014 SAKURA Internet Inc.
被害を受けた場合、加害者となるケースが少なくない
15
攻撃を受ける [被害者 ]例:パスワードクラック
攻撃を行う [加害者 ]例: spam送信、 DoS 攻撃、フィッシングサイト
第三者、他のユーザへの影響例: DNSBL への登録
Copyright (C) 1996-2014 SAKURA Internet Inc.
主な攻撃の種類 ( 攻撃を受ける [被害者 ]側として )
16
1.パスワードをクラックする
パスワードの種類 ・ FTP ・ SSH ・メール ・ CMS 等の Web アプリケーション
手法 ・ブルートフォース ・漏えいしたリストを利用
Copyright (C) 1996-2014 SAKURA Internet Inc.
主な攻撃の種類 ( 攻撃を受ける [被害者 ]側として ) (続き )
17
2.公開サービスの設定不備を利用する
踏み台にされるサービスの例 ・ DNS ・ NTP ・メールサーバ
3. DoS 攻撃 (Denial of Service attack) 大量の通信を発生させることにより、サーバや通信を 麻痺させる 分散した多数のサーバから一斉に行われるケースが多い ( DDoS… Distributed DoS)
Copyright (C) 1996-2014 SAKURA Internet Inc.
主な攻撃の種類 ( 攻撃を行う [加害者 ]側として )
18
1. spam送信
2.不正アクセス
3.サイト改竄 -フィッシングサイト -マルウェア設置
Copyright (C) 1996-2014 SAKURA Internet Inc.
その他、派生する問題
19
1. DNSBL への登録
メール受信の拒否・遅延
2.周辺のお客様への影響
共用サーバにおける、負荷の上昇等
3.管理責任が問われる
警察からの問合せが寄せられる場合も
2013 年 11 月 2013 年 12 月 2014 年 1 月
メール送信に関する問合せ件数の推移(メール・電話)
Copyright (C) 1996-2014 SAKURA Internet Inc.
攻撃手法ごとの、対応方法の分類
20
攻撃手法 お客様での対応 当社での対応
1.パスワードクラック
ブルートフォース 強度の高いパスワードを設定する
・強度の低いパスワードが設定できないようにする(対応1)・メールパスワード漏洩と見られるspam送信の監視(対応2)・ Fail2ban による接続制限を実施・メール送信通数制限
漏洩したリストを使用
パスワードをサービスごとに別にする。
・通報を受けた場合、警告等の対応を行う
2.公開サービスの設定不備
DNS 、 NTP 、メールサーバ
対応不可※Web コンテンツは除く
・サーバの設定、日々のメンテナンスを適切に行う(対応3)
3. DoS 攻撃 対応不可 ・検知、対応システムによる、早期発見、早期対処(対応5)
当社が管理者権限を有するサーバ (「さくらのレンタルサーバ」等 )
Copyright (C) 1996-2014 SAKURA Internet Inc.
攻撃手法ごとの、対応方法の分類 (続き )
21
攻撃手法 お客様での対応 当社での対応
1.パスワードクラック
ブルートフォース
強度の高いパスワードを設定する
・ Fail2ban を OS初期イメージへ同梱、及び自動検知・遮断システムの構築(対応4)・サーバ停止状態でのサービス提供開始 (VPS)
漏洩したリストを使用
パスワードをサービスごとに別にする
・通報を受けた場合、警告等の対応を行う
2.公開サービスの設定不備
DNS 、 NTP 、メールサーバ
サーバの設定、日々のメンテナンスを適切に行う
・通報を受けた場合、警告等の対応を行う
3. DoS 攻撃 対応不可 ・検知、対応システムによる、早期発見、早期対処(対応5)
お客様が管理者権限を有するサーバ ( 「さくらの VPS 」等 )
Copyright (C) 1996-2014 SAKURA Internet Inc.
当社の取り組み
22
Copyright (C) 1996-2014 SAKURA Internet Inc.
関係する組織の機能(概念図)
23
通報受付窓口
システム監視
機能追加、フロー改善等仕組み作り
お客様への連絡相談受付
通報元 お客様
サーバ・
ネットワーク
当社
Copyright (C) 1996-2014 SAKURA Internet Inc.
(対応1)パスワード強度チェック
24
• 会員メニュー• コントロールパネル• その他
8文字以上を必須とし、強度の低いパスワードが設定されるリスクを低減
Copyright (C) 1996-2014 SAKURA Internet Inc.
(対応2)メールパスワード漏洩への対応
25
・共用サーバサービスにおける、メールパスワード漏洩と見られる spam送信を定期的に確認し、対応を実施。
2013 年 11 月 2013 年 12 月 2014 年 1 月 2014 年 2 月
対応メールアドレス数の推移
Copyright (C) 1996-2014 SAKURA Internet Inc.
(対応3)共用サーバにおけるサーバ管理者としての対応
26
• 関連プログラムのアップデート、セキュリティホール等の脆弱性への対応等の作業を当社にて実施。
• お客様はサーバ管理から解放され、コンテンツ管理に注力いただける。
Copyright (C) 1996-2014 SAKURA Internet Inc.
参考:共用サーバにおけるセキュリテイリスクの例「 Symlink Attacks 」
27
• Symlink Attacks とは
同サーバの別ユーザのファイルへシンボリックリンクを張り、自分の URL から該当のファイルへのアクセスができるようにする手法。
Copyright (C) 1996-2014 SAKURA Internet Inc.
参考:共用サーバにおけるセキュリテイリスクの例「 Symlink Attacks 」 (続き)
28
• Symlink Attacks への対応
-「 SymLinksIfOwnerMatch 」の設定-ユーザが上記設定を変更できないようにする- Apache権限にて、不特定多数のユーザがスクリプトを 実行できないようにする( suEXEC機能の使用)
Copyright (C) 1996-2014 SAKURA Internet Inc.
• 不正接続検知及び接続拒否を行うツール「 Fail2ban 」のOS初期イメージへの同梱。
• 自動検知・遮断システムの構築
(対応4) SSH ブルートフォース攻撃への対応
29
OS初期イメージFail2ba
n
Copyright (C) 1996-2014 SAKURA Internet Inc.
(対応5)DoS 攻撃への対応
30
• DoS 攻撃とは– 直訳すると、“サービス不能攻撃”– 攻撃対象ホストに、無関係なパケットを大量に送りつけることに
よって、そのホストが提供するサービスが正常に提供できなくなるように外部から攻撃を行うこと。• 単純に帯域を食いつぶす• 帯域は少なくとも、セッションを食いつぶす• セキュリティホールをつくクラックも DoS といえば DoS
• DNS オープンリゾルバ、 NTP を踏み台とした攻撃が増加している。
• 大量トラフィックの検知及びパケット破棄の仕組みを構築
Copyright (C) 1996-2014 SAKURA Internet Inc.
スイッチ
RTBH とは?
31
• Remote Triggered Black Hole の略– DoS 攻撃の宛先 IP アドレスを、内部 BGP で特殊な宛先 (事前に仕込む )宛に広報し、ボーダルータで破棄する仕組み
ボーダルータ
DoS
サーバ サーバ
DoS
DoS
DoS
RTBH有りの場合RTBH 無しの場合
スイッチ
ボーダルータ DoS
サーバ サーバ
Copyright (C) 1996-2014 SAKURA Internet Inc.
DoS 攻撃が発生時の対応フロー
DoS 攻撃発生!
数秒でアラート発砲
WebUI でクリックするだけで RTBH!
対応終了
32
Copyright (C) 1996-2014 SAKURA Internet Inc.
その他の対応
33
• SPF レコード設定機能スパムメール判定の為に SPF レコードによる信用度チェックが行われるケースへの対応として、共用サーバにおいて、 SPF レコード設定機能の提供を開始
Copyright (C) 1996-2014 SAKURA Internet Inc.
今後の計画
34
DoS 攻撃への対応について
[ これまで ] ・該当するアドレスの通信全てを除外
[ 新たな取り組み ] ・該当するアドレスに関する通信のうち、 DoS 攻撃の通信のみを除外し、それ以外の 通信は可能な状態にする
Copyright (C) 1996-2014 SAKURA Internet Inc.
お客様にご注意いただきたいこと
35
Copyright (C) 1996-2014 SAKURA Internet Inc.
お客様にご注意いただきたいこと
36
• パスワードは強度の高いものを• ファイアウォールを適切に設定する• CMS 等アプリケーションのバージョンアップ
をする• 登録連絡先情報の確認• 当社からのお知らせの確認
Copyright (C) 1996-2014 SAKURA Internet Inc.
ご清聴ありがとうございました
37