YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知
515 Views
January 29, 18
スライド概要
Yahoo! JAPAN Tech Conference 2018 D-5 セッションのスライドです。
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
関連スライド
各ページのテキスト
日本のインターネットを守る! Yahoo! JAPANの不正利用対策 Splunkによる不正ログイン検知 CISO室 近藤 彬 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
自己紹介 ■2005年~ 日立系の会社で官公庁向けのシス テム開発に従事。 ■2009年~ ヤフー株式会社へ入社。ヤフオ ク!やYahoo!ショッピングの開 発・運用に従事。 ■2016年~ CISO室にて不正利用対策 近藤 彬 (こんどう あきら) Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーの不正利用とは Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーの不正利用とは • ネットワーク • ポートスキャン など • サーバOS/Webサーバソフト • Dos/DDos攻撃 • 脆弱性攻撃 など • アプリケーション • SQLインジェクション • XSS など Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーの不正利用とは ヤフーのサービスを利用しての不正行為になります Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのサービスを利用した不正利用 ■コマース系サービス ■スパム行為 • クレジットカード盗用 • メールスパム • 銀行口座盗用 • 広告スパム • 詐欺 • コメントスパム • 偽ブランド販売 • いたずら注文 • ガイドライン違反 ■ Yahoo! JAPAN ID関連 • 複アカの大量取得 • ID乗っ取り Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのサービスを利用した不正利用 Webサービスは各社でさまざまであり、既製のセキュリティ製 品は少ない。そのため独自で対策をしなければならない。 ヤフーでは機械+人での対策を行っている。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのサービスを利用した不正利用 ここ数年、Yahoo! JAPAN IDの乗っ取り(リスト攻撃)が急増 しており、 対策が急務であった。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃につい て) Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について) パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を 試みる手法の一種で、あらかじめ用意したアカウント情報(ID とパスワードの組み合わせ)一覧をもとにログインを試みる手法 である。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について) アカウントリスト 何かしらの手段でリストを作成or入手 ・フィッシングサイト ・マルウェア ・他社からの流出 ・ダークウェブ など ポイントの盗用 スパムメール送信 など アカウントリストの精査 ログインサーバ 不正利用 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 各サービス
ID乗っ取り(リスト攻撃について) 攻撃者は身元を偽装するため 日本に設置した中継サーバを 経由してアクセスしてきてい る。 出典:産経ニュース Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について) アカウントリストの精査 スクリプト 海外IP ログインサーバ 不正利用 人手 中継サーバ 日本IP Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 各サービス
ID乗っ取り(リスト攻撃について) 現行の機械+人力での検知では限界があるため、Splunkを利用 した検知システムを構築した。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkについて Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkとは • ログの統合分析基盤。 • 検索/分析・可視化/レポーティングな どの機能を備える。 • さまざまなログフォーマットに対応。 • ITセキュリティ/ITオペレーション/ビ ジネス分析などさまざまな分野で利用 ができる。 ※詳細はSplunk社のHPを参照してください。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkとは クエリ例) index="*" ip="*" | stats count by ip Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkとは Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検 知 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知 不正検知のロジックは 全てSplunkの機能で実装。 search head web hook forwarder login log suspend server indexer ログインログをSplunkへ転送 ログから不正ログインを抽出し、 措置サーバへ連携 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 不正ログイン被害者の パスワードをリセット
Splunkを使った不正ログイン検知 膨大な正常系とログから真の脅威と推定されるアクセスを掘り当て る 必要がある。 ログの大半はノイズ 脅威は全体のごく一部 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知 ① 統計データの作成 ② スコアリング スコアリング評価に必要な統計データを作成 スコアリングロジックに基づき、アクセスを評価 RAW DATA BASE QUERY SUMMARY DATA PROFILING QUERY Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ACCOUNTHIJACK DATA
Splunkを使った不正ログイン検知 不正者の行動パターンはすぐに変化するため、監視・分析・モ デル更新を行う運用フローを構築している。 検知モデルの更新 不正者の行動分析 不正者の監視 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知 35000 システムリリース以降、 件数が大幅に増加している パスワードリセット件数(日単位) 30000 25000 20000 15000 10000 5000 0 システムリリース Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知 • Splunkを利用するメリット • WebUIでほとんどの操作が可能。 • 攻撃者は常に行動が変わるため、素早い対応が必要になる。 SplunkではWebUIでほとんどの操作ができるため早急かつ低リソースで対応が可能。 • 攻撃者の行動分析が容易にできる。 • Splunkはログ分析基盤であるため、アプリケーションログを取り込んでおけば容易に 攻撃者の行動分析ができる。またダッシュボード機能を利用することで可視化も簡単に できる。 • システム構築が比較的容易。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知 • Splunkを利用する際の注意事項 • ライセンス料に注意が必要。 • Splunkライセンス体系は一日に転送するログの量で決まります。 そのため転送するログは選定する必要があります。 • サーバスペックがそれなりに必要。 • Splunkではサーバーリソース(特にメモリー)をかなり使うため、 大規模なログを分析する場合はサーバのコストがかかります。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
最後に • セキュリテイ機能の紹介 • ワンタイムパスワード。 • 海外アクセスブロック。 • セキュリティセンターによるリテラシーの向上。。 • パスワードレスのYahoo! JAPAN ID推進。 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.