ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
3.8K Views
February 02, 22
スライド概要
世の中にはサービスのセキュリティを脅かす犯罪者がたくさんいます。ユーザーを犯罪者から守り、サービスを安心安全に利用していただくため、高度化するサイバー攻撃に日々対応する必要があります。ヤフーにおけるセキュリティの一翼を担っているCSIRTとSOCについて紹介します。
Yahoo! JAPAN Tech Conference 2022は2022年2月3日、4日に開催しました。
https://techconference.yahoo.co.jp/2022/
アーカイブ動画はこちらからご覧ください。
https://youtu.be/boqitqHobrc
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
関連スライド
各ページのテキスト
ヤフーを⽀えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ ヤフー株式会社 CISO室 SOC ⼩林 怜央 ヤフー株式会社 CISO室 YJ-CSIRT Brahma Saurav ©2022 Yahoo Japan Corporation All rights reserved.
Brahma Saurav セキュリティ監視室 YJ-CSIRT 2019年ヤフー新卒入社 普段はインシデント対応や脆弱性評価と周知を担当 兼務でZHD-CSIRTも担当 最近はAngularやPythonを使って開発する事が多い ©2022 Yahoo Japan Corporation All rights reserved.
小林 怜央 セキュリティ監視室 SOC 2019年ヤフー新卒入社 普段はセキュリティアラート対応や監視強化を担当 開発部署の経験を活かし効率化・監視強化を行う 最近は外部クラウドサービスの監視を強化 ©2022 Yahoo Japan Corporation All rights reserved.
このセッションについて 世の中にはサービスのセキュリティを脅かす犯罪者がたくさんいます。 ユーザーを犯罪者から守り、サービスを安⼼安全に利⽤していただくため、 ⾼度化するサイバー攻撃に⽇々対応する必要があります。 ヤフーにおけるセキュリティの⼀翼を担っているCSIRTとSOCについて紹介します。 ©2022 Yahoo Japan Corporation All rights reserved.
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
1. CSIRT と SOC CISO室の役割 l CSIRT (Computer Security Incident Response Team) l SOC (Security Operation Center) l ユーザーアカウントの不正利⽤の監視・対策 l ISMS認証・NIST CSF l セキュリティ教育啓発 など... ©2022 Yahoo Japan Corporation All rights reserved.
1. CSIRT と SOC CSIRT (シーサート) Computer Security Incident Response Team l セキュリティインシデントに対処するための組織の総称 l インシデントが発⽣した場合の対応⽀援体制構築と対応⽀援を⾏う セキュリティインシデント例︓ 情報流出、フィッシングサイト、マルウェア感染、Web改ざん、DoS(DDoS) ©2022 Yahoo Japan Corporation All rights reserved. など...
1. CSIRT と SOC CSIRTは消防署 119番に 連絡だ︕ CSIRTに 連絡だ︕ ©2022 Yahoo Japan Corporation All rights reserved. 消防署 消⽕活動の⼿配 CSIRT インシデント 解決の⽀援 イラスト︓いらすとや
1. CSIRT と SOC SOC (ソック) Security Operation Center l 情報システムへの攻撃を監視・分析する組織 l 監視によるサイバー攻撃の抑⽌・早期発⾒ l 攻撃を分析して早期解決・再発防⽌ ©2022 Yahoo Japan Corporation All rights reserved.
1. CSIRT と SOC CSIRTの主な三つの業務 • 脆弱性情報や脅威情報の分析・周知 ▶ ソフトウェア、パッケージ など • 社内外から報告されたインシデントの報告対応 ▶ サイバー攻撃、メール誤送信、マルウェアが侵⼊、フィッシングサイト など • 脆弱性診断 ▶ ペネトレーションテスト など ©2022 Yahoo Japan Corporation All rights reserved.
1. CSIRT と SOC CSIRTの主な三つの業務 • 脆弱性情報や脅威情報の分析・周知 ▶ ソフトウェア、パッケージ など • 社内外から報告されたインシデントの報告対応 ▶ サイバー攻撃、メール誤送信、マルウェアが侵⼊、フィッシングサイト など • 脆弱性診断 ▶ ペネトレーションテスト など ©2022 Yahoo Japan Corporation All rights reserved.
1. CSIRT と SOC SOCの主な三つの業務 • 監視項⽬作成 ▶オフィスネットワーク、ヤフーサービスの監視 • 攻撃監視・分析 ▶サーバログ、ネットワークキャプチャなどから攻撃を分析 • 監視強化 ▶監視対象の拡⼤・脅威情報の対応による監視強化 ©2022 Yahoo Japan Corporation All rights reserved.
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
2. 脆弱性や脅威にどう対応しているのか 脆弱性情報や脅威情報の分析・周知 情報源 JPCERT/CC Daily Report News, etc… Threat Intelligence Service 3. Escala4on • 規模に応じて 2. Triage 1. Discovery • 詳細確認 • 影響範囲 • 脆弱性/リスク 関係各所へ共有 レベルの算出 (CVSS) YJ-CSIRT Japan Cybercrime Control Center (警察) SNS (Researcher等) セキュリティ 社内 グループ 脆弱性 サービス 会社 情報 フィッシング 監視 対策協議会 各社CSIRT 調査 周知 インシデント 脅威情報 社外報告 Dark Web ©2022 Yahoo Japan Corporation All rights reserved. • 社内外連携 SOC 各種メディア NCA・FIRST等 CSIRT間情報共有 Yahoo! JAPAN Z Holdings 4. Coordina4on 検知 JPCERT/CC IPA ベンダ etc…
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
2-a. Log4Shell 【CVE-2021-44228】Log4Shell •Apache Log4j 2のRCE脆弱性に関する情報を⼊⼿ Discovery •この時点ではCVE未採番 •CSIRTで独⾃に脆弱性を評価 Triage •⾮常に脅威度の⾼い脆弱性であり、緊急対応が必要と判断 •社内各部⾨に影響調査/修正対応を依頼 •ZHDグループ各社に情報を展開 Escala/on •SOCとIoC情報や対応⽅針を共有 •社内各部⾨の対応状況を逐次確認 社内各部門の修正報告 ©2022 Yahoo Japan Corporation All rights reserved. Coordina(on •社外製品等利⽤によるリスクの確認
2-a. Log4Shell CSIRTにおけるLog4Shell対応 Scope •社内 / 社外の各種製品を含め、広範囲に影響 •そのため、社外製品も同様に影響を確認 Announce •Log4Shell(CVE-2021-44228)を含むApache Log4j 2の脆弱性 •関連情報を注視し、随時内容を評価 / 更新 Remedia.on •各部⾨のセキュリティ責任者と連携して全社対応 •アップデート適⽤ / 緩和策適⽤ Log4Shellを悪用した攻撃は今後も続く見込みなのでご注意を ©2022 Yahoo Japan Corporation All rights reserved. 画像:アフロ
2-a. Log4Shell SOCにおけるLog4Shell対応 攻撃コードを含んだリクエスト • 初期対応 • → jndi / ldap など 意図しない外部宛通信 攻撃コード/クラスを含んだリクエスト 攻撃者 ©2022 Yahoo Japan Corporation All rights reserved. 各種FWのログから特徴的なワードで調査 エンジニア • • 攻撃元の洗い出し • 着弾数の調査 その後の対応 • 攻撃となりうるリクエストを継続的に監視 • 脆弱性を含むアプリをEDRで調査 画像:アフロ
2-a. Log4Shell SOCにおけるLog4Shell対応 攻撃コードを含んだリクエスト • 意図しない外部宛通信 攻撃コード/クラスを含んだリクエスト • 初期対応 • LDAP通信が社外に出ている通信を調査 • 攻撃元への通信がでているかの調査 • L7プロキシ以外で外部と通信可能な環境の洗い出し その後の対応 • C2サーバの情報を基にSIEMのアラートを設定 → CSIRTと連携してIoC情報などから 攻撃者 ©2022 Yahoo Japan Corporation All rights reserved. エンジニア 画像:アフロ
2-a. Log4Shell SOCにおけるLog4Shell対応 攻撃コードを含んだリクエスト • 初期対応 • 意図しない外部宛通信 • その後の対応 • 攻撃コード/クラスを含んだリクエスト EDR / NGFW の振る舞い検知のアラートを確認 各ベンダに対応状況を確認 その他の対応 CSIRTを通して各サービスから提供されたログを IoCの情報と照らし合わせる作業のように 随時CSIRTと連携した作業を⾏っている 攻撃者 ©2022 Yahoo Japan Corporation All rights reserved. エンジニア 画像:アフロ
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
2-b. ua-parser-js npm Library Supply Chain Attack ua-parser-js • 開発者のアカウントが ハイジャックされる • 仮想通貨マイニングスクリプト や情報詐取系マルウェアが存在 • SOCへ情報提供し影響確認 • 全社的な利⽤状況確認と修正 • IoCから攻撃概要を調査 ©2022 Yahoo Japan Corporation All rights reserved.
2-b. ua-parser-js npm Library Supply Chain Attack • 影響範囲分析 • CSIRTから提供されたIoC情報とログを突合 → 開発環境・サーバの環境どちらも NGFW L7プロキシ DNS EDR エンジニア ©2022 Yahoo Japan Corporation All rights reserved. サービス • アラート設定 • SIEMの検知リストに追加 • 検知があった場合は必要に応じてCSIRTと連携
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
2-c. Phishing Phishing Site Take down (例)SMS/メール経由でPhishing Siteへ誘導 ©2022 Yahoo Japan Corporation All rights reserved.
2-c. Phishing Phishing Site Take down •JPCERT/CCからの連絡 Discovery Investigate Register •News, Twitter, Phishing Feed, etc… •urlscan.io, WHOIS, VirusTotal, ipinfo.io, etc… による調査 •Google Safe Browsing •MicrosoQ Security Intelligence •Phishtank •フィッシング対策協議会 Report •ホスティング/レンタルサーバやサービス運営業者 •サイト稼働状況確認 Takedown •Takedown完了後、関係者に連絡 実際のヤフーのフィッシングサイト ©2022 Yahoo Japan Corporation All rights reserved.
2-c. Phishing Phishing Site Take down Phishing Checker • Phishing Siteを調査するためにCSIRTで 開発しているツール • SiteのReputation, Image, Domain・IPに 関する情報をそれぞれ取得 • 各種脅威情報をAPIから取得して お⼿軽に初動調査 ©2022 Yahoo Japan Corporation All rights reserved.
アジェンダ 1. CSIRT と SOC 2. 脆弱性や脅威にどう対応しているのか a. Log4Shell b. ua-parser-js c. Phishing 3. まとめ ©2022 Yahoo Japan Corporation All rights reserved.
3. まとめ サイバー攻撃を防ぐエンジニア 犯罪者からユーザーの皆様を守るために • 攻撃側である犯罪者は、防御側の常に⼀歩先を歩いている • サイバー攻撃を防ぐためには、犯罪者と同等以上の知識が必要 • CSIRT / SOC は、安定したサービスをユーザーの皆様に届ける ために、より⾼度な分析⼿法を⽇々研鑽 ©2022 Yahoo Japan Corporation All rights reserved.
©2022 Yahoo Japan Corporation All rights reserved.