ログ分析を活用した
Webサイトセキュリティ
リスクへの備え
5
th
Feb.2021
technology, strategy, customers, markets, acquisitions and investments. These statements reflect management’s current expectations, estimates and assumptions based on the information currently available to us. These forward-looking statements are not guarantees of future performance and involve significant risks, uncertainties and other factors that may cause our actual results, performance or achievements to be materially different from results, performance or achievements expressed or implied by the forward-looking statements contained in this presentation.
A discussion of factors that may affect future results is contained in our most recent annual report on Form 10-K and subsequent quarterly reports on Form 10-Q, copies of which may be obtained by visiting the Splunk Investor Relations website at www.investors.splunk.com or the SEC’s website at www.sec.gov, including descriptions of the risk factors that may impact us and the forward-looking statements made in this presentation. The forward-looking statements made in this presentation are made as of the time and date of this presentation. If reviewed after the initial presentation, even if made available by us, on our website or otherwise, it may not contain current or accurate information. We disclaim any obligation to update or revise any forward-looking statement based on new
information, future events or otherwise, except as required by applicable law.
In addition, any information about our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment. We undertake no obligation either to develop the features or functionalities described or to include any such feature or functionality in a future release.
Splunk, Splunk>, Data-to-Everything, D2E and Turn Data Into Doing are trademarks and registered trademarks of Splunk Inc. in the United States and other countries. All other brand names, product names or trademarks belong to their respective ow ners. © 2021 Splunk Inc. All rights reserved.
Forward-Looking
横田 聡
シニアセールスエンジニア CISSP GMON
Splunk Services Japan 合同会社
twitter@odorumurphys
qiita@odorusatoshi
目次
1. Webサービスを取り巻くセキュリティリスク
2. 不正ログイン監視のすゝめ
3. Demo
Webサービスを取り巻く
セキュリティリスク
参照元:情報セキュリティ10大脅威 2021 https://www.ipa.go.jp/files/000088289.pdf
不正ログイン
脆弱性/改ざん
Webサービスを取り巻くセキュリティリスク
WAF
アプリ診断
IDS/IPS
脆弱性スキャン
環境的脅威
(地震、火災等)意図的脅威
脅威
偶発的脅威
アプリ脆弱性
ソフトウェア
脆弱性
ポリシー/設定
不備
SQLインジェクションに
よる情報漏洩
改ざん/乗っ取りによる
攻撃者への加担
なりすまし不正ログインに
よる不正利用
アクセス権限設定ミスに
よる不正アクセス
大量アクセスに
よるサービス停止
リスクシナリオ
Webサービスを取り巻くセキュリティリスク
DoS/DDos
リスト型攻撃
技術的対策例
発見的 予防的FIM
Splunk
(検知/傾向分析)
DDoS対策
(CDN)
Splunk
(検知)
Splunk
(ログ調査)
Splunk
(傾向分析)
リスト型攻撃(
Credential Stuffing
)の
脅威
2020年に入ってからも著名なWebサービスで不正ログイン被害が発生し続けている
サイトA
サイトB
サイトC
悪
✓
他社サービスからID/Passが漏洩
し、その
ID/Passを用い他のサービスへ不正ログイン実
施
✓
不正ログインしているかどうかの
検知は困難
✓
異なるサービスから漏洩したID/Passで不正利
用された場合でも、
ビジネス影響大
✓
また、対策に有効と知りつつ、利便性が大きく
低下するため
ユーザは2段階認証に消極的
他のサービスの
ID/Passwordを搾取
正しい
ID/Passwordで認
証に来るため、検
知が困難
1
2
なぜ不正ログインの発見が難しいのか?
1. 認証ログをモニタリングする上での
データが不足
•
アカウントに存在しない場合にログイン試行のログを残していない。失敗イベントのみ記
録。など
2. 変化の早い不正手口の監視ルールを柔軟に
追加・変更可能な分析基盤がない
•
不正ログインのカスタム検知ルールを本番導入中のWAF機器に柔軟に変更適用することが
困難。など
3. ユーザー行動を俯瞰して
リスク分析する仕組みが無い
•
“WAF監視”と”不正トランザクション監視”オペレーションのサイロによる溝(ギャップ)
サイロの壁
不正ログイン
監視のすゝめ
Splunkを使ったFraud監視のポイント
あらゆるサービスに対するFraud(詐欺行為、不正手段)の監視に活用
会員系Web
サービス
①
不正
ログイン
•
ブルートフォース攻撃
•
リバースブルートフォース攻撃
•
パスワードリスト攻撃
②
不正
送金(又はAML)
③
不正
利用
•
不正ポイント利用(〇〇ポイント)
サービスログイン試行
④その他
不正
利用
•
不正請求(保険金の請求)
•
不正医療費請求(薬の不正提供)
•
クレジットカード不正利用 etc
被
害
の
影
響
範
囲
時間の経過
サービスログイン後のなりすまし利用
Anti-Fraudユースケースまとめ
2018年講演
SIE(Sony Interactive
Entertainment)
2018年講演
VPNet
(プエルトリコの小売業、金融業向けの Fraud SOCサービスを提供)2019年講演
Aflac
目的
アカウント不正利用の
早期発見
デビットカード不正利用の
早期発見
保険金請求詐欺の
早期発見
データソース
- Web Accessログ
- 認証ログ
- 変更履歴(E-Mail, Password,
payment etc)
- カード取引トランザクション
データ
- 顧客情報
- 認証ログ
- 請求プロセスログ
- オンライン行動データ etc
計30種のデータソース
傾向分析&アラート
◎
◎
◎
RBA
(リスクベース分析)
-
◎
◎
MLTK(機械学習)
-
◎
K-means(PCA)で試験運用
◎
K-means (PCA)で試験運用
2018〜2019年の.conf発表資料よりFraud利用事例まとめ
分析に有効な認証イベントのフィールド例
TimeStamp Browser City Country OS Response SrcIP Type UserId
2020-09-10T08:29:59.975Z Chrome 8 Tokyo Japan Mac OS X Pass 203.xxx.xxx.xxx SignIn xxxxxx-6766742b420c
2020-09-10T08:12:46.333Z Chrome 8 Tokyo Japan Windows 10 Pass 203.xxx.xxx.xxx SignIn xxxxxx-0fe731727ea5
2020-09-10T08:11:35.177Z Chrome 8 Tokyo Japan Mac OS X Pass 203.xxx.xxx.xxx SignIn xxxxxx-edf222878482
2020-09-10T08:10:09.440Z Chrome 8 Tokyo Japan Windows 10 Fail 203.xxx.xxx.xxx SignIn xxxxxx-a759d6ad74ab
2020-09-10T07:53:04.002Z Chrome 8 Chiba Japan Mac OS X Fail 60.xxx.xxx.xxx SignIn xxxxxx-3b4aeba6eb7e
SrcIp
UserId
Webサービスのセキュリティ監視に有効なログソースについて
IDS/IPS Firewall Internet WAF L/B ・アクセスログ or WireData(http) Webアプリ サーバ Webサーバ公開Webサイト
・アプリログ (取引ログ) ・アプリログ (認証ログ) or WireData(http) 認証サーバ CDN Fraudセキュリティ監視 WAFアラート調査 クラウドサービス監視GCP
Azure
SQL Injection検知時のレンスポンス内容のチェック
アラートとForm内容の突き合わせチェック.etc
Root Loginチェック
IAM認証失敗チェック
S3バケットpublic公開チェック etc
サービス提供外国からの認証チェック
異なるsrcから同一アカウントへの認証チェック
etc
取得推奨データ参考記事:Splunk Streamを使って http通信のWire Dataを可視化
https://qiita.com/odorusatoshi/items/1a9efe222ba6e8c4c454
裏技:
Splunk Streamでhttp通信をキャプチャ
Splunk Stream はネットワーク装置上のネットワークトラフィック、またはサーバーに到達したネットワークトラフィックを取得するための、Splunk の機能追加アドオン
(推奨)Stream専⽤ForwarderServerへ導⼊ End Users SPAN or TAP Firewall Splunk Indexers
Search head Linux - Universal Forwarder (Splunk_TA_Stream) Servers Internet
推奨利用シーン:
Webアプリケーションの改修(ログ出力設定)が困難なためネットワークでどうにかしたい!
参考記事:AWS VPC Traffic Mirroringを使ってFraud監視をスタート!
Application Load Balancer AWS Certificate Manager AWS WAF Availability Zone (1) Availability Zone (2) security group Am azon Route 53
https
://www.mangoschips.net
Amazon Kinesis Firehose Web サーバ Web サーバ Forwarder サーバeth0
eth1
TCP:80 TCP:80 TCP:443 Splunk サーバ TCP: 9997 TCP: 8088常時SSL(https)の通信をどうやってモニターするの?
UDP: 4789 UDP: 4789 Webサーバ • Amazon Linux2 • Apache:2.4.46 • PHP:5.4.16• MySQL:5.7.32 Community Server
ACMとRoute53の役割 • ACM・・・SSL証明書を作成し、ALBにてSSL 終端させるために利用 • Route53・・・ALBのドメイン名を 「www.mangochips.net」のaliasレコードと して設定
