20140716 movable type seminar
TRANSCRIPT
2014 年 7 月 16 日シックス・アパート株式会社
長内 毅志
Movable Type の安全性について
アジェンダ
•Web 改ざんの実際
•攻撃の実際
•Movable Type の特徴と安全性
•安全性を高めるために
•Movable Type のご紹介
Web 改ざんの実際
データ出典: JPCERT/CC インシデント報告対応レポートグラフ: http://www.nca.gr.jp/2013/web201303/
ガンブラー
http://www.ipa.go.jp/security/txt/2013/07outline.html
最近の改ざん手法
http://www.ipa.go.jp/security/txt/2013/07outline.html
http://cybermap.kaspersky.com/
•CMS の管理権限を奪取してウェブサイ
トを改ざん
•CMS の公開ディレクトリに任意のファ
イルをアップロードしてウェブサイト
を改ざん
CMS に関するハッキングの傾向
•20% は CMS のコア部分にある脆弱性
への攻撃、 80% はプラグインなど周
辺プログラムの脆弱性を狙った攻撃
BSI 「 Content Management Syttem 」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.htmlVia http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
どのような攻撃が存在するか
もっとも多いパターン
•使用されている CMS を識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
ブルートフォースアタック ( 総当り攻撃 )
イラスト:「 2014 年版 情報セキュリティ 10 大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html
ファイルアップロード攻撃 ( バックドア )
イラスト:「 2014 年版 情報セキュリティ 10 大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
ここまでのまとめ
•CMS が特定できると、攻撃しやすい
•総当たり攻撃やファイルアップロード
攻撃など、攻撃者は CMS とプラグイ
ンの脆弱性を狙って攻撃をおこなう
Movable Type の特徴と安全性
CMS サーバーと公開サーバーの分離
ロックアウト
アップロードファイルの制限設定
•AssetFileExtensions
–アップロードできるファイルの種類を制限
•DeniedAssetFileExtensions
–アップロードできないファイルを設定
ジェネレーター情報の消去
• https://www.ipa.go.jp/security/topics/alert20130913.html
Movable Type の安全性を
さらに高めるために
CGI スクリプトの名称を変える
•CGI スクリプトの名称を変える
–AdminScript
•管理プログラムの CGI スクリプト名を設定します
–UpgradeScript
•アップグレードスクリプトを設定します
使わない CGI スクリプトの権限を変える
•使わない CGI スクリプトの権限を変え
る
–MT のコメント機能を利用していない
•mt-comments.cgi の実行権限を無くす
–トラックバック機能を利用していない
•mt-tb.cgi の実行権限を無くす
例
–Data API 機能を利用していない
•mt-data-api.cgi の実行権限を無くす
–ログフィード機能を利用していない
•mt-feed.cgi の実行権限を無くす
–公開サイトで MT の検索機能を利用していな
い
•mt-search.cgi, mt-ftsearch.cgi の実行権限を無く
す
ロックアウト設定をする
パスワードの桁数と組み合わせの種類
文字種の数 4 桁 6 桁 8 桁
10 種( 数字のみ )
1 万 100 万 1 億
26 種( 英小文字 )
約 46 万 約 3 億 約 2 千億
62 種( 英数字 )
約 1500 万 約 570 億 約 220 兆
94 種( 英数記号 )
約 7800 万 約 6900 億 約 6100 兆
「 Web 担当者フォーラム」よりhttp://web-tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
参考
https://howsecureismypassword.net/
•Movable Type を
安全に利用するために
http://www.movabletype.jp/blog/
secure_movable_type.html
ここまでのまとめ
•常に最新版へアップデートすることが
改善防止につながる
•Movable Type の設定を調整すること
で、さらに安全性は高まる
その他
CMS の情報、バージョン情報を消す
•ジェネレータータグをすべて削除する
•RSS 、 Atom 、 RDF ファイルなども
注意
CMS サーバーの場所を特定しづらくする
•検索、コメント、トラックバックなど
を使っていない場合、 MT のアプリ
ケーション・サーバー情報は隠せる
•特定しづらい場所に配置する
公開サーバーと CMS サーバーを分ける
•MT クラウドには標準機能でサーバー
配信機能が含まれている
参考情報
IPA 「安全なウェブサイトの作り方」
• https://www.ipa.go.jp/security/vuln/websecurity.html
http://www.ipa.go.jp/security/txt/2013/07outline.html
Movable Type 最新情報
最新バージョン
Movable Type 6.0.3
5 つの新機能
•Data API
•Chart API
•非公開日指定
•Google Analytics との連携
•メッセージセンター
Data API
•JSON 形式でデータを取得•PHP 、 JavaScript など言語を問わず拡張
Google Analytics の連携
• Google Analytics と連携してアクセスデータを
ダッシュボード上に表示
レスポンシブウェブデザインテーマ
•Rainier
–ブログ向けテーマ
•Eiger
–企業サイト向けテーマ
Apex
•追加テーマ「 Apex 」http://plugins.movabletype.jp/
movable_type/apex.html
Rainier と Eiger 、 Apex のライセンス
•MIT ライセンス (オープンソース )–自由にカスタマイズ、再頒布可能
–ビジネス利用も可能、オープンソース頒布も
パフォーマンス改善
Movable Type クラウド版
•クラウド環境で MT を提供
•サーバー保守、メンテナンスはシックス・アパートが担当
•月額 5000円~
サーバー配信機能
•外部サーバーへ html送信
•ステージング構成が簡単
バックアップ機能
•1 日に 1 度データをバックアップ
•いつでも復旧可能
MT on AWS
•AWS marketplace で提供
•T1micro は無料 (AWS 使用料別 )