セキュリティ相談を受けたときに引用したい記事・ニュース集・事例集
これは何?
セキュリティ相談受けた際、過去のインシデントや事例などを引用して、「その対策必要なの?」というい疑問への説得力を持たせたりすることがあります。
が、その場で思い出せることは稀です。よく引用できていますが、「どっかにあった気がするんだけどな〜」と思って思い出せないことが7割くらいな気がします。
そんなことがないように、ここにまとめていきます。
いつかまとめたいと思っていたんですが、すぐ思い出せないので永遠に先延ばしにしていたので、未完成のまま公開します。
少しずつ思い出す度に増やします。
BetterThanNothingの精神です。
参考: https://www.youtube.com/watch?v=bnfPUrJQh1I
事例集
各種プロダクトのセキュリティガイドラインなど
- メルカリさんのgithub actionsに関するセキュリティガイドライン
リスト型攻撃
- メールアドレス登録状況が閲覧できることが攻撃に悪用された事例
Githubに機微な情報を置かない方が良い
- 認証情報
- https://corp.classi.jp/news/2416/
- 個人情報
- https://about.mercari.com/press/news/articles/20210521_incident_report/
リンクで共有のセキュリティ
- 短かった例
- ゲーム攻略サイトのチャットがsha1で総当たり攻撃被害を受けたニュース
- 見つからない・・・・
- ゲーム攻略サイトのチャットがsha1で総当たり攻撃被害を受けたニュース
- 大丈夫そうな長さの例
- Googleスプレッドシートなどでリンクで共有してみると、256bitのbase64エンコードくらい
- 乱数はどのくらいでぶつかる?の話
- 想定レコード数と「衝突する確率が十分小さい」をどのあたりに仮定するか、を決めれば、必要なbit数がわかる
- だいたい256bitだったら十分な理由がわかる
- https://ja.wikipedia.org/wiki/%E8%AA%95%E7%94%9F%E6%97%A5%E6%94%BB%E6%92%83#:~:text=%E5%95%8F%E9%A1%8C%E3%81%A8%E3%81%AA%E3%82%8B%E3%80%82-,%E6%95%B0%E7%90%86%E7%9A%84%E8%A7%A3%E8%AA%AC,-%5B%E7%B7%A8%E9%9B%86%5D
社内向けサービスは、Webアプリケーションフレームワークに到達する前に、認証を入れておきたい話
- log4J
- shellshock
- Struts2の脆弱性
なんならSSLも解きたくない話
- heartbleed
エンジニアの端末のクラウド認証情報は狙われてる話
- いろいろあるはず(探す)
認証機能が好きなサービス
- メールアドレスの疎通でログインするタイプのサービス
- Gather(パスワードを持たない)
- SMSログインで、疎通確認が4桁数字、ログインが6桁数字になってそうなサービス
- 後で思い出す
- 課金などアカウントをロストしたときの被害が大きくなるタイミングでパスワードの設定やメールアドレス・SMSなどの疎通確認がされるサービス
- 後で思い出す
- Discord
- QRコードログイン
- SMSでログインするタイプのサービス
- YahooID
認証関係
- メールアドレス/SMS宛の認証コードでログイン
-
https://pages.nist.gov/800-63-3/sp800-63b.html#:~:text=5.1.3%20Out%2Dof%2DBand%20Devices
- Out-of-Band-Devices
- どのくらいのエントロピーが必要でどのくらいでthrottlingすべきかみたいなのが参考になる
-
https://pages.nist.gov/800-63-3/sp800-63b.html#:~:text=5.1.3%20Out%2Dof%2DBand%20Devices
- パスワードリセットトークンの実装・長さ
- セッションの長さ