体験してわかった「Hardening 1010 Cash Flow」のメリット

セキュリティ診断グループの中野です。

６月末に沖縄で行われたHardening Project の第10回目のイベント「Hardening 1010 Cash Flow」に参加しました。初参加したHardening Project で、どのようなことを体験してきたのかをご紹介します。

Hardening とは？

5つの評価項目

各チームには運営するシステム構成が書かれた資料が前日に配布されます。配布されたらすぐに資料を読み解きはじめなければ、次の日まともに戦えません。前日の準備作業も勝つためには重要なポイントとなるのです。また、マーケットプレイスなどをいかにうまく活用していくかも鍵となります。

Hardening でのマーケットプレイスの効果的活用

Hardeningでは、チームの外部からサービス・製品を調達できる「マーケットプレイス」という支援制度が用意されています。マーケットプレイスとは、一般的に、インターネット上で自由に売り手と買い手が取引する市場のことです。

チームに不足しているリソースや、競技に必要と思われる商用製品をバーチャルに購入し、役立てることができます。

このマーケットプレイスで購入する資金は、売上や今回導入されたバーチャル金融から融資を受けることができます。（なお暴利的なレートですが...）

マーケットプレイスで購入できるものとしては、下記のようなものがあります。どれを導入するかを前日に決めておくと、当日の競技で効率よく作業ができます。

マーケットプレイスで購入できるもの

• WAFなどのセキュリティ製品
• コンサルサービス
• インシデント対応
• 参加者経験を生かしたノウハウ
• セキュリティサービス・製品の導入仲介

Hardening前日（準備）

夜に沖縄のとあるお店に集まって資料を読み解き資料を読み解き、最終的な役割の確認、マーケットプレイスで購入するものの決定を行いました。

今回のチームでの私の役割は、脆弱性を見つけ、修正を行うことに決まりました。普段の業務で、脆弱性診断と脆弱性の検証を行っているため、その経験を生かした役割となりました。しかし、一人で脆弱性を調査し修正するには限界があるため、マーケットプレイスではWAFサービスを購入することにしました。

チームミーティングが終了してホテルの部屋に着いてからは、ある程度危ないと目星をつけていたシステムの脆弱性情報を調べつつ、次の日の動き方を考えて過ごしました。

Hardening 当日

今回の競技で堅牢化する対象

• Webサーバー4台
• DBサーバー 2台
• Windows (サーバーも含む）6台 他

競技開始後は、システムにアクセスし初期パスワードの変更に取りかかりました。
最初に取りかかったのはADサーバーです。操作用のWindows端末が全てADサーバーのドメインに参加しており、ADサーバーから各端末のパスワードを変更することで漏れがなく効率がいいと判断したからです。

ADサーバー側で作業を進めていくうちにADサーバー側でユーザーのパスワードを変更しても各ユーザーに反映されないことがわかり、最初からタイムロスを発生させてしまいました。ログアウトすれば反映されるかなと思い試してみましたがダメでした。その後作業を進めていると、いつの間にかパスワード変更ができていたことがわかり、根本的な原因はわかりませんでしたが、全てのユーザーのパスワードを順次変更し、パスワード変更作業を終えました。

次にECサイトの構成の確認に取りかかりました。構成確認を始めたときはWordPressのプラグインにある脆弱性の数に唖然としました。
前日に配られた資料の構成を見たときからECサイトのほぼ全てのシステムでWordPressが稼働していたため、プラグインも脆弱性のあるものを1~2個は使ってくるだろうと推測していましたが、それ以上に数があり、一瞬思考停止してしまいました。

ほとんどのプラグインは無効化しましたが、なかには、無効化するとサイトの動作に影響がありそうなプラグインがあったので、一部はGitHubなどからプラグインを取得し、差し替えました。インターネット環境があればボタン一つで更新が可能ですが、今回の環境では競技の特性上用意されていないので、少し手間がかかりました。

kuromame6からの猛攻を防ぐために

脆弱性対応やFW設定などを行っている間にも刻々と時間は過ぎていき、kuromame6による攻撃が始まります。

ここで、マーケットプレイスを使って購入したWAF・IPSの出番です。私達のチームでは、トレンドマイクロ社のセキュリティ製品＋コンサルまでついてくる、高額ではあるものの、色々役立ちそうなものを導入しました。

そのお陰もあり、攻撃に関してはかなりの数を防いでくれていましたが、問題も起きました。
WAF・IPSの設定を十分に理解していなかったので、アプリケーション（PHPファイル）の変更が検知され、PHPファイルが動作しなくなったのです。競技終了後にこの現象について確認したところ、PHPファイルに変更を加える場合は、メンテナンスモード状態で変更するか、または、変更を加えたPHPファイルについては検知しないようあらかじめ設定変更をしなければ、意図したPHPファイルの変更でも検知されるとのことでした。
私が変更を施したWordPressのPlugin等のPHPファイルでもブロックされていた箇所が何点か存在し、アプリケーションが正常に動作しないなどの問題が起きていました。
冷静に考えることができていれば、導入した製品の特長などを踏まえ、アプリケーション動作に影響のある機能が働いていないか、ベンダー側とコミュニケーションとり、このような事態を防げたかもしれないので反省しました。

Hardening 競技終了

競技開始から10時間経ち、Hardening が終了しました。もっと色んなことをやれたと思う10時間で、反省点も多く生まれたHardeningでした。

今回脆弱性への対処をメインとしてやってきましたが、いかんせんシステムが多いため手がまわらない環境もあり、もっと前もって準備をしておけばパスワードの変更やファイルのバックアップなど自動化できた部分もあったため、次参加するときはもっと素早く堅牢化できるよう、環境を作って戦いに望みたいと思いました。 また、実際には競技前からシステムに悪意のあるプログラムが仕込まれていたので、「攻撃は競技前から始まっている！！！」と私は思いました。

今回のHardeningから学んだ重要点

ファイルのバックアップ

基本的にサーバーなどで動作しているものなどは全てバックアップを取っておくべきだと思いますが、特にハードニングでは売上をあげ稼働率を維持することが大切です。
何かしら問題が起きても早期に対応できるよう、Webアプリケーション、DBはバックアップをとっておくとよいです。初歩的なことですが、とても重要だと感じました。

不審なものはクリックしない

今回一番怖いと思ったのは、lnkファイル（ショートカット）です。 lnkファイルの中身は、PowerShell のコマンドを実行し、指定したリンク先のファイルをPowerShellのコードとして読み込むというものでした。実行されると実行した端末上で任意のコードが実行されます。

私は不審に思い、被害が出る前に対処することができました。気付いた理由は、lnkファイルでPowerShellの組み合わせは明らかに怪しく、lnkファイルはマルウェアに使用されるケースも増えてきていると知っていたためです。
少しでも怪しいと思ったファイルは開かないようにすることがハードニングでも重要となってきます。こういった情報はすぐにチーム内で共有することが必要だと思いました。また、もし間違って開いてしまった場合は、すぐにメンバーなどに報告し対策を打つことが重要です。

マーケットプレイスはしっかり投資し活用すること

今回私達のチームは、高い商品を買いましたが、完全には活かしきれていない状態でした。購入後は製品ベンダーもチームの一員と考え、製品の使い方や機能などについて相談することが大事だと思いました。実際、別のチームでは「そこまでやってくれるのか」という程にベンダーを活用されているチームもありました。製品とともに対応ベンダーも要員として活用して戦っていくことも重要だと思います。

Hardeningに参加するメリット

Hardeningに参加することによって、知識ベースでしか知らなかったような攻撃を身をもって体験することができ、被害がひどいときには記者会見にのシミュレーションまですることになります。このような経験ができる場所はあまりありません。また様々な業界の人が参加するため、いつもとは違う業界の方とチームとなりコミュニケーションをとり戦うという貴重な体験もできます。

【次回開催】淡路島Hardening 2017Fes