大手さんでも防げないんだったらもうどうしていいのかアワアワ
とりあえず印象にあるニュースを羅列してみる。
記事を読んでもフーンで終わってしまうのと、識者のコメントが見たいので、はてブページにリンク
- 三越伊勢丹ホールディングス、通販サイトに不正アクセス--最大で8289件の情報閲覧 - CNET Japan
- XCom Global、10万件超のクレジット情報流出 - ケータイ Watch
- 約10万9000件ものクレジットカード情報がエクスコムグローバルから流出、名前・番号・有効期限・セキュリティコード・住所も含むフルセット - GIGAZINE
- ヤフー、1427人分のメアドとYahoo!JAPAN ID入りメール誤送信 「ヤフオク!」ユーザー835人に 担当者のミスで - ITmedia ニュース
- ヤフー パスワード148万人分流出か NHKニュース
- 「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表 - Yahoo! JAPAN - プレスリリース
- JINSの不正アクセスによるカード情報流出、7件の不正利用を確認 -INTERNET Watch
- JINSのECサイトに不正アクセス、1万2036件のカード情報流出の可能性 -INTERNET Watch
- 不正アクセス(JINS オンラインショップ)に関する調査報告(中間報告) (PDF)
- 「ジョブセンス」でユーザー情報の閲覧が可能な状態に 最大約2100人分 - ITmedia ニュース
あと隊長こと、やまもといちろうさんの記事
これは前のJINSの。
ううむ
Yahooさんとかエンジニアの体制や層がしっかりしているような印象があったので、
それでもこうなるのかと思うと、なにをやっておけばいいのか分からない。
ターゲット型攻撃の前にはもう何をやってもベストエフォートでしかないんじゃないか。。。
むしろ流出を前提で、悪くないお詫びの仕方、保険のかけ方、とかを決めておいたほうがいいのか?
それでもやらないよりやった方がマシだろうから、いくつか気をつけようと思った。
書き出していくと…?
それで、とりあえず、最近のだとこんなところだろうか。
- パスワードを平文で保存していた
- クレジットカードのセキュリティコード (カード裏面の3桁とかのやつ) も保存していた
- 見えてはいけないディレクトリが見えるようになっていた
- 管理者画面のID/PWがよくあるやつだった
- SQLインジェクション
- 普通にコードの脆弱性を突かれた
これらをやらかさないように気をつけて、じゃ、あとはよくある、
- OS, インフラ, 言語, フレームワークは可能な限り最新の stable を使う
- そして可能な限り定期的に継続的アップデートをチェックし、適用する
- XSS, CSRF 対策を入れておく
- ログイン連続試行を制限する
- 管理側の アクセス元 IP を制限する
- HTTP ヘッダーで余計な情報を送出しない
(中略)
- telnetデーモンを落としておく、余計なサービスを落としておく
- sshポートを変更しておく、ログインを秘密鍵方式にしておく
- DBサーバーのポートを外部からアクセスできるようにしない
- セッションIDはローテーションさせ…
結局
だ、ダメだ、ここに書くには多すぎる。
ちゃんと IPA さんがチェックリストとしてまとめてくれているので、
ちゃんと見なおしておこうと思いました。
(よく紹介されているやつです)
こういうありがたいチェックリストを公開してくださってます。
あと、ここ。
PHP と Web アプリケーションのセキュリティについてのメモ
PHPでの例を交えて説明してくださってます。親切!
他、「セキュリティチェックリスト web 開発」で検索する、など。