WASNight 2017 Kick-Off = WASForum x OWASP Night のまとめ

菅原 俊(192.168.7.21) @Shun_Sugawara

あれ、ほとんど誰もtwしてないんだな。 #wasnight #owaspjapan #h100wl

namineko @namineko

操作医 = ほぼ総務 #wasnight

dahlia @dahlia_cocoa

総裁と言う名の総務 #wasnight

dahlia @dahlia_cocoa

軽い気持ちで参加したいと言ったら社内でプロジェクトに…… #wasnight

dahlia @dahlia_cocoa

#h100vv を見てみよう #wasnight

dahlia @dahlia_cocoa

全部有効化しちゃったDeep Security #wasnight

伊藤 彰嗣 / Akitsugu Ito @springmoon6

deep security にはマーケットプレイスでの販売目標があった。6月には構築に失敗したことを契機に、プロジェクトを立ち上げ。11月には無事に成功し、結果として実案件にも繋がった。 #wasnight

dahlia @dahlia_cocoa

製品のエンハンスは乞うご期待 #wasnight

dahlia @dahlia_cocoa

Macは手こずる説 #wasnight

伊藤 彰嗣 / Akitsugu Ito @springmoon6

hardening を社内でやってみた話 #wasnight

dahlia @dahlia_cocoa

Yahoo!社内でHardningやった話 #wasnight

伊藤 彰嗣 / Akitsugu Ito @springmoon6

セキュリティ技術✕サービス運用=hardening #wasnight

伊藤 彰嗣 / Akitsugu Ito @springmoon6

ヤフーがサイバー防御演習「Hardening」、顧客・マスコミ対応力も競う itpro.nikkeibp.co.jp/atcl/news/16/1… #wasnight

dahlia @dahlia_cocoa

カスタマーサービスやってる人とか広報部門とかの人が参加するのいいなー。彼らは彼らなりの戦い方あるし #wasnight

dahlia @dahlia_cocoa

すげえやりたい放題だ #wasnight

伊藤 彰嗣 / Akitsugu Ito @springmoon6

攻撃内容、コンセプトはリアルな攻撃。サーバだけでなくクライアント端末への攻撃も行った。csirtからの様々な脅威に関する注意喚起を無視した場合のリスクを参加者に実感してもらう。 #wasnight

dahlia @dahlia_cocoa

言ってダメなら体験してもらおう #wasnight

dahlia @dahlia_cocoa

売値を高く改ざんすれば当然問い合わせが来る→企業のイメージダウンにも繋がるかも #wasnight

伊藤 彰嗣 / Akitsugu Ito @springmoon6

シナリオのポイントは、事故内容とcs対応をリンクさせたこと。 購入履歴の改ざん(sqli)→ユーザーからのクレームに対応できなくなる ecサイトの改ざん(購入金額を高く)→レピュテーションリスクの増大 など。 #wasnight

dahlia @dahlia_cocoa

一番いいのは事故が起きないこと、でもそれは難しい。だから体験する、そして輪を広げていく #wasnight

dahlia @dahlia_cocoa

ランサムウェアは本当に儲かるのか #wasnight

dahlia @dahlia_cocoa

ThreadLinkに勝てなかった #wasnight

dahlia @dahlia_cocoa

ランサムウェアに感染して犯罪者にお金を渡すのか、屈するのはええよw なのでバックアップを覚えよ #wasnight

dahlia @dahlia_cocoa

謝罪を覚えよ #wasnight

dahlia @dahlia_cocoa

人のふりして我が振り直せ #wasnight