タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか？ CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね？ | mond

タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか？ CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね？ タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security Policy)やintegrity属性（サブリソース完全性）の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が

[homarara]

サーバー側のファイル書き換えられてるんじゃ、基本的にサーバー乗っ取られてるわけだからその状態から何を対策しても無駄な話だ。

[tailtame]

『個人的には、難読化しない方がかえって目立たなくてよいと思うのですが、あの人達は難読化をしたがるのですよね…』そうなんだ…

[miki3k]

家に侵入されてるけど、カメラを設置していたり、通帳を隠しておけばなんとかなるみたいな話

[teppeis]

サーバー入られてる時点で何をしてもダメ、っていう

[Fushihara]

サーバーとは別にCDN側でcspを設定するといいのだ。connect-srcを使えば知らないサーバーへのfetchも弾けるし

[hdampty7]

多少知識があるエンジニアが状況を聞けばサーバが乗っ取られてる（とほぼ同じ）ことが分かる。非エンジニアの人はXSSとかCSPとか言って人をよく観察しておいて。知識もないのにフリしてるやつが声が大きいことよくある

[circled]

「どんな対策をしておけば安全ですか？」 『そもそもサーバを乗っ取られないようにするのが一番です』

[megumin1]

今回の件に関しては質問は正しい。CSP: connect-srcが有効だったら外部送信は防げていました。この回答は突然の極論「同一オリジン上に受け皿」で「突破される可能性が高い」としてるけど専門家にしては回答が雑すぎ。

[secseek]

さすがにサーバーに入られちゃってたら細かい対策でどうにかなったとは考えにくいですね

[odakaho]

“個人的には、難読化しない方がかえって目立たなくてよいと思う”

[TakayukiN627]

CSPが設置されていたとしても、ソースコードの改ざんができている状況なので、CSPで防げない手段を取られるだけ。

[akymrk]

“個人的には、難読化しない方がかえって目立たなくてよいと思うのですが、あの人達は難読化をしたがるのですよね”"今回はサーバーに侵入されてソースコードが改ざんされている"

[napsucks]

急募「サーバのファイルを自在に書き換え可能だけどコンテンツを受け取ったクライアントが第三者に外部送信できない方法」ってことね。そんなことできるのかしら。

[kfujii]

“個人的には、難読化しない方がかえって目立たなくてよいと思うのですが、あの人達は難読化をしたがるのですよね…”

[spark7]

CSP云々のコメは何言ってんだとは思ってた。evalやXSSではしゃいでるのも。外部ライブラリのCDNがやられた場合には有効だろうけど。

[sakimoridotnet]

“対策としては、サーバーに侵入されるような脆弱性を解消しておく、WAF(Web Application Firewall)を導入する、ファイル改ざん検知システムを導入する、などが有効だと思います。”

[north_korea]

難読化されたコードは明らかに異様な雰囲気があるので逆に目立つ

[hamanasawa]

SCPの話かと思ったら違った

[versatile]

uploader の口をつかってファイルを置かれたという話もあるので、完全に侵入されたのとはちょっと違うかもね

[taguch1]

サーバに入られてたらもうそれ以降はどうにでもなるので手法等も興味ないけど、ネットワーク構成と侵入経路だけ気になる。

[Lhankor_Mhy]

データを窃取するだけなら別にevalを使う必要はないもんな。

[NOV1975]

サーバーのリソース改ざんが可能な時点で攻撃者の残課題は改ざんを検知されづらくするだけになるんだよ。

[iqm]

「今回はサーバーに侵入されてソースコードが改ざんされているので、これら技術による緩和には限界がある」せやな

[moqojiy]

最近の決済システムは非通過型で加盟店サービス側のサーバを通さずに決済代行会社とだけ通信するのが主流なので攻撃側もこういう手法になってると思う。CSPを適切に設定していればそもそも攻撃対象にならなかったかも

[Sakana_Sakana]

サーバー側弄られてしまったらどうしようもないよなぁ、と、感じるのと、ニコニコで乗っ取られたの、もしかしてやられてるかもしれないが、全て消してしまったのでここら辺検証できないよなと感じてる。

[aike]

「タリーズの件」の定義による。今回仕込まれた悪意あるスクリプト単発なら防げた。しかし自サーバ上のスクリプトが改竄されてるならそれ以外の部分の改竄も想定すべきで、そういう意味では防げない。日本語難しい。

[regularexception]

難読化はまぁ意味ないよね。目立つし動作させてみれば読めなくても何してるかわかるし・・・

[kabuquery]

ecプラットフォーム開発会社は何らかのアナウンスすべきじゃないの？採用事例からタリーズを消したようだけど

[rzi]

そうですね…。とはいえ侵入100%阻止できるわけもなく、次善策は大事だよね

[tsutsumikun]

やはりWAFか……

[yoshis1210]

難読化しないと脆弱性診断に引っかかるとかはないのかな

[delphinus35]

なるほど。詳しい解説助かる。

[mouki0911]

“サーバーに侵入されるような脆弱性を解消しておく、WAF(Web Application Firewall)を導入する、ファイル改ざん検知システムを導入する、などが有効”至極、当たり前を優しく丁寧に。

[ysync]

鯖が外から触れるのは仕様にしても、鯖から外へ投げるのも防いでなかったの？逐一データ舐められるのは防げないにしても、データまとめて外へ投げるのは不自然な通信にならないものかね？

[hatomugicha]

詳細が表に出ることはないから実態は分からんけど何かしらのスクリプトが書き換えられてクレカ情報が採取されていたとして情報をネット越しに送信するなり受信するのがスクリプトのあるサーバーとは限らないからなあ

[hatest]

脆弱性対応が足りず（タリーズ）

[emt0]

この話題で「入られるのは仕方ない。どう防ぐか」って人多いけど、入られないのが前提だしセキュリティとネットワーク知らなすぎエンジニア多すぎ。PMP取ってマネジメントのままごとするよりCCNAとLPIC取ろうぜ。

[umakoya]

Content Security Policy で防げたという意見になるほどと思ってしまったけど、よく考えれば改ざんされたJavaScriptは外部ソースではないので効果なしだな。外部への不正POST通信をブロックする仕組みがあれば効果あったか。