SC：脅威 のバックアップ(No.9)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SC：脅威 へ行く。
  • 1 (2019-08-16 (金) 11:11:32)
  • 2 (2019-08-16 (金) 12:40:43)
  • 3 (2019-08-16 (金) 17:28:43)
  • 4 (2019-08-16 (金) 20:33:47)
  • 5 (2019-08-16 (金) 21:38:23)
  • 6 (2019-08-17 (土) 12:00:58)
  • 7 (2019-08-17 (土) 12:47:25)
  • 8 (2019-08-17 (土) 20:54:36)
  • 9 (2019-08-18 (日) 12:59:45)
  • 10 (2019-08-18 (日) 17:37:47)
  • 11 (2019-08-18 (日) 20:27:57)
  • 12 (2019-08-21 (水) 21:04:17)
  • 13 (2019-08-24 (土) 19:37:21)
  • 14 (2019-08-25 (日) 18:53:21)
  • 15 (2020-01-04 (土) 19:55:14)
  • 16 (2020-01-04 (土) 23:41:12)
  • 17 (2020-01-05 (日) 16:38:16)
  • 18 (2020-01-09 (木) 00:13:57)
  • 19 (2020-01-11 (土) 19:17:59)
  • 20 (2020-01-14 (火) 21:15:31)
  • 21 (2020-01-15 (水) 10:46:00)
  • 22 (2020-01-15 (水) 21:15:50)
  • 23 (2020-02-03 (月) 20:13:33)
  • 24 (2020-02-10 (月) 22:46:42)
  • 25 (2020-02-16 (日) 20:08:11)
  • 26 (2020-03-02 (月) 19:58:26)
  • 27 (2020-03-08 (日) 18:01:02)
  • 28 (2020-03-12 (木) 09:06:19)
  • 29 (2020-08-24 (月) 21:28:43)
  • 30 (2020-08-25 (火) 13:25:20)
  • 31 (2020-09-24 (木) 12:56:08)
  • 32 (2020-09-24 (木) 16:20:09)
  • 33 (2020-09-25 (金) 01:50:10)
  • 34 (2020-09-29 (火) 22:16:48)
  • 35 (2020-10-04 (日) 01:54:25)
  • 36 (2020-10-04 (日) 16:31:29)
  • 37 (2020-10-09 (金) 13:40:35)
  • 38 (2020-10-09 (金) 17:04:14)
  • 39 (2020-10-10 (土) 12:01:15)
  • 40 (2020-10-12 (月) 19:57:36)
  • 41 (2020-10-12 (月) 23:23:51)
  • 42 (2020-10-13 (火) 03:22:56)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

先ずは、脅威を知る。

分類 †

災害 †

種類 †

• 地震
• 火事
• 水害

対策 †

• 防災設備
  • 耐震設備
  • 防炎設備
  • 防水設備

• 災害復旧（ディザスタ・リカバリ）
  • 遠隔地の（地理的に離れた）IDCやクラウドを利用するのが一般的。
  • 耐震・防火・防水、冗長化・バックアップなどが提供される。

障害 †

種類 †

対策 †

基本は、保守と予備（バックアップ）の確保

• システム障害と言う意味だと、

• 保守
  上記の全項目の実施

• 予備（バックアップ）
  • バックアップ・リストア
  • ディザスタ・リカバリ

だろうか。

人的 †

• 可用性だけでなく、機密性や完全性も低下させる。

• 特に、機密性については、人が最大の脅威
  • システム的に守れない物理的な持ち出しが可能なため。
  • この対策は、アクセス制御や暗号化になる。

分類 †

大きく分けて、偶発的と意図的に分かれる。

• 偶発的
  • 操作ミス（オペミス）
  • 紛失、物理的事故
  • バグの造り込み
  • サイバー・セキュリティ系
    • マルウェア持込（からの各種攻撃
    • インバウンド開放（からの各種攻撃

• 意図的
  • 侵入・持出
  • バグの造り込み
  • サイバー・セキュリティ系
    • システムへの侵入
    • 各種脆弱性に対する攻撃

影響 †

様々

• 軽微
• 甚大

対策 †

「不正のトライアングル」（の主に、機会・正当性）を成立させないようにする。

不正のトライアングル †

「不正のトライアングル」理論では、
以下が揃ったときに発生するとされる。

• 動機
  • 金銭トラブル
  • 金銭目的
  • 過剰なノルマ
  • 怨恨

• 機会
  不正を実行可能にする環境
  • ずさんなルール
  • 対策の不備など、

• 正当性
  良心の呵責を超えた、
  不正行為者都合の正当性。

情報共有 †

サイバー情報共有イニシアティブ †

（J-CSIP：Initiative for Cyber Security Information sharing Partnership of Japan ）

• IPAが、サイバー攻撃による被害拡大防止のため、2011年10月25日、
  経済産業省の協力のもと、重工、重電等、重要インフラで利用される
  機器の製造業者を中心に、情報共有と早期対応の場として発足させた。

• その後、全体で

• 13のSIG
• 249の参加組織

による2つの「情報連携体制」

• 情報共有体制
• 情報共有活動（IPAが支援する

を確立し、サイバー攻撃に関する
情報共有の実運用を行っている。

脆弱性情報データベース †

CVE、CWE、CVSS 識別子 †

• CVE(Common Vulnerabilities and Exposures)識別子 = 共通脆弱性識別子
  • 製品に含まれる脆弱性を識別するCVE-西暦年-4桁の通番で表される識別子。
  • 米国政府の支援を受けた非営利団体のMITRE社が採番している。
  • 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用する。

• CWE (Common Weakness Enumeration)
  • 共通脆弱性タイプ一覧
  • 脆弱性の種類を定義している。
  • 例えば以下の様な脆弱性タイプがある。
    • CWE-78：OSコマンド・インジェクション
    • CWE-79：クロスサイト・スクリプティング（XSS）
    • CWE-89：SQLインジェクション

• CVSS (Common Vulnerability Scoring System)
  • 共通脆弱性評価システム
  • 脆弱性の深刻度をスコア表記で評価する。

• 下記の三つの基準で評価する。
  • 基本評価基準
  • 経年変化しない特性を評価する。
  • 現状評価基準

• 対策情報次第で変化する深刻度の評価
  • 環境評価基準
  • 製品利用者ごとに変化する評価基準

JVN識別子 †

• JVN(Japan Vulnerability Notes)識別子
• CVE識別子の日本版で、以下の組織が共同運営している。
  • 情報処理推進機構（IPA）
  • JPCERT コーディネーションセンター（JPCERT/CC）

人的 †

システムだけで完結しない人的な脅威。

フット・プリンティング †

ネットワーク侵入準備のために、ネットワーク上に存在している

• 個人や企業・団体
• コンピュータやネットワーク

の情報（IPアドレス、システムアーキテクチャー
（使用OS等）、動作しているサービス）収集をすること。

ソーシャル・エンジニアリング †

• コンピュータやネットワークの管理者や利用者、また、その関係者をターゲットとし、
• 「社会的」な手段によって、保安上重要な情報を入手する。
• 人間の心理的な隙や、行動のミスによる。ある意味、オレオレ詐欺的な。

構内侵入 †

• 偽造または拾得したIDカード
• 他の社員の後ろに付いて一緒に入る
• 清掃員や回収業者として
• 他の用件で訪問したついで

トラッシング †

• ゴミ箱をあさる
• 郵便物を盗む（メールハント）

ショルダー・ハッキング †

他人がパスワードや暗証番号を入力しているところを、肩越しに盗み見る。

なりすましによる聞き出し †

• 社員になりすます
• 企業のエグゼクティブになりすます
• プロバイダなどのシステム管理者になりすます

• 話術
  • 緊急性を持たせる話し方
  • 大胆な行動・発言・表情

フィッシング系 †

フィッシング †

• デジタル版のソーシャル・エンジニアリング
• インターネットのユーザから情報を奪うために行われる詐欺行為。

• 豆知識
  • Fishingではなく、Phishing。
  • sophisticated（洗練された）とfishing（釣り）から合成。

• 攻撃方法
  一般的には、偽サイトに誘導して情報を盗む。
  • フィッシング方法
    • DNSキャッシュ・ポイズニング
    • フィッシング・メール
    • 標的型メール
    • 似たURL
    • SEO (Search Engine Optimization) ポイズニング
      検索エンジンの検索結果ページの上位に、
      ウイルスなどが含まれる悪質なWebサイトがリスト。

• フィッシング後
  偽画面での個人情報の入手

• ログイン・フォームにクレデンシャル入力

• カード情報期限切れ等でカード情報を要求

• クリック・ジャッキング攻撃（IFRAME）の併用
  ユーザーを視覚的にだまして、正常に見える
  ウェブページ上のコンテンツを示し、実際は、
  別のウェブページのコンテンツをクリックさせる攻撃
  （SNSなどで「非公開」プライバシー情報を「公開」に変更）

フィッシング・メール †

• 典型的には、信頼されている主体になりすました
  Eメールによって偽のWebサーバに誘導することによって行われる。

• 著名ウェブサービスの偽装サイトへのリンクし、
  • このアカウントはハッキングされています。
  • 支払い情報を更新してください。
  • , etc.

スピア・フィッシング（標的型攻撃） †

フィッシングとの違いは、特定の企業の特定の人物や社員を標的にする。

ファーミング †

• 以下の点でフィッシングと区別される。
  • DNSキャッシュ・ポイズニングでフィッシングされたケース。
  • より自動化された手法で、被害規模も大きくなる可能性がある。

• 豆知識
  • Farmingではなく、Pharming。
  • sophisticated（洗練された）とfarming（農業）から合成。

標的型攻撃 †

１つ１つの攻撃が、≒オーダーメードなので検知が難しい。

標的型メール攻撃 †

• 標的型のフィッシング・メール

• 標的型攻撃の代表的手段

• 後述の、各攻撃の起点となる。

• 最近では情報漏洩事件の主要原因になっている。

• 特定ターゲットに絞った業務メールに偽装して攻撃を仕掛ける。

• 添付ファイルを用いてマルウェア送付攻撃

• 本文中の不正なリンクを用いる場合もある。

• ソーシャル・エンジニアリング的な技法を駆使

• 送信者は公的機関、組織内の管理部門などを偽装
  • 文末に組織名や個人名を含む署名があるなど。
  • また、CCに実際の担当者のメアドを一文字変更したメアドを追加するなど。

• 社会情勢や動向を反映した内容。
  （イベント、ニュース、注意喚起、報告書）

やり取り型攻撃 †

• 窓口業務などを行う担当者を狙った攻撃。
• 数回のやり取りを経て、実際の標的型メール攻撃が来る。

水飲み場型攻撃 †

• ポータルサイトなどに攻撃コードを埋め込むなどした攻撃。
• 前段には高度な標的型メール攻撃によるフィッシングがある。

ビジネス・メール詐欺 †

攻撃の手口

• 請求書偽装
  • 取引先（サプライチェーン攻撃）
  • メールアカウント乗っ取り

• 振り込め詐欺
  • 経営者偽装
  • 権威ある第三者

• 準備（フット・プリンティング）
  • 経営者偽装
  • 人事部偽装

• その他
  • メールアカウント乗っ取り

サプライチェーン攻撃 †

前述のビジネスメール詐欺的な攻撃だが、
ポイントは脆弱性の多い中小企業から入り、本丸の大企業を攻撃する点。

マルウェア送付攻撃 †

• 標的型攻撃で使用されるマルウェアは、亜種のため検知しにくい。

• コンテキストに沿った文書ファイル
  （zip、exe、pdf、doc）を装ったマルウェアを添付。

• マルウェアの偽装方法

• アイコンによる偽装

• ファイル名による偽装
  仁義なきキンタマの、
  

  「XXXX.doc ... .exe」的な偽装。

• アラビア語による拡張子偽装
  XXXX.exe.doc → XXXX[RLO].cod.exe

ファイルレス攻撃 †

若しくは、ファイルレス・マルウェアなどと呼ぶ。

• 添付ファイルのマルウェア的な方法を用いない攻撃。
• 実際は、ドロッパ的なスクリプト・ファイルなどでスクリプトを実行させ、
  DBDでマルウェアをダウンロードしてインストールまでしてしまう。

• 対策
  • スクリプト・ファイルの事項制限
  • DBDの脆弱性の対策

• 補足
  • .lnkファイルとpowershellの組合せなど。
  • 他にも、以下が考えられる
    • .vbsとVBScript
    • .jsとJScript
    • .xlsmとVBA

持続的標的型攻撃 †

• APT攻撃 : Advanced Persistent Threat attack
• IPA定義では「新しいタイプの攻撃」と呼ぶ。

• 標的型攻撃のうち
  長期間にわたりターゲットを
  分析して攻撃する緻密なハッキング手法
  • 発展した / 高度な（Advanced）
  • 持続的な / 執拗な（Persistent）
  • 脅威（Threat）

対策 †

• リテラシ向上と注意喚起、情報収集と指示
• 基本的に「マルウェア対策」と同じ。

• 入口・出口対策

• 入口対策
  困難

• 出口対策
  従って、重要性を増す。

技術的 †

アドレス・スキャン †

（pingスイープ）

ポート・スキャン †

影響 †

後述のバッファ・オーバーフローに繋がる。

攻撃手法 †

• TCP, UDPリスニング・ポートを確認する。
  • ポートスキャナを使用する。有名なポートスキャナーにはnmapがある。
  • スタック・フィンガー・プリンティングによるバナー表示
    • 特定のデータを送信して、それに対応する応答を調べサービスも特定可能。
    • OS、ミドルウェアを特定し、脆弱性がある場合、攻撃を仕掛けることが出来る。

• TCPコネクト・スキャン
  コネクション確立によるスキャン

• ログを残さないステルス・スキャン

• TCPハーフ・スキャン
  コネクションの確立はされない。
  • TCP FINスキャン
  • TCP ACKスキャン
  • TCP Nullスキャン
  • TCP クリスマスツリー・スキャン

• UDPスキャン
  標的ポートが"ICMP port unreachable"という
  メッセージで応答したポートがなければ稼動している。

対策 †

• 予防・防止
  • ポートを閉じる
    インターネット公開すべきではない
    サービス（インバウンド・ポート）の例
    • telnet 23
    • tftp 69
    • pop3 110
    • sunrpc 111
    • epmap 135
    • netbios-ns 137
    • netbios-dgm 138
    • netbios-ssn 139
    • snmp 161
    • snmptrap 162
    • microsoft-ds 445
    • rexec 512
    • rlogin 513
    • rsh 514
    • syslog 514
    • ms-sql-s 1433
    • ms-sql-m 1434
    • nfs 2049

• F/Wによって遮断

• バナー表示をOFF

• セキュリティ・ホールを塞ぐ、パッチ適用

• 検知・遮断
  IDPS：検知（IDS）・遮断（IPS）
  • ネットワーク監視型 IDS
  • ホスト監視型IDS、IPS
  • F/Wログから検知
  • ホストのログから検知

※ IDPSではステルス・スキャンも検知できるが、
　　間を空けたランダムな攻撃の場合は検知が困難になる。

バッファ・オーバーフロー †

影響 †

• 乗っ取り
• 漏洩、改竄
• プロセス停止（失敗時）

攻撃手法 †

スタックのリターンアドレスを書き換え、

• 既存のプログラム
• データ中の攻撃用コード

を動作させる攻撃方法（別名、スタック・オーバーフロー）。

※ 単にバッファをオーバーフローさせても
　意味が無いので、スタックと組み合わせる。

※ 一般的には、サービスのポートなどから攻撃を投入する。

対応 †

• 予防・防止

• 運用
  • ポートスキャンと同じ
  • IPS：ペイロードもチェックする。

• setuid/setgidプログラムの対処
  • データ実行防止機能（DEP）を有効にする。
  • スタック中のPG領域を動かすことはできるが、
    その他のデータ領域を実行することはできない。
  • DEP対策として、return-to-libcがある。
  • return-to-libc対策として、ヒープ・オーバーフローが使える。

• プログラミング
  • gets、strcpy、strcat等を使用しない、_sを使用。
  • lengthチェック
  • StackGuard?、カナリア・コード
  • Libsaf（チェック関数挿入、コンパイル不要）

• 検知・追跡
  • ポートスキャンと同じIDPS
  • ログ（改竄されていなければ）。

• 回復
  乗っ取り後の
  • パッチの適用など、脆弱性チェック
  • 設定変更、改竄・漏洩などのチェック
  • 場合によっては、クリーン・インストール

DNSサーバに対する攻撃 †

影響 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  収集された情報が悪用される可能性がある。

• DNSキャッシュ・ポイズニング

• DDoS系
  • DNSフラッド（DNS Flood）
  • DNSリフレクション（DNS amp）

攻撃手法 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  • DNSの古い冗長化システム。セカンダリDNSへのレプリケーション。
  • 不正なゾーン転送要求によりプライマリDNSサーバから情報収集

• DNSキャッシュ・ポイズニング

• DDoS系
  • DNSフラッド（DNS Flood）
  • DNSリフレクション（DNS amp）

対策 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  ゾーン転送をセカンダリDNSにのみ許可する。

• DNSキャッシュ・ポイズニング

• DDoS系
  • DNSフラッド（DNS Flood）
  • DNSリフレクション（DNS amp）

セッション・ハイジャック †

影響 †

• 正規のクライアントもしくはサーバを装い、
  サーバやクライアントを騙し不正行為を働く。

• 例
  • サーバ（クライアント）になりすまし
    • クライアントを誘導したり、機密情報を盗む。
    • サーバへ侵入・攻撃したり、機密情報を盗む。

• 中間に入りセッション・コントロールを行う。
  （ManInTheMiddleAttack?：中間攻撃）

攻撃手法 †

• 以下の脆弱性を突いて、セッション・ハイジャック。
  • プロトコルの仕様上の脆弱性
  • プロトコルの実装上の脆弱性（OS、ミドル）
  • アプリケーション（セッション管理）の脆弱性

• プロトコル毎のセッション・ハイジャック

• TCPセッション・ハイジャック
  シーケンス番号の矛盾を無くし（推測・キャプチャ）、
  IPアドレス偽装（IPスプーフィング）することにより
  TCPセッション・ハイジャックが可能（rcp, rlogin）。

• UDPセッション・ハイジャック
  サーバより先に応答を返してしまう。
  • DNSキャッシュ・ポイズニング
  • ARPキャッシュ・ポイズニング

• HTTPセッション・ハイジャック

対策 †

• TCPセッション・ハイジャック
  • パッチ（推測を困難にする）
  • 暗号化（SSL/TLS、IPsec、SSH）

• UDPセッション・ハイジャック
  • DNSキャッシュ・ポイズニング
  • ARPキャッシュ・ポイズニング

• HTTPセッション・ハイジャック

マルウェア †

データ消去、改ざん、漏洩、バックドアなど、盗取・破壊活動を行う。

ウィルス †

• 定義
  • 生物に感染するウィルスと同様、宿主に感染、潜伏、発病の機能を持つ。　　
  • コンピュータからコンピュータへと拡散できる悪質なプログラム
  • ただし、人による操作（感染したプログラムの実行など）がなければ拡散できない

• 対策
  • 基本的対策

ワーム †

• 定義
  • ウイルスと似ていて、ウイルスのサブクラスとみなされる。
  • コンピュータからコンピュータへと拡散できる悪質なプログラム
  • ネットワーク感染型ワームなど、人の手を借りずに自身で移動できる。

• 対策
  • 基本的対策
  • 外部持ち出しによる外部ネットワーク接続に注意。

ルートキット †

トロイの木馬を送り込む前段に仕込むと強力。

• タイプ
  ルートキットは大別して二種類がある。

• カーネルレベルのルートキット
  検出困難なので特に危険

• マルウェアの侵入を露見し難くするために用いられるツール群
• カーネルに新しいコードを追加することによって行なわれる。
• 例えば、
  メモリ管理コアのページテーブルを操作して隠蔽したり、
  不正プログラムが表示されないよう細工されたpsコマンドなど。

• アプリケーションレベルのルートキット
  • 普通のアプリケーションをトロイが仕込まれた偽物に置換
  • 既存のアプリケーションの振舞いをフックなどで改造したりする。

トロイの木馬 †

• 定義
  • ウイルスとは異なり、自身を複製しない。
  • 正規のアプリケーションに見せかける。
  • 何らかのトリガにより破壊活動を開始する。

• 攻撃方法
  以下に分類される。

• パスワード窃盗型
  スパイウェア

• クリッカー型
  PUAのアドウェア

• バックドア型
  ボット

• ダウンローダ型
  ドロッパ

• ドロッパー型
  ドロッパ

• プロキシ型
  MITB

• RAT
  バックドア型でリモート・コントロール
  が可能なトロイの木馬プログラムの総称。
  • 例
    • Back Orifice
    • SubSeven?

• 対策
  • 基本的対策

悪意のあるモバイルコード †

• 定義
  クライアントにダウンロードされ動作する
  プログラムのうち悪意のあるもの。
  • JavaApplet?
  • ActiveX
  • JavaScript

• 対策
  • 基本的対策

スパイウェア †

• 定義
  • ユーザに知られずこっそりと情報を収集することを主な目的としている。
  • ユーザに関する情報を収集、情報収集者に自動的に送信する。

• 例
  キーロガー等に代表される

• 対策
  • 基本的対策

ボット †

• 定義
  • 外部から遠隔操作するためのバックドア型不正プログラムの一種
  • ボットネットワークを構成しC&C（指揮統制）サーバの指示に従う。
  • これにより、DDoSなどの統率の取れた攻撃を行うことが出来る。

• 攻撃方法
  遠隔操作による以下の様な攻撃に利用される。

• プロトコル
  • IRC (Internet Relay Chat)
  • IM (Instant Messaging)
  • P2P (Peer to Peer)

• 踏み台
  • スパム、DoS
  • DDoS（ボットネット）

• 盗取・破壊活動
  • 脆弱性の調査、スパイ活動
  • 情報の削除、改竄、漏洩

• 対策
  • 基本的対策
  • プロトコル遮断（IRC、IM、P2P）

ランサムウェア †

• 定義
  • 感染したコンピュータは、HDD暗号化などでアクセス制限される。
  • 解除のため、身代金（ransom）を仮想通貨で支払うよう要求する。

• 攻撃方法
  • 基本的にはトロイの木馬と同じ。
  • WannaCry?はワーム的に拡大し、HDD暗号化などを行う。

• 対策
  • 基本的対策（特に回復のためのシステムのバックアップ）
  • トロイの木馬似ているものであれば、トロイの木馬対策と同じ。
  • ワーム似ているものであれば、ワーム対策と同じ。

ドロッパ †

• 侵入専門のマルウェアで、侵入後、マルウェア本体を送り込む。

• マルウェアを内包する場合、
  マルウェアはパッキング（暗号化、難読化）されている。

• マルウェアを内包しない場合、
  • ボットの様に動作して、マルウェアを送り込むか。
  • ドライブバイダウンロード（DBD）で、マルウェアを送り込む。

• 対策
  • 基本的対策
  • DBDの脆弱性の対策

ガンブラー †

• 定義
  • Gumblar（ガンブラー）、別名でGENOウイルス（ジェノウイルス）
  • 「Webサイト改ざん」と「Web感染型ウイルス」を組み合わせ感染する。

• 攻撃方法（代表的）
  FTPのアカウントを盗んで、Webサイトを改ざんする。

• 攻撃サイトのリダイレクト
  DBDでマルウェアをダウンロードしてインストールまでしてしまう。

• マルウェアが、FTPのアカウント情報を盗む。
  （レンタルサーバなどはFTPが多いので）

• このアカウントを使用してWebサイトを改竄
  （そして、そのサイトも攻撃サイトに改竄）

• 対策
  • 基本的対策
  • DBDの脆弱性の対策

マイニング・マルウェア †

• 仮想通貨のマイニングを行わせるマルウェア
• クリプトジャッキングと言う悪意のあるモバイルコードのものも。
• クラウド環境などで実行されると、EDoSになる可能性もある。

PUA (Potentially Unwanted Application) †

• マルウェアに該当するような悪質さはないものの、適切とも言いがたく、
  多くの人にとっては不要であり排除した方が好ましいアプリケーションの総称。

• 別名
  • 不要と思われるアプリケーション
  • 潜在的に迷惑なアプリケーション
  • おそらく不要なアプリケーション

• 次のようなものがある。
  • アドウェア（アドは広告のアド）
  • ダイヤラ（マルウェアにより、高額の国際電話料金を発生させられる）
  • リモート管理ツール（マルウェアに、いろいろと悪用され得る）
  • ハッキングツール（マルウェアに、いろいろと悪用され得る）

• マルウェアに近いアドウェアも存在する。

• 軽微な危険
  • ポップアップ広告型（ブラウザ未使用時にも広告表示）
  • リンク乗っ取り型（TOPページ、リンク、バナーの差替）
  • ゴーストクリッカー（勝手に広告をクリック）

• 非常に危険
  • 個人情報を収集して送信する。

対策方法 †

• 入口・出口対策

• 入口対策
  感染前の防御など、通常通り行う。

• 出口対策
  感染後の攻撃や、ワーム的拡散があるので、出口対策も重要。

• 対策

• 通信経路上

• F/W

• IDPS

• プロシキ
  認証、URLフィルタ、POSTフィルタ
  コンテンツ・フィルタリング
  Web検査型サンドボックス

• メール検査型サンドボックス
  

• VDI＋仮想ブラウザ
  インターネット分離しコンテンツを無害化する。

• エンドポイント（クライアントOS）
  

• アンチウィルス
• パーソナル・ファイアウォール(PFW)
• EDR (Endpoint Detection and Response)
• ファイル検査型サンドボックス
  
• シェル・スクリプトやリモート管理ツールの実行制限
• エンドポイントの回復のためのバックアップ取得

• マネジメント面

• 感染の防止
  OS、AVバージョン最新化、パッチ適用
  FOSS利用申請（業務に無関係なソフトの使用禁止）
  ファイル送受信時のウィルス・チェック

• 感染後の対策
  連絡体制、対応手順、回復手順の明確化と周知

DoS攻撃 †

アプリケーション脆弱性 †

パスワード・クラック †

影響 †

• 固定式のパスワードを使用する認証システムが対象
• 攻撃者にパスワード・クラックされたアカウントでログインされる。

攻撃手法 †

• オンライン攻撃とオフライン攻撃

• オンライン攻撃
  ユーザストア・ファイルが手元に無い場合
  動作中のオンライン・サービスに認証情報を送って調査する手法

• パスワード推測
  アカウントの特徴から
  パスワードを推測して（IDに似ているか、生年月日）
  ログインを試みる手法。

• リバース・ブルートフォース攻撃
  ログインに関する力技の総当たり攻撃
  パスワードを固定して、IDを総当りなので、オンライン攻撃が可能。

• パスワード・リスト攻撃
  他のサービスから漏洩した情報を使用してログインを試みる。

• オフライン攻撃
  ユーザストア・ファイルが手元に有る場合（ハッシュ保存が前提）
  ハッシュ・アルゴリズムなどを想定して、パスワードを割り出す。

• ブルートフォース・アタック（総当たり攻撃）
  ログインに関する力技の総当たり攻撃
  IDを固定してパスワードを総当りなので、オフライン攻撃が一般的。

• 辞書攻撃
  あらかじめ利用され易いパスワードを、ハッシュ化し、ハッシュ値をDBに格納しておく。
  次に入手したパスワードのハッシュを、このDB上で検索すると、元のパスワードを引く事が出来る。

• レインボー・テーブル
  辞書攻撃とは異なり、利用され易いパスワードと異なる、ハッシュ化された文字列を平文に復元できる技術
  大量の領域が必要になるハッシュ版の辞書を還元関数によりチェーンさせることによって、圧縮する。

対策 †

• 予防・防止

• アカウントのロックアウト

• パスワード...
  • ...の、強度を上げる。
  • ...を、定期的に変更する。
  • ...が、盗まれないようにする。

• パスワード以外の利用
  • 生体認証

• 多要素認証
  • ワンタイム・トークン
  • FIDOなどTPM＋α

• 検知・追跡
  • IDPS
  • ログイン・ログオフの監査（失敗の監査）

• 回復
  乗っ取り後の
  • 設定変更、改竄・漏洩などのチェック
  • 場合によっては、クリーン・インストール

HTTPセッション・ハイジャック †

影響 †

クライアントになりすましサーバへ侵入・攻撃したり、機密情報を盗む。

攻撃手法 †

様々なアプリケーションの脆弱性を攻撃し、
HTTP Sessionを識別するSessionId?を入手して、
相手のHTTP Sessionを乗っ取る。

• 攻撃方法（脆弱性）

• 単純な推測による。

• HTTPの盗聴による。

• Url中に含まれるSessionId?が、Referrerに漏洩。

• セッションID固定化攻撃（ある種、インジェクション）
  自分が正規に得たSessionId?を他者に送り込むことで、
  他者のSession情報などを攻撃者が参照できるようになる攻撃。

対策 †

• 基本
  • セションID固定攻撃防止のため複雑なSessionIDを使用する。
  • SessionIDダケでなく、認証、リクエスト・チケットを併用する。

• SessionIDの漏洩防止
  • SSL/TLSで、盗聴を防止する。
  • XSSの脆弱性対策を行う
  • ログイン前にSessionIDを返さない。
  • URLリライティングを使用しない
    （SessionIDをQuery Stringに入れる方式）

インジェクション系 †

インジェクションすることで、予期せぬ動作＋情報漏洩をさせる。

OSコマンド・インジェクション †

• 攻撃方法
  OSコマンドにインジェクションすることで、
  情報の漏洩・改竄、システムをクラッシュさせるなど。

• 対策
  • OSコマンド呼び出し可能な関数を実行しない、
  • データのチェック（エスケープはしない）
  • ユーザ入力を持って行かない。
  • WAF

ディレクトリ・トラバーサル †

OSコマンド・インジェクションで、不正な相対パスを入力することで、
親ディレクトリへの横断 (traverse)を起こし、意図しないディレクトリのファイルを操作する。

SQLインジェクション †

• 攻撃方法
  SQLにインジェクションすることで、
  情報の漏洩・改竄、システムをクラッシュさせるなど。

• 対策
  • バインド変数を使用する。
  • エスケープ（';%+）
  • アクセス権限設定
  • 詳細なエラー・メッセージを返さない。
  • WAF

Mailヘッダ・インジェクション †

• 攻撃方法
  Mailヘッダの「To: メアド」辺りにインジェクションすえることで、
  「CC: メアド」「CC: メアド」などにアドレスを追加できる。

• 対策

• ヘッダ出力用APIの使用
  （エスケープ機能を持った）

• 改行コードは削除する。

• WAF

HTTPヘッダ・インジェクション †

HTTPヘッダにインジェクションすることで、
不正なCookie情報を送り込むなどができる。

• 攻撃方法
  • ヘッダの追加
    Cookieの設定

• ボディの追加
  • 偽情報、スクリプト挿入
  • レスポンス分割とキャッシュ汚染

• 対策

• ヘッダ出力用APIの使用
  （エスケープ機能を持った）

• 改行コードは削除する。
• CookieはURLエンコード

• WAF

XSS（JavaScriptのインジェクション） †

クライアント・スクリプトをインジェクションしてCookieなどを盗む。

• 攻撃方法

• JavaScriptをインジェクションしてCookie情報などを他サイトに飛ばす。

• JavaScriptのインジェクション方式によって以下の分類がある。

• 反射型 XSS
  入力項目にインジェクションする。

• 格納型 XSS
  データストアに格納する方式でインジェクションする。

• DOM-based XSS
  JavaScriptをQuery Stringでインジェクションする。
  Query StringをDOM出力するロジックを悪用する。

• UTF-7によるXSS
  IEにエンコーディングをUTF-7と自動認識させることで、
  クライアント側でJavaScriptが復元されることでインジェクションする。
  

• 対策

• 反射型 XSS、格納型 XSS

• 入力項目のサニタイジング（HTMLエンコーディング）

• JavaScriptが動く属性にユーザ入力を持って行かない。
  若しくは、入力文字列にエスケープシーケンス（￥）を追加
  ￥、クォーテーション、改行コードなど

• DOM-based XSS

• Query StringをDOM出力しない。

• 若しくは、入力文字列にエスケープシーケンス（￥）を追加
  ￥、クォーテーション、改行コードなど

• UTF-7によるXSS
  UTF-7を使用しない。

• HttpOnly?
  盗取の対象がCookieの場合

• WAF

CSRF(XSRF) †

• あるサイトを操作している時に、
  （従って、ログインも、セッションも存在している状態で）
  操作者が攻撃者のリンクを踏むと、意図せぬ操作を実行されてしまう。
  （これは、他サイトからのGETやPOSTでもCookieを送信してしまうため）

• そういう類の攻撃で方法（「ぼくはまちちゃん！」が有名）。

• 最近、ブラウザ・レベルの対策 (SameSite属性)も追加されてきている。

• 対策
  • ...。
  • 対策の具体例

その他 †

基礎や応用

盗聴 †

パケット盗聴 †

• プロミスキャス・モードでの盗聴

• 対策
  • スイッチングハブ、
  • プロミスキャス・モードのNIC検出

スプーフィング †

なりすまし

種類 †

• Identity Spoofing（CAPEC-151）
  • （人間もしくはそれ以外の）何らかの主体になりすまして行う攻撃一般的
  • フィッシングやファーミング、他人になりすましてデータを送りつける攻撃など。

• Content Spoofing（CAPEC-148）
  • コンテンツのソースを変えることなく中身を書き換える攻撃。
  • Webページの改竄や、ポイズニング系の攻撃がある。

• Action Spoofing（CAPEC-173）
  • 不正な行為をそれとは別の正当な行為に偽装する攻撃。
  • フィッシング先の偽装ページなどが該当する。

• Resource Location Spoofing（CAPEC-154）
  • リソースの位置を偽装する攻撃。
  • ライブラリの位置を偽装して偽のライブラリをインストールさせるなど。

IPスプーフィング †

送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし」を行う攻撃手法。

ポイズニング系 †

キャッシュ・ポイズニング（スプーフィング）系 †

• 偽りのアドレスを流して誘導、盗聴、改竄などを行う。
• UDPセッション・ハイジャックによる。

DNSキャッシュ・ポイズニング †

DNSスプーフィングとも呼ばれる。

• 影響
  • hostsファイルの不正な書き換えとほぼ同じ効果。
  • 主に、偽サイトに誘導し、フィッシングに繋げる。

• 攻撃手法
  DNSのキャッシュ・サーバが間違った情報をキャッシュさせる攻撃。
  古典的だが、近年フィッシング詐欺で危険性や影響が再認識された。

• UDPセッション・ハイジャックにより可能。
• 送信元ポートとTxIDの推測により攻撃。
• カミンスキー攻撃では再帰クエリを投げ反復クエリの応答を狙う。

• 対策
  • 組織内
    キャッシュ・サーバ利用を組織内に限定する。

• 組織外
  • 再帰問合せの無効化
  • 送信元ポートのランダム化
  • TxIDの推測を困難にする。
  • DNSSEC（DNS Security Extensions）を適用する。

ARPキャッシュ・ポイズニング †

ARPスプーフィングとも呼ばれる。

• 影響
  • hostsファイルの不正な書き換えとほぼ同じ効果。
  • こちらは、主に、中間者攻撃 (MITM)に繋げる。

• 攻撃手法
  古典的だが、UDPセッション・ハイジャックで、正規のクライアントからのARP要求に対して、
  攻撃者が「不正なARP応答」をブロードキャストすることでLAN上の通信機器になりすます。

• 対策
  • ハブの物理的保護
  • 不正PC接続検知システム

エンドポイント系 †

マン・イン・ザ・XXXX（MITX : man-in-the-XXXX attack）系は、盗聴・改竄を行う。

中間者攻撃 †

(MITM : Man-In-The-Middle attack)

• 暗号理論における、能動的な盗聴の方法。
• 暗号化などが解除される中継（中間）ポイントで盗聴・改竄などが可能。

マン・イン・ザ・ブラウザ †

(MITB : Man-In-The-Browser attack)

• プロキシ型トロイの木馬によって
• Webブラウザの通信を盗聴・改竄する中間者攻撃 (MITM)では、
• トランザクション署名を使用し経路上の改ざんを検出する方法が有効。

ウィルス対策 †

ウィルス検出 †

EDR (Endpoint Detection and Response) †

各種のウィルス検出を行い、

• 検知後の処理を行う機能

• ファイルの復元
• ファイルの削除
• ファイルの隔離（検疫）

• クリーニング（上記の組合せ）
  • 正常なファイルを復元
  • 異常なファイルを検疫

• 管理サーバに通知する機能。

サンドボックス †

• 仮想化技術を使用し、分離環境（サンドボックス）に隔離する。
  • ウィルス検出を安全に行う。
  • 検知後の隔離（検疫）先として利用する。

• 特に、ダイナミック・ヒューリスティック法（ビヘイビア法）と相性がイイ。

ウィルス検出 †

コンペア法 †

• 原本との比較

パターン・マッチング法 †

• 「特徴的なパターン」との比較

• ウイルスの「特徴的なパターン」を登録した定義ファイル
  とマッチングするかどうかでウイルス検出する方法。

チェックサム / インテグリティチェック法 †

ウイルスに感染していないことを保証する情報を付加

• チェックサム法 : チェックサム
• インテグリティチェック法 : ディジタル署名

ヒューリスティック法 †

• スタティック・ヒューリスティック法
  ウイルスのとるであろう動作を事前に登録しておき、
  「検査対象コードに含まれる一連の動作」をチェックして検出する手法。

• ダイナミック・ヒューリスティック法（ビヘイビア法）

• ウイルス感染・発病によって生じる
  異常な動作や通信の変化を監視してウイルス検出する方法。

• プロセス生成
• ファイル操作
• レジストリ更新
• ネットワーク接続

• サンドボックスの仕組みを併用することが多い。

• 以下のようなウィルスに対して有効
  • 未知のウィルス
  • 亜種が次々作られるタイプ
  • ポリモーフィック型ウィルス
    自己複製を行う際にプログラムのコードを変化させ、
    検出を回避しようとするタイプのウィルス　

脆弱性に対する攻撃 †

エクスプロイト・コード †

• 発見された脆弱性を利用できるように作成されたプログラム
• 研究や検証を目的としたモノから、実際の攻撃を目的としたモノまで。

ゼロデイ攻撃 †

脆弱性に対するパッチ提供前の、当該 脆弱性に対する攻撃。

暗号化・復号化 †

ダウングレード攻撃 †

SSL/TLSネゴシエーションで、強度の低い暗号スイートを選択させる。

サイドチャネル攻撃 †

• 非破壊攻撃の一種。

• 暗号装置の動作状況を様々な物理的手段で観察することにより、
  装置内部のセンシティブな情報を取得しようとする攻撃方法の総称。

ダーク・ほにゃらら †

ダーク・ネット †

元々、2011年に枯渇したとされるIPアドレス（IPv4）のうち、
実際にはホストが割り当てられていない（使われていない）もの。

• このIPアドレスはサイバー攻撃やマルウェアの伝染のために利用されている。
• ダーク・ネットのパケットのトラフィックの分析をセキュリティー向上に役立てる研究も行われている。

ダーク・ウェブ †

元々は、米国海軍が諜報活動の匿名性、秘匿性を確保する目的で開発された。
独裁国家の反体制派、内部告発者、ジャーナリスト等が利用し発展したため無害だが、
昨今、違法活動にも用いられているため、検察や政府機関の一部は懸念を抱いている。

• 特別なネットワークとソフトウェアを使用しないとアクセスできないウェブサイト

• Tor（The Onion Router）
  インターネットへの匿名アクセスの提供に重点を置いている

• I2P（Invisible Internet Project）
  ウェブサイトの匿名ホスティングができるように特化

• 検索エンジンのクローラーの探索対象外となるので検索サイトにも表示されない。

• 企業など法人内のアクセスのあるウェブサイトはディープウェブと呼んで区別される。

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.259 sec.