SC：脅威のバックアップ(No.23)

#	種類	具体例
1	設備障害	停電、瞬断、空調 / 入退館装置 / 監視カメラ等の故障
2	ハードウェア障害	メモリ / ディスク / CPU / 電源ケーブル
3	ソフトウェア障害	OS、ミドル、アプリのバグ
4	ネットワーク障害	機器、配線、広域網の回線障害、通信事業者の問題

↑

対策 †

基本は、保守と予備（バックアップ）の確保

#	対策	具体例
1	設備障害	設備保守、バックアップ設備の確保
2	ハードウェア障害	機器保守、予備機器の確保
3	ソフトウェア障害	バージョン最新化、パッチ適用、各種テストの実施
4	ネットワーク障害	機器保守、バックアップ回線の確保

システム障害と言う意味だと、

保守
上記の全項目の実施

予備（バックアップ）
- バックアップ・リストア
- ディザスタ・リカバリ

だろうか。

↑

人的 †

可用性だけでなく、機密性や完全性も低下させる。

特に、機密性については、人が最大の脅威
- システム的に守れない物理的な持ち出しが可能なため。
- この対策は、アクセス制御や暗号化になる。

↑

分類 †

大きく分けて、偶発的と意図的に分かれる。

偶発的
- 操作ミス（オペミス）
- 紛失、物理的事故
- バグの造り込み
- サイバー・セキュリティ系
  - マルウェア持込（からの各種攻撃
  - インバウンド開放（からの各種攻撃

意図的
- 侵入・持出
- バグの造り込み
- サイバー・セキュリティ系
  - システムへの侵入
  - 各種脆弱性に対する攻撃

↑

影響 †

様々

軽微
甚大

↑

対策 †

「不正のトライアングル」（の主に、機会・正当性）を成立させないようにする。

#	種類	具体例
1	偶発的	規程、マニュアルの整備、教育・訓練の実施、罰則の適用
2	意図的	・外部の人的脅威　入退館、アクセス制御、暗号化、監視、アカウント管理・内部の人的脅威　アクセス制御の実施、教育・訓練の実施、監査の実施
2	全体的	・抑止、抑制、牽制・委託先の信頼性、NDA（秘密・機密保持契約）

↑

不正のトライアングル †

「不正のトライアングル」理論では、
以下が揃ったときに発生するとされる。

動機
- 金銭トラブル
- 金銭目的
- 過剰なノルマ
- 怨恨

機会
不正を実行可能にする環境
- ずさんなルール
- 対策の不備など、

正当性
良心の呵責を超えた、
不正行為者都合の正当性。

↑

情報共有 †

↑

サイバー情報共有イニシアティブ †

↑

脆弱性情報データベース †

↑

CVE、CWE、CVSS 識別子 †

CVE(Common Vulnerabilities and Exposures)識別子 = 共通脆弱性識別子
- 製品に含まれる脆弱性を識別するCVE-西暦年-4桁の通番で表される識別子。
- 米国政府の支援を受けた非営利団体のMITRE社が採番している。
- 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用する。

CWE (Common Weakness Enumeration)
- 共通脆弱性タイプ一覧
- 脆弱性の種類を定義している。

例えば以下の様な脆弱性タイプがある。
- CWE-78：OSコマンド・インジェクション
- CWE-79：クロスサイト・スクリプティング（XSS）
- CWE-89：SQLインジェクション

CVSS (Common Vulnerability Scoring System)
- 共通脆弱性評価システム
- 脆弱性の深刻度をスコア表記で評価する。

下記の三つの基準で評価する。

基本評価基準 (Base Metrics)
経年変化しない特性を評価する。

現状評価基準 (Temporary Metrics)
対策情報次第で変化する深刻度の評価

環境評価基準 (Environmental Metrics)
製品利用者ごとに変化する評価基準

↑

JVN識別子 †

JVN(Japan Vulnerability Notes)識別子
CVE識別子の日本版で、以下の組織が共同運営している。
- 情報処理推進機構（IPA）
- JPCERT コーディネーションセンター（JPCERT/CC）

↑

CybOX、STIX、TAXII †

CybOX
- Cyber Observable eXpression、サイバー攻撃観測記述形式
- コンピューティングシステムとその動作に関わる
  - 観測事象を記述するための拡張性を備えた標準言語
  - 観測可能な属性の記述方法を規定する。

STIX
- Structured Threat Information eXpression、脅威情報構造化記述形式
- 脅威情報アイテムと脅威のコンテキストの詳細を記述するためのXMLベースの標準言語

TAXII
- Trusted Automated eXchange of Indicator Information、検知指標情報自動交換手順
- 脅威情報のセキュアな転送と交換を提供する技術仕様

↑

人的な脅威 †

システムだけで完結しない人的な脅威。

↑

フット・プリンティング †

ネットワーク侵入準備のために、ネットワーク上に存在している

個人や企業・団体
コンピュータやネットワーク

の情報（IPアドレス、システムアーキテクチャー
（使用OS等）、動作しているサービス）収集をすること。

↑

ソーシャル・エンジニアリング †

コンピュータやネットワークの管理者や利用者、また、その関係者をターゲットとし、
「社会的」な手段によって、保安上重要な情報を入手する。
人間の心理的な隙や、行動のミスによる。ある意味、オレオレ詐欺的な。

↑

構内侵入 †

偽造または拾得したIDカード
他の社員の後ろに付いて一緒に入る
清掃員や回収業者として
他の用件で訪問したついで
+ サイドチャネル攻撃・テンペスト攻撃

↑

トラッシング †

ゴミ箱をあさる
郵便物を盗む（メールハント）

↑

ショルダー・ハッキング †

他人がパスワードや暗証番号を入力しているところを、肩越しに盗み見る。

↑

なりすましによる聞き出し †

社員になりすます
企業のエグゼクティブになりすます
プロバイダなどのシステム管理者になりすます

話術
- 緊急性を持たせる話し方
- 大胆な行動・発言・表情

↑

フィッシング系 †

↑

フィッシング †

デジタル版のソーシャル・エンジニアリング
インターネットのユーザから情報を奪うために行われる詐欺行為。

豆知識
- Fishingではなく、Phishing。
- sophisticated（洗練された）とfishing（釣り）から合成。

攻撃方法
一般的には、偽サイトに誘導して情報を盗む。
- フィッシング方法
  - DNSキャッシュ・ポイズニング
  - フィッシング・メール
  - 標的型メール
  - 似たURL
  - SEO (Search Engine Optimization) ポイズニング
    検索エンジンの検索結果ページの上位に、
    ウイルスなどが含まれる悪質なWebサイトがリスト。

フィッシング後
偽画面での個人情報の入手

ログイン・フォームにクレデンシャル入力

カード情報期限切れ等でカード情報を要求

クリック・ジャッキング攻撃の併用
ユーザーを視覚的にだまして、
正常に見えるウェブページ上のコンテンツを示し、
実際は、別のウェブページのコンテンツをクリックさせる攻撃
（SNSなどで「非公開」プライバシー情報を「公開」に変更）

タブナビング攻撃の併用
クリック・ジャッキング攻撃に似たフィッシング攻撃
背後のタブがいつの間にかフィッシングページに化ける

↑

フィッシング・メール †

典型的には、信頼されている主体になりすました
Eメールによって偽のWebサーバに誘導することによって行われる。

著名ウェブサービスの偽装サイトへのリンクし、
- このアカウントはハッキングされています。
- 支払い情報を更新してください。
- , etc.

↑

スピア・フィッシング（標的型攻撃） †

フィッシングとの違いは、特定の企業の特定の人物や社員を標的にする。

↑

ファーミング †

以下の点でフィッシングと区別される。
- DNSキャッシュ・ポイズニングでフィッシングされたケース。
- より自動化された手法で、被害規模も大きくなる可能性がある。

豆知識
- Farmingではなく、Pharming。
- sophisticated（洗練された）とfarming（農業）から合成。

↑

標的型攻撃 †

１つ１つの攻撃が、≒オーダーメードなので検知が難しい。

↑

標的型メール攻撃 †

標的型のフィッシング・メール

標的型攻撃の代表的手段

後述の、各攻撃の起点となる。

最近では情報漏洩事件の主要原因になっている。

特定ターゲットに絞った業務メールに偽装して攻撃を仕掛ける。

添付ファイルを用いてマルウェア送付攻撃

本文中の不正なリンクを用いる場合もある。

ソーシャル・エンジニアリング的な技法を駆使

送信者は公的機関、組織内の管理部門などを偽装
- 文末に組織名や個人名を含む署名があるなど。
- また、CCに実際の担当者のメアドを一文字変更したメアドを追加するなど。

社会情勢や動向を反映した内容。
（イベント、ニュース、注意喚起、報告書）

↑

やり取り型攻撃 †

窓口業務などを行う担当者を狙った攻撃。
数回のやり取りを経て、実際の標的型メール攻撃が来る。

↑

水飲み場型攻撃 †

ポータルサイトなどに攻撃コードを埋め込むなどした攻撃。
前段には高度な標的型メール攻撃によるフィッシングがある。

↑

ビジネス・メール詐欺 †

攻撃の手口

請求書偽装
- 取引先（サプライチェーン攻撃）
- メールアカウント乗っ取り

振り込め詐欺
- 経営者偽装
- 権威ある第三者

準備（フット・プリンティング）
- 経営者偽装
- 人事部偽装

その他
- メールアカウント乗っ取り

↑

サプライチェーン攻撃 †

前述のビジネスメール詐欺的な攻撃だが、
ポイントは脆弱性の多い中小企業から入り、本丸の大企業を攻撃する点。

↑

マルウェア送付攻撃 †

標的型攻撃で使用されるマルウェアは、亜種のため検知しにくい。

コンテキストに沿った文書ファイル
（zip、exe、pdf、doc）を装ったマルウェアを添付。

マルウェアの偽装方法

アイコンによる偽装

ファイル名による偽装
仁義なきキンタマの、

「XXXX.doc ... .exe」的な偽装。

アラビア語による拡張子偽装
XXXX.exe.doc → XXXX[RLO].cod.exe

↑

ファイルレス攻撃 †

若しくは、ファイルレス・マルウェアなどと呼ぶ。

添付ファイルのマルウェア的な方法を用いない攻撃。
実際は、ドロッパ的なスクリプト・ファイルなどでスクリプトを実行させ、
DBDでマルウェアをダウンロードしてインストールまでしてしまう。

対策
- スクリプト・ファイルの事項制限
- DBDの脆弱性の対策

補足
- .lnkファイルとpowershellの組合せなど。
- 他にも、以下が考えられる
  - .vbsとVBScript
  - .jsとJScript
  - .xlsmとVBA

↑

持続的標的型攻撃 †

APT攻撃 : Advanced Persistent Threat attack
IPA定義では「新しいタイプの攻撃」と呼ぶ。

標的型攻撃のうち
長期間にわたりターゲットを
分析して攻撃する緻密なハッキング手法
- 発展した / 高度な（Advanced）
- 持続的な / 執拗な（Persistent）
- 脅威（Threat）

↑

対策 †

リテラシ向上と注意喚起、情報収集と指示
基本的に「マルウェア対策」と同じ。

入口・出口対策

入口対策
困難

出口対策
従って、重要性を増す。

↑

技術的な脅威 †

↑

アドレス・スキャン †

（pingスイープ）

↑

ポート・スキャン †

↑

影響 †

後述のバッファ・オーバーフロー（BOF）に繋がる。

↑

攻撃手法 †

TCP, UDPリスニング・ポートを確認する。
- ポートスキャナを使用する。有名なポートスキャナーにはnmapがある。
- スタック・フィンガー・プリンティングによるバナー表示
  - 特定のデータを送信して、それに対応する応答を調べサービスも特定可能。
  - OS、ミドルウェアを特定し、脆弱性がある場合、攻撃を仕掛けることが出来る。

TCPコネクト・スキャン
コネクション確立によるスキャン

ログを残さないステルス・スキャン

TCPハーフ・スキャン
コネクションの確立はされない。
- TCP FINスキャン
- TCP ACKスキャン
- TCP Nullスキャン
- TCP クリスマスツリー・スキャン

UDPスキャン
標的ポートが"ICMP port unreachable"という
メッセージで応答したポートがなければ稼動している。

↑

対策 †

予防・防止
- ポートを閉じる
  インターネット公開すべきではない
  サービス（インバウンド・ポート）の例
  - telnet 23
  - tftp 69
  - pop3 110
  - sunrpc 111
  - epmap 135
  - netbios-ns 137
  - netbios-dgm 138
  - netbios-ssn 139
  - snmp 161
  - snmptrap 162
  - microsoft-ds 445
  - rexec 512
  - rlogin 513
  - rsh 514
  - syslog 514
  - ms-sql-s 1433
  - ms-sql-m 1434
  - nfs 2049