SC：脅威 のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SC：脅威 へ行く。
  • 1 (2019-08-16 (金) 11:11:32)
  • 2 (2019-08-16 (金) 12:40:43)
  • 3 (2019-08-16 (金) 17:28:43)
  • 4 (2019-08-16 (金) 20:33:47)
  • 5 (2019-08-16 (金) 21:38:23)
  • 6 (2019-08-17 (土) 12:00:58)
  • 7 (2019-08-17 (土) 12:47:25)
  • 8 (2019-08-17 (土) 20:54:36)
  • 9 (2019-08-18 (日) 12:59:45)
  • 10 (2019-08-18 (日) 17:37:47)
  • 11 (2019-08-18 (日) 20:27:57)
  • 12 (2019-08-21 (水) 21:04:17)
  • 13 (2019-08-24 (土) 19:37:21)
  • 14 (2019-08-25 (日) 18:53:21)
  • 15 (2020-01-04 (土) 19:55:14)
  • 16 (2020-01-04 (土) 23:41:12)
  • 17 (2020-01-05 (日) 16:38:16)
  • 18 (2020-01-09 (木) 00:13:57)
  • 19 (2020-01-11 (土) 19:17:59)
  • 20 (2020-01-14 (火) 21:15:31)
  • 21 (2020-01-15 (水) 10:46:00)
  • 22 (2020-01-15 (水) 21:15:50)
  • 23 (2020-02-03 (月) 20:13:33)
  • 24 (2020-02-10 (月) 22:46:42)
  • 25 (2020-02-16 (日) 20:08:11)
  • 26 (2020-03-02 (月) 19:58:26)
  • 27 (2020-03-08 (日) 18:01:02)
  • 28 (2020-03-12 (木) 09:06:19)
  • 29 (2020-08-24 (月) 21:28:43)
  • 30 (2020-08-25 (火) 13:25:20)
  • 31 (2020-09-24 (木) 12:56:08)
  • 32 (2020-09-24 (木) 16:20:09)
  • 33 (2020-09-25 (金) 01:50:10)
  • 34 (2020-09-29 (火) 22:16:48)
  • 35 (2020-10-04 (日) 01:54:25)
  • 36 (2020-10-04 (日) 16:31:29)
  • 37 (2020-10-09 (金) 13:40:35)
  • 38 (2020-10-09 (金) 17:04:14)
  • 39 (2020-10-10 (土) 12:01:15)
  • 40 (2020-10-12 (月) 19:57:36)
  • 41 (2020-10-12 (月) 23:23:51)
  • 42 (2020-10-13 (火) 03:22:56)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

先ずは、脅威を知る。

分類 †

災害 †

種類 †

• 地震
• 火事
• 水害

対策 †

• 防災設備
  • 耐震設備
  • 防炎設備
  • 防水設備

• 災害復旧（ディザスタ・リカバリ）
  • 遠隔地の（地理的に離れた）IDCやクラウドを利用するのが一般的。
  • 耐震・防火・防水、冗長化・バックアップなどが提供される。

障害 †

種類 †

対策 †

基本は、保守と予備（バックアップ）の確保

• システム障害と言う意味だと、

• 保守
  上記の全項目の実施

• 予備（バックアップ）
  • バックアップ・リストア
  • ディザスタ・リカバリ

だろうか。

人的 †

• 可用性だけでなく、機密性や完全性も低下させる。

• 特に、機密性については、人が最大の脅威
  • システム的に守れない物理的な持ち出しが可能なため。
  • この対策は、アクセス制御や暗号化になる。

分類 †

大きく分けて、偶発的と意図的に分かれる。

• 偶発的
  • 操作ミス（オペミス）
  • 紛失、物理的事故
  • バグの造り込み
  • サイバー・セキュリティ系
    • マルウェア持込（からの各種攻撃
    • インバウンド開放（からの各種攻撃

• 意図的
  • 侵入・持出
  • バグの造り込み
  • サイバー・セキュリティ系
    • システムへの侵入
    • 各種脆弱性に対する攻撃

影響 †

様々

• 軽微
• 甚大

対策 †

「不正のトライアングル」（の主に、機会・正当性）を成立させないようにする。

不正のトライアングル †

「不正のトライアングル」理論では、
以下が揃ったときに発生するとされる。

• 動機
  • 金銭トラブル
  • 金銭目的
  • 過剰なノルマ
  • 怨恨

• 機会
  不正を実行可能にする環境
  • ずさんなルール
  • 対策の不備など、

• 正当性
  良心の呵責を超えた、
  不正行為者都合の正当性。

情報共有 †

サイバー情報共有イニシアティブ †

（J-CSIP：Initiative for Cyber Security Information sharing Partnership of Japan ）

• IPAが、サイバー攻撃による被害拡大防止のため、2011年10月25日、
  経済産業省の協力のもと、重工、重電等、重要インフラで利用される
  機器の製造業者を中心に、情報共有と早期対応の場として発足させた。

• その後、全体で

• 13のSIG
• 249の参加組織

による2つの「情報連携体制」

• 情報共有体制
• 情報共有活動（IPAが支援する

を確立し、サイバー攻撃に関する
情報共有の実運用を行っている。

脆弱性情報データベース †

CVE、CWE、CVSS 識別子 †

• CVE(Common Vulnerabilities and Exposures)識別子 = 共通脆弱性識別子
  • 製品に含まれる脆弱性を識別するCVE-西暦年-4桁の通番で表される識別子。
  • 米国政府の支援を受けた非営利団体のMITRE社が採番している。
  • 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用する。

• CWE (Common Weakness Enumeration)
  • 共通脆弱性タイプ一覧
  • 脆弱性の種類を定義している。
  • 例えば以下の様な脆弱性タイプがある。
    • CWE-78：OSコマンド・インジェクション
    • CWE-79：クロスサイト・スクリプティング（XSS）
    • CWE-89：SQLインジェクション

• CVSS (Common Vulnerability Scoring System)
  • 共通脆弱性評価システム
  • 脆弱性の深刻度をスコア表記で評価する。

• 下記の三つの基準で評価する。
  • 基本評価基準
  • 経年変化しない特性を評価する。
  • 現状評価基準

• 対策情報次第で変化する深刻度の評価
  • 環境評価基準
  • 製品利用者ごとに変化する評価基準

JVN識別子 †

• JVN(Japan Vulnerability Notes)識別子
• CVE識別子の日本版で、以下の組織が共同運営している。
  • 情報処理推進機構（IPA）
  • JPCERT コーディネーションセンター（JPCERT/CC）

人的 †

システムだけで完結しない人的な脅威。

フット・プリンティング †

ネットワーク侵入準備のために、ネットワーク上に存在している

• 個人や企業・団体
• コンピュータやネットワーク

の情報（IPアドレス、システムアーキテクチャー
（使用OS等）、動作しているサービス）収集をすること。

ソーシャル・エンジニアリング †

　・標的型攻撃（メールによるもの 　　APT（Advanced Persistent Threat）、新しいタイプの攻撃

　　・受信者の業務に関係がありそうなもの。

　　　・送信者は公的機関、組織内の管理部門など。 　　　　（文末に組織名や個人名を含む署名がある）

　　　・社会情勢や動向を反映した内容。 　　　　（イベント、ニュース、注意喚起、報告書）

　　　・本文の内容に沿った添付ファイル、リンク 　　　　・文書ファイルなどを装ったマルウェアを添付 　　　　　zip、exe、pdf、doc（亜種のため検知しにくい）

　　　　・不正なリンクを用いる場合もある。

　　・対策：リテラシ向上と注意喚起、情報収集と指示 　　　・入り口対策：困難 　　　・出口対策：

　　　　・F/W・プロキシ 　　　　　アウトバウンド、P2P、RPC

　　　　・ルータ・スイッチ（NW分割） 　　　　　・AD（認証サーバ） 　　　　　・サーバとインターネット通信

• コンピュータやネットワークの管理者や利用者、また、その関係者をターゲットとし、
• 「社会的」な手段によって、保安上重要な情報を入手する。
• 人間の心理的な隙や、行動のミスによる。ある意味、オレオレ詐欺的な。

構内侵入 †

• 偽造または拾得したIDカード
• 他の社員の後ろに付いて一緒に入る
• 清掃員や回収業者として
• 他の用件で訪問したついで

トラッシング †

• ゴミ箱をあさる
• 郵便物を盗む（メールハント）

ショルダー・ハッキング †

他人がパスワードや暗証番号を入力しているところを、肩越しに盗み見る。

なりすましによる聞き出し †

• 社員になりすます
• 企業のエグゼクティブになりすます
• プロバイダなどのシステム管理者になりすます

• 話術
  • 緊急性を持たせる話し方
  • 大胆な行動・発言・表情

フィッシング系 †

• Fishingではなく、Phishingという豆知識。
• デジタル版のソーシャル・エンジニアリング
• インターネットのユーザから情報を奪うために行われる詐欺行為。

• 攻撃方法
  一般的には、偽サイトに誘導して情報を盗む。
  • フィッシング方法
    • DNSキャッシュ・ポイゾニング
    • フィッシング・メール
    • 似たURL
    • SEO(Search Engine Optimization)ポイゾニング
      検索エンジンの検索結果ページの上位に、
      ウイルスなどが含まれる悪質なWebサイトがリスト。

• フィッシング後

• ログイン・フォームにクレデンシャル入力

• カード情報期限切れ等でカード情報を要求

• クリック・ジャッキング攻撃（IFRAME）
  ユーザーを視覚的にだまして、正常に見える
  ウェブページ上のコンテンツを示し、実際は、
  別のウェブページのコンテンツをクリックさせる攻撃
  （SNSなどで「非公開」プライバシー情報を「公開」に変更）

フィッシング・メール †

• 典型的には、信頼されている主体になりすました
  Eメールによって偽のWebサーバに誘導することによって行われる。

• 著名ウェブサービスの偽装サイトへのリンクし、
  • このアカウントはハッキングされています。
  • 支払い情報を更新してください。
  • , etc.

スピア・フィッシング（標的型攻撃） †

フィッシングとの違いは、
特定の企業の特定の人物や社員を標的にする。

標的型攻撃 †

種類 †

• やり取り型攻撃
  窓口業務などを行う担当者を狙った攻撃。

• 水飲み場型攻撃
  ポータルサイトなどに攻撃コードを
  埋め込むなどした待ち伏せ型の攻撃。

標的型メール攻撃 †

標的型のフィッシング・メール

• 標的型攻撃の代表的手段である電子メールを利用した攻撃
  • 前述の、やり取り型攻撃に該当する。
  • 特定ターゲットに絞った業務メールに偽装して攻撃を仕掛ける。
  • 最近では多くの情報漏洩事件の原因にもなっっている。

• ウィルスなどが含まれる添付ファイルを送り付ける。

技術的 †

アドレス・スキャン †

（pingスイープ）

ポート・スキャン †

影響 †

後述のバッファ・オーバーフローに繋がる。

攻撃手法 †

• TCP, UDPリスニング・ポートを確認する。
  • ポートスキャナを使用する。有名なポートスキャナーにはnmapがある。
  • スタック・フィンガー・プリンティングによるバナー表示
    • 特定のデータを送信して、それに対応する応答を調べサービスも特定可能。
    • OS、ミドルウェアを特定し、脆弱性がある場合、攻撃を仕掛けることが出来る。

• TCPコネクト・スキャン
  コネクション確立によるスキャン

• ログを残さないステルス・スキャン

• TCPハーフ・スキャン
  コネクションの確立はされない。
  • TCP FINスキャン
  • TCP ACKスキャン
  • TCP Nullスキャン
  • TCP クリスマスツリー・スキャン

• UDPスキャン
  標的ポートが"ICMP port unreachable"という
  メッセージで応答したポートがなければ稼動している。

対策 †

• 予防・防止
  • ポートを閉じる
    インターネット公開すべきではない
    サービス（インバウンド・ポート）の例
    • telnet 23
    • tftp 69
    • pop3 110
    • sunrpc 111
    • epmap 135
    • netbios-ns 137
    • netbios-dgm 138
    • netbios-ssn 139
    • snmp 161
    • snmptrap 162
    • microsoft-ds 445
    • rexec 512
    • rlogin 513
    • rsh 514
    • syslog 514
    • ms-sql-s 1433
    • ms-sql-m 1434
    • nfs 2049

• F/Wによって遮断

• バナー表示をOFF

• セキュリティ・ホールを塞ぐ、パッチ適用

• 検知・遮断
  IDPS：検知（IDS）・遮断（IPS）
  • ネットワーク監視型 IDS
  • ホスト監視型IDS、IPS
  • F/Wログから検知
  • ホストのログから検知

※ IDPSではステルス・スキャンも検知できるが、
　　間を空けたランダムな攻撃の場合は検知が困難になる。

バッファ・オーバーフロー †

影響 †

• 乗っ取り
• 漏洩、改竄
• プロセス停止（失敗時）

攻撃手法 †

スタックのリターンアドレスを書き換え、

• 既存のプログラム
• データ中の攻撃用コード

を動作させる攻撃方法（別名、スタック・オーバーフロー）。

※ 単にバッファをオーバーフローさせても
　意味が無いので、スタックと組み合わせる。

※ 一般的には、サービスのポートなどから攻撃を投入する。

※ ヒープ・オーバーフローと組み合わせることも。

対応 †

• 予防・防止

• 運用
  • ポートスキャンと同じ
  • IPS：ペイロードチェックも行う。

• setuid/setgidプログラムの対処
  • データ実行防止機能（DEP）を有効にする。
  • スタック中のPG領域を動かすことはできるが、
    その他のデータ領域を実行することはできない。
  • DEP対策として、return-to-libcがある。
  • return-to-libc対策として、ヒープ・オーバーフローが使える。

• プログラミング
  • gets、strcpy、strcat等を使用しない、_sを使用。
  • lengthチェック
  • StackGuard?、カナリア・コード
  • Libsaf（チェック関数挿入、コンパイル不要）

• 検知・追跡
  • ポートスキャンと同じIDPS
  • ログ（改竄されていなければ）。

• 回復
  乗っ取り後の
  • パッチの適用など、脆弱性チェック
  • 設定変更、改竄・漏洩などのチェック
  • 場合によっては、クリーン・インストール

パスワード・クラック †

影響 †

ログインされる。

攻撃手法 †

固定式のパスワードを使用する認証システムを攻撃

• オンライン攻撃とオフライン攻撃

• オンライン攻撃
  ユーザストア・ファイルが手元に無い場合
  動作中のオンライン・サービスに認証情報を送って調査する手法

• パスワード推測
  アカウントの特徴から
  パスワードを推測して（IDに似ているか、生年月日）
  ログインを試みる手法。

• リバース・ブルートフォース攻撃
  パスワードを固定して、IDを総当りなので、オンライン攻撃が可能。

• パスワード・リスト攻撃
  他のサービスから漏洩した情報を使用してログインを試みる。

• オフライン攻撃
  ユーザストア・ファイルが手元に有る場合
  ハッシュ・アルゴリズムなどを想定して、パスワードを割り出す。

• 辞書攻撃
  一般にパスワードに使われやすい文字列を登録した
  ファイル（辞書）を利用し、順に試していく手法。

• ブルートフォース・アタック（総当たり攻撃）
  ログインに関する力技の総当たり攻撃 IDを固定してパスワードを総当りなので、オフライン攻撃が一般的。

• レインボー・テーブル
  ハッシュ化された文字列を平文に復元できる技術
  大量の領域が必要になるハッシュ版の辞書を
  還元関数によりチェーンさせることによって、圧縮する。

• その他、パスワード・ハッシュに対する攻撃

対策 †

• 予防・防止

• アカウントのロックアウト

• パスワード...
  • ...の、強度を上げる。
  • ...を、定期的に変更する。
  • ...が、盗まれないようにする。

• パスワード以外の利用
  • 生体認証

• 多要素認証
  • ワンタイム・トークン
  • FIDOなどTPM＋α

• 検知・追跡
  • IDPS
  • ログイン・ログオフの監査（失敗の監査）

• 回復
  乗っ取り後の
  • 設定変更、改竄・漏洩などのチェック
  • 場合によっては、クリーン・インストール

セッション・ハイジャック †

影響 †

• 正規のクライアントもしくはサーバを装い、
  サーバやクライアントを騙し不正行為を働く。

• 例
  • サーバ（クライアント）になりすまし
    • クライアントを誘導したり、機密情報を盗む。
    • サーバへ侵入・攻撃したり、機密情報を盗む。

• 中間に入りセッション・コントロールを行う。
  （ManInTheMiddleAttack?：中間攻撃）

攻撃手法 †

• 以下の脆弱性を突いて、セッション・ハイジャック。
  • プロトコルの仕様上の脆弱性
  • プロトコルの実装上の脆弱性（OS、ミドル）
  • アプリケーション（セッション管理）の脆弱性

• プロトコル毎のセッション・ハイジャック

• TCPセッション・ハイジャック
  シーケンス番号の矛盾を無くし（推測・キャプチャ）、
  IPアドレス偽装（IPスプーフィング）することにより
  TCPセッション・ハイジャックが可能（rcp, rlogin）。

• UDPセッション・ハイジャック
  サーバより先に応答を返してしまう。
  • DNSキャッシュ・ポイゾニング
  • ARPキャッシュ・ポイゾニング

• HTTPセッション・ハイジャック
  様々な方法で、
  HTTP Sessionを識別するSessionId?を入手して、
  相手のHTTP Sessionを乗っ取る。

• 単純な推測による。
• HTTPの盗聴による。
• Url中に含まれるSessionId?が、Referrerに漏洩。
• セッションID固定化攻撃（ある種、インジェクション）
  自分が正規に得たSessionId?を他者に送り込むことで、
  他者のSession情報などを攻撃者が参照できるようになる攻撃。

対策 †

• TCPセッション・ハイジャック
  • パッチ（推測を困難にする）
  • 暗号化（SSL/TLS、IPsec、SSH）

• UDPセッション・ハイジャック
  • DNSキャッシュ・ポイゾニング
  • ARPキャッシュ・ポイゾニング

• HTTPセッション・ハイジャック

• セションID固定攻撃防止のため複雑なSessionIDを使用する。
• SessionIDダケでなく、認証、リクエスト・チケットを併用する。

• SessionIDの漏洩防止
  • SSL/TLSで、盗聴を防止する。
  • XSSの脆弱性対策を行う
  • ログイン前にSessionIDを返さない。
  • URLリライティングを使用しない
    （SessionIDをQueryString?に入れる方式）

DNSサーバに対する攻撃 †

影響 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  収集された情報が悪用される可能性がある。

• DNSキャッシュ・ポイゾニング

• DNSリフレクション（DNS amp）

攻撃手法 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  • DNSの古い冗長化システム。セカンダリDNSへのレプリケーション。
  • 不正なゾーン転送要求によりプライマリDNSサーバから情報収集

• DNSキャッシュ・ポイゾニング

• DNSリフレクション（DNS amp）

対策 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  ゾーン転送をセカンダリDNSにのみ許可する。

• DNSキャッシュ・ポイゾニング

• DNSリフレクション（DNS amp）

DoS攻撃 †

インジェクション系 †

インジェクションすることで、予期せぬ動作＋情報漏洩をさせる。

OSコマンド・インジェクション †

• 攻撃方法
  OSコマンドにインジェクションすることで、
  情報の漏洩・改竄、システムをクラッシュさせるなど。

• 対策
  • OSコマンド呼び出し可能な関数を実行しない、
  • ルール、データチェック（エスケープはしない）
  • ユーザ入力を持って行かない。
  • WAF

ディレクトリ・トラバーサル †

SQLインジェクション †

• 攻撃方法
  SQLにインジェクションすることで、
  情報の漏洩・改竄、システムをクラッシュさせるなど。

• 対策
  • バインド変数を使用する。
  • エスケープ（';%+）
  • アクセス権限設定
  • 詳細なエラー・メッセージを返さない。
  • WAF

HTTPヘッダ・インジェクション †

HTTPヘッダにインジェクションすることで、
不正なCookie情報を送り込むなどができる。

XSS（JavaScriptのインジェクション） †

クライアント・スクリプトをインジェクションしてCookieなどを盗む。

• 攻撃方法
  JavaScrip?をインジェクションして、Cookie情報などを他サイトに飛ばす。

• 対策
  • サニタイジング
  • UTF-7を使用しない。
  • WAF

CSRF(XSRF) †

・HTTPヘッダインジェクション 　・ヘッダの追加 　　Cookieの設定

　・ボディの追加 　　・偽情報、スクリプト挿入 　　・レスポンス分割とキャッシュ汚染

　・対策 　　・APIの使用（エスケープ機能を持った） 　　・改行コードは削除する。 　　・CookieはURLエンコード 　　・WAF

マルウェア †

・パケット盗聴 　・プロミスキャス・モードでの盗聴 　・対策 　　・スイッチングハブ、 　　・プロミスキャス・モードのNIC検出

・ウォードライビング（無線LANへの不正接続） 　　

・ファーミング 　hostsファイルの書き換え。

・不正なコマンドやリクエストの発行

・スパムメール

・マルウェア 　ウワトモスボ

　データ消去、改ざん、漏洩、バックドア

　・ウィルス 　　宿主に感染、潜伏、発病の機能を持つ。　　

　　・対策 　　　・GW上 　　　　・F/W、IDPS 　　　　・ウィルス対策 　　　　・プロキシサーバによるアクセス制御

　　　・クライアント上 　　　　・ウィルス対策、ウィルス検査 　　　　・OS最新、パッチ 　　　　・OS-F/W、Personal-F/W 　　　　・無関係なソフトの使用禁止（フリー等）

　　　・その他 　　　　マネジメント面（感染後の対策）

　・ワーム（NW感染型ワーム） 　　MSBlasterなど、潜伏期間がなく、 　　ポートを攻撃しながら広がる。

　　・対策 　　　・F/W、IDPS 　　　・外部持ち出しに注意。

　・トロイの木馬 　　正常に動作していると見せかけて、悪さをする。

　　RAT：Back OrificeやSubSeven?に代表されるリモートから 　　　　コントロールが可能なトロイの木馬プログラムの総称。

　　・対策 　　　・ウィルス対策 　　　・F/W、IDPS 　　　・プロキシサーバ（コンテンツフィルタリング

　・悪意のあるモバイルコード 　　JavaApplet?、ActiveX、JavaScript

　　・対策 　　　・プロキシサーバ（コンテンツフィルタリング

　・スパイウェア 　　主には個人情報の漏洩（キーロガー）

　　・対策 　　　・ウィルス対策 　　　・F/W、IPS 　　　・プロキシサーバ（コンテンツフィルタリング

　・ボット 　　遠隔操作可能（IRC、IM、P2P） 　　・スパム 　　・DoS、DDoS（ボットネット） 　　・脆弱性の調査、スパイ活動 　　・情報の削除、改竄、漏洩

　　・対策、ウィルス＋IRC、IM、P2P

　・検出方法 　　以下の 　　・亜種が次々作られるタイプ 　　・ポリモーフィック型ウィルス 　　・未知のウィルス 　　に対しては、ヒューリスティック・ビヘイビア法が有効

　　・コンペア法 　　　原本との比較

　　・パターン・マッチング法 　　　ウイルスの特徴的なパターンを登録した定義ファイル 　　　とマッチングするかどうかでウイルス検出する方法。

　　・チェックサム/インテグリティチェック法 　　　ウイルスに感染していないことを保証する情報を付加 　　　「チェックサム」「ディジタル署名」

　　・ヒューリスティック法 　　　・スタティック・ヒューリスティック法 　　　　ウイルスのとるであろう動作を事前に登録しておき、 　　　　検査対象コードに含まれる一連の動作と比較して検出する手法。 　　　・ダイナミック・ヒューリスティック法 　　　　ビヘイビア法

　　・ビヘイビア法 　　　ウイルス感染・発病によって生じる異常な 　　　動作や通信の変化を監視してウイルス検出する方法。

・ガンブラー 　FTPのアカウントを盗んで、Webサイトを改ざんする。

　・攻撃サイトのリダイレクト 　　（ドライブバイダウンロード） 　　でマルウェアをDLして実行 　　＃ここをガードできれば対策できる。

　・FTPのアカウント情報を盗んで送信してしまう。 　　＃IDPSで検知

　・このアカウントを使用してWebサイトを改竄 　　（レンタルサーバなどはFTPが多いので） 　　そして、そのサイトも攻撃サイトに改竄。 　　＃サイトのチェックなどで検知

その他 †

キャッシュ・ポイゾニング（スプーフィング）系 †

• 偽りのアドレスを流して誘導、盗聴、改竄などを行う。
• UDPセッション・ハイジャックによる。

DNSキャッシュ・ポイズニング †

DNSスプーフィングとも呼ばれる。

• 影響
  • hostsファイルの不正な書き換えとほぼ同じ効果。
  • 主に、偽サイトに誘導し、フィッシングにつなげる。

• 攻撃手法 古典的だが、
  DNSのキャッシュ・サーバが間違った情報をキャッシュさせる攻撃。
  近年フィッシング詐欺で危険性や影響が再認識された。

• UDPセッション・ハイジャックにより可能。
• 送信元ポートとTxIDの推測により攻撃。

• 対策
  • 組織内
    キャッシュ・サーバ利用を組織内に限定する。

• 組織外
  • 再帰問合せの無効化
  • 送信元ポートのランダム化
  • TxIDの推測を困難にする。
  • DNSSEC（DNS Security Extensions）を適用する。

ARPキャッシュポイズニング †

ARPスプーフィングとも呼ばれる。

• 影響
  • hostsファイルの不正な書き換えとほぼ同じ効果。
  • 主に、偽サイトに誘導し、フィッシングにつなげる。

• 攻撃手法
  古典的だが、UDPセッション・ハイジャックで、正規のクライアントからのARP要求に対して、
  攻撃者が「不正なARP応答」をブロードキャストすることでLAN上の通信機器になりすます。

• 対策
  • ハブの物理的保護
  • 不正PC接続検知システム

脆弱性に対する攻撃 †

エクスプロイト・コード †

• 発見された脆弱性を利用できるように作成されたプログラム
• 研究や検証を目的としたモノから、実際の攻撃を目的としたモノまで。

ゼロデイ攻撃 †

脆弱性に対するパッチ提供前の、当該 脆弱性に対する攻撃。

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.178 sec.