SC：脅威 のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SC：脅威 へ行く。
  • 1 (2019-08-16 (金) 11:11:32)
  • 2 (2019-08-16 (金) 12:40:43)
  • 3 (2019-08-16 (金) 17:28:43)
  • 4 (2019-08-16 (金) 20:33:47)
  • 5 (2019-08-16 (金) 21:38:23)
  • 6 (2019-08-17 (土) 12:00:58)
  • 7 (2019-08-17 (土) 12:47:25)
  • 8 (2019-08-17 (土) 20:54:36)
  • 9 (2019-08-18 (日) 12:59:45)
  • 10 (2019-08-18 (日) 17:37:47)
  • 11 (2019-08-18 (日) 20:27:57)
  • 12 (2019-08-21 (水) 21:04:17)
  • 13 (2019-08-24 (土) 19:37:21)
  • 14 (2019-08-25 (日) 18:53:21)
  • 15 (2020-01-04 (土) 19:55:14)
  • 16 (2020-01-04 (土) 23:41:12)
  • 17 (2020-01-05 (日) 16:38:16)
  • 18 (2020-01-09 (木) 00:13:57)
  • 19 (2020-01-11 (土) 19:17:59)
  • 20 (2020-01-14 (火) 21:15:31)
  • 21 (2020-01-15 (水) 10:46:00)
  • 22 (2020-01-15 (水) 21:15:50)
  • 23 (2020-02-03 (月) 20:13:33)
  • 24 (2020-02-10 (月) 22:46:42)
  • 25 (2020-02-16 (日) 20:08:11)
  • 26 (2020-03-02 (月) 19:58:26)
  • 27 (2020-03-08 (日) 18:01:02)
  • 28 (2020-03-12 (木) 09:06:19)
  • 29 (2020-08-24 (月) 21:28:43)
  • 30 (2020-08-25 (火) 13:25:20)
  • 31 (2020-09-24 (木) 12:56:08)
  • 32 (2020-09-24 (木) 16:20:09)
  • 33 (2020-09-25 (金) 01:50:10)
  • 34 (2020-09-29 (火) 22:16:48)
  • 35 (2020-10-04 (日) 01:54:25)
  • 36 (2020-10-04 (日) 16:31:29)
  • 37 (2020-10-09 (金) 13:40:35)
  • 38 (2020-10-09 (金) 17:04:14)
  • 39 (2020-10-10 (土) 12:01:15)
  • 40 (2020-10-12 (月) 19:57:36)
  • 41 (2020-10-12 (月) 23:23:51)
  • 42 (2020-10-13 (火) 03:22:56)

---

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

先ずは、脅威を知る。

分類 †

災害 †

種類 †

• 地震
• 火事
• 水害

対策 †

• 防災設備
  • 耐震設備
  • 防炎設備
  • 防水設備

• 災害復旧（ディザスタ・リカバリ）
  • 遠隔地の（地理的に離れた）IDCやクラウドを利用するのが一般的。
  • 耐震・防火・防水、冗長化・バックアップなどが提供される。

障害 †

種類 †

対策 †

基本は、保守と予備（バックアップ）の確保

• システム障害と言う意味だと、

• 保守
  上記の全項目の実施

• 予備（バックアップ）
  • バックアップ・リストア
  • ディザスタ・リカバリ

だろうか。

人的 †

• 可用性だけでなく、機密性や完全性も低下させる。

• 特に、機密性については、人が最大の脅威
  • システム的に守れない物理的な持ち出しが可能なため。
  • この対策は、アクセス制御や暗号化になる。

分類 †

大きく分けて、偶発的と意図的に分かれる。

• 偶発的
  • 操作ミス（オペミス）
  • 紛失、物理的事故
  • バグの造り込み
  • サイバー・セキュリティ系
    • マルウェア持込（からの各種攻撃
    • インバウンド開放（からの各種攻撃

• 意図的
  • 侵入・持出
  • バグの造り込み
  • サイバー・セキュリティ系
    • システムへの侵入
    • 各種脆弱性に対する攻撃

影響 †

様々

• 軽微
• 甚大

対策 †

「不正のトライアングル」（の主に、機会・正当性）を成立させないようにする。

不正のトライアングル †

「不正のトライアングル」理論では、
以下が揃ったときに発生するとされる。

• 動機
  • 金銭トラブル
  • 金銭目的
  • 過剰なノルマ
  • 怨恨

• 機会
  不正を実行可能にする環境
  • ずさんなルール
  • 対策の不備など、

• 正当性
  良心の呵責を超えた、
  不正行為者都合の正当性。

情報共有 †

サイバー情報共有イニシアティブ †

（J-CSIP：Initiative for Cyber Security Information sharing Partnership of Japan ）

• IPAが、サイバー攻撃による被害拡大防止のため、2011年10月25日、
  経済産業省の協力のもと、重工、重電等、重要インフラで利用される
  機器の製造業者を中心に、情報共有と早期対応の場として発足させた。

• その後、全体で

• 13のSIG
• 249の参加組織

による2つの「情報連携体制」

• 情報共有体制
• 情報共有活動（IPAが支援する

を確立し、サイバー攻撃に関する
情報共有の実運用を行っている。

脆弱性情報データベース †

CVE、CWE、CVSS 識別子 †

• CVE(Common Vulnerabilities and Exposures)識別子 = 共通脆弱性識別子
  • 製品に含まれる脆弱性を識別するCVE-西暦年-4桁の通番で表される識別子。
  • 米国政府の支援を受けた非営利団体のMITRE社が採番している。
  • 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用する。

• CWE (Common Weakness Enumeration)
  • 共通脆弱性タイプ一覧
  • 脆弱性の種類を定義している。
  • 例えば以下の様な脆弱性タイプがある。
    • CWE-78：OSコマンド・インジェクション
    • CWE-79：クロスサイト・スクリプティング（XSS）
    • CWE-89：SQLインジェクション

• CVSS (Common Vulnerability Scoring System)
  • 共通脆弱性評価システム
  • 脆弱性の深刻度をスコア表記で評価する。

• 下記の三つの基準で評価する。
  • 基本評価基準
  • 経年変化しない特性を評価する。
  • 現状評価基準

• 対策情報次第で変化する深刻度の評価
  • 環境評価基準
  • 製品利用者ごとに変化する評価基準

JVN識別子 †

• JVN(Japan Vulnerability Notes)識別子
• CVE識別子の日本版で、以下の組織が共同運営している。
  • 情報処理推進機構（IPA）
  • JPCERT コーディネーションセンター（JPCERT/CC）

人的 †

システムだけで完結しない人的な脅威。

フット・プリンティング †

ネットワーク侵入準備のために、ネットワーク上に存在している

• 個人や企業・団体
• コンピュータやネットワーク

の情報（IPアドレス、システムアーキテクチャー
（使用OS等）、動作しているサービス）収集をすること。

ソーシャル・エンジニアリング †

• コンピュータやネットワークの管理者や利用者、また、その関係者をターゲットとし、
• 「社会的」な手段によって、保安上重要な情報を入手する。
• 人間の心理的な隙や、行動のミスによる。ある意味、オレオレ詐欺的な。

構内侵入 †

• 偽造または拾得したIDカード
• 他の社員の後ろに付いて一緒に入る
• 清掃員や回収業者として
• 他の用件で訪問したついで

トラッシング †

• ゴミ箱をあさる
• 郵便物を盗む（メールハント）

ショルダー・ハッキング †

他人がパスワードや暗証番号を入力しているところを、肩越しに盗み見る。

なりすましによる聞き出し †

• 社員になりすます
• 企業のエグゼクティブになりすます
• プロバイダなどのシステム管理者になりすます

• 話術
  • 緊急性を持たせる話し方
  • 大胆な行動・発言・表情

フィッシング系 †

• Fishingではなく、Phishingという豆知識。
• デジタル版のソーシャル・エンジニアリング
• インターネットのユーザから情報を奪うために行われる詐欺行為。

• 攻撃方法
  一般的には、偽サイトに誘導して情報を盗む。
  • フィッシング方法
    • DNSキャッシュ・ポイゾニング
    • フィッシング・メール
    • 似たURL
    • SEO(Search Engine Optimization)ポイゾニング
      検索エンジンの検索結果ページの上位に、
      ウイルスなどが含まれる悪質なWebサイトがリスト。

• フィッシング後

• ログイン・フォームにクレデンシャル入力

• カード情報期限切れ等でカード情報を要求

• クリック・ジャッキング攻撃（IFRAME）
  ユーザーを視覚的にだまして、正常に見える
  ウェブページ上のコンテンツを示し、実際は、
  別のウェブページのコンテンツをクリックさせる攻撃
  （SNSなどで「非公開」プライバシー情報を「公開」に変更）

フィッシング・メール †

• 典型的には、信頼されている主体になりすました
  Eメールによって偽のWebサーバに誘導することによって行われる。

• 著名ウェブサービスの偽装サイトへのリンクし、
  • このアカウントはハッキングされています。
  • 支払い情報を更新してください。
  • , etc.

スピア・フィッシング（標的型攻撃） †

フィッシングとの違いは、
特定の企業の特定の人物や社員を標的にする。

標的型攻撃 †

種類 †

• やり取り型攻撃
  窓口業務などを行う担当者を狙った攻撃。

• 水飲み場型攻撃
  ポータルサイトなどに攻撃コードを
  埋め込むなどした待ち伏せ型の攻撃。

標的型メール攻撃 †

標的型のフィッシング・メール

• 標的型攻撃の代表的手段である電子メールを利用した攻撃

• 前述の、やり取り型攻撃に該当する。

• 最近では多くの情報漏洩事件の原因にもなっっている。

• 特定ターゲットに絞った業務メールに偽装して攻撃を仕掛ける。

• 送信者は公的機関、組織内の管理部門など。
  （文末に組織名や個人名を含む署名がある）

• 社会情勢や動向を反映した内容。
  （イベント、ニュース、注意喚起、報告書）

• 本文の内容に沿った添付ファイル、リンク
  文書ファイルなどを装ったマルウェアを添付
  zip、exe、pdf、doc（亜種のため検知しにくい）
  若しくは、不正なリンクを用いる場合もある。

• 対策
  リテラシ向上と注意喚起、情報収集と指示

• 入り口対策 困難

• 出口対策
  • F/W・プロキシ
  • アウトバウンド、P2P、RPC
  • ルータ・スイッチ（NW分割）
  • AD（認証サーバ）
  • サーバとインターネット通信

APT攻撃 †

• 持続的標的型攻撃
• APT : Advanced Persistent Threat

• 標的型攻撃のうち
  長期間にわたりターゲットを
  分析して攻撃する緻密なハッキング手法
  • 発展した / 高度な（Advanced）
  • 持続的な / 執拗な（Persistent）
  • 脅威（Threat）

技術的 †

アドレス・スキャン †

（pingスイープ）

ポート・スキャン †

影響 †

後述のバッファ・オーバーフローに繋がる。

攻撃手法 †

• TCP, UDPリスニング・ポートを確認する。
  • ポートスキャナを使用する。有名なポートスキャナーにはnmapがある。
  • スタック・フィンガー・プリンティングによるバナー表示
    • 特定のデータを送信して、それに対応する応答を調べサービスも特定可能。
    • OS、ミドルウェアを特定し、脆弱性がある場合、攻撃を仕掛けることが出来る。

• TCPコネクト・スキャン
  コネクション確立によるスキャン

• ログを残さないステルス・スキャン

• TCPハーフ・スキャン
  コネクションの確立はされない。
  • TCP FINスキャン
  • TCP ACKスキャン
  • TCP Nullスキャン
  • TCP クリスマスツリー・スキャン

• UDPスキャン
  標的ポートが"ICMP port unreachable"という
  メッセージで応答したポートがなければ稼動している。

対策 †

• 予防・防止
  • ポートを閉じる
    インターネット公開すべきではない
    サービス（インバウンド・ポート）の例
    • telnet 23
    • tftp 69
    • pop3 110
    • sunrpc 111
    • epmap 135
    • netbios-ns 137
    • netbios-dgm 138
    • netbios-ssn 139
    • snmp 161
    • snmptrap 162
    • microsoft-ds 445
    • rexec 512
    • rlogin 513
    • rsh 514
    • syslog 514
    • ms-sql-s 1433
    • ms-sql-m 1434
    • nfs 2049

• F/Wによって遮断

• バナー表示をOFF

• セキュリティ・ホールを塞ぐ、パッチ適用

• 検知・遮断
  IDPS：検知（IDS）・遮断（IPS）
  • ネットワーク監視型 IDS
  • ホスト監視型IDS、IPS
  • F/Wログから検知
  • ホストのログから検知

※ IDPSではステルス・スキャンも検知できるが、
　　間を空けたランダムな攻撃の場合は検知が困難になる。

バッファ・オーバーフロー †

影響 †

• 乗っ取り
• 漏洩、改竄
• プロセス停止（失敗時）

攻撃手法 †

スタックのリターンアドレスを書き換え、

• 既存のプログラム
• データ中の攻撃用コード

を動作させる攻撃方法（別名、スタック・オーバーフロー）。

※ 単にバッファをオーバーフローさせても
　意味が無いので、スタックと組み合わせる。

※ 一般的には、サービスのポートなどから攻撃を投入する。

※ ヒープ・オーバーフローと組み合わせることも。

対応 †

• 予防・防止

• 運用
  • ポートスキャンと同じ
  • IPS：ペイロードチェックも行う。

• setuid/setgidプログラムの対処
  • データ実行防止機能（DEP）を有効にする。
  • スタック中のPG領域を動かすことはできるが、
    その他のデータ領域を実行することはできない。
  • DEP対策として、return-to-libcがある。
  • return-to-libc対策として、ヒープ・オーバーフローが使える。

• プログラミング
  • gets、strcpy、strcat等を使用しない、_sを使用。
  • lengthチェック
  • StackGuard?、カナリア・コード
  • Libsaf（チェック関数挿入、コンパイル不要）

• 検知・追跡
  • ポートスキャンと同じIDPS
  • ログ（改竄されていなければ）。

• 回復
  乗っ取り後の
  • パッチの適用など、脆弱性チェック
  • 設定変更、改竄・漏洩などのチェック
  • 場合によっては、クリーン・インストール

パスワード・クラック †

影響 †

ログインされる。

攻撃手法 †

固定式のパスワードを使用する認証システムを攻撃

• オンライン攻撃とオフライン攻撃

• オンライン攻撃
  ユーザストア・ファイルが手元に無い場合
  動作中のオンライン・サービスに認証情報を送って調査する手法

• パスワード推測
  アカウントの特徴から
  パスワードを推測して（IDに似ているか、生年月日）
  ログインを試みる手法。

• リバース・ブルートフォース攻撃
  パスワードを固定して、IDを総当りなので、オンライン攻撃が可能。

• パスワード・リスト攻撃
  他のサービスから漏洩した情報を使用してログインを試みる。

• オフライン攻撃
  ユーザストア・ファイルが手元に有る場合
  ハッシュ・アルゴリズムなどを想定して、パスワードを割り出す。

• 辞書攻撃
  一般にパスワードに使われやすい文字列を登録した
  ファイル（辞書）を利用し、順に試していく手法。

• ブルートフォース・アタック（総当たり攻撃）
  ログインに関する力技の総当たり攻撃 IDを固定してパスワードを総当りなので、オフライン攻撃が一般的。

• レインボー・テーブル
  ハッシュ化された文字列を平文に復元できる技術
  大量の領域が必要になるハッシュ版の辞書を
  還元関数によりチェーンさせることによって、圧縮する。

• その他、パスワード・ハッシュに対する攻撃

対策 †

• 予防・防止

• アカウントのロックアウト

• パスワード...
  • ...の、強度を上げる。
  • ...を、定期的に変更する。
  • ...が、盗まれないようにする。

• パスワード以外の利用
  • 生体認証

• 多要素認証
  • ワンタイム・トークン
  • FIDOなどTPM＋α

• 検知・追跡
  • IDPS
  • ログイン・ログオフの監査（失敗の監査）

• 回復
  乗っ取り後の
  • 設定変更、改竄・漏洩などのチェック
  • 場合によっては、クリーン・インストール

セッション・ハイジャック †

影響 †

• 正規のクライアントもしくはサーバを装い、
  サーバやクライアントを騙し不正行為を働く。

• 例
  • サーバ（クライアント）になりすまし
    • クライアントを誘導したり、機密情報を盗む。
    • サーバへ侵入・攻撃したり、機密情報を盗む。

• 中間に入りセッション・コントロールを行う。
  （ManInTheMiddleAttack?：中間攻撃）

攻撃手法 †

• 以下の脆弱性を突いて、セッション・ハイジャック。
  • プロトコルの仕様上の脆弱性
  • プロトコルの実装上の脆弱性（OS、ミドル）
  • アプリケーション（セッション管理）の脆弱性

• プロトコル毎のセッション・ハイジャック

• TCPセッション・ハイジャック
  シーケンス番号の矛盾を無くし（推測・キャプチャ）、
  IPアドレス偽装（IPスプーフィング）することにより
  TCPセッション・ハイジャックが可能（rcp, rlogin）。

• UDPセッション・ハイジャック
  サーバより先に応答を返してしまう。
  • DNSキャッシュ・ポイゾニング
  • ARPキャッシュ・ポイゾニング

• HTTPセッション・ハイジャック
  様々な方法で、
  HTTP Sessionを識別するSessionId?を入手して、
  相手のHTTP Sessionを乗っ取る。

• 単純な推測による。
• HTTPの盗聴による。
• Url中に含まれるSessionId?が、Referrerに漏洩。
• セッションID固定化攻撃（ある種、インジェクション）
  自分が正規に得たSessionId?を他者に送り込むことで、
  他者のSession情報などを攻撃者が参照できるようになる攻撃。

対策 †

• TCPセッション・ハイジャック
  • パッチ（推測を困難にする）
  • 暗号化（SSL/TLS、IPsec、SSH）

• UDPセッション・ハイジャック
  • DNSキャッシュ・ポイゾニング
  • ARPキャッシュ・ポイゾニング

• HTTPセッション・ハイジャック

• セションID固定攻撃防止のため複雑なSessionIDを使用する。
• SessionIDダケでなく、認証、リクエスト・チケットを併用する。

• SessionIDの漏洩防止
  • SSL/TLSで、盗聴を防止する。
  • XSSの脆弱性対策を行う
  • ログイン前にSessionIDを返さない。
  • URLリライティングを使用しない
    （SessionIDをQueryString?に入れる方式）

DNSサーバに対する攻撃 †

影響 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  収集された情報が悪用される可能性がある。

• DNSキャッシュ・ポイゾニング

• DNSリフレクション（DNS amp）

攻撃手法 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  • DNSの古い冗長化システム。セカンダリDNSへのレプリケーション。
  • 不正なゾーン転送要求によりプライマリDNSサーバから情報収集

• DNSキャッシュ・ポイゾニング

• DNSリフレクション（DNS amp）

対策 †

• DNSサーバからの情報収集（不正なゾーン転送要求）
  ゾーン転送をセカンダリDNSにのみ許可する。

• DNSキャッシュ・ポイゾニング

• DNSリフレクション（DNS amp）

インジェクション系 †

インジェクションすることで、予期せぬ動作＋情報漏洩をさせる。

OSコマンド・インジェクション †

• 攻撃方法
  OSコマンドにインジェクションすることで、
  情報の漏洩・改竄、システムをクラッシュさせるなど。

• 対策
  • OSコマンド呼び出し可能な関数を実行しない、
  • ルール、データチェック（エスケープはしない）
  • ユーザ入力を持って行かない。
  • WAF

ディレクトリ・トラバーサル †

SQLインジェクション †

• 攻撃方法
  SQLにインジェクションすることで、
  情報の漏洩・改竄、システムをクラッシュさせるなど。

• 対策
  • バインド変数を使用する。
  • エスケープ（';%+）
  • アクセス権限設定
  • 詳細なエラー・メッセージを返さない。
  • WAF

HTTPヘッダ・インジェクション †

HTTPヘッダにインジェクションすることで、
不正なCookie情報を送り込むなどができる。

XSS（JavaScriptのインジェクション） †

クライアント・スクリプトをインジェクションしてCookieなどを盗む。

• 攻撃方法
  JavaScrip?をインジェクションして、Cookie情報などを他サイトに飛ばす。

• 対策
  • サニタイジング
  • UTF-7を使用しない。
  • WAF

CSRF(XSRF) †

・HTTPヘッダインジェクション 　・ヘッダの追加 　　Cookieの設定

　・ボディの追加 　　・偽情報、スクリプト挿入 　　・レスポンス分割とキャッシュ汚染

　・対策 　　・APIの使用（エスケープ機能を持った） 　　・改行コードは削除する。 　　・CookieはURLエンコード 　　・WAF

マルウェア †

データ消去、改ざん、漏洩、バックドアなど、

ウィルス †

• 定義
  • 生物に感染するウィルスと同様、宿主に感染、潜伏、発病の機能を持つ。　　
  • コンピュータからコンピュータへと拡散できる悪質なプログラム
  • ただし、人による操作（感染したプログラムの実行など）がなければ拡散できない

• 対策

• GW上
  • F/W、IDPS
  • ウィルス対策
  • プロキシ・サーバによるアクセス制御

• クライアント上
  • ウィルス対策、ウィルス検査
  • OS最新、パッチ
  • OS-F/W、Personal-F/W

• マネジメント面
  • 感染の防止
    無関係なソフトの使用禁止（フリー等）

• 感染後の対策

ワーム †

• 定義
  • ウイルスと似ていて、ウイルスのサブクラスとみなされる。
  • コンピュータからコンピュータへと拡散できる悪質なプログラム
  • ネットワーク感染型ワームなど、人の手を借りずに自身で移動できる。

• 対策
  • F/W、IDPS
  • 外部持ち出しに注意。

トロイの木馬 †

• ウイルスとは異なり、自身を複製しない。
• 正規のアプリケーションに見せかける。
• 何らかのトリガにより破壊活動を開始する。
  • バックドア型
  • パスワード窃盗型
  • クリッカー型
  • ダウンローダ型
  • ドロッパー型
  • プロキシ型

• RAT
  バックドア型でリモート・コントロール
  が可能なトロイの木馬プログラムの総称。
  • 例
    • Back Orifice
    • SubSeven?

• 対策
  • ウィルス対策
  • F/W、IDPS
  • プロキシ・サーバ（コンテンツ・フィルタリング

悪意のあるモバイルコード †

• JavaApplet?
• ActiveX
• JavaScript

• 対策
  • プロキシ・サーバ（コンテンツ・フィルタリング

スパイウェア †

• ユーザに関する情報を収集、情報収集者に自動的に送信するソフトウェア。
• ユーザに知られずこっそりと情報を収集することを主な目的としている。

• 例
  キーロガー等に代表される

• 対策
  • ウィルス対策
  • F/W、IPS
  • プロキシ・サーバ（コンテンツ・フィルタリング

ボット †

• 遠隔操作可能（IRC、IM、P2P）
  故に以下の様な攻撃に利用される。

• 踏み台
  • スパム
  • DoS、DDoS（ボットネット）

• 盗難・破壊活動
  • 脆弱性の調査、スパイ活動
  • 情報の削除、改竄、漏洩

• 対策
  ウィルス＋IRC、IM、P2P

ガンブラー †

FTPのアカウントを盗んで、Webサイトを改ざんする。

　・攻撃サイトのリダイレクト 　　（ドライブバイダウンロード） 　　でマルウェアをDLして実行 　　＃ここをガードできれば対策できる。

　・FTPのアカウント情報を盗んで送信してしまう。 　　＃IDPSで検知

　・このアカウントを使用してWebサイトを改竄 　　（レンタルサーバなどはFTPが多いので） 　　そして、そのサイトも攻撃サイトに改竄。 　　＃サイトのチェックなどで検知

検出方法 †

　　以下の 　　・亜種が次々作られるタイプ 　　・ポリモーフィック型ウィルス 　　・未知のウィルス 　　に対しては、ヒューリスティック・ビヘイビア法が有効

　　・コンペア法 　　　原本との比較

　　・パターン・マッチング法 　　　ウイルスの特徴的なパターンを登録した定義ファイル 　　　とマッチングするかどうかでウイルス検出する方法。

　　・チェックサム/インテグリティチェック法 　　　ウイルスに感染していないことを保証する情報を付加 　　　「チェックサム」「ディジタル署名」

　　・ヒューリスティック法 　　　・スタティック・ヒューリスティック法 　　　　ウイルスのとるであろう動作を事前に登録しておき、 　　　　検査対象コードに含まれる一連の動作と比較して検出する手法。 　　　・ダイナミック・ヒューリスティック法 　　　　ビヘイビア法

　　・ビヘイビア法 　　　ウイルス感染・発病によって生じる異常な 　　　動作や通信の変化を監視してウイルス検出する方法。

DoS攻撃 †

・パケット盗聴 　・プロミスキャス・モードでの盗聴 　・対策 　　・スイッチングハブ、 　　・プロミスキャス・モードのNIC検出

・ウォードライビング（無線LANへの不正接続） 　　

・ファーミング 　hostsファイルの書き換え。

・不正なコマンドやリクエストの発行

・スパムメール

その他 †

キャッシュ・ポイゾニング（スプーフィング）系 †

• 偽りのアドレスを流して誘導、盗聴、改竄などを行う。
• UDPセッション・ハイジャックによる。

DNSキャッシュ・ポイズニング †

DNSスプーフィングとも呼ばれる。

• 影響
  • hostsファイルの不正な書き換えとほぼ同じ効果。
  • 主に、偽サイトに誘導し、フィッシングに繋げる。

• 攻撃手法 古典的だが、
  DNSのキャッシュ・サーバが間違った情報をキャッシュさせる攻撃。
  近年フィッシング詐欺で危険性や影響が再認識された。

• UDPセッション・ハイジャックにより可能。
• 送信元ポートとTxIDの推測により攻撃。

• 対策
  • 組織内
    キャッシュ・サーバ利用を組織内に限定する。

• 組織外
  • 再帰問合せの無効化
  • 送信元ポートのランダム化
  • TxIDの推測を困難にする。
  • DNSSEC（DNS Security Extensions）を適用する。

ARPキャッシュポイズニング †

ARPスプーフィングとも呼ばれる。

• 影響
  • hostsファイルの不正な書き換えとほぼ同じ効果。
  • 主に、中間者攻撃 (MITM)]に繋げる。

• 攻撃手法
  古典的だが、UDPセッション・ハイジャックで、正規のクライアントからのARP要求に対して、
  攻撃者が「不正なARP応答」をブロードキャストすることでLAN上の通信機器になりすます。

• 対策
  • ハブの物理的保護
  • 不正PC接続検知システム

エンドポイント系 †

マン・イン・ザ・XXXX（MITX : man-in-the-XXXX attack）系は、盗聴・改竄を行う。

中間者攻撃 (MITM : Man-In-The-Middle attack) †

• 暗号理論における、能動的な盗聴の方法。
• 暗号化などが解除される中継（中間）ポイントで盗聴・改竄などが可能。

マン・イン・ザ・ブラウザM (MITB : Man-In-The-Browser attack) †

• プロキシ型トロイの木馬によって
• Webブラウザの通信を盗聴・改竄する中間者攻撃 (MITM)

脆弱性に対する攻撃 †

エクスプロイト・コード †

• 発見された脆弱性を利用できるように作成されたプログラム
• 研究や検証を目的としたモノから、実際の攻撃を目的としたモノまで。

ゼロデイ攻撃 †

脆弱性に対するパッチ提供前の、当該 脆弱性に対する攻撃。

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.197 sec.