SC：脆弱性のバックアップ(No.6)

#	種類	具体例
#	設備面	・構造上の欠陥・メンテナンス不備・入退館設備の不備
#	技術面	・ネットワーク構成上の欠陥・ソフトウェアのバグ・アクセス制御システムの不備・設定ミス、安易なパスワード・ウィルス対策の不備
#	管理面	・方針、既定の不備・機器、外部記憶媒体の不備・教育、マニュアルの不備・インシデント対応計画の不備・監視体制、監査の不備

↑

識別 / 評価 †

リスク (risk)的に捉え...。

↑

情報資産、脅威との関係 †

情報資産の脆弱性に起因するリスク (risk)（脅威）の
顕在化 / 具現化がインシデント (incident) / 損失

↑

詳細（技術的） †

↑

ネットワーク †

↑

脆弱性 †

「機密性、完全性」、「可用性」に分かれる。

機密性、完全性の侵害

ネットワーク、サブネット
- が分割されていない。
- 間のアクセス制御が無い。

接続口の問題
- リピータハブの利用（盗聴可能）
- 必要以上に多いアクセス・ポイント
- 誰でも接続可能なスイッチの放置

可用性の低下

処理性能
- 機器の処理能力、負荷分散
- ネットワーク帯域幅、負荷分散

冗長化
- 機器
- ネットワーク

制限
- インターネット接続口の帯域制御
- ネットワーク、サブネット分割
  （ブロードキャスト制限）

↑

対策 †

マップが難しいが、

ネットワーク、サブネット分割
- アクセス制御（機密性、完全性）
- ブロードキャスト制限（可用性）

接続口（機密性、完全性）
- 無線LAN廃止
- セキュリティ対策強化

ハブの
- スイッチ化（機密性、完全性、可用性）
- 物理ポートのロック（機密性、完全性）

インターネット接続口の集約
- フィルタ（機密性、完全性）
- 帯域制御等（可用性）

各種可用性の向上（可用性）
- 冗長化
- 負荷分散
- 帯域制限
- 帯域確保
- キャパシティ・プランニング

↑

TCP, UDP †

↑

脆弱性 †

仕様が公開されている（RFC）。

IPスプーフィングが可能
暗号化機能が標準で実装されていない（IPv4）。

セッション層の仕様
- DoS系に対する脆弱性がある。
- ポイズニング系に対する脆弱性がある（特にUDP）。

↑

対策 †

IPスプーフィング対策として、逆引き＋遮断

SSH / TLS (SSL) / IPsecなどの導入
による暗号化（何れもVPNで利用される）

他の脆弱性については、TCP, UDPの
セッション層の仕様の問題なので、
上位プロトコル側での対応が必要になる。

↑

電子メール †

↑

SMTP脆弱性 †

オリジナルのSMTPが脆弱

非常に簡素な仕組み。
- 実際にはMSAの機能は無く、
- MTAは、MUA・MTAを区別しない。
- すべて、25番ポートで処理する。

平文であり
- 改竄が可能
- 情報漏洩の可能性

MTAに脆弱性がある可能性
- アカウント漏洩（VRFY、EXPNコマンドの脆弱性）
- バッファ・オーバーフローの脆弱性

認証の機構を持たないため、
第三者中継（オープン・リレー）が可能で、
スパマーの踏み台として機能し得る。
- 様々なスパム・メールを送信する。
- 結果として、ブラックリストに登録されてしまう。

↑

POP3脆弱性 †

メールが平文
認証のクレデンシャルが平文

↑

対策 †

主に、スパムメール対策

送信時

OP25B (Outbound Port 25 Blocking)
- ISPメールサーバを経由していないアウトバウンドTCP 25番ポートの通信を遮断
- 第三者中継（オープン・リレー）対策後の、ボットなどによる直接送信を防止する。

Sender IDアカウントをSMTP AUTHで認証

受信時

MTA
各種、中継処理に対する制限（ホワイトリストやブラックリストを利用）
- ブラックリストに含まれるMTAからの通信を遮断
- ホワイトリストに含まれないMTAからの通信を遮断
- 逆引きが出来ないMTAからの通信を遮断
- 第三者中継（オープン・リレー）を許可しているMTAからの通信を遮断
- SPF、Sender IDを使用して検証されないMTA（ドメイン）からの通信を遮断

経路の暗号化も可能
STARTTLS (25 → 587)
SMTP over SSL/TLS (25 → 465)

スパムメールと思われる通信を遮断
シグネチャが該当する通信を遮断（シグネチャ・マッチング）
学習した特徴に該当する通信を遮断（ベイジアン・フィルタリング）

クレデンシャルと経路の暗号化
POP3 → APOP (クレデンシャル)
POP3 → STARTTLS (110 → 110) (経路)
POP3 → POP3 over SSL/TLS (110 → 995) (経路)
SSHポート・フォワーディング (110 → 22) (クレデンシャルと経路)

送受信時
- MUA
  - S/MIMEによる署名と暗号化
  - PGPによる署名と暗号化

構成
- MTAの脆弱性対策
  - 最新バージョン、パッチ適用
  - VRFY、EXPNコマンドの無効化
  - ウィルス対策ソフトの導入

MTAの構成
- 社内向けはイントラネット上に配置
- 社外向けはDMZ上に配置

経路
- 送信：社内向けMTA → 社外向けMTA → ISPのMTA
- 受信：ISPのMTA → 社外向けMTA →★→ 社内向けMTA
  ★に「メール検査型サンドボックス」を配置する。

↑

DNS †

↑

脆弱性 †

ゾーン転送によって情報が抜かれ、悪用される。

セッション層の仕様
- DoS系に対する脆弱性がある。
- DNSポイズニングに対する脆弱性がある（特にUDP）。

オープンリゾルバによる
- 踏み台利用
- 不正なリクエストによるダウン

↑

対策 †

ゾーン転送先のサーバを制限する。
- 管理情報 (サーバ名や IP アドレス等)が漏洩しないようにする。
- コレらが外部に流出することで、組織のサーバやネットワーク構成を推測され、
  セキュリティに対する、潜在的な脅威の増加につながる可能性がある。

DNSポイズニングのリスク低減
- DNSキャッシュ時間を短くする。
- ソースポートのランダマイゼーション
- DNSSEC (DNS Security Extensions)の導入

オープンにしない（オープンリゾルバ）
キャッシュサーバをインターネットからアクセスさせない。
DNS amp攻撃と言うDoS攻撃の踏み台にならないようにする。

その他

DNSSEC (DNS Security Extensions)
ゾーン情報改竄、DNSポイズニングの防止
- ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成。
- また、コンテンツサーバは電子署名付きの応答を返す。

ゾーン・レコードの改ざん防止
- SOAレコードのシリアル番号はDNS設定内の更新を識別できる。
- RFC2845: DNSにおける秘密鍵のトランザクション認証(TSIG)
  動的ゾーンを更新できる人を制限するために使用できる。
  ・更新要求が許可されているエンドポイントの特定と認証。
  ・共有秘密鍵と一方向ハッシュ関数を使用する。

↑

SC：脆弱性 のバックアップ(No.6)

目次 †

概要 †

用語 †

リスク (risk) †

脅威 (threat) †

情報資産 †

管理策(control) †

インシデント (incident) †

脆弱性の †

種類と具体例 †

識別 / 評価 †

情報資産、脅威との関係 †

詳細（技術的） †

ネットワーク †

脆弱性 †

対策 †

TCP, UDP †

脆弱性 †

対策 †

電子メール †

SMTP脆弱性 †

POP3脆弱性 †

対策 †

DNS †

脆弱性 †

対策 †

HTTP †

脆弱性 †

対策 †

Webアプリ †

HTTP Sessionの脆弱性、対策 †

設定・実装の脆弱性、対策 †

仕様・実装上の脆弱性、対策 †