SC:脅威
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:試験]]
--[[基礎>SC:基礎]]
--脅威
--[[脆弱性>SC:脆弱性]]
--[[対策技術>SC:対策技術]]
--[[システム開発>SC:システム開発]]
--[[マネジメント>SC:マネジメント]]
--[[法制度>SC:法制度]]
*目次 [#p61fb125]
#contents
*概要 [#mda9effc]
先ずは、脅威を知る。
*分類 [#v3be79ac]
**災害 [#gfa8965c]
***種類 [#kdc917b3]
-地震
-火事
-水害
***対策 [#f499e1fb]
-防災設備
--耐震設備
--防炎設備
--防水設備
-災害復旧(ディザスタ・リカバリ)
--遠隔地の(地理的に離れた)IDCやクラウドを利用するのが一...
--耐震・防火・防水、冗長化・バックアップなどが提供される。
**障害 [#b1d210aa]
***種類 [#aaf302c1]
|#|種類|具体例|h
|1|設備障害|停電、瞬断、空調 / 入退館装置 / 監視カメラ 等...
|2|ハードウェア障害|メモリ / ディスク / CPU / 電源ケーブル|
|3|ソフトウェア障害|OS、ミドル、アプリのバグ|
|4|ネットワーク障害|機器、配線、広域網の回線障害、通信事...
***対策 [#yffab693]
基本は、保守と予備(バックアップ)の確保
|#|対策|具体例|h
|1|設備障害|設備保守、バックアップ設備の確保|
|2|ハードウェア障害|機器保守、予備機器の確保|
|3|ソフトウェア障害|バージョン最新化、パッチ適用、各種テ...
|4|ネットワーク障害|機器保守、バックアップ回線の確保|
-システム障害と言う意味だと、
--保守~
上記の全項目の実施
--予備(バックアップ)
---バックアップ・リストア
---ディザスタ・リカバリ
>だろうか。
**人的 [#za2cfe84]
-可用性だけでなく、機密性や完全性も低下させる。
-特に、機密性については、人が最大の脅威
--システム的に守れない物理的な持ち出しが可能なため。
--この対策は、アクセス制御や暗号化になる。
***分類 [#i6dea5a9]
大きく分けて、偶発的と意図的に分かれる。
-偶発的
--操作ミス(オペミス)
--紛失、物理的事故
--バグの造り込み
--サイバー・セキュリティ系
---[[マルウェア>#w2adfe4a]]持込(からの各種攻撃
---インバウンド開放(からの各種攻撃
-意図的
--侵入・持出
--バグの造り込み
--サイバー・セキュリティ系
---システムへの侵入
---各種脆弱性に対する攻撃
***影響 [#w5d813d9]
様々
-軽微
-甚大
***対策 [#p6496d4b]
「不正のトライアングル」(の主に、機会・正当性)を成立さ...
|#|種類|具体例|h
|1|偶発的|規程、マニュアルの整備、教育・訓練の実施、罰則...
|2|意図的|・外部の人的脅威&br; 入退館、アクセス制御、暗...
|2|全体的|・抑止、抑制、牽制&br;・委託先の信頼性、NDA(秘...
***不正のトライアングル [#e5d57324]
「不正のトライアングル」理論では、~
以下が揃ったときに発生するとされる。
-動機
--金銭トラブル
--金銭目的
--過剰なノルマ
--怨恨
-機会~
不正を実行可能にする環境
--ずさんなルール
--対策の不備など、
-正当性~
良心の呵責を超えた、~
不正行為者都合の正当性。
*情報共有 [#vf73bb20]
**[[サイバー情報共有イニシアティブ>SC:法制度 - 情報セキ...
**脆弱性情報データベース [#h30259ad]
***CVE、CWE、CVSS 識別子 [#i5620d0a]
-CVE(Common Vulnerabilities and Exposures)~
--個々の製品に含まれる個々の脆弱性、名称と識別子
---業界標準的な名前を付ける。
---CVE-西暦年-4桁の通番で表される。
--米国政府の支援を受けた非営利団体のMITRE社が採番している。
--[[セキュリティ脆弱性対策ツール]]や脆弱性対策情報提供サ...
-CWE (Common Weakness Enumeration)
--脆弱性の種類を定義している、共通脆弱性タイプ一覧
--例えば以下の様な脆弱性タイプがある。
---CWE-78:[[OSコマンド・インジェクション>#k171a302]]
---CWE-79:[[クロスサイト・スクリプティング(XSS)>#zc735...
---CWE-89:[[SQLインジェクション>#u77bc09d]]
-CVSS (Common Vulnerability Scoring System)
--共通脆弱性評価システム
--脆弱性の深刻度をスコア表記で評価する。
--下記の三つの基準で評価する。
---基本評価基準 (Base Metrics)~
経年(変化しない)特性を評価する。
---現状評価基準 (Temporary Metrics)~
(対策情報次第)で変化する評価
---環境評価基準 (Environmental Metrics)~
(製品利用者次第)に変化する評価
***JVN識別子 [#ibfbce02]
-JVN(Japan Vulnerability Notes)識別子
-CVE識別子の日本版で、以下の組織が共同運営している。
--情報処理推進機構(IPA)
--JPCERT コーディネーションセンター(JPCERT/CC)
***CybOX、STIX、TAXII [#a4613bb7]
-CybOX
--Cyber Observable eXpression、サイバー攻撃観測記述形式
--コンピューティングシステムとその動作に関わる
---観測事象を記述するための拡張性を備えた標準言語
---観測可能な属性の記述方法を規定する。
-STIX
--Structured Threat Information eXpression、脅威情報構造...
--脅威情報アイテムと脅威のコンテキストの詳細を記述するた...
-TAXII
--Trusted Automated eXchange of Indicator Information、検...
--脅威情報のセキュアな転送と交換を提供する技術仕様
*人的な脅威 [#q7232833]
システムだけで完結しない人的な脅威。
**フット・プリンティング [#c5deb371]
ネットワーク侵入準備のために、ネットワーク上に存在している
-個人や企業・団体
-コンピュータやネットワーク
の情報(IPアドレス、システムアーキテクチャー~
(使用OS等)、動作しているサービス)収集をすること。
***調査する情報 [#h1a16a40]
-ドメイン名、IPアドレスの登録情報、割当情報
-DNSレコード(IPアドレス、FQDN名)
-ネットワーク構成の把握
-ポートスキャン、OSの識別
-Webページ
--メタデータの抽出
--通常ではリンクされていないWebページの発見
***手法(使用ツール) [#n0314edc]
-等の公開データベースによる調査
--Whois等
-DNS検索
--dnsmap
--nslookup
-ネットワーク経路
--traceroute等
-ポートスキャンとOSの識別
--nmap等
-標的のWebページ~
Google検索のfiletype演算子やsite演算子を用い~
ドキュメントや非公開URLなどの所得を試みる。
**ソーシャル・エンジニアリング [#f79a6470]
-コンピュータやネットワークの管理者や利用者、また、その関...
-「社会的」な手段によって、保安上重要な情報を入手する。
-人間の心理的な隙や、行動のミスによる。ある意味、オレオレ...
***構内侵入 [#kab96c93]
-偽造または拾得したIDカード
-他の社員の後ろに付いて一緒に入る
-清掃員や回収業者として
-他の用件で訪問したついで
- + [[サイドチャネル攻撃>#f2c2a00a]]・[[テンペスト攻撃>#d...
***トラッシング [#od122b5b]
-ゴミ箱をあさる
-郵便物を盗む(メールハント)
***ショルダー・ハッキング [#q3a5a9fd]
他人がパスワードや暗証番号を入力しているところを、肩越し...
***なりすましによる聞き出し [#i365cac9]
-社員になりすます
-企業のエグゼクティブになりすます
-プロバイダなどのシステム管理者になりすます
-話術
--緊急性を持たせる話し方
--大胆な行動・発言・表情
**フィッシング系 [#bf909049]
***フィッシング [#le8970b0]
-デジタル版の[[ソーシャル・エンジニアリング>#f79a6470]]
-インターネットのユーザから情報を奪うために行われる詐欺行...
-豆知識
--Fishingではなく、Phishing。
--sophisticated(洗練された)とfishing(釣り)から合成。
-攻撃方法~
一般的には、偽サイトに誘導して情報を盗む。
--フィッシング方法
---[[DNSキャッシュ・ポイズニング>#xcae4991]]
---[[フィッシング・メール>#l0b6142d]]
---[[標的型メール>#jdd526c9]]
---似たURL
---SEO (Search Engine Optimization) ポイズニング~
検索エンジンの検索結果ページの上位に、~
ウイルスなどが含まれる悪質なWebサイトがリスト。
--フィッシング後~
偽画面での個人情報の入手
---ログイン・フォームにクレデンシャル入力
---カード情報期限切れ等でカード情報を要求
---[[クリック・ジャッキング>#d432cdf4]]攻撃の併用~
---[[タブ・ナビング>#d432cdf4]]攻撃の併用~
***フィッシング・メール [#l0b6142d]
-典型的には、信頼されている主体になりすました~
Eメールによって偽のWebサーバに誘導することによって行われ...
-著名ウェブサービスの偽装サイトへのリンクし、
--このアカウントはハッキングされています。
--支払い情報を更新してください。
--, etc.
***スピア・フィッシング([[標的型攻撃>#b392f9e0]]) [#c04...
[[フィッシング>#bf909049]]との違いは、特定の企業の特定の...
***ファーミング [#af341814]
-以下の点で[[フィッシング>#bf909049]]と区別される。
--[[DNSキャッシュ・ポイズニング>#xcae4991]]で[[フィッシン...
--より自動化された手法で、被害規模も大きくなる可能性があ...
-豆知識
--Farmingではなく、Pharming。
--sophisticated(洗練された)とfarming(農業)から合成。
***クリック・ジャッキング [#d432cdf4]
-クリック・ジャッキング攻撃~
ユーザーを視覚的にだまして、~
正常に見えるウェブページ上のコンテンツを示し、~
実際は、別のウェブページのコンテンツをクリックさせる攻撃~
(SNSなどで「非公開」プライバシー情報を「公開」に変更)
-タブ・ナビング攻撃~
クリック・ジャッキング攻撃に似たフィッシング攻撃~
背後のタブがいつの間にかフィッシング・ページに化ける~
(ココでのタブはタブ・ブラウザのタブを意味している)
**標的型攻撃 [#b392f9e0]
1つ1つの攻撃が、≒オーダーメードなので検知が難しい。
***標的型メール攻撃 [#jdd526c9]
-標的型の[[フィッシング・メール>#l0b6142d]]
-標的型攻撃の代表的手段
--後述の、各攻撃の起点となる。
--最近では情報漏洩事件の主要原因になっている。
--特定ターゲットに絞った業務メールに偽装して攻撃を仕掛け...
---添付ファイルを用いて[[マルウェア送付攻撃>#a26075e5]]
---本文中の不正なリンクを用いる場合もある。
-[[ソーシャル・エンジニアリング>#f79a6470]]的な技法を駆使
--送信者は公的機関、組織内の管理部門などを偽装
---文末に組織名や個人名を含む署名があるなど。
---また、CCに実際の担当者のメアドを一文字変更したメアドを...
--社会情勢や動向を反映した内容。~
(イベント、ニュース、注意喚起、報告書)
***やり取り型攻撃 [#dcbabe4d]
-窓口業務などを行う担当者を狙った攻撃。
-数回のやり取りを経て、実際の[[標的型メール攻撃>#jdd526c9...
***水飲み場型攻撃 [#k4e41b7c]
-ポータルサイトなどに攻撃コードを埋め込むなどした攻撃。
-前段には高度な[[標的型メール攻撃>#jdd526c9]]による[[フィ...
***ビジネス・メール詐欺 [#g75299e5]
攻撃の手口
-請求書偽装
--取引先([[サプライチェーン攻撃>#s3583c6c]])
--メールアカウント乗っ取り
-振り込め詐欺
--経営者偽装
--権威ある第三者
-準備([[フット・プリンティング>#c5deb371]])
--経営者偽装
--人事部偽装
-その他
--メールアカウント乗っ取り
***サプライチェーン攻撃 [#s3583c6c]
前述の[[ビジネスメール詐欺>#g75299e5]]的な攻撃だが、~
ポイントは脆弱性の多い中小企業から入り、本丸の大企業を攻...
***[[マルウェア>#w2adfe4a]]送付攻撃 [#a26075e5]
-標的型攻撃で使用される[[マルウェア>#w2adfe4a]]は、亜種の...
-コンテキストに沿った文書ファイル~
(zip、exe、pdf、doc)を装った[[マルウェア>#w2adfe4a]]を...
-[[マルウェア>#w2adfe4a]]の偽装方法
--アイコンによる偽装
--ファイル名による偽装~
仁義なきキンタマの、~
~「XXXX.doc ... .exe」的な偽装。
--アラビア語による拡張子偽装~
XXXX.exe.doc → XXXX[RLO].cod.exe
***ファイルレス攻撃 [#a26075e5]
若しくは、ファイルレス・マルウェアなどと呼ぶ。
-添付ファイルのマルウェア的な方法を用いない攻撃。
-実際は、[[ドロッパ>#p39e1378]]的なスクリプト・ファイルな...
[[DBD>#p39e1378]]でマルウェアをダウンロードしてインストー...
-対策
--スクリプト・ファイルの事項制限
--DBDの脆弱性の対策
-補足
--.lnkファイルとpowershellの組合せなど。
--他にも、以下が考えられる
---.vbsとVBScript
---.jsとJScript
---.xlsmとVBA
***持続的標的型攻撃 [#c268d983]
-APT攻撃 : Advanced Persistent Threat attack
-IPA定義では「新しいタイプの攻撃」と呼ぶ。
-標的型攻撃のうち~
長期間にわたりターゲットを~
分析して攻撃する緻密なハッキング手法
--発展した / 高度な(Advanced)
--持続的な / 執拗な(Persistent)
--脅威(Threat)
***対策 [#h0ba8df3]
-リテラシ向上と注意喚起、情報収集と指示
-基本的に「[[マルウェア対策>#b8dfbc98]]」と同じ。
-入口・出口対策
--入口対策~
困難
--出口対策~
従って、重要性を増す。
*技術的な脅威 [#j7ed0357]
**アドレス・スキャン [#c6eb3db4]
(pingスイープ)
**ポート・スキャン [#y31ba6ed]
***影響 [#eb0273ae]
後述の[[バッファ・オーバーフロー(BOF)>#gc7d9e26]]に繋が...
***攻撃手法 [#c9132440]
-[[UDP, TCP>SC:基礎#ba939ce8]]リスニング・ポートを確認す...
--ポートスキャナを使用する。有名なポートスキャナーにはnma...
--スタック・フィンガー・プリンティングによるバナー表示
---特定のデータを送信して、それに対応する応答を調べサービ...
---OS、ミドルウェアを特定し、脆弱性がある場合、攻撃を仕掛...
-TCPコネクト・スキャン~
コネクション確立によるスキャン
-ログを残さないステルス・スキャン
--UDPスキャン~
標的ポートが"ICMP port unreachable"という~
メッセージで応答したポートがなければ稼動している。
--TCPハーフ・スキャン~
コネクションの確立はされない。~
RSTパケットを見て、稼働と見るスキャンが多い、~
TCP SYNスキャンだけRST/ACKパケットになっている。
---TCP SYNスキャン~
・"RST/ACK"パケットを受信するとき,対象ポートは閉じている...
・"SYN/ACK"パケットを受信するとき,対象ポートが開いている。
---TCP FINスキャン~
RSTが返ったら標的サービスは稼働している。
---TCP Nullスキャン~
全てのフラグが「0」のパケットを送信~
標的サービスが稼働してなければRSTパケットを返す。
---TCP クリスマスツリー・スキャン~
FIN、URG(緊急確認)、PUSH(プッシュ)パケットを送信~
標的サービスが稼働してなければRSTパケットを返す。
***対策 [#t4097188]
-予防・防止
--ポートを閉じる~
インターネット公開すべきではない~
サービス(インバウンド・ポート)の例
---telnet 23
---tftp 69
---pop3 110
---sunrpc 111
---epmap 135
---netbios-ns 137
---netbios-dgm 138
---netbios-ssn 139
---snmp 161
---snmptrap 162
---microsoft-ds 445
---rexec 512
---rlogin 513
---rsh 514
---syslog 514
---ms-sql-s 1433
---ms-sql-m 1434
---nfs 2049
--F/Wによって遮断
--バナー表示をOFF
--セキュリティ・ホールを塞ぐ、パッチ適用
-検知・遮断~
IDPS:検知(IDS)・遮断(IPS)
--ネットワーク監視型 IDS
--ホスト監視型IDS、IPS
--F/Wログから検知
--ホストのログから検知
※ IDPSではステルス・スキャンも検知できるが、~
間を空けたランダムな攻撃の場合は検知が困難になる。
**バッファ・オーバーフロー(BOF) [#gc7d9e26]
***影響 [#rff30bc8]
-乗っ取り
-漏洩、改ざん
-プロセス停止(失敗時)
***攻撃手法 [#b50741f2]
スタックのリターンアドレスを書き換え、
-既存のプログラム
-データ中の攻撃用コード
を動作させる攻撃方法(別名、スタック・オーバーフロー)。
※ 単にバッファをオーバーフローさせても~
意味が無いので、スタックと組み合わせる。
※ 一般的には、サービスのポートなどから攻撃を投入する。
***対応 [#q56b1a59]
-予防・防止
--運用
---ポートスキャンと同じ
---IPS:ペイロードもチェックする。
--[[プログラミングによる対策>SC:システム開発 - プログラ...
-検知・追跡
--ポートスキャンと同じIDPS
--ログ(改ざんされていなければ)。
-回復~
乗っ取り後の
--パッチの適用など、脆弱性チェック
--設定変更、漏洩・改ざんなどのチェック
--場合によっては、クリーン・インストール
**DNSサーバに対する攻撃 [#zbccb56f]
***影響 [#c7f530dc]
-DNSサーバからの情報収集(不正なゾーン転送要求)~
収集された情報が悪用される可能性がある。
-[[DNSキャッシュ・ポイズニング>#xcae4991]]
-DDoS系
--[[DNSフラッド(DNS Flood)>SC:脅威 - DoS攻撃#w501e128]]
--[[DNSリフレクション(DNS amp)>SC:脅威 - DoS攻撃#h67db...
***攻撃手法 [#y7f9bd22]
-DNSサーバからの情報収集(不正なゾーン転送要求)
--DNSの古い冗長化システム。セカンダリDNSへのレプリケーシ...
--不正なゾーン転送要求によりプライマリDNSサーバから情報収集
-[[DNSキャッシュ・ポイズニング>#xcae4991]]
-DDoS系
--[[DNSフラッド(DNS Flood)>SC:脅威 - DoS攻撃#w501e128]]
--[[DNSリフレクション(DNS amp)>SC:脅威 - DoS攻撃#h67db...
***対策 [#w19694b6]
-DNSサーバからの情報収集(不正なゾーン転送要求)~
ゾーン転送をセカンダリDNSにのみ許可する。
-[[DNSキャッシュ・ポイズニング>#xcae4991]]
-DDoS系
--[[DNSフラッド(DNS Flood)>SC:脅威 - DoS攻撃#w501e128]]
--[[DNSリフレクション(DNS amp)>SC:脅威 - DoS攻撃#h67db...
**セッション・ハイジャック [#i2b48d5e]
***影響 [#sd1f724a]
-正規のクライアントもしくはサーバを装い、~
サーバやクライアントを騙し不正行為を働く。
-例
--サーバ(クライアント)になりすまし
---クライアントを誘導したり、機密情報を盗む。
---サーバへ侵入・攻撃したり、機密情報を盗む。
--中間に入りセッション・コントロールを行う。~
(ManInTheMiddleAttack:中間攻撃)
***攻撃手法 [#jea8a046]
-以下の脆弱性を突いて、セッション・ハイジャック。
--プロトコルの仕様上の脆弱性
--プロトコルの実装上の脆弱性(OS、ミドル)
--アプリケーション(セッション管理)の脆弱性
-プロトコル毎のセッション・ハイジャック
--UDPセッション・ハイジャック~
サーバより先に応答を返してしまう。
---[[DNSキャッシュ・ポイズニング>#xcae4991]]
---[[ARPキャッシュ・ポイズニング>#x322a947]]
--TCPセッション・ハイジャック~
シーケンス番号の矛盾を無くし(推測・キャプチャ)、~
IPアドレス偽装([[IPスプーフィング>#dd7a47fd]])すること...
TCPセッション・ハイジャックが可能(rcp, rlogin)。
--[[HTTPセッション・ハイジャック>#a1b2a4ce]]
***対策 [#o093f20e]
-UDPセッション・ハイジャック
--[[DNSキャッシュ・ポイズニング>#xcae4991]]
--[[ARPキャッシュ・ポイズニング>#x322a947]]
-TCPセッション・ハイジャック
--パッチ(推測を困難にする)
--暗号化(SSL/TLS、IPsec、SSH)
-[[HTTPセッション・ハイジャック>#s85a7482]]
**マルウェア [#w2adfe4a]
データ消去、漏洩、改ざん、バックドアなど、盗取・破壊活動...
***ウィルス [#o88f8b54]
-定義
--生物に感染するウィルスと同様、宿主に感染、潜伏、発病の...
--コンピュータからコンピュータへと拡散できる悪質なプログ...
--ただし、人による操作(感染したプログラムの実行など)が...
-対策
--[[基本的対策>#b8dfbc98]]
***ワーム [#q4b4514e]
-定義
--ウイルスと似ていて、ウイルスのサブクラスとみなされる。
--コンピュータからコンピュータへと拡散できる悪質なプログ...
--ネットワーク感染型ワームなど、人の手を借りずに自身で移...
-対策
--[[基本的対策>#b8dfbc98]]
--外部持ち出しによる外部ネットワーク接続に注意。
***ルートキット [#p4de8f11]
[[トロイの木馬>#h7bffa81]]を送り込む前段に仕込むと強力。
-タイプ~
ルートキットは大別して二種類がある。
--カーネルレベルのルートキット~
検出困難なので特に危険
---マルウェアの侵入を露見し難くするために用いられるツール群
---カーネルに新しいコードを追加することによって行なわれる。
---例えば、~
メモリ管理コアのページテーブルを操作して隠蔽したり、~
不正プログラムが表示されないよう細工されたpsコマンドなど。
--アプリケーションレベルのルートキット
---普通のアプリケーションをトロイが仕込まれた偽物に置換
---既存のアプリケーションの振舞いをフックなどで改造したり...
***トロイの木馬 [#h7bffa81]
-定義
--ウイルスとは異なり、自身を複製しない。
--正規のアプリケーションに見せかける。
--何らかのトリガにより破壊活動を開始する。
-攻撃方法~
以下に分類される。
--パスワード窃盗型~
[[スパイウェア>#q70f80af]]
--クリッカー型~
[[PUAのアドウェア>#r8d17a0e]]
--バックドア型~
[[ボット>#w8605b9d]]
--ダウンローダ型~
[[ドロッパ>#p39e1378]]
--プロキシ型~
[[MITB>#lb1c319e]]
-RAT~
バックドア型でリモート・コントロール~
が可能なトロイの木馬プログラムの総称。
--例
---Back Orifice
---SubSeven
-対策
--[[基本的対策>#b8dfbc98]]
***悪意のあるモバイルコード [#a5de7350]
-定義~
クライアントにダウンロードされ動作する~
プログラムのうち悪意のあるもの。
--JavaApplet
--ActiveX
--JavaScript
-対策
--[[基本的対策>#b8dfbc98]]
***スパイウェア [#q70f80af]
-定義
--ユーザに知られずこっそりと情報を収集することを主な目的...
--ユーザに関する情報を収集、情報収集者に自動的に送信する。
-例~
キーロガー等に代表される
-対策
--[[基本的対策>#b8dfbc98]]
***ボット [#w8605b9d]
-定義
--ワームの一種
--外部から遠隔操作するためのバックドア型不正プログラムの...
--ボットネットワークを構成しC&C(指揮統制)サーバの指示に...
--これにより、DDoSなどの統率の取れた攻撃を行うことが出来...
-攻撃方法~
遠隔操作による以下の様な攻撃に利用される。
--プロトコル
---IRC (Internet Relay Chat)
---IM (Instant Messaging)
---P2P (Peer to Peer)
--踏み台
---スパム、DoS
---DDoS(ボットネット)
--盗取・破壊活動
---脆弱性の調査、スパイ活動
---情報の削除、漏洩、改ざん
-対策
--[[基本的対策>#b8dfbc98]]
--プロトコル遮断(IRC、IM、P2P)
***ランサムウェア [#p0ea818a]
-定義
--感染したコンピュータは、HDD暗号化などでアクセス制限され...
--解除のため、身代金(ransom)を仮想通貨で支払うよう要求...
-攻撃方法
--基本的には[[トロイの木馬>#h7bffa81]]と同じ。
--WannaCryは[[ワーム>#q4b4514e]]的に拡大し、
--HDDやファイルの暗号化などを行う。
---ランダムな共通鍵と固定の公開鍵によるハイブリッド暗号
---高速な共通鍵で暗号化し、共通鍵を公開鍵で暗号化する。
---金銭が支払われると、秘密鍵が提供され共通鍵の復号、デー...
--暗号化だけではなく、~
金銭を要求するためにファイルを盗む事も行う。
-対策
--[[基本的対策>#b8dfbc98]](特に回復のためのシステムのバ...
--[[トロイの木馬>#h7bffa81]]似ているものであれば、[[トロ...
--[[ワーム>#q4b4514e]]似ているものであれば、[[ワーム>#q4b...
***ドロッパ [#p39e1378]
-侵入専門のマルウェアで、侵入後、マルウェア本体を送り込む。
-マルウェアを内包する場合、~
マルウェアはパッキング(暗号化、難読化)されている。
-マルウェアを内包しない場合、
--ボットの様に動作して、マルウェアを送り込むか。
--ドライブバイダウンロード(DBD)で、マルウェアを送り込む。
-対策
--[[基本的対策>#b8dfbc98]]
--DBDの脆弱性の対策
***ガンブラー [#pc74006a]
-定義
--Gumblar(ガンブラー)、別名でGENOウイルス(ジェノウイル...
--「Webサイト改ざん」と「Web感染型ウイルス」を組み合わせ...
-攻撃方法(代表的)~
FTPのアカウントを盗んで、Webサイトを改ざんする。
--攻撃サイトのリダイレクト~
[[DBD>#p39e1378]]でマルウェアをダウンロードしてインストー...
--マルウェアが、FTPのアカウント情報を盗む。~
(レンタルサーバなどはFTPが多いので)
--このアカウントを使用してWebサイトを改ざん~
(そして、そのサイトも攻撃サイトに改ざん)
-対策
--[[基本的対策>#b8dfbc98]]
--DBDの脆弱性の対策
***マイニング・マルウェア [#naf4238a]
-仮想通貨のマイニングを行わせるマルウェア
-クリプト・ジャッキングと言う[[悪意のあるモバイルコード>#...
-クラウド環境などで実行されると、[[EDoS>SC:脅威 - DoS攻...
***PUA (Potentially Unwanted Application) [#r8d17a0e]
-マルウェアに該当するような悪質さはないものの、適切とも言...
多くの人にとっては不要であり排除した方が好ましいアプリケ...
-別名
--不要と思われるアプリケーション
--潜在的に迷惑なアプリケーション
--おそらく不要なアプリケーション
-次のようなものがある。
--アドウェア(アドは広告のアド)
--ダイヤラ(マルウェアにより、高額の国際電話料金を発生さ...
--リモート管理ツール(マルウェアに、いろいろと悪用され得...
--ハッキングツール(マルウェアに、いろいろと悪用され得る)
-マルウェアに近いアドウェアも存在する。
--軽微な危険
---ポップアップ広告型(ブラウザ未使用時にも広告表示)
---リンク乗っ取り型(TOPページ、リンク、バナーの差替)
---ゴーストクリッカー(勝手に広告をクリック)
--非常に危険
---個人情報を収集して送信する。
***対策 [#b8dfbc98]
-入口・出口対策
--入口対策~
感染前の防御など、通常通り行う。
--出口対策~
感染後の攻撃や、ワーム的拡散があるので、出口対策も重要。
-対策
--通信経路上
---F/W
---IDPS
---プロシキ~
認証、URLフィルタ、POSTフィルタ~
コンテンツ・フィルタリング~
Web検査型[[サンドボックス>#b3e4e67e]]
---メール検査型[[サンドボックス>#b3e4e67e]]~
---仮想ブラウザ型[[サンドボックス>#b3e4e67e]]~
VDI分離されたブラウザ・ウィンドウのみの転送~
--エンドポイント(クライアントOS)~
---[[アンチウィルス>#wb34cd35]]
---パーソナル・ファイアウォール(PFW)
---[[EDR (Endpoint Detection and Response)>#ba5aa3df]]
---ファイル検査型[[サンドボックス>#b3e4e67e]]~
---シェル・スクリプトやリモート管理ツールの実行制限
---入(出)力デバイスの接続制限
---エンドポイントの回復のためのバックアップ取得
--マネジメント面
---感染の防止~
OS、AVバージョン最新化、パッチ適用~
FOSS利用申請(業務に無関係なソフトの使用禁止)~
ファイル送受信時のウィルス・チェック
---感染後の対策~
連絡体制、対応手順、回復手順の明確化と周知
**[[DoS攻撃>SC:脅威 - DoS攻撃]] [#n0c641e5]
*アプリケーション脆弱性 [#vbff04d2]
**パスワード・クラック [#dc765db9]
***影響 [#a036d9a8]
-固定式のパスワードを使用する認証システムが対象
-攻撃者にパスワード・クラックされたアカウントでログインさ...
***攻撃手法 [#a4ac758f]
-オンライン攻撃とオフライン攻撃
--オンライン攻撃~
ユーザストア・ファイルが手元に無い場合~
動作中のオンライン・サービスに認証情報を送って調査する手法
---パスワード推測~
アカウントの特徴から~
パスワードを推測して(IDに似ているか、生年月日)~
ログインを試みる手法。
---リバース・ブルートフォース攻撃~
ログインに関する力技の総当たり攻撃~
パスワードを固定したID総当りなので、オンライン攻撃が可能~
(アカウント・ロックなどのログイン制限が効かない)。
---パスワード・リスト攻撃~
他のサービスから漏洩した情報を使用してログインを試みる。
--オフライン攻撃~
ユーザストア・ファイルが手元に有る場合(ハッシュ保存が前...
ハッシュ・アルゴリズムなどを想定して、パスワードを割り出...
---ブルートフォース・アタック(総当たり攻撃)~
ログインに関する力技の総当たり攻撃~
IDを固定してパスワードを総当りなので、オフライン攻撃が一...
---辞書攻撃~
あらかじめ利用され易いパスワードを、ハッシュ化し、ハッシ...
次に入手したパスワードのハッシュを、このDB上で検索すると...
---レインボー・テーブル~
辞書攻撃とは異なり、利用され易いパスワードと異なる、ハッ...
大量の領域が必要になるハッシュ版の辞書を還元関数によりチ...
***対策 [#nb1be854]
-予防・防止
--アカウントのロックアウト
--パスワード...
---...の、強度を上げる。
---...を、定期的に変更する。
---...が、盗まれないようにする。
--パスワード以外の利用
---生体認証
--多要素認証
---ワンタイム・トークン
---FIDOなどTPM+α
-検知・追跡
--IDPS
--ログイン・ログオフの監査(失敗の監査)
-回復~
乗っ取り後の
--設定変更、改ざん・漏洩などのチェック
--場合によっては、クリーン・インストール
**HTTPセッション・ハイジャック [#sb205cd0]
***影響 [#v09f3bf3]
クライアントになりすましサーバへ侵入・攻撃したり、機密情...
***攻撃手法 [#a1b2a4ce]
様々なアプリケーションの脆弱性を攻撃し、~
HTTP Sessionを識別するSessionIdを入手して、~
相手のHTTP Sessionを乗っ取る。
-攻撃方法(脆弱性)
--単純な推測による。
--HTTPの盗聴による。
--Url中に含まれるSessionIdが、Referrerに漏洩。
--セッションID固定化攻撃(ある種、インジェクション)~
自分が正規に得たSessionIdを他者に送り込むことで、~
他者のSession情報などを攻撃者が参照できるようになる攻撃。
***対策 [#s85a7482]
-基本
--セションID固定攻撃防止のため複雑なSessionIDを使用する。
--SessionIDダケでなく、認証、リクエスト・チケットを併用す...
-SessionIDの漏洩防止
--SSL/TLSで、盗聴を防止する。
--XSSの脆弱性対策を行う
--ログイン前にSessionIDを返さない。
--URLリライティングを使用しない~
(SessionIDをQuery Stringに入れる方式)
**インジェクション系 [#i46de8fb]
インジェクションすることで、予期せぬ動作+情報漏洩をさせ...
***OSコマンド・インジェクション [#k171a302]
-攻撃方法~
OSコマンドにインジェクションすることで、~
情報の改ざん・漏洩、システムをクラッシュさせるなど。
-対策
--OSコマンド呼び出し可能な関数を実行しない、
--データのチェック(エスケープはしない)
--ユーザ入力を持って行かない。
--WAF
***ディレクトリ・トラバーサル [#r7effe72]
[[OSコマンド・インジェクション>#k171a302]]で、不正な相対...
親ディレクトリへの横断 (traverse)を起こし、意図しないディ...
***SQLインジェクション [#u77bc09d]
-攻撃方法~
SQLにインジェクションすることで、~
情報の漏洩・改ざん、システムをクラッシュさせるなど。
-対策
--バインド変数を使用する。
--エスケープ(';%+)
--アクセス権限設定
--詳細なエラー・メッセージを返さない。
--WAF
***[[Mailヘッダ>https://techinfoofmicrosofttech.osscons.j...
-攻撃方法~
[[Mailヘッダ>https://techinfoofmicrosofttech.osscons.jp/i...
「CC: メアド」「CC: メアド」などにアドレスを追加できる。
-対策
--ヘッダ出力用APIの使用~
(エスケープ機能を持った)
--改行コードは削除する。
--WAF
***HTTPヘッダ・インジェクション [#u79e27e3]
HTTPヘッダにインジェクションすることで、~
不正なCookie情報を送り込むなどができる。
-攻撃方法
--ヘッダの追加~
Cookieの設定
--ボディの追加
---偽情報、スクリプト挿入
---レスポンス分割とキャッシュ汚染
-対策
--ヘッダ出力用APIの使用~
(エスケープ機能を持った)
--改行コードは削除する。
--CookieはURLエンコード
--WAF
***XSS(JavaScriptのインジェクション) [#zc735b27]
クライアント・スクリプトをインジェクションしてCookieなど...
-タイプ 1:
--名称
---反射型のXSS (非持続的)
---Reflected XSS
--攻撃方法
---不正なデータをWebページの入力項目(GETやPOSTのパラメタ...
---JavaScriptをインジェクションしてCookie情報などを他サイ...
--対策方法
---入力項目のサニタイジング(HTMLエンコーディング)
---JavaScriptが動く属性にユーザ入力を持って行かない。~
若しくは、入力文字列にエスケープシーケンス(¥)を追加~
¥、クォーテーション、改行コードなど
-タイプ 2:
--名称
---格納型のXSS (持続的)
---Stored XSS
--攻撃方法
---不正なデータを標的サイトのデータストアに保存する。
---JavaScriptをインジェクションしてCookie情報などを他サイ...
--対策方法~
反射型のXSSと同じ。
-タイプ 3:
--名称
---DOMベースのXSS
---DOM-based XSS
--攻撃方法
---正規スクリプトによるDOM操作が原因で発生するタイプのXSS
---JavaScriptをインジェクションしてCookie情報などを他サイ...
---インジェクションにFragmentを使用できる場合、~
要求がサーバに飛ばず、攻撃の検出ができないことがある。
--対策方法
---入力項目(GETやPOSTのパラメタ)や、Fragment等をDOM出力...
---若しくは、入力文字列にエスケープシーケンス(¥)を追加~
¥、クォーテーション、改行コードなど
-UTF-7によるXSS~
--攻撃方法~
IEにエンコーディングをUTF-7と自動認識させることで、~
クライアント側でJavaScriptが復元されることでインジェクシ...
--対策方法~
UTF-7を使用しない。
-その他の対策方法
--HttpOnly~
盗取の対象がCookieの場合
--WAF
-[[対策の具体例>https://techinfoofmicrosofttech.osscons.j...
**CSRF(XSRF) [#xd433779]
[[インジェクション系>#i46de8fb]]ではない。
-攻撃方法
--あるサイトを操作している時に、~
(従って、ログインも、セッションも存在している状態で)
--操作者が攻撃者のリンクを踏むと、意図せぬ操作を実行され...
(これは、他サイトからのGETやPOSTでもCookieを送信してしま...
サーバ側が、Sessionや認証チケットを認識ししてしまうため。)
--GET要求を投げるための偽装テクニックがある。
---0サイズのiframeタグなどを利用する。
---0サイズのimgタグのsrc属性に書く
--そういう類の攻撃で方法(「[[ぼくはまちちゃん!>https://...
-対策方法
--なるべく、GETで処理しないようにする。
--また、POSTにCSRF(XSRF)に対策パラメタを含める。~
(二重送信防止用のRequestチケットなどでもOK)
--最近、[[ブラウザ・レベルの対策 (SameSite属性)>https://t...
-以下の条件が整っている必要がある。
--操作中にリンクを踏む必要があるので、
---対象システム内にリンクの書き込みを行う事が多い。
---しかし、会員制の場合、通常、書き込み者が解れば足がつく...
--対象システム外に書き込みを行う場合、
---そもそもリンクを踏む可能性が低い。
---会員制サイトを攻撃する場合、当該サイトにログイン可能な...
-[[対策の具体例>https://techinfoofmicrosofttech.osscons.j...
*その他 [#j1425772]
基礎や応用
**盗聴 [#kf2e9055]
***パケット盗聴 [#ic5113a6]
-プロミスキャス・モードでの盗聴
-対策
--スイッチングハブ、
--プロミスキャス・モードのNIC検出
**スプーフィング [#r71c8dfe]
なりすまし
***種類 [#s3250308]
-Identity Spoofing(CAPEC-151)
--(人間もしくはそれ以外の)何らかの主体になりすまして行...
--[[フィッシング>#bf909049]]や[[ファーミング>#af341814]]...
-Content Spoofing(CAPEC-148)
--コンテンツのソースを変えることなく中身を書き換える攻撃。
--Webページの改ざんや、[[ポイズニング系>#e6080590]]の攻撃...
-Action Spoofing(CAPEC-173)
--不正な行為をそれとは別の正当な行為に偽装する攻撃。
--[[フィッシング先の偽装ページ>#le8970b0]]などが該当する。
-Resource Location Spoofing(CAPEC-154)
--リソースの位置を偽装する攻撃。
--ライブラリの位置を偽装して偽のライブラリをインストール...
***IPスプーフィング [#dd7a47fd]
-送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし...
-F/Wで外部から入るパケットの送信元IPアドレスが自ネットワ...
***[[ポイズニング系>#e6080590]] [#z832e25a]
**キャッシュ・ポイズニング(スプーフィング)系 [#e6080590]
-偽りのアドレスを流して誘導、盗聴、改ざんなどを行う。
-下記の双方とも、[[UDPセッション・ハイジャック>#i2b48d5e]...
***DNSキャッシュ・ポイズニング [#xcae4991]
DNSスプーフィングとも呼ばれる。
-影響
--hostsファイルの不正な書き換えとほぼ同じ効果。
--主に、偽サイトに誘導し、[[フィッシング>#bf909049]]に繋...
-攻撃手法~
DNSの[[キャッシュ・サーバ>https://techinfoofmicrosofttech...
古典的だが、近年[[フィッシング>#bf909049]]詐欺で危険性や...
--[[UDPセッション・ハイジャック>#i2b48d5e]]により可能。
--送信元ポートとTxIDの推測により攻撃。
--カミンスキー攻撃では再帰クエリを投げ反復クエリの応答を...
-[[対策>SC:脆弱性#leeda16d]]
***ARPキャッシュ・ポイズニング [#x322a947]
ARPスプーフィングとも呼ばれる。
-影響
--hostsファイルの不正な書き換えとほぼ同じ効果。
--こちらは、主に、[[マン・イン・ザ・ミドル (MITM)>#jd779c...
-攻撃手法
--方法1:[[UDPセッション・ハイジャック>#i2b48d5e]]で、正...
攻撃者が「不正なARP応答」をブロードキャストすることでLAN...
--方法2:GARPのユニキャストを行い、同一セグメント上の対...
書き換える(2機器の送信先・送信元のMACをMITM用のPCのMAC...
-対策
--ハブの物理的保護
--不正PC接続検知システム
--DHCPスヌーピング
---DHCPスヌーピング・データベース情報を使用して、L2SWのIP...
---適用するポートは、...。
-参考
--ARPスプーフィング手順 ( 中間者攻撃 , MITM ) - Qiita~
https://qiita.com/75u2u/items/0e35652ff3810d74d09b
***SEOポイズニング [#qbd69cb4]
少々、毛色が違うが、
-SEO(Search Engine Optimization)ポイズニング
-Web検索サイトの順位付けアルゴリズムを悪用
-検索上位に,悪意のあるサイトを意図的に表示
**エンドポイント系 [#ufc6ed9f]
マン・イン・ザ・XXXX(MITX : man-in-the-XXXX attack)系は...
***マン・イン・ザ・ミドル (MITM) 攻撃 [#jd779c2a]
中間者攻撃 (MITM : Man-In-The-Middle attack)
-暗号理論における、能動的な盗聴の方法。
-暗号化などが解除される中継(中間)ポイントで盗聴・改ざん...
***マン・イン・ザ・ブラウザ (MITB) 攻撃 [#lb1c319e]
(MITB : Man-In-The-Browser attack)
-[[プロキシ型トロイの木馬>#h7bffa81]]によって
-Webブラウザの通信を盗聴・改ざんする[[マン・イン・ザ・ミ...
-その通信を乗っ取って、振込先を改ざんして預金を盗むのが代...
-なお、改ざんを行った後の結果も、攻撃を利用者に検知されな...
-実装技術にはあまり明確に書かれていないが、以下の可能性が...
--プロキシ
--ブラウザ拡張機能
--JavaScript
-対応
--トランザクション署名を使用し経路上の改ざんを検出する方...
--検証結果を別経路(帯域外 Out of Band)でユーザに通知す...
**ウィルス対策 [#wb34cd35]
***[[ウィルス検出>#tec2b3cd]] [#z511f41c]
***EDR (Endpoint Detection and Response) [#ba5aa3df]
各種の[[ウィルス検出>#z511f41c]]を行い、
-検知後の処理を行う機能
--ファイルの復元
--ファイルの削除
--ファイルの隔離(検疫)
--クリーニング(上記の組合せ)
---正常なファイルを復元
---異常なファイルを検疫
-管理サーバに通知する機能。
***サンドボックス [#b3e4e67e]
-仮想化技術を使用し、分離環境(サンドボックス)に隔離する。
--[[ウィルス検出>#z511f41c]]を安全に行う。
--検知後の隔離(検疫)先として利用する。
-特に、[[ビヘイビア法(ダイナミック・ヒューリスティック法...
**ウィルス検出 [#tec2b3cd]
-大きく以下に分類できる。
--バイナリを調べる方法
--動作を調べる方法
-ウイルス検出技術の発展~
以下の2つの流れがある。
--単純な[[コンペア法>#e42538aa]]から、
---[[チェックサム法>#yd033184]]
---[[インテグリティ・チェック法>#yd033184]]
--[[パターンマッチング法>#me9c961f]]から
---[[ヒューリスティック法(スタティック・ヒューリスティッ...
---[[ビヘイビア法(ダイナミック・ヒューリスティック法)>#...
-参考
--情報処理推進機構:情報セキュリティ:未知ウイルス検出技...
https://www.ipa.go.jp/security/fy15/reports/uvd/documents...
***コンペア法(比較法) [#e42538aa]
ウイルスの感染が疑わしい対象(検査対象)と~
安全な場所に保管してあるその対象の原本を比較
***パターン・マッチング法 [#me9c961f]
-「特徴的なパターン」との比較
-ウイルスの「特徴的なパターン」を登録した定義ファイル~
とマッチングするかどうかでウイルス検出する方法。
***チェックサム / インテグリティ・チェック法 [#yd033184]
-[[コンペア法(比較法)>#e42538aa]]から進化
-ウイルスに感染していないことを保証する情報を付加する。
--チェックサム法 : チェックサム
--インテグリティ・チェック法 : ディジタル署名
***ヒューリスティック法 [#r90d4870]
-[[パターン・マッチング法>#me9c961f]]から進化
-[[コンペア法(比較法)>#e42538aa]]より、ファジーな検査が...
--ヒューリスティック法(スタティック・ヒューリスティック...
--ウイルスのとるであろう動作を事前に登録しておき、~
「検査対象に含まれる動作の特徴コード」をチェックして検出...
***ビヘイビア法 [#y4f65753]
-[[パターン・マッチング法>#me9c961f]]から進化
-[[コンペア法(比較法)>#e42538aa]]より、ファジーな検査が...
--ビヘイビア法(ダイナミック・ヒューリスティック法)
--ウイルス感染・発病によって生じる~
異常動作や環境変化を監視してウイルス検出する方法。
---プロセス生成
---ファイル操作
---レジストリ更新
---ネットワーク(例外ポート、不完パケット、通信メトリック...
--[[サンドボックス>#b3e4e67e]]の仕組みを併用することが多...
--以下のようなウィルスに対して有効
---未知のウィルス
---亜種が次々作られるタイプ
---[[ステルス技術を使うウイルス>#sa327481]]
***ステルス技術を使うウイルス [#sa327481]
-ポリモーフィック型~
攻撃用コードを暗号化する(外観上の変化)。
--感染時にウイルス本体部分を変化させる。
---毎回異なる暗号鍵で自身を暗号化する。
---これにより、[[パターンマッチング>#me9c961f]]検出を回避...
--以下の部分から構成される。
---(1)ウイルス本体部分
---(2)ウイルス本体を暗号化/復号する部分。
--(2)の部分が、変更されない点が弱点となる。
-メタモーフィック型~
ミューテーションエンジン(ME)で攻撃用コード自体を変化さ...
--ウイルス本体をいくつかのブロックに分割し、
--感染時にブロックの順番を入れ替え、
--ジャンプ・コードを挿入するなど。
**脆弱性に対する攻撃 [#w7caac0e]
***エクスプロイト・コード [#t1cf9e9f]
-発見された脆弱性を利用できるように作成されたプログラム
-研究や検証を目的としたモノから、実際の攻撃を目的としたモ...
***ゼロデイ攻撃 [#hb266eaf]
脆弱性に対するパッチ提供前の、当該 脆弱性に対する攻撃。
**暗号化・復号化 [#z9e4c5c8]
***暗号解読 [#r69e42ba]
-暗号文単独攻撃 Ciphertext-only attack (COA)
--暗号文のみを用いて、平文を求める攻撃。
--初期の暗号は、暗号文だけをもとに破られることがよくあっ...
--既知暗号文攻撃 known-ciphertext attack
-既知平文攻撃 Known-plaintext attack (KPA)
--「既知の平文」に対応する暗号文を得られる条件で、暗号文...
--最初のブロックが固定あるいは通番や日時になっていて予測...
-選択平文攻撃 Chosen-plaintext attack (CPA)
--「任意の平文」に対応する暗号文を得られる条件で、
--暗号化(平文→暗号文)を依頼する攻撃(暗号化オラクル)。
--コレにより、「任意の平文」を推測できてしまう。
--公開鍵暗号の場合は安全。
---公開鍵を用いて任意の平文を暗号化
---秘密鍵を用いて任意の暗号文を平文化
-選択暗号文攻撃 Chosen-ciphertext attack (CCA)
--「任意の暗号文」に対応する平文を得られる条件で、
--復号化(暗号文→平文)を依頼する攻撃(復号化オラクル)。
--CPAの逆で、「任意の暗号文」を推測できるが、~
(素人的に)平文解ってるなら要らんダロと言う気も。
-適応的
--適応的選択平文攻撃 Adaptive chosen-plaintext attack (CP...
---対象の平文を入手後にもCPAが可能~
(任意の暗号文に対応する平文を得られる)。
--適応的選択暗号文攻撃 Adaptive chosen-ciphertext attack ...
---解読対象の暗号文を入手後にもCCAが可能~
(任意の暗号文に対応する平文を得られる)。
---適応的選択暗号文攻撃に対する識別不可能性は~
公開鍵暗号の安全性概念の中でも非常に強いものの一つ。
-その他
--関連鍵攻撃 related-key attack~
以下の状況で行われるもの。
---複数の異なる鍵を使用した暗号処理を攻撃者から観測できる。
---鍵の値は攻撃開始時には未知であるが、鍵と鍵の間に数学的...
--ブルートフォース攻撃~
1組の平文と暗号文があれば、共通鍵を割り出す事も可能(ア...
--[[サイドチャネル攻撃>#eabdf29f]]
※ 標的が攻撃者に与えてしまうヒントのことをオラクル(神託...
***ダウングレード攻撃 [#r1ae8990]
SSL/TLSネゴシエーションで、強度の低い暗号スイートを選択さ...
***[[サイドチャネル攻撃>#f2c2a00a]] [#eabdf29f]
**ダーク・ほにゃらら [#sb1c5e9c]
***ダーク・ネット [#h29f270c]
元々、2011年に枯渇したとされるIPアドレス(IPv4)のうち、~
実際にはホストが割り当てられていない(使われていない)も...
-このIPアドレスはサイバー攻撃やマルウェアの伝染のために利...
-ダーク・ネットのパケットのトラフィックの分析をセキュリテ...
***ダーク・ウェブ [#c70281de]
元々は、米国海軍が諜報活動の匿名性、秘匿性を確保する目的...
独裁国家の反体制派、内部告発者、ジャーナリスト等が利用し...
昨今、違法活動にも用いられているため、検察や政府機関の一...
-特別なネットワークとソフトウェアを使用しないとアクセスで...
--Tor(The Onion Router)~
インターネットへの匿名アクセスの提供に重点を置いている
--I2P(Invisible Internet Project)~
ウェブサイトの匿名ホスティングができるように特化
-検索エンジンのクローラーの探索対象外となるので検索サイト...
-企業など法人内のアクセスのあるウェブサイトはディープウェ...
**サイドチャネル攻撃 [#f2c2a00a]
-非破壊攻撃の一種。
-暗号装置の動作状況を様々な物理的手段で観察することにより...
装置内部のセンシティブな情報を取得しようとする攻撃方法の...
-以下の様な様々な種類がある。
--[[電磁波解析攻撃(テンペスト攻撃)>#db9bde82]]
--[[音響解析攻撃>#x9d12a22]]
--[[電力解析攻撃>#jce3dad7]]
--[[故障利用攻撃(フォールト攻撃)>#r2090429]]
--[[タイミング攻撃>#m382ae4d]]
--[[キャッシュ攻撃>#nbc45037]]
--[[プローブ解析>#j63ff095]]
--[[スキャンベース攻撃>#dcea20b6]]
--, etc.
***電磁波解析攻撃(テンペスト攻撃) [#db9bde82]
-機器から出力される微弱な電磁波を計測して元情報を復元する。
-色々な攻撃の種類があるが、パソコン・モニターの~
漏洩電磁波から画面表示を“再現”する攻撃の種類が有名。
***音響解析攻撃 [#x9d12a22]
計算機が動作中に発するノイズ(10~50kHz)を分析すると処理内...
***電力解析攻撃 [#jce3dad7]
1個の電力波形をモニタリングすることで暗号解読を行う攻撃
***故障利用攻撃(フォールト攻撃) [#r2090429]
ICカード等の[[耐タンパ>#we7b8cd8]]デバイスの計算誤りを利...
-放射線の照射や高電圧を加えたり,瞬間的にクロッ ク周波数...
-結果 得られる誤った計算結果と正しい計算結果から秘密鍵の...
***タイミング攻撃 [#m382ae4d]
-暗号処理のタイミングが暗号鍵の論理値により変化することに...
-暗号化や復号に要する時間を解析することで暗号鍵を推定する...
***キャッシュ攻撃 [#nbc45037]
キャッシュ付CPUでは、キャッシュヒットにより~
メモリアクセス時間が異なることを利用すると、~
ブロック暗号に対してタイミング攻撃が可能~
***プローブ解析 [#j63ff095]
-[[耐タンパ>#we7b8cd8]]デバイスのパッケージを取り去り直接...
-攻撃対象の[[耐タンパ>#we7b8cd8]]デバイスについての深い知...
***スキャンベース攻撃 [#dcea20b6]
-スキャンチェーンまたはスキャンパス
--スキャンチェーンまたはスキャンパスはテスト容易化技術
--スキャン入力からスキャン出力までの信号が流れる経路
-これを実装した暗号 LSIに対する攻撃
--暗号化処理中のレジスタの値をスキャンデータとして取得・...
--暗号 LSIの秘密情報を取得する
***[[耐タンパ>高度午前 - コンピューター・システム - ハー...
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:試験]]
--[[基礎>SC:基礎]]
--脅威
--[[脆弱性>SC:脆弱性]]
--[[対策技術>SC:対策技術]]
--[[システム開発>SC:システム開発]]
--[[マネジメント>SC:マネジメント]]
--[[法制度>SC:法制度]]
*目次 [#p61fb125]
#contents
*概要 [#mda9effc]
先ずは、脅威を知る。
*分類 [#v3be79ac]
**災害 [#gfa8965c]
***種類 [#kdc917b3]
-地震
-火事
-水害
***対策 [#f499e1fb]
-防災設備
--耐震設備
--防炎設備
--防水設備
-災害復旧(ディザスタ・リカバリ)
--遠隔地の(地理的に離れた)IDCやクラウドを利用するのが一...
--耐震・防火・防水、冗長化・バックアップなどが提供される。
**障害 [#b1d210aa]
***種類 [#aaf302c1]
|#|種類|具体例|h
|1|設備障害|停電、瞬断、空調 / 入退館装置 / 監視カメラ 等...
|2|ハードウェア障害|メモリ / ディスク / CPU / 電源ケーブル|
|3|ソフトウェア障害|OS、ミドル、アプリのバグ|
|4|ネットワーク障害|機器、配線、広域網の回線障害、通信事...
***対策 [#yffab693]
基本は、保守と予備(バックアップ)の確保
|#|対策|具体例|h
|1|設備障害|設備保守、バックアップ設備の確保|
|2|ハードウェア障害|機器保守、予備機器の確保|
|3|ソフトウェア障害|バージョン最新化、パッチ適用、各種テ...
|4|ネットワーク障害|機器保守、バックアップ回線の確保|
-システム障害と言う意味だと、
--保守~
上記の全項目の実施
--予備(バックアップ)
---バックアップ・リストア
---ディザスタ・リカバリ
>だろうか。
**人的 [#za2cfe84]
-可用性だけでなく、機密性や完全性も低下させる。
-特に、機密性については、人が最大の脅威
--システム的に守れない物理的な持ち出しが可能なため。
--この対策は、アクセス制御や暗号化になる。
***分類 [#i6dea5a9]
大きく分けて、偶発的と意図的に分かれる。
-偶発的
--操作ミス(オペミス)
--紛失、物理的事故
--バグの造り込み
--サイバー・セキュリティ系
---[[マルウェア>#w2adfe4a]]持込(からの各種攻撃
---インバウンド開放(からの各種攻撃
-意図的
--侵入・持出
--バグの造り込み
--サイバー・セキュリティ系
---システムへの侵入
---各種脆弱性に対する攻撃
***影響 [#w5d813d9]
様々
-軽微
-甚大
***対策 [#p6496d4b]
「不正のトライアングル」(の主に、機会・正当性)を成立さ...
|#|種類|具体例|h
|1|偶発的|規程、マニュアルの整備、教育・訓練の実施、罰則...
|2|意図的|・外部の人的脅威&br; 入退館、アクセス制御、暗...
|2|全体的|・抑止、抑制、牽制&br;・委託先の信頼性、NDA(秘...
***不正のトライアングル [#e5d57324]
「不正のトライアングル」理論では、~
以下が揃ったときに発生するとされる。
-動機
--金銭トラブル
--金銭目的
--過剰なノルマ
--怨恨
-機会~
不正を実行可能にする環境
--ずさんなルール
--対策の不備など、
-正当性~
良心の呵責を超えた、~
不正行為者都合の正当性。
*情報共有 [#vf73bb20]
**[[サイバー情報共有イニシアティブ>SC:法制度 - 情報セキ...
**脆弱性情報データベース [#h30259ad]
***CVE、CWE、CVSS 識別子 [#i5620d0a]
-CVE(Common Vulnerabilities and Exposures)~
--個々の製品に含まれる個々の脆弱性、名称と識別子
---業界標準的な名前を付ける。
---CVE-西暦年-4桁の通番で表される。
--米国政府の支援を受けた非営利団体のMITRE社が採番している。
--[[セキュリティ脆弱性対策ツール]]や脆弱性対策情報提供サ...
-CWE (Common Weakness Enumeration)
--脆弱性の種類を定義している、共通脆弱性タイプ一覧
--例えば以下の様な脆弱性タイプがある。
---CWE-78:[[OSコマンド・インジェクション>#k171a302]]
---CWE-79:[[クロスサイト・スクリプティング(XSS)>#zc735...
---CWE-89:[[SQLインジェクション>#u77bc09d]]
-CVSS (Common Vulnerability Scoring System)
--共通脆弱性評価システム
--脆弱性の深刻度をスコア表記で評価する。
--下記の三つの基準で評価する。
---基本評価基準 (Base Metrics)~
経年(変化しない)特性を評価する。
---現状評価基準 (Temporary Metrics)~
(対策情報次第)で変化する評価
---環境評価基準 (Environmental Metrics)~
(製品利用者次第)に変化する評価
***JVN識別子 [#ibfbce02]
-JVN(Japan Vulnerability Notes)識別子
-CVE識別子の日本版で、以下の組織が共同運営している。
--情報処理推進機構(IPA)
--JPCERT コーディネーションセンター(JPCERT/CC)
***CybOX、STIX、TAXII [#a4613bb7]
-CybOX
--Cyber Observable eXpression、サイバー攻撃観測記述形式
--コンピューティングシステムとその動作に関わる
---観測事象を記述するための拡張性を備えた標準言語
---観測可能な属性の記述方法を規定する。
-STIX
--Structured Threat Information eXpression、脅威情報構造...
--脅威情報アイテムと脅威のコンテキストの詳細を記述するた...
-TAXII
--Trusted Automated eXchange of Indicator Information、検...
--脅威情報のセキュアな転送と交換を提供する技術仕様
*人的な脅威 [#q7232833]
システムだけで完結しない人的な脅威。
**フット・プリンティング [#c5deb371]
ネットワーク侵入準備のために、ネットワーク上に存在している
-個人や企業・団体
-コンピュータやネットワーク
の情報(IPアドレス、システムアーキテクチャー~
(使用OS等)、動作しているサービス)収集をすること。
***調査する情報 [#h1a16a40]
-ドメイン名、IPアドレスの登録情報、割当情報
-DNSレコード(IPアドレス、FQDN名)
-ネットワーク構成の把握
-ポートスキャン、OSの識別
-Webページ
--メタデータの抽出
--通常ではリンクされていないWebページの発見
***手法(使用ツール) [#n0314edc]
-等の公開データベースによる調査
--Whois等
-DNS検索
--dnsmap
--nslookup
-ネットワーク経路
--traceroute等
-ポートスキャンとOSの識別
--nmap等
-標的のWebページ~
Google検索のfiletype演算子やsite演算子を用い~
ドキュメントや非公開URLなどの所得を試みる。
**ソーシャル・エンジニアリング [#f79a6470]
-コンピュータやネットワークの管理者や利用者、また、その関...
-「社会的」な手段によって、保安上重要な情報を入手する。
-人間の心理的な隙や、行動のミスによる。ある意味、オレオレ...
***構内侵入 [#kab96c93]
-偽造または拾得したIDカード
-他の社員の後ろに付いて一緒に入る
-清掃員や回収業者として
-他の用件で訪問したついで
- + [[サイドチャネル攻撃>#f2c2a00a]]・[[テンペスト攻撃>#d...
***トラッシング [#od122b5b]
-ゴミ箱をあさる
-郵便物を盗む(メールハント)
***ショルダー・ハッキング [#q3a5a9fd]
他人がパスワードや暗証番号を入力しているところを、肩越し...
***なりすましによる聞き出し [#i365cac9]
-社員になりすます
-企業のエグゼクティブになりすます
-プロバイダなどのシステム管理者になりすます
-話術
--緊急性を持たせる話し方
--大胆な行動・発言・表情
**フィッシング系 [#bf909049]
***フィッシング [#le8970b0]
-デジタル版の[[ソーシャル・エンジニアリング>#f79a6470]]
-インターネットのユーザから情報を奪うために行われる詐欺行...
-豆知識
--Fishingではなく、Phishing。
--sophisticated(洗練された)とfishing(釣り)から合成。
-攻撃方法~
一般的には、偽サイトに誘導して情報を盗む。
--フィッシング方法
---[[DNSキャッシュ・ポイズニング>#xcae4991]]
---[[フィッシング・メール>#l0b6142d]]
---[[標的型メール>#jdd526c9]]
---似たURL
---SEO (Search Engine Optimization) ポイズニング~
検索エンジンの検索結果ページの上位に、~
ウイルスなどが含まれる悪質なWebサイトがリスト。
--フィッシング後~
偽画面での個人情報の入手
---ログイン・フォームにクレデンシャル入力
---カード情報期限切れ等でカード情報を要求
---[[クリック・ジャッキング>#d432cdf4]]攻撃の併用~
---[[タブ・ナビング>#d432cdf4]]攻撃の併用~
***フィッシング・メール [#l0b6142d]
-典型的には、信頼されている主体になりすました~
Eメールによって偽のWebサーバに誘導することによって行われ...
-著名ウェブサービスの偽装サイトへのリンクし、
--このアカウントはハッキングされています。
--支払い情報を更新してください。
--, etc.
***スピア・フィッシング([[標的型攻撃>#b392f9e0]]) [#c04...
[[フィッシング>#bf909049]]との違いは、特定の企業の特定の...
***ファーミング [#af341814]
-以下の点で[[フィッシング>#bf909049]]と区別される。
--[[DNSキャッシュ・ポイズニング>#xcae4991]]で[[フィッシン...
--より自動化された手法で、被害規模も大きくなる可能性があ...
-豆知識
--Farmingではなく、Pharming。
--sophisticated(洗練された)とfarming(農業)から合成。
***クリック・ジャッキング [#d432cdf4]
-クリック・ジャッキング攻撃~
ユーザーを視覚的にだまして、~
正常に見えるウェブページ上のコンテンツを示し、~
実際は、別のウェブページのコンテンツをクリックさせる攻撃~
(SNSなどで「非公開」プライバシー情報を「公開」に変更)
-タブ・ナビング攻撃~
クリック・ジャッキング攻撃に似たフィッシング攻撃~
背後のタブがいつの間にかフィッシング・ページに化ける~
(ココでのタブはタブ・ブラウザのタブを意味している)
**標的型攻撃 [#b392f9e0]
1つ1つの攻撃が、≒オーダーメードなので検知が難しい。
***標的型メール攻撃 [#jdd526c9]
-標的型の[[フィッシング・メール>#l0b6142d]]
-標的型攻撃の代表的手段
--後述の、各攻撃の起点となる。
--最近では情報漏洩事件の主要原因になっている。
--特定ターゲットに絞った業務メールに偽装して攻撃を仕掛け...
---添付ファイルを用いて[[マルウェア送付攻撃>#a26075e5]]
---本文中の不正なリンクを用いる場合もある。
-[[ソーシャル・エンジニアリング>#f79a6470]]的な技法を駆使
--送信者は公的機関、組織内の管理部門などを偽装
---文末に組織名や個人名を含む署名があるなど。
---また、CCに実際の担当者のメアドを一文字変更したメアドを...
--社会情勢や動向を反映した内容。~
(イベント、ニュース、注意喚起、報告書)
***やり取り型攻撃 [#dcbabe4d]
-窓口業務などを行う担当者を狙った攻撃。
-数回のやり取りを経て、実際の[[標的型メール攻撃>#jdd526c9...
***水飲み場型攻撃 [#k4e41b7c]
-ポータルサイトなどに攻撃コードを埋め込むなどした攻撃。
-前段には高度な[[標的型メール攻撃>#jdd526c9]]による[[フィ...
***ビジネス・メール詐欺 [#g75299e5]
攻撃の手口
-請求書偽装
--取引先([[サプライチェーン攻撃>#s3583c6c]])
--メールアカウント乗っ取り
-振り込め詐欺
--経営者偽装
--権威ある第三者
-準備([[フット・プリンティング>#c5deb371]])
--経営者偽装
--人事部偽装
-その他
--メールアカウント乗っ取り
***サプライチェーン攻撃 [#s3583c6c]
前述の[[ビジネスメール詐欺>#g75299e5]]的な攻撃だが、~
ポイントは脆弱性の多い中小企業から入り、本丸の大企業を攻...
***[[マルウェア>#w2adfe4a]]送付攻撃 [#a26075e5]
-標的型攻撃で使用される[[マルウェア>#w2adfe4a]]は、亜種の...
-コンテキストに沿った文書ファイル~
(zip、exe、pdf、doc)を装った[[マルウェア>#w2adfe4a]]を...
-[[マルウェア>#w2adfe4a]]の偽装方法
--アイコンによる偽装
--ファイル名による偽装~
仁義なきキンタマの、~
~「XXXX.doc ... .exe」的な偽装。
--アラビア語による拡張子偽装~
XXXX.exe.doc → XXXX[RLO].cod.exe
***ファイルレス攻撃 [#a26075e5]
若しくは、ファイルレス・マルウェアなどと呼ぶ。
-添付ファイルのマルウェア的な方法を用いない攻撃。
-実際は、[[ドロッパ>#p39e1378]]的なスクリプト・ファイルな...
[[DBD>#p39e1378]]でマルウェアをダウンロードしてインストー...
-対策
--スクリプト・ファイルの事項制限
--DBDの脆弱性の対策
-補足
--.lnkファイルとpowershellの組合せなど。
--他にも、以下が考えられる
---.vbsとVBScript
---.jsとJScript
---.xlsmとVBA
***持続的標的型攻撃 [#c268d983]
-APT攻撃 : Advanced Persistent Threat attack
-IPA定義では「新しいタイプの攻撃」と呼ぶ。
-標的型攻撃のうち~
長期間にわたりターゲットを~
分析して攻撃する緻密なハッキング手法
--発展した / 高度な(Advanced)
--持続的な / 執拗な(Persistent)
--脅威(Threat)
***対策 [#h0ba8df3]
-リテラシ向上と注意喚起、情報収集と指示
-基本的に「[[マルウェア対策>#b8dfbc98]]」と同じ。
-入口・出口対策
--入口対策~
困難
--出口対策~
従って、重要性を増す。
*技術的な脅威 [#j7ed0357]
**アドレス・スキャン [#c6eb3db4]
(pingスイープ)
**ポート・スキャン [#y31ba6ed]
***影響 [#eb0273ae]
後述の[[バッファ・オーバーフロー(BOF)>#gc7d9e26]]に繋が...
***攻撃手法 [#c9132440]
-[[UDP, TCP>SC:基礎#ba939ce8]]リスニング・ポートを確認す...
--ポートスキャナを使用する。有名なポートスキャナーにはnma...
--スタック・フィンガー・プリンティングによるバナー表示
---特定のデータを送信して、それに対応する応答を調べサービ...
---OS、ミドルウェアを特定し、脆弱性がある場合、攻撃を仕掛...
-TCPコネクト・スキャン~
コネクション確立によるスキャン
-ログを残さないステルス・スキャン
--UDPスキャン~
標的ポートが"ICMP port unreachable"という~
メッセージで応答したポートがなければ稼動している。
--TCPハーフ・スキャン~
コネクションの確立はされない。~
RSTパケットを見て、稼働と見るスキャンが多い、~
TCP SYNスキャンだけRST/ACKパケットになっている。
---TCP SYNスキャン~
・"RST/ACK"パケットを受信するとき,対象ポートは閉じている...
・"SYN/ACK"パケットを受信するとき,対象ポートが開いている。
---TCP FINスキャン~
RSTが返ったら標的サービスは稼働している。
---TCP Nullスキャン~
全てのフラグが「0」のパケットを送信~
標的サービスが稼働してなければRSTパケットを返す。
---TCP クリスマスツリー・スキャン~
FIN、URG(緊急確認)、PUSH(プッシュ)パケットを送信~
標的サービスが稼働してなければRSTパケットを返す。
***対策 [#t4097188]
-予防・防止
--ポートを閉じる~
インターネット公開すべきではない~
サービス(インバウンド・ポート)の例
---telnet 23
---tftp 69
---pop3 110
---sunrpc 111
---epmap 135
---netbios-ns 137
---netbios-dgm 138
---netbios-ssn 139
---snmp 161
---snmptrap 162
---microsoft-ds 445
---rexec 512
---rlogin 513
---rsh 514
---syslog 514
---ms-sql-s 1433
---ms-sql-m 1434
---nfs 2049
--F/Wによって遮断
--バナー表示をOFF
--セキュリティ・ホールを塞ぐ、パッチ適用
-検知・遮断~
IDPS:検知(IDS)・遮断(IPS)
--ネットワーク監視型 IDS
--ホスト監視型IDS、IPS
--F/Wログから検知
--ホストのログから検知
※ IDPSではステルス・スキャンも検知できるが、~
間を空けたランダムな攻撃の場合は検知が困難になる。
**バッファ・オーバーフロー(BOF) [#gc7d9e26]
***影響 [#rff30bc8]
-乗っ取り
-漏洩、改ざん
-プロセス停止(失敗時)
***攻撃手法 [#b50741f2]
スタックのリターンアドレスを書き換え、
-既存のプログラム
-データ中の攻撃用コード
を動作させる攻撃方法(別名、スタック・オーバーフロー)。
※ 単にバッファをオーバーフローさせても~
意味が無いので、スタックと組み合わせる。
※ 一般的には、サービスのポートなどから攻撃を投入する。
***対応 [#q56b1a59]
-予防・防止
--運用
---ポートスキャンと同じ
---IPS:ペイロードもチェックする。
--[[プログラミングによる対策>SC:システム開発 - プログラ...
-検知・追跡
--ポートスキャンと同じIDPS
--ログ(改ざんされていなければ)。
-回復~
乗っ取り後の
--パッチの適用など、脆弱性チェック
--設定変更、漏洩・改ざんなどのチェック
--場合によっては、クリーン・インストール
**DNSサーバに対する攻撃 [#zbccb56f]
***影響 [#c7f530dc]
-DNSサーバからの情報収集(不正なゾーン転送要求)~
収集された情報が悪用される可能性がある。
-[[DNSキャッシュ・ポイズニング>#xcae4991]]
-DDoS系
--[[DNSフラッド(DNS Flood)>SC:脅威 - DoS攻撃#w501e128]]
--[[DNSリフレクション(DNS amp)>SC:脅威 - DoS攻撃#h67db...
***攻撃手法 [#y7f9bd22]
-DNSサーバからの情報収集(不正なゾーン転送要求)
--DNSの古い冗長化システム。セカンダリDNSへのレプリケーシ...
--不正なゾーン転送要求によりプライマリDNSサーバから情報収集
-[[DNSキャッシュ・ポイズニング>#xcae4991]]
-DDoS系
--[[DNSフラッド(DNS Flood)>SC:脅威 - DoS攻撃#w501e128]]
--[[DNSリフレクション(DNS amp)>SC:脅威 - DoS攻撃#h67db...
***対策 [#w19694b6]
-DNSサーバからの情報収集(不正なゾーン転送要求)~
ゾーン転送をセカンダリDNSにのみ許可する。
-[[DNSキャッシュ・ポイズニング>#xcae4991]]
-DDoS系
--[[DNSフラッド(DNS Flood)>SC:脅威 - DoS攻撃#w501e128]]
--[[DNSリフレクション(DNS amp)>SC:脅威 - DoS攻撃#h67db...
**セッション・ハイジャック [#i2b48d5e]
***影響 [#sd1f724a]
-正規のクライアントもしくはサーバを装い、~
サーバやクライアントを騙し不正行為を働く。
-例
--サーバ(クライアント)になりすまし
---クライアントを誘導したり、機密情報を盗む。
---サーバへ侵入・攻撃したり、機密情報を盗む。
--中間に入りセッション・コントロールを行う。~
(ManInTheMiddleAttack:中間攻撃)
***攻撃手法 [#jea8a046]
-以下の脆弱性を突いて、セッション・ハイジャック。
--プロトコルの仕様上の脆弱性
--プロトコルの実装上の脆弱性(OS、ミドル)
--アプリケーション(セッション管理)の脆弱性
-プロトコル毎のセッション・ハイジャック
--UDPセッション・ハイジャック~
サーバより先に応答を返してしまう。
---[[DNSキャッシュ・ポイズニング>#xcae4991]]
---[[ARPキャッシュ・ポイズニング>#x322a947]]
--TCPセッション・ハイジャック~
シーケンス番号の矛盾を無くし(推測・キャプチャ)、~
IPアドレス偽装([[IPスプーフィング>#dd7a47fd]])すること...
TCPセッション・ハイジャックが可能(rcp, rlogin)。
--[[HTTPセッション・ハイジャック>#a1b2a4ce]]
***対策 [#o093f20e]
-UDPセッション・ハイジャック
--[[DNSキャッシュ・ポイズニング>#xcae4991]]
--[[ARPキャッシュ・ポイズニング>#x322a947]]
-TCPセッション・ハイジャック
--パッチ(推測を困難にする)
--暗号化(SSL/TLS、IPsec、SSH)
-[[HTTPセッション・ハイジャック>#s85a7482]]
**マルウェア [#w2adfe4a]
データ消去、漏洩、改ざん、バックドアなど、盗取・破壊活動...
***ウィルス [#o88f8b54]
-定義
--生物に感染するウィルスと同様、宿主に感染、潜伏、発病の...
--コンピュータからコンピュータへと拡散できる悪質なプログ...
--ただし、人による操作(感染したプログラムの実行など)が...
-対策
--[[基本的対策>#b8dfbc98]]
***ワーム [#q4b4514e]
-定義
--ウイルスと似ていて、ウイルスのサブクラスとみなされる。
--コンピュータからコンピュータへと拡散できる悪質なプログ...
--ネットワーク感染型ワームなど、人の手を借りずに自身で移...
-対策
--[[基本的対策>#b8dfbc98]]
--外部持ち出しによる外部ネットワーク接続に注意。
***ルートキット [#p4de8f11]
[[トロイの木馬>#h7bffa81]]を送り込む前段に仕込むと強力。
-タイプ~
ルートキットは大別して二種類がある。
--カーネルレベルのルートキット~
検出困難なので特に危険
---マルウェアの侵入を露見し難くするために用いられるツール群
---カーネルに新しいコードを追加することによって行なわれる。
---例えば、~
メモリ管理コアのページテーブルを操作して隠蔽したり、~
不正プログラムが表示されないよう細工されたpsコマンドなど。
--アプリケーションレベルのルートキット
---普通のアプリケーションをトロイが仕込まれた偽物に置換
---既存のアプリケーションの振舞いをフックなどで改造したり...
***トロイの木馬 [#h7bffa81]
-定義
--ウイルスとは異なり、自身を複製しない。
--正規のアプリケーションに見せかける。
--何らかのトリガにより破壊活動を開始する。
-攻撃方法~
以下に分類される。
--パスワード窃盗型~
[[スパイウェア>#q70f80af]]
--クリッカー型~
[[PUAのアドウェア>#r8d17a0e]]
--バックドア型~
[[ボット>#w8605b9d]]
--ダウンローダ型~
[[ドロッパ>#p39e1378]]
--プロキシ型~
[[MITB>#lb1c319e]]
-RAT~
バックドア型でリモート・コントロール~
が可能なトロイの木馬プログラムの総称。
--例
---Back Orifice
---SubSeven
-対策
--[[基本的対策>#b8dfbc98]]
***悪意のあるモバイルコード [#a5de7350]
-定義~
クライアントにダウンロードされ動作する~
プログラムのうち悪意のあるもの。
--JavaApplet
--ActiveX
--JavaScript
-対策
--[[基本的対策>#b8dfbc98]]
***スパイウェア [#q70f80af]
-定義
--ユーザに知られずこっそりと情報を収集することを主な目的...
--ユーザに関する情報を収集、情報収集者に自動的に送信する。
-例~
キーロガー等に代表される
-対策
--[[基本的対策>#b8dfbc98]]
***ボット [#w8605b9d]
-定義
--ワームの一種
--外部から遠隔操作するためのバックドア型不正プログラムの...
--ボットネットワークを構成しC&C(指揮統制)サーバの指示に...
--これにより、DDoSなどの統率の取れた攻撃を行うことが出来...
-攻撃方法~
遠隔操作による以下の様な攻撃に利用される。
--プロトコル
---IRC (Internet Relay Chat)
---IM (Instant Messaging)
---P2P (Peer to Peer)
--踏み台
---スパム、DoS
---DDoS(ボットネット)
--盗取・破壊活動
---脆弱性の調査、スパイ活動
---情報の削除、漏洩、改ざん
-対策
--[[基本的対策>#b8dfbc98]]
--プロトコル遮断(IRC、IM、P2P)
***ランサムウェア [#p0ea818a]
-定義
--感染したコンピュータは、HDD暗号化などでアクセス制限され...
--解除のため、身代金(ransom)を仮想通貨で支払うよう要求...
-攻撃方法
--基本的には[[トロイの木馬>#h7bffa81]]と同じ。
--WannaCryは[[ワーム>#q4b4514e]]的に拡大し、
--HDDやファイルの暗号化などを行う。
---ランダムな共通鍵と固定の公開鍵によるハイブリッド暗号
---高速な共通鍵で暗号化し、共通鍵を公開鍵で暗号化する。
---金銭が支払われると、秘密鍵が提供され共通鍵の復号、デー...
--暗号化だけではなく、~
金銭を要求するためにファイルを盗む事も行う。
-対策
--[[基本的対策>#b8dfbc98]](特に回復のためのシステムのバ...
--[[トロイの木馬>#h7bffa81]]似ているものであれば、[[トロ...
--[[ワーム>#q4b4514e]]似ているものであれば、[[ワーム>#q4b...
***ドロッパ [#p39e1378]
-侵入専門のマルウェアで、侵入後、マルウェア本体を送り込む。
-マルウェアを内包する場合、~
マルウェアはパッキング(暗号化、難読化)されている。
-マルウェアを内包しない場合、
--ボットの様に動作して、マルウェアを送り込むか。
--ドライブバイダウンロード(DBD)で、マルウェアを送り込む。
-対策
--[[基本的対策>#b8dfbc98]]
--DBDの脆弱性の対策
***ガンブラー [#pc74006a]
-定義
--Gumblar(ガンブラー)、別名でGENOウイルス(ジェノウイル...
--「Webサイト改ざん」と「Web感染型ウイルス」を組み合わせ...
-攻撃方法(代表的)~
FTPのアカウントを盗んで、Webサイトを改ざんする。
--攻撃サイトのリダイレクト~
[[DBD>#p39e1378]]でマルウェアをダウンロードしてインストー...
--マルウェアが、FTPのアカウント情報を盗む。~
(レンタルサーバなどはFTPが多いので)
--このアカウントを使用してWebサイトを改ざん~
(そして、そのサイトも攻撃サイトに改ざん)
-対策
--[[基本的対策>#b8dfbc98]]
--DBDの脆弱性の対策
***マイニング・マルウェア [#naf4238a]
-仮想通貨のマイニングを行わせるマルウェア
-クリプト・ジャッキングと言う[[悪意のあるモバイルコード>#...
-クラウド環境などで実行されると、[[EDoS>SC:脅威 - DoS攻...
***PUA (Potentially Unwanted Application) [#r8d17a0e]
-マルウェアに該当するような悪質さはないものの、適切とも言...
多くの人にとっては不要であり排除した方が好ましいアプリケ...
-別名
--不要と思われるアプリケーション
--潜在的に迷惑なアプリケーション
--おそらく不要なアプリケーション
-次のようなものがある。
--アドウェア(アドは広告のアド)
--ダイヤラ(マルウェアにより、高額の国際電話料金を発生さ...
--リモート管理ツール(マルウェアに、いろいろと悪用され得...
--ハッキングツール(マルウェアに、いろいろと悪用され得る)
-マルウェアに近いアドウェアも存在する。
--軽微な危険
---ポップアップ広告型(ブラウザ未使用時にも広告表示)
---リンク乗っ取り型(TOPページ、リンク、バナーの差替)
---ゴーストクリッカー(勝手に広告をクリック)
--非常に危険
---個人情報を収集して送信する。
***対策 [#b8dfbc98]
-入口・出口対策
--入口対策~
感染前の防御など、通常通り行う。
--出口対策~
感染後の攻撃や、ワーム的拡散があるので、出口対策も重要。
-対策
--通信経路上
---F/W
---IDPS
---プロシキ~
認証、URLフィルタ、POSTフィルタ~
コンテンツ・フィルタリング~
Web検査型[[サンドボックス>#b3e4e67e]]
---メール検査型[[サンドボックス>#b3e4e67e]]~
---仮想ブラウザ型[[サンドボックス>#b3e4e67e]]~
VDI分離されたブラウザ・ウィンドウのみの転送~
--エンドポイント(クライアントOS)~
---[[アンチウィルス>#wb34cd35]]
---パーソナル・ファイアウォール(PFW)
---[[EDR (Endpoint Detection and Response)>#ba5aa3df]]
---ファイル検査型[[サンドボックス>#b3e4e67e]]~
---シェル・スクリプトやリモート管理ツールの実行制限
---入(出)力デバイスの接続制限
---エンドポイントの回復のためのバックアップ取得
--マネジメント面
---感染の防止~
OS、AVバージョン最新化、パッチ適用~
FOSS利用申請(業務に無関係なソフトの使用禁止)~
ファイル送受信時のウィルス・チェック
---感染後の対策~
連絡体制、対応手順、回復手順の明確化と周知
**[[DoS攻撃>SC:脅威 - DoS攻撃]] [#n0c641e5]
*アプリケーション脆弱性 [#vbff04d2]
**パスワード・クラック [#dc765db9]
***影響 [#a036d9a8]
-固定式のパスワードを使用する認証システムが対象
-攻撃者にパスワード・クラックされたアカウントでログインさ...
***攻撃手法 [#a4ac758f]
-オンライン攻撃とオフライン攻撃
--オンライン攻撃~
ユーザストア・ファイルが手元に無い場合~
動作中のオンライン・サービスに認証情報を送って調査する手法
---パスワード推測~
アカウントの特徴から~
パスワードを推測して(IDに似ているか、生年月日)~
ログインを試みる手法。
---リバース・ブルートフォース攻撃~
ログインに関する力技の総当たり攻撃~
パスワードを固定したID総当りなので、オンライン攻撃が可能~
(アカウント・ロックなどのログイン制限が効かない)。
---パスワード・リスト攻撃~
他のサービスから漏洩した情報を使用してログインを試みる。
--オフライン攻撃~
ユーザストア・ファイルが手元に有る場合(ハッシュ保存が前...
ハッシュ・アルゴリズムなどを想定して、パスワードを割り出...
---ブルートフォース・アタック(総当たり攻撃)~
ログインに関する力技の総当たり攻撃~
IDを固定してパスワードを総当りなので、オフライン攻撃が一...
---辞書攻撃~
あらかじめ利用され易いパスワードを、ハッシュ化し、ハッシ...
次に入手したパスワードのハッシュを、このDB上で検索すると...
---レインボー・テーブル~
辞書攻撃とは異なり、利用され易いパスワードと異なる、ハッ...
大量の領域が必要になるハッシュ版の辞書を還元関数によりチ...
***対策 [#nb1be854]
-予防・防止
--アカウントのロックアウト
--パスワード...
---...の、強度を上げる。
---...を、定期的に変更する。
---...が、盗まれないようにする。
--パスワード以外の利用
---生体認証
--多要素認証
---ワンタイム・トークン
---FIDOなどTPM+α
-検知・追跡
--IDPS
--ログイン・ログオフの監査(失敗の監査)
-回復~
乗っ取り後の
--設定変更、改ざん・漏洩などのチェック
--場合によっては、クリーン・インストール
**HTTPセッション・ハイジャック [#sb205cd0]
***影響 [#v09f3bf3]
クライアントになりすましサーバへ侵入・攻撃したり、機密情...
***攻撃手法 [#a1b2a4ce]
様々なアプリケーションの脆弱性を攻撃し、~
HTTP Sessionを識別するSessionIdを入手して、~
相手のHTTP Sessionを乗っ取る。
-攻撃方法(脆弱性)
--単純な推測による。
--HTTPの盗聴による。
--Url中に含まれるSessionIdが、Referrerに漏洩。
--セッションID固定化攻撃(ある種、インジェクション)~
自分が正規に得たSessionIdを他者に送り込むことで、~
他者のSession情報などを攻撃者が参照できるようになる攻撃。
***対策 [#s85a7482]
-基本
--セションID固定攻撃防止のため複雑なSessionIDを使用する。
--SessionIDダケでなく、認証、リクエスト・チケットを併用す...
-SessionIDの漏洩防止
--SSL/TLSで、盗聴を防止する。
--XSSの脆弱性対策を行う
--ログイン前にSessionIDを返さない。
--URLリライティングを使用しない~
(SessionIDをQuery Stringに入れる方式)
**インジェクション系 [#i46de8fb]
インジェクションすることで、予期せぬ動作+情報漏洩をさせ...
***OSコマンド・インジェクション [#k171a302]
-攻撃方法~
OSコマンドにインジェクションすることで、~
情報の改ざん・漏洩、システムをクラッシュさせるなど。
-対策
--OSコマンド呼び出し可能な関数を実行しない、
--データのチェック(エスケープはしない)
--ユーザ入力を持って行かない。
--WAF
***ディレクトリ・トラバーサル [#r7effe72]
[[OSコマンド・インジェクション>#k171a302]]で、不正な相対...
親ディレクトリへの横断 (traverse)を起こし、意図しないディ...
***SQLインジェクション [#u77bc09d]
-攻撃方法~
SQLにインジェクションすることで、~
情報の漏洩・改ざん、システムをクラッシュさせるなど。
-対策
--バインド変数を使用する。
--エスケープ(';%+)
--アクセス権限設定
--詳細なエラー・メッセージを返さない。
--WAF
***[[Mailヘッダ>https://techinfoofmicrosofttech.osscons.j...
-攻撃方法~
[[Mailヘッダ>https://techinfoofmicrosofttech.osscons.jp/i...
「CC: メアド」「CC: メアド」などにアドレスを追加できる。
-対策
--ヘッダ出力用APIの使用~
(エスケープ機能を持った)
--改行コードは削除する。
--WAF
***HTTPヘッダ・インジェクション [#u79e27e3]
HTTPヘッダにインジェクションすることで、~
不正なCookie情報を送り込むなどができる。
-攻撃方法
--ヘッダの追加~
Cookieの設定
--ボディの追加
---偽情報、スクリプト挿入
---レスポンス分割とキャッシュ汚染
-対策
--ヘッダ出力用APIの使用~
(エスケープ機能を持った)
--改行コードは削除する。
--CookieはURLエンコード
--WAF
***XSS(JavaScriptのインジェクション) [#zc735b27]
クライアント・スクリプトをインジェクションしてCookieなど...
-タイプ 1:
--名称
---反射型のXSS (非持続的)
---Reflected XSS
--攻撃方法
---不正なデータをWebページの入力項目(GETやPOSTのパラメタ...
---JavaScriptをインジェクションしてCookie情報などを他サイ...
--対策方法
---入力項目のサニタイジング(HTMLエンコーディング)
---JavaScriptが動く属性にユーザ入力を持って行かない。~
若しくは、入力文字列にエスケープシーケンス(¥)を追加~
¥、クォーテーション、改行コードなど
-タイプ 2:
--名称
---格納型のXSS (持続的)
---Stored XSS
--攻撃方法
---不正なデータを標的サイトのデータストアに保存する。
---JavaScriptをインジェクションしてCookie情報などを他サイ...
--対策方法~
反射型のXSSと同じ。
-タイプ 3:
--名称
---DOMベースのXSS
---DOM-based XSS
--攻撃方法
---正規スクリプトによるDOM操作が原因で発生するタイプのXSS
---JavaScriptをインジェクションしてCookie情報などを他サイ...
---インジェクションにFragmentを使用できる場合、~
要求がサーバに飛ばず、攻撃の検出ができないことがある。
--対策方法
---入力項目(GETやPOSTのパラメタ)や、Fragment等をDOM出力...
---若しくは、入力文字列にエスケープシーケンス(¥)を追加~
¥、クォーテーション、改行コードなど
-UTF-7によるXSS~
--攻撃方法~
IEにエンコーディングをUTF-7と自動認識させることで、~
クライアント側でJavaScriptが復元されることでインジェクシ...
--対策方法~
UTF-7を使用しない。
-その他の対策方法
--HttpOnly~
盗取の対象がCookieの場合
--WAF
-[[対策の具体例>https://techinfoofmicrosofttech.osscons.j...
**CSRF(XSRF) [#xd433779]
[[インジェクション系>#i46de8fb]]ではない。
-攻撃方法
--あるサイトを操作している時に、~
(従って、ログインも、セッションも存在している状態で)
--操作者が攻撃者のリンクを踏むと、意図せぬ操作を実行され...
(これは、他サイトからのGETやPOSTでもCookieを送信してしま...
サーバ側が、Sessionや認証チケットを認識ししてしまうため。)
--GET要求を投げるための偽装テクニックがある。
---0サイズのiframeタグなどを利用する。
---0サイズのimgタグのsrc属性に書く
--そういう類の攻撃で方法(「[[ぼくはまちちゃん!>https://...
-対策方法
--なるべく、GETで処理しないようにする。
--また、POSTにCSRF(XSRF)に対策パラメタを含める。~
(二重送信防止用のRequestチケットなどでもOK)
--最近、[[ブラウザ・レベルの対策 (SameSite属性)>https://t...
-以下の条件が整っている必要がある。
--操作中にリンクを踏む必要があるので、
---対象システム内にリンクの書き込みを行う事が多い。
---しかし、会員制の場合、通常、書き込み者が解れば足がつく...
--対象システム外に書き込みを行う場合、
---そもそもリンクを踏む可能性が低い。
---会員制サイトを攻撃する場合、当該サイトにログイン可能な...
-[[対策の具体例>https://techinfoofmicrosofttech.osscons.j...
*その他 [#j1425772]
基礎や応用
**盗聴 [#kf2e9055]
***パケット盗聴 [#ic5113a6]
-プロミスキャス・モードでの盗聴
-対策
--スイッチングハブ、
--プロミスキャス・モードのNIC検出
**スプーフィング [#r71c8dfe]
なりすまし
***種類 [#s3250308]
-Identity Spoofing(CAPEC-151)
--(人間もしくはそれ以外の)何らかの主体になりすまして行...
--[[フィッシング>#bf909049]]や[[ファーミング>#af341814]]...
-Content Spoofing(CAPEC-148)
--コンテンツのソースを変えることなく中身を書き換える攻撃。
--Webページの改ざんや、[[ポイズニング系>#e6080590]]の攻撃...
-Action Spoofing(CAPEC-173)
--不正な行為をそれとは別の正当な行為に偽装する攻撃。
--[[フィッシング先の偽装ページ>#le8970b0]]などが該当する。
-Resource Location Spoofing(CAPEC-154)
--リソースの位置を偽装する攻撃。
--ライブラリの位置を偽装して偽のライブラリをインストール...
***IPスプーフィング [#dd7a47fd]
-送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし...
-F/Wで外部から入るパケットの送信元IPアドレスが自ネットワ...
***[[ポイズニング系>#e6080590]] [#z832e25a]
**キャッシュ・ポイズニング(スプーフィング)系 [#e6080590]
-偽りのアドレスを流して誘導、盗聴、改ざんなどを行う。
-下記の双方とも、[[UDPセッション・ハイジャック>#i2b48d5e]...
***DNSキャッシュ・ポイズニング [#xcae4991]
DNSスプーフィングとも呼ばれる。
-影響
--hostsファイルの不正な書き換えとほぼ同じ効果。
--主に、偽サイトに誘導し、[[フィッシング>#bf909049]]に繋...
-攻撃手法~
DNSの[[キャッシュ・サーバ>https://techinfoofmicrosofttech...
古典的だが、近年[[フィッシング>#bf909049]]詐欺で危険性や...
--[[UDPセッション・ハイジャック>#i2b48d5e]]により可能。
--送信元ポートとTxIDの推測により攻撃。
--カミンスキー攻撃では再帰クエリを投げ反復クエリの応答を...
-[[対策>SC:脆弱性#leeda16d]]
***ARPキャッシュ・ポイズニング [#x322a947]
ARPスプーフィングとも呼ばれる。
-影響
--hostsファイルの不正な書き換えとほぼ同じ効果。
--こちらは、主に、[[マン・イン・ザ・ミドル (MITM)>#jd779c...
-攻撃手法
--方法1:[[UDPセッション・ハイジャック>#i2b48d5e]]で、正...
攻撃者が「不正なARP応答」をブロードキャストすることでLAN...
--方法2:GARPのユニキャストを行い、同一セグメント上の対...
書き換える(2機器の送信先・送信元のMACをMITM用のPCのMAC...
-対策
--ハブの物理的保護
--不正PC接続検知システム
--DHCPスヌーピング
---DHCPスヌーピング・データベース情報を使用して、L2SWのIP...
---適用するポートは、...。
-参考
--ARPスプーフィング手順 ( 中間者攻撃 , MITM ) - Qiita~
https://qiita.com/75u2u/items/0e35652ff3810d74d09b
***SEOポイズニング [#qbd69cb4]
少々、毛色が違うが、
-SEO(Search Engine Optimization)ポイズニング
-Web検索サイトの順位付けアルゴリズムを悪用
-検索上位に,悪意のあるサイトを意図的に表示
**エンドポイント系 [#ufc6ed9f]
マン・イン・ザ・XXXX(MITX : man-in-the-XXXX attack)系は...
***マン・イン・ザ・ミドル (MITM) 攻撃 [#jd779c2a]
中間者攻撃 (MITM : Man-In-The-Middle attack)
-暗号理論における、能動的な盗聴の方法。
-暗号化などが解除される中継(中間)ポイントで盗聴・改ざん...
***マン・イン・ザ・ブラウザ (MITB) 攻撃 [#lb1c319e]
(MITB : Man-In-The-Browser attack)
-[[プロキシ型トロイの木馬>#h7bffa81]]によって
-Webブラウザの通信を盗聴・改ざんする[[マン・イン・ザ・ミ...
-その通信を乗っ取って、振込先を改ざんして預金を盗むのが代...
-なお、改ざんを行った後の結果も、攻撃を利用者に検知されな...
-実装技術にはあまり明確に書かれていないが、以下の可能性が...
--プロキシ
--ブラウザ拡張機能
--JavaScript
-対応
--トランザクション署名を使用し経路上の改ざんを検出する方...
--検証結果を別経路(帯域外 Out of Band)でユーザに通知す...
**ウィルス対策 [#wb34cd35]
***[[ウィルス検出>#tec2b3cd]] [#z511f41c]
***EDR (Endpoint Detection and Response) [#ba5aa3df]
各種の[[ウィルス検出>#z511f41c]]を行い、
-検知後の処理を行う機能
--ファイルの復元
--ファイルの削除
--ファイルの隔離(検疫)
--クリーニング(上記の組合せ)
---正常なファイルを復元
---異常なファイルを検疫
-管理サーバに通知する機能。
***サンドボックス [#b3e4e67e]
-仮想化技術を使用し、分離環境(サンドボックス)に隔離する。
--[[ウィルス検出>#z511f41c]]を安全に行う。
--検知後の隔離(検疫)先として利用する。
-特に、[[ビヘイビア法(ダイナミック・ヒューリスティック法...
**ウィルス検出 [#tec2b3cd]
-大きく以下に分類できる。
--バイナリを調べる方法
--動作を調べる方法
-ウイルス検出技術の発展~
以下の2つの流れがある。
--単純な[[コンペア法>#e42538aa]]から、
---[[チェックサム法>#yd033184]]
---[[インテグリティ・チェック法>#yd033184]]
--[[パターンマッチング法>#me9c961f]]から
---[[ヒューリスティック法(スタティック・ヒューリスティッ...
---[[ビヘイビア法(ダイナミック・ヒューリスティック法)>#...
-参考
--情報処理推進機構:情報セキュリティ:未知ウイルス検出技...
https://www.ipa.go.jp/security/fy15/reports/uvd/documents...
***コンペア法(比較法) [#e42538aa]
ウイルスの感染が疑わしい対象(検査対象)と~
安全な場所に保管してあるその対象の原本を比較
***パターン・マッチング法 [#me9c961f]
-「特徴的なパターン」との比較
-ウイルスの「特徴的なパターン」を登録した定義ファイル~
とマッチングするかどうかでウイルス検出する方法。
***チェックサム / インテグリティ・チェック法 [#yd033184]
-[[コンペア法(比較法)>#e42538aa]]から進化
-ウイルスに感染していないことを保証する情報を付加する。
--チェックサム法 : チェックサム
--インテグリティ・チェック法 : ディジタル署名
***ヒューリスティック法 [#r90d4870]
-[[パターン・マッチング法>#me9c961f]]から進化
-[[コンペア法(比較法)>#e42538aa]]より、ファジーな検査が...
--ヒューリスティック法(スタティック・ヒューリスティック...
--ウイルスのとるであろう動作を事前に登録しておき、~
「検査対象に含まれる動作の特徴コード」をチェックして検出...
***ビヘイビア法 [#y4f65753]
-[[パターン・マッチング法>#me9c961f]]から進化
-[[コンペア法(比較法)>#e42538aa]]より、ファジーな検査が...
--ビヘイビア法(ダイナミック・ヒューリスティック法)
--ウイルス感染・発病によって生じる~
異常動作や環境変化を監視してウイルス検出する方法。
---プロセス生成
---ファイル操作
---レジストリ更新
---ネットワーク(例外ポート、不完パケット、通信メトリック...
--[[サンドボックス>#b3e4e67e]]の仕組みを併用することが多...
--以下のようなウィルスに対して有効
---未知のウィルス
---亜種が次々作られるタイプ
---[[ステルス技術を使うウイルス>#sa327481]]
***ステルス技術を使うウイルス [#sa327481]
-ポリモーフィック型~
攻撃用コードを暗号化する(外観上の変化)。
--感染時にウイルス本体部分を変化させる。
---毎回異なる暗号鍵で自身を暗号化する。
---これにより、[[パターンマッチング>#me9c961f]]検出を回避...
--以下の部分から構成される。
---(1)ウイルス本体部分
---(2)ウイルス本体を暗号化/復号する部分。
--(2)の部分が、変更されない点が弱点となる。
-メタモーフィック型~
ミューテーションエンジン(ME)で攻撃用コード自体を変化さ...
--ウイルス本体をいくつかのブロックに分割し、
--感染時にブロックの順番を入れ替え、
--ジャンプ・コードを挿入するなど。
**脆弱性に対する攻撃 [#w7caac0e]
***エクスプロイト・コード [#t1cf9e9f]
-発見された脆弱性を利用できるように作成されたプログラム
-研究や検証を目的としたモノから、実際の攻撃を目的としたモ...
***ゼロデイ攻撃 [#hb266eaf]
脆弱性に対するパッチ提供前の、当該 脆弱性に対する攻撃。
**暗号化・復号化 [#z9e4c5c8]
***暗号解読 [#r69e42ba]
-暗号文単独攻撃 Ciphertext-only attack (COA)
--暗号文のみを用いて、平文を求める攻撃。
--初期の暗号は、暗号文だけをもとに破られることがよくあっ...
--既知暗号文攻撃 known-ciphertext attack
-既知平文攻撃 Known-plaintext attack (KPA)
--「既知の平文」に対応する暗号文を得られる条件で、暗号文...
--最初のブロックが固定あるいは通番や日時になっていて予測...
-選択平文攻撃 Chosen-plaintext attack (CPA)
--「任意の平文」に対応する暗号文を得られる条件で、
--暗号化(平文→暗号文)を依頼する攻撃(暗号化オラクル)。
--コレにより、「任意の平文」を推測できてしまう。
--公開鍵暗号の場合は安全。
---公開鍵を用いて任意の平文を暗号化
---秘密鍵を用いて任意の暗号文を平文化
-選択暗号文攻撃 Chosen-ciphertext attack (CCA)
--「任意の暗号文」に対応する平文を得られる条件で、
--復号化(暗号文→平文)を依頼する攻撃(復号化オラクル)。
--CPAの逆で、「任意の暗号文」を推測できるが、~
(素人的に)平文解ってるなら要らんダロと言う気も。
-適応的
--適応的選択平文攻撃 Adaptive chosen-plaintext attack (CP...
---対象の平文を入手後にもCPAが可能~
(任意の暗号文に対応する平文を得られる)。
--適応的選択暗号文攻撃 Adaptive chosen-ciphertext attack ...
---解読対象の暗号文を入手後にもCCAが可能~
(任意の暗号文に対応する平文を得られる)。
---適応的選択暗号文攻撃に対する識別不可能性は~
公開鍵暗号の安全性概念の中でも非常に強いものの一つ。
-その他
--関連鍵攻撃 related-key attack~
以下の状況で行われるもの。
---複数の異なる鍵を使用した暗号処理を攻撃者から観測できる。
---鍵の値は攻撃開始時には未知であるが、鍵と鍵の間に数学的...
--ブルートフォース攻撃~
1組の平文と暗号文があれば、共通鍵を割り出す事も可能(ア...
--[[サイドチャネル攻撃>#eabdf29f]]
※ 標的が攻撃者に与えてしまうヒントのことをオラクル(神託...
***ダウングレード攻撃 [#r1ae8990]
SSL/TLSネゴシエーションで、強度の低い暗号スイートを選択さ...
***[[サイドチャネル攻撃>#f2c2a00a]] [#eabdf29f]
**ダーク・ほにゃらら [#sb1c5e9c]
***ダーク・ネット [#h29f270c]
元々、2011年に枯渇したとされるIPアドレス(IPv4)のうち、~
実際にはホストが割り当てられていない(使われていない)も...
-このIPアドレスはサイバー攻撃やマルウェアの伝染のために利...
-ダーク・ネットのパケットのトラフィックの分析をセキュリテ...
***ダーク・ウェブ [#c70281de]
元々は、米国海軍が諜報活動の匿名性、秘匿性を確保する目的...
独裁国家の反体制派、内部告発者、ジャーナリスト等が利用し...
昨今、違法活動にも用いられているため、検察や政府機関の一...
-特別なネットワークとソフトウェアを使用しないとアクセスで...
--Tor(The Onion Router)~
インターネットへの匿名アクセスの提供に重点を置いている
--I2P(Invisible Internet Project)~
ウェブサイトの匿名ホスティングができるように特化
-検索エンジンのクローラーの探索対象外となるので検索サイト...
-企業など法人内のアクセスのあるウェブサイトはディープウェ...
**サイドチャネル攻撃 [#f2c2a00a]
-非破壊攻撃の一種。
-暗号装置の動作状況を様々な物理的手段で観察することにより...
装置内部のセンシティブな情報を取得しようとする攻撃方法の...
-以下の様な様々な種類がある。
--[[電磁波解析攻撃(テンペスト攻撃)>#db9bde82]]
--[[音響解析攻撃>#x9d12a22]]
--[[電力解析攻撃>#jce3dad7]]
--[[故障利用攻撃(フォールト攻撃)>#r2090429]]
--[[タイミング攻撃>#m382ae4d]]
--[[キャッシュ攻撃>#nbc45037]]
--[[プローブ解析>#j63ff095]]
--[[スキャンベース攻撃>#dcea20b6]]
--, etc.
***電磁波解析攻撃(テンペスト攻撃) [#db9bde82]
-機器から出力される微弱な電磁波を計測して元情報を復元する。
-色々な攻撃の種類があるが、パソコン・モニターの~
漏洩電磁波から画面表示を“再現”する攻撃の種類が有名。
***音響解析攻撃 [#x9d12a22]
計算機が動作中に発するノイズ(10~50kHz)を分析すると処理内...
***電力解析攻撃 [#jce3dad7]
1個の電力波形をモニタリングすることで暗号解読を行う攻撃
***故障利用攻撃(フォールト攻撃) [#r2090429]
ICカード等の[[耐タンパ>#we7b8cd8]]デバイスの計算誤りを利...
-放射線の照射や高電圧を加えたり,瞬間的にクロッ ク周波数...
-結果 得られる誤った計算結果と正しい計算結果から秘密鍵の...
***タイミング攻撃 [#m382ae4d]
-暗号処理のタイミングが暗号鍵の論理値により変化することに...
-暗号化や復号に要する時間を解析することで暗号鍵を推定する...
***キャッシュ攻撃 [#nbc45037]
キャッシュ付CPUでは、キャッシュヒットにより~
メモリアクセス時間が異なることを利用すると、~
ブロック暗号に対してタイミング攻撃が可能~
***プローブ解析 [#j63ff095]
-[[耐タンパ>#we7b8cd8]]デバイスのパッケージを取り去り直接...
-攻撃対象の[[耐タンパ>#we7b8cd8]]デバイスについての深い知...
***スキャンベース攻撃 [#dcea20b6]
-スキャンチェーンまたはスキャンパス
--スキャンチェーンまたはスキャンパスはテスト容易化技術
--スキャン入力からスキャン出力までの信号が流れる経路
-これを実装した暗号 LSIに対する攻撃
--暗号化処理中のレジスタの値をスキャンデータとして取得・...
--暗号 LSIの秘密情報を取得する
***[[耐タンパ>高度午前 - コンピューター・システム - ハー...
ページ名: