セキュリティー

サイバー攻撃手法と対策

情報セキュリティ対策の種類

技術セキュリティ対策

暗号化、認証、アクセス制御など、技術によるセキュリティ対策。技術的な対策には、攻撃を防いで内部に侵入させないための入口対策と侵入された後にその被害を外部に広げないための出口対策がある。

人的セキュリティ対策(管理的セキュリティ)

教育、訓練や契約などにより、人に対して行うセキュリティ対策。

物理的セキュリティ対策

建物や設備などを対象とした、物理的なセキュリティ対策。入隊しゅつ管理やバックアップセンタ設置などを行う。離席時にPCの画面が見えないようにするクリアスクリーンなどがある。

具体的なサイバー攻撃

・不正アクセス:許された以上の行為をネットワークを介して意図的に行うこと

バッファオーバーフロー攻撃

メモリの格納領域を越えるサイズのデータを送信する。
対策:入力文字数が制限を超えているときは受け付けない

ブルートフォース攻撃(総当たり攻撃)

考えられる全てのパスワードの組み合わせを試す

リバースブルートフォース攻撃

パスワードを一つ選び,利用者IDとして総当たりにログインを試行する。

パスワードリスト攻撃

何らかの手段で入手したアカウントとパスワードの対を用いて、不正ログインを試行する

辞書攻撃

パスワードになりそうな単語や被攻撃者ゆかりの情報(誕生日など)を用いてログインを試みる

類似攻撃

利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して,パスワードを類推する

レインボー攻撃

想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃です。通常パスワードは漏えい対策のためにハッシュ化された状態でサーバに記録されていますが、レインボー攻撃はこのハッシュ化されたパスワードから本来のパスワードを推測することを目的としています

ランダムサブドメイン攻撃

脆弱性のある公開キャッシュサーバ(オープンリゾルバ)や欠陥を持つホームルータに対して、実際には存在しない幾つものサブドメインに対するDNSクエリを発行することで、権威DNSサーバへの問合せを意図的に大量発生させる攻撃です。この攻撃を受けた権威DNSサーバは、過負荷状態となりサーバダウンやサービス停止に陥ってしまう可能性があります。権威DNSサーバがダウンすると、管理下のドメインの名前解決ができなくなるため多数のWebサイトの利用に影響を与えます。

※バックドア:侵入にかかる時間と手間を短縮するために、攻撃者が用意する進入路のこと

DNSキャッシュポイズニング

DNSサーバーに偽の名前解決情報を記録させ、意図しないサーバーと通信させる

DNSアンプ攻撃(DNSリフレクタ攻撃)

インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し,攻撃対象のWebサーバに大量のDNSのレスポンスを送り付け,リソースを枯渇させる。

ディレクトリトラバーサル

管理者が意図していないディレクトリにアクセスをさせる

踏み台攻撃

第三者のコンピュータを介して、そのコンピュータからアクセスしているように見せかける

設定の不備によって,正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し,送信元を偽った迷惑メールの送信を行う。

フィッシング

なりすましなどで正規サイトに見せかけた詐欺サイトへ誘導するなどして、個人情報の入手や詐欺を行う

ハクティビズム

Webサイトのページを改ざんすることによって,そのWebサイトから社会的・政治的な主張を発信する

オープンリダイレクトを利用した攻撃

オープンリダイレクトは、URLパラメタやフォームデータなどの外部パラメタによって指定されたWebページに遷移するようにしているWebアプリケーションが、実装不備により、無制限にURLを受け入れてしまう状態です。攻撃者がこの脆弱性を悪用することで、利用者は、気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。

標的型攻撃

特定の組織や人にターゲットを絞り込んで行う攻撃。企業の正規の書類フォーマットや組織図、人間関係を把握するなど、十分な準備の上で行われる。

BEC(Business E-mail Compromise)

偽の電子メールを組織・企業に送り付け、架空の送金取引などを通じて金銭をだまし取るサイバー攻撃です。ソーシャルエンジニアリング的に人の心理的な隙に付け込んだ攻撃であり、技術的対策で排除することが難しいので、攻撃の手口を担当者への周知させておくことが必要となります。E-mailが本物の名前とメールアドレスが使われているなど

Dos攻撃

サーバーに負荷を集中させるなどしてサーバーを使用不能に陥れる攻撃。営業妨害などに利用される

DDos攻撃

大規模分散型のDos攻撃。ボットネットなどを使って多数のマシンを動員する

ソーシャルエンジニアリング

人的な脆弱性を利用して情報を窃取する手法。

ショルダーハッキング

IDやパスワードを入力している肩口から見て情報を取得する

スキャビンジング(トラッシュハッキング)

ゴミ箱に捨てられた情報を繋ぎ合わせて本来の情報を復元する作業

スパム

無断で送り付けられてくる広告メールや意味のない大量のメールを指す

クロスサイトスクリプティング攻撃(XSS)

スクリプト攻撃の一種で、HTMLにスクリプトを埋め込める性質を利用してコンピュータに被害を与える

1クラッカーは悪意のあるスクリプトを埋め込んだホームページを作成しユーザーの利用を待つ

2ユーザが利用する

3スクリプト実行に関する脆弱性のあるサイトに要求が転送される(ユーザーが信頼しているサイトであればされに良い)

4脆弱性のあるサイトは転送された悪意のあるスクリプトを埋め込んだ形でホームページデータを返信する

5ユーザのブラウザで悪意のあるスクリプトが実行されるクロスサイトリクエストフォージェリ:利用者が何らかのサービス(例えば掲示板)を見ている最中にクラッカーの不正サイトを訪れるとクラッカーから不正スクリプトが送信され掲示板に意図しない書き込みを行なってしまうような攻撃手法

クロスサイトスクリプティング(XSS)とは、攻撃対象のWebサイトの脆弱性を突き、攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けることで、サイトに訪れるユーザーの個人情報などを詐取する攻撃のことを指します。

対策:サニタイジング:入力値に含まれる特殊文字を無害化する処理

クロスサイトリクエストフォージェリ攻撃(CSRF)

Webサイトにログイン中にユーザーのスクリプトを操ることで、Webサイトに被害を与える攻撃のこと。

SQLインジェクション

データベースに送信するデータの中にSQL文を混入して不正にデータベースを操作する行為

対処方法として、プレースホルダを使う、プレースホルダーが使えない場合はエスケープ処理をして、使ってはいけない文字を、同じ意味の別の書き方に書き換える。ゼロデイ攻撃:脆弱性が見つかっているのに、それに対応する手段が用意されない内に行われる攻撃

スニファ

ネットワーク上を流れるデータ(パケット)を取得(キャプチャ)して内容を解読するプロトコルアナライザはネットワークを管理を行うための分析ツールで。パケットの取得と分析ができるので、悪用すれば盗聴することができる。

キーボードロギング

キーロガーと呼ばれるキーボードからの入力を蓄積して攻撃者に送信するタイプのマルウェアが用いられる。

IPスプーフィング

IPパケットのヘッダ情報を偽装することによって、他のマシンになりすまし、本来アクセスを許可されていないシステムにアクセスする方法。ステートフルインスペクションやIDS/IPSの導入によってリスクを低減できる。

MITB(Man int the Browser)

マルウェアがブラウザとサーバーの間に介入することによってブラウザの通信を乗っ取る攻撃。

オープンリダイレクトを利用した攻撃

Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し,攻撃者が指定した偽のWebサイトに誘導する。

オープンリダイレクトは、URLパラメタやフォームデータなどの外部パラメタによって指定されたWebページに遷移するようにしているWebアプリケーションが、実装不備により、無制限にURLを受け入れてしまう状態です。

クリックジャギング

攻撃者が用意したWebページの前面に透明化した別のWebページを重ねることでユーザを視覚的にだまし、正常に視認できるWebページ上をクリックさせることで、透明化したWebページのコンテンツを操作させる攻撃です

“X-Frame-Options”は、フレーム要素(<frame>または<iframe>)を使用したコンテンツ表示を許可するかどうか指示するためのHTTPヘッダで、値として”DENY(拒否)”または”SAMEORIGIN”を指定することがクリックジャッキング攻撃への対策

クリックジャッキング攻撃は、別サイトのHTMLをフレーム要素で読込み、それを透明化して罠サイトの上に重ね合わせるため、フレーム要素を使用した他サイトの表示を禁止すれば防ぐことができます。

クリプトジャッキング

暗号資産(仮想通貨)を入手するために必要な膨大な計算作業(ハッシュ値の計算)を、他人のコンピュータ資源に秘密裏に行わせる行為です。コードを仕組んだマルウェアを感染させる方法、Webページのスクリプトにコードを仕込んでおき、訪れた利用者がページを閲覧しているときに最中に計算させてしまう手法などがあります。

スキミング

カード加盟店に正規に設置されている,カードの磁気ストライプの情報を読み取る機器から,カード情報を窃取する

ランサムウェア

利用者のPCを利用できなくし,再び利用できるようにするのと引換えに金銭を要求する。

攻撃の事前準備と事後

フットプリンティング

特定のコンピュータにサイバー攻撃を行う前の事前準備として、攻撃対象を下調べする行為です。コンピュータやWebページ内の脆弱性の有無を調査したり、検索エンジン、公開データベースおよびツールを用いて個人や組織の情報を収集したりするなど、攻撃の足掛かりとなる情報を得る行為が該当する

セッション乗っ取り

セッションタイムアウト:Webアプリケーションにはセッションタイムアウト機能を設ける。ユーザはログアウト操作をすることを忘れてしまうことがある。

明示なログアウトの機能:Webアプリケーションには明示的なログアウトの機能を設ける。できれば、各ページでログアウト操作が行えると良い。

ルートキット

システムログに偽の痕跡を加えることによって,攻撃後に追跡を逃れる。