情報セ3 セキュリティ脅威1(不正アクセス) 2013年10月8日 後 保範 1 情報セ3 情報セキュリティ脅威の種類 • • • • • • • • 破壊(データの破壊、消去) 漏洩(機密情報漏洩、個人情報漏洩) 改ざん(HPやデータベースの不正な書き換え) 盗難(ノートパソコンや書類、USBメモリ等の盗難) 不正利用(通信回線、サーバー等の不正利用) サービス停止(大量アクセス等で利用不能に) 踏み台(他のサイトを攻撃する拠点に利用される) ウイルス感染(データの破壊や他への感染) 2 情報セ3 不正アクセスとは • インターネットを通して忍び込む侵入者 知らない間にパソコンの情報がのぞかれる ウイルスなどに感染し、パソコンの情報が壊される • 不正アクセスによる被害 メールが勝手に見られる 個人情報が盗まれ、その情報が売買される ホームページの情報が勝手に改ざんされる オンラインショップ等で勝手に買い物される 3 情報セ3 不正アクセス事例(1週間) 2013/08/08:「GREE」で3万9590件の不正ログインが発生 - 関連 アカウントのサービスを一時停止 2013/08/08:「じゃらんnet」で2万7620件の不正ログイン被害が 判明 - 2月と6月に発生 2013/08/07:「IP-PBXへの不正アクセスに注意 」 身に覚へのな い国際電話料金が発生するおそれ 2013/08/06:「サイトの一部が改ざん」閲覧者にウイルス感染の おそれ - ホクト 2013/08/02:「メールニュース読者に誤ってマルウェアをメール 配信」- 都産技研 2013/08/02:LINEが「NAVER」の不正アクセス犯を海外警察と連 携して特定 - 「立会いのもとデータを削除した」 http://www.security-next.com/category/cat191/cat27より 4 情報セ3 不正アクセスの手順 不正アクセス 窃盗による住居侵入 事前調査 住居の下見 権限取得 住居侵入 不正実行 金品の窃盗 後処理 証拠隠滅 5 情報セ3 ネットワークのスキャン • アドレススキャン HPの周辺の接続可能IPアドレスをpingで探す • ポートスキャン TCP/IPの仕組みを利用し、利用可能なポートを探す • バナーチェック 接続テストの応答情報から接続情報を探す • セキュリティスキャナ 上記からサイトの脆弱性の調査を統合して行う 6 情報セ3 ポート番号とは • インターネット通信において、IPアドレス(電子 住所)の下に設けられた補助アドレス • 補助アドレスとして0~65535のポート番号 • IPアドレスとポート番号を組み合わせたネット ワークアドレスを「ソケット」と呼ぶ • 実際のデータの送受信はソケット単位 • 20,21(FTP), 22(ssh), 23(telnet), 25(SMTP), 80(http)等は決ったポート番号を使用 7 情報セ3 ポートスキャン • ポートスキャンはポートに順番にアクセスし、 動作しているOSやアプリケーションを調べ、 侵入口となる脆弱ポートがないか調べる • ポートスキャンの結果、セキュリティホールが 発見されると侵入用のプログラムを使用し、 不正侵入を試みる • ポートスキャンコマンド Windows: nmap, netstat Unix: nmap, netstat 8 情報セ3 ポートスキャン例1 nmap –F 192.168.1.22 nmapコマンド 日経BP社のHPから 9 情報セ3 ポートスキャン例2 nmap –O –sV -F 192.168.1.22 nmapコマンド 日経BP社のHPから 情報セ3 パスワード・クラック • OSやアプリケーション、リモートアクセスに設 定されたパスワードを解読する攻撃 • オンライン攻撃 ターゲットに対しアクセスしながら行う攻撃 パスワードの誤入力が3回連続なら認証停止 • オフライン攻撃 侵入により一度パスワードが保存されたファイル(通 常、暗号化されている)を入手して解読する 11 情報セ3 パスワードの不正入手 • パスワードは普及した本人確認の手段 • これが盗まれると大きな被害の可能性大 • パスワード解読の攻撃方法 総当り攻撃(ブルートフォースアタック) 辞書攻撃(ありそうな組合せ)、盗聴(スニフィング) • 不正入手後のクラッカーの行動 ログの消去(証拠隠滅) バックドア(正規手順以外のアクセス経路)の作成 12 情報セ3 パスワード奪取の方法 方 法 内 容 考えられるすべてのパスワードの組み 総当り攻撃 合わせを試す いつかはパスワードにたどり着く 時間がかかる 辞書攻撃 よくやりそうなパスワードから試す ふつうの辞書や人名、場所等の辞書 パスワード向き言葉を集めた辞書 個人情報を収集し辞書にする 13 情報セ3 パスワード奪取への対策 方 法 内 容 パスワードを長くする 使う文字数を増やす 総当り攻撃 英小文字と数字4文字: 364 = 百万 英大小と数字9文字: 629 = 京 定期的に変更する 辞書攻撃 簡単に推測できる言葉にしない 辞書にのる有意味語にしない 生年月日等の個人情報にしない 大文字や特殊記号を途中にいれる 14 情報セ3 セキュリティホールとは • システムのプログラムミスなどにより生じた、 セキュリティ上の弱点 • 外部ユーザが本来実行できない操作が可能 になり、情報が改ざんされたり、個人情報が 漏洩したり、踏み台にされたりする。 • OS、Webブラウザ、メール・クライアント、http サーバやDNSサーバなどに欠陥があると、そ れを悪用されて不正実行される 15 情報セ3 セキュリティホールの利用 • セキュリティホールを利用した主な攻撃方法 を下記に示す (1) バッファーオーバフロー (2) SQLインジェクション (3) クロスサイト・スクリプティング (4) クロスサイト・リクエスト・フォージェリ 16 情報セ3 バッファーオーバーフロー • バッファーオーバーフローとは アプリケーションのバグ(バッファーサイズのチェック が不十分)を利用した攻撃 • バッファーオーバーフローの原理 入力バッファーサイズのチェックが不十分なプログラ ムに対し、不正に長いデータを入力し、バッファー領 域の先(戻りアドレス)を不正に書き換える。 書き換えた戻りアドレスの位置(入力バッファー内)に 不正な機械語プログラムを送り込む。 17 情報セ3 バッファーオーバーフロー 日経BP社のHPから 18 情報セ3 SQLインジェクション • ホームページの入力フィールドのSQLコマンド を不正に入力し、データベースの内容を不正 に操作すること • 原因は入力に対する値のチェックが不十分 • 新聞等で「ハッカーによる不正アクセスで個 人情報が漏洩」の多くはこの手法 • データベースの内容が改ざんでき、ネットバン キングの口座情報が書き換えられる可能性 19 情報セ3 SQLインジェクション 日経BP社のHPから 20 情報セ3 SQL言語 • SQLはデータベースを操作する専門言語 • データベース・マネージメントシステム(DBMS) に命令を送るのが仕事 • その文法は一つの文で完結して意味を持つ • 条件分岐や繰り返しは制御は持たない • 具体例 SELECT * FROM 顧客テーブル WHERE 顧客ID=1 OR 顧客ID=3 21 情報セ3 クロスサイト・スクリプティング • ユーザーのWebブラウザにスクリプトを送り 込み、それを実行させる攻撃手法 • セッションIDを盗むのに使われることが多い • セッションIDを盗むほかの手口はWebサイトと ブラウザの間の通信暗号化で防げるが、本 方法では暗号化しても防げない • 盗んだCookieを使えば、どのパソコンからでも正規 ユーザーになりすまして狙ったWebサイトに不正ア クセスできる 22 情報セ3 クロスサイト・スクリプティング 日経BP社のHPから 23 情報セ3 スクリプ言語 • 機械語への変換作業を省略して簡単に実行 できるようにした簡易プログラム作成言語 • スクリプト言語で作られたプログラムをスプリ クトと呼ぶ • PerlやVBScript、JavaScriptなどがある • 小規模なプログラムを簡単に作成できる • Webページに動きを加えたり、Webサーバ上 で動的にページを生成するのに使用 24 情報セ3 Cookie • Web サイトでは、Cookie を使用してユーザー ごとに表示内容を変えたり、Web サイトの使 用状況に関する情報を収集したりします • Cookie を使用して、サイトにユーザーの個人 設定を記憶させたり、サイトにアクセスする際 のサインインを省略可能にしたりして、利便性 を向上させる • Cookieはユーザ領域(C:¥users¥...など)に保存 25 情報セ3 クロスサイト・リクエスト・フォージェリ • クラッカが正規ユーザーの意図に反してWeb アプリを勝手に操作する攻撃 • Webアプリにアクセスするスクリプトを、ログイ ン中のエンドユーザーのパソコンに送り込ん で不正に起動させる • 悪意のあるスクリプト付きのWebページをエ ンドユーザーにダウンロードさせる • 有名掲示板サイトに気を引く言葉とともに罠を仕掛 けたリンクを書き込んでクリックさせる 26
© Copyright 2024 Paperzz
