情報セキュリティ基礎[1-4 暗号]
1-4-1 セキュリティ技術の広がり
セキュリティ技術とは
セキュリティとは、安全に仕事を進めるための継続的な取り組みの総称。その中にはセキュリティポリシの策定など、組織的、人的な取組みもあるが、通信の内容チェックなど、システムが行った方が効率的かつ正確である分野がある。これらを行うための技術群をセキュリティ技術とよぶ。 特に利便性とセキュリティは本質的にトレードオフの関係になるため、利便性を落とさずにセキュリティを維持するためのさまざまな技術が考えられている。
セキュリティ技術の種類
セキュリティの技術の主なものとしては、「暗号化」「認証」「マルウェア対策」「フィルタリング(不正アクセス対策)「信頼性向上技術」がある。 これらは、コンピュータの中だけで行われているわけではない。ここでは、私たちの生活のなかの出来事と較べてイメージしてみる。
暗号化
郵便を送る時、内容を見られると困る文書は葉書ではなく封書で出す。ネットワーク上のパケットは、誰にでも見られてしまう可能性があるため、そのままでは葉書と同じ状態にある。そこでパケットをデータ上の封書に入れて、送信しようとするのが暗号化。 ただし、封書に入れただけでは、封を切ればよいわだから、その気になれば簡単に内容がわかってしまう。そこで、頑丈な箱に入れて、当事者だけがもっている鍵でしか開けられないようにするなど、他人に見られるのを防ぐ工夫がなされる。より頑丈な箱や複雑な鍵を考案することでセキュリティの向上が図られる。
認証
電話の相手の人物をどうやって確かめるか。たいていは名乗った名前や声で判断する。このように本人かどうかを判断することが認証の主な役割。 ネットワークでも通信相手のユーザが本当に本人かどうかを確かめなければならない。そしてユーザごとに行ってよい行為を取り決め、それ以外のことはさせないようにする。
マルウェア対策
ソフトウェアは有益であることが前提だが、実のところコンピュータはプログラムの指示通りに動作し、その善悪を判断する力はない。そこに、マルウェア(悪意のあるソフトウェアの総称)が入り込む余地がある。 マルウェアの特徴を識別し、削除できる機能を持つ、ウイルス対策ソフトを使って対策する。識別のために、シグネチャと呼ばれるデータベースを常に更新する必要がある。
フィルタリング
人気アーティストのライブなどには人が殺到する。しかし、それをすべて受けれていたら切りないため、お金を払ってチケットを買った人だけ会場に入れて、それ以外の人にはお帰りいただく。また、会場に入る人の中でも、一般客と関係者で立ち入れる場所が異なる。このように、出たり入ったりする情報の流れを統制し、一定のルールで仕分けすることをフィルタリングという。
信頼性向上技術
セキュリティというとどうしても「クラッカーと戦う」イメージがあるが、安全に仕事をするという意味では「使っているシステムが壊れないようにする」というのも重要なセキュリティ技術。解くのに100時間かかるゲームの99時間目を保存したデータが壊れたらしばらく立ち直れない。仕事のデータだったら被害はさらに重大。そこで、自動的にデータを二重に保存したり、システムが故障した際の代替機を用意したりして、仮に故障など発生しても継続して仕事が続けられるように対策する。
| 具体的な対策例 | 得られる効果 | |
|---|---|---|
| 暗号化 | 無線LANの通信を暗号化する | 第三者の傍受による情報漏えいを防止できる |
| 認証 | サーバへのアクセスをパスワードとデジタル証明書で認証する | 第三者からの不正なログインを防止できる |
| マルウェア対策 | ウイルス対策ソフトの導入 | マルウェアの感染と動作を防止できる |
| フィルタリング | 会社から出ていく通信の監視 | 機密情報や個人情報の漏えいを防止できる |
| 信頼性向上技術 | 機器の冗長化 | 故障やミスによるデータ破壊から復旧できる |
1-4-2 暗号の基本
盗聴リスクと暗号化
ネットワークシステムの運用には、盗聴(ネットワーク上を流れるパケットを傍受する行為)のリスクがある。ネットワーク上のパケットは、その経路上で監視することが可能であり、監視リスクを完全に消し去ることは不可能。そこで、何らかの対策を講じることでリスクを許容可能な範囲に留めること(リスクコントロール)が必要。盗聴リスクに対して用いられる対策が暗号化。 暗号化とは情報(平文)と特定の条件の場合のみ、復元可能な一定の規則で変換し、一見意味のない文字列や図案(暗号文)とするもの。対して、暗号化した暗号文をもとに情報を戻すことを復号という。
暗号の基本と種類
暗号化アルゴリズムは、平文を暗号文に変換するルールのことだが、単に平文を暗号化しただけでは、同じ暗号アルゴリズムを使えば、買得されてしまう。そこで、個々に異なった変数を用いることで、買得をより難しいものにする。 ITシステムはこの特定の条件を鍵(キー)というビット列で表現する。情報にアクセスしてよいユーザだけが鍵を保持することで、権限のない非正規ユーザへの情報漏えいを防止する。
1-4-3 共通鍵暗号
共通鍵暗号方式
共通鍵暗号方式は、コンピュータシステムの初期段階から用いられてきた暗号方式で、暗号化と復号に同一の鍵(秘密鍵)を用いる点が特徴。 互いに鍵が同一であることは暗号システムの負荷を軽減する。したがって、共通鍵暗号方式では暗号化処理に必要なCPU資源や時間を節約することができる。
共通鍵暗号方式のしくみ
共通鍵暗号方式では、送信者と受信者が同じ秘密鍵をもっている。共通鍵暗号方式でシステムを構築する際の重要な留意点は、この鍵の配布。 秘密鍵は送信側、受信側のどちらで作成しても構わないが、通信相手に伝達しなければ利用できない。秘密鍵をメールなどで配布するとそれ自体に盗聴の危険が発生するし、郵送は処理時間がネックになる。
秘密鍵の管理鍵数
共通鍵暗号方式では通信のペアごとに異なる鍵を用意しなければならない。 例えば、次の図で鍵Aと鍵Bに同じ鍵を使用すると、他のペア(Aから見たB-Cペアなど)の通信を解読するため、盗聴のリスクが発生する。 このため、n人が参加するネットワークで相互に通信する場合、n(n-1)/2個の鍵が必要になる。
共通鍵暗号方式の実装技術
共通鍵暗号方式の中でもさまざまな実装方式がある。ここでは、それぞれの方式の特徴を示す。
DES (Data Encryption Standart)
秘密鍵暗号方式で最も代表的な暗号方式。IBMが開発し1977年にNISTが標準暗号として採用したことから普及した。 DESでは平文を64ビットごとのブロックに分割して転置と換字を行う。 ブロックに分割された平文はブロック内でさらに32ビットごとに分割され、転置、換字など複雑な処理を16回繰り返す。 この手順がブロックごとに反復され、平文全体が暗号化される。
鍵の数
DESは秘密鍵として56ビットのデータ列を用いる。この場合、鍵のバリエーションは2の56乗=約7京。 DESが開発された当初はこれを現実的な時間内にすべて試すことは不可能だったが、CPUパワーが飛躍的に向上すると総当りによる解読速度は短縮される。現在ではDESでは用に特化させた解読マシンを用いれば数十時間で解読が可能だと言われている。このように技術の進歩により暗号強度が低下してしまうことを危殆化という。NISTはDESにかわる新たな暗号化方式としてAES (Advanced Encryption Standart) の使用を定めている。
TripleDES
DESの脆弱性が次第に指摘されるようになったことを受けて開発された暗号化方式。 DESの暗号化アルゴリズムをそのまま利用し、鍵を2つ用意して暗号化、復号、暗号化という手順を踏む。 結果敵にTripleDESを解読するためには2つのDES鍵と、48回の暗号化処理を復元しなければならず暗号解読の難易度を上げている。 ただし、暗号アルゴリズム的な弱点はDESのそれをそのまま引き継いでいるため注意が必要。
AES
NISTがDESにかわる次世代暗号化方式として採択した標準。公募によって定められた。 AESもDESと同様のブロック化暗号方式だが、ブロック長、鍵長ともに128ビット、192ビット、256ビットの中から任意に設定でき、仕様的にはさらに長いビット長も利用可能。また、DESと比較して、処理効率がよいので、少ないメモリのマシンでもサポートできる特徴がある。
秘密鍵の管理
秘密鍵の管理は原則として、利用するユーザ本人に任されるべき。プライバシー保護の観点、あるいはデジタル署名を利用する場合の真正性の確保に大きく関わってくるため。
1-4-4 公開鍵暗号
公開鍵暗号方式
共通鍵暗号方式は一対一で通信を行うことを念頭に設計された。したがって、複数のユーザと通信する必要がある場合、急速に管理すべき鍵数が増加する。また構造上、不特定多数との通信には利用できない。そこで、暗号化鍵と復号鍵を分離した方式である公開鍵暗号方式が考えられた。
公開鍵暗号方式のしくみ
まず、一対の鍵ペアを作成する。鍵ペアのうち、一方で暗号化したものは、もう一方で復元できるが、ここで、どちらかを暗号化鍵とし、もう一方を復号鍵と決める。 公開鍵暗号方式では、この暗号化鍵を一般に公開する。これを公開鍵といい、暗号化のみに利用されるため、公開しても問題ない。 それに対して、暗号化された文書を復号するための鍵は、受信者が秘密に管理する。これを秘密鍵という。 公開鍵は誰でも利用できるものの、その公開鍵を使って暗号化された文書を復号できるのは、秘密鍵をもっているユーザだけになる。受信者は自分宛ての文書が他人に解読されないように、秘密鍵を厳重に管理しなければならない。
公開鍵暗号方式の管理鍵数
公開鍵暗号方式は鍵管理負担の増大も解決する。共通鍵暗号方式ではn人のネットワークで暗号をやり取りするのにn(n-1)/2個の鍵が必要だったのに対して、公開鍵暗号方式では2n個の鍵で済む。ネットワークに参加するユーザの数が増加するほど、両者で管理しなければならない鍵の数に開きがでるため、公開鍵暗号方式は大人数間通信用途に適している。 ただし、公開鍵暗号方式は一般的に処理に必要なCPUパワーが同じ鍵長の共通鍵暗号方式の数百~数千倍といわれている。このため、暗号化処理、複合処理に多くの時間がかかるデメリットがある。
公開鍵暗号の実装技術
公開鍵暗号方式にも共通鍵暗号方式同様にさまざまな実装方式がある。
RSA
RSAは最も普及している公開鍵暗号方式。開発者である Rivest、Shamir、Adleman の3人の頭文字をとって命名された。 RSAは大きな数値の素因数分解に非常に時間がかかることを利用した暗号方式。 以下の鍵ペアを用意した場合、a、c、d を決定できれば、bを導いて秘密鍵を得ることができるが、cとdを計算することが非常に困難であるため、bを決定できないという原理に基づいて設計されている。 公開鍵(a、N) 秘密鍵(b、N) N=素数c×素数d
RSAは計算量に依存したアルゴリズムであるため、将来的にコンピュータの計算能力が飛躍的に増大した場合には解読されてしまう危険性がある。増加するコンピューティング能力に対して相対的なセキュリティレベルを維持するため、RSAは年々鍵長を増大させており、クラッカーとのいたちごっこになっている。
楕円曲線暗号
米国の数学者、ニール・コブリッツとビクター・ミラーによって1985年に考案された暗号方式。楕円曲線乗の演算規則を利用して鍵を生成する。 例えば、Y=aX mod p において、Xが秘密鍵、Y、a、pが公開鍵となる。通常、Y、a、pからXを求めるためにはRSAにも適用される数体ふるい法を用いるが、楕円曲線暗号はこうした理数対数問題の解決アルゴリズムに対して強固であるといわれている。
ハイブリッド方式
公開鍵暗号方式は、鍵配布時のセキュリティ、管理鍵数の増加問題を解決するが、暗号化、復号に必要な演算量が大きく処理に多くの時間がかかる。特に大容量データの暗号化に公開鍵暗号方式を利用すると、処理上のボトルネックになる可能性が高くなる。 そのため、折衷案として、ハイブリッド方式を採用するシステムが増加している。共通鍵暗号の鍵の配布は公開鍵暗号方式を利用し、データ本文のやり取りは共通鍵暗号方式を用いる。 これにより処理速度と利便性の両方を確保することができる。
| 長所 | 短所 | 主な方式 | |
|---|---|---|---|
| 共通鍵暗号 | 機器への負荷が小さい | 不特定多数との通信が苦手(鍵数の増大、配送の困難) | AES |
| 公開鍵暗号 | 不特定多数とのつうしんが可能 | 機器への負荷が大きく、通信速度が遅くなる | RSA |
情報セキュリティ基礎[1-3 サイバー攻撃手法]
1-3-1 不正アクセス
不正アクセスとは
システムを利用するものがその与えられた権限によって許された以上の行為をネットワークを介して意図的に行うことを不正アクセスとよぶ。 セキュリティホールを突いた攻撃も不正アクセスとみなされる。なお、こうした行為は不正アクセス禁止法によって処罰される。
不正アクセスの方法
対処を考えるためにも不正アクセスの手法を確認しておくことが重要。
ネットワークスキャン
不正アクセスをするために、攻撃対象となるコンピュータを特定する必要がある。そのための準備行動としてネットワークスキャンが行われる。 考えられるあらゆるIPアドレスにpingを実施し、相手ノードの存在確認を行うなどの方法がとられる。
ポートスキャン
コンピュータの存在が確認できると、次はコンピュータ内部のアプリケーションの動作確認を行う。コンピュータ内部で動作しているアプリケーションを特定できれば、そのコンピュータがどのような用途で使われているか、管理者はどの程度のスキルをもっているか、などの情報を得ることができる。稼働しているアプリケーションによっては既知の脆弱性がある場合もある。こうした情報を得るために攻撃者はポートスキャンを行う。具体的にはTCPの3ウェイハンドシェイクを利用して、すべてのポートに対して接続要求を行う。
バッファオーバーフロー
稼働しているアプリケーションが判明した場合、次の行動として侵入行為が行われる。その際に使われる典型的な手法がバッファオーバフロー。攻撃者がこの領域(バッファ)を超えるサイズのデータを送信することをバッファオーバーフロー攻撃とよぶ。
パスワードの取得
管理権限を奪うにはバッファオーバーフローが有効な手段となるが、システムに攻撃を許すようなセキュリティホールがない場合もある。その場合、最も簡単に管理権限を取得する方法は管理者のユーザIDとパスワードを得ること。
ブルートフォース攻撃
管理者のユーザIDはデフォルトで運用されることが非常に多く(root、adminなど)、一般に考えられているよりも取得は簡単。また、適切なパスワードで運用されている場合でも、考えられるすべてのパスワードの組み合わせを試すブルートフォース攻撃(総当り攻撃)によってパスワードを特定することができる。
辞書攻撃
パスワードの候補として、利用されがちな簡単な体型化したデータベースを利用する。攻撃対象が明確に定まっている場合は、事前に生年月日はペットの名前、電話番号など入手してこれもデータベースに登録する。 最終的には総当たり方法になるにしても、これらの語を優先的にパスワードとして試すことでパスワードを発見するまでの時間が大幅に短縮される。
パスワードリスト攻撃
あらかじめ何らかの手法で入手したアカウントとパスワードの対を用いて、不正ログインを指向する方法。パスワードを様々なサイトで使い回すとクラッカーがそれを入手したときに、他のサイトでも攻撃を成功させてしまう。
| 特徴 | 対策 | |
|---|---|---|
| ブルートフォース攻撃 | すべてのパスワードを試す | パスワード試行回数を制限する |
| 辞書攻撃 | パスワードになりそうな単語や、被攻撃者ゆかりの情報(誕生日など)を試す | 安易なパスワードを使わない |
| パスワードリスト攻撃 | 他のシステムから流出したIDやパスワードを試す | パスワードの使いまわしをしない |
侵入後の危機
いったん不正アクセスに成功すると、侵入者はその証拠の隠滅を図ったり、再侵入のための布石を打ったりする。
ログの消去
管理者権限がダッシュされた場合、システムは完全に無防備な状態になる。ほぼ攻撃者の思いのママに情報資産を取得される。この状態で攻撃者が行うのはログの消去。
バックドアの作成
攻撃者が管理者権限を取得した場合、また同じシステムに侵入しようと試みるケースがある。その場合、同じ手順を踏んで再び侵入できるとは限らない。また、侵入にかかる時間と手間を短縮する意味からバックドアとよばれる進入路を確保する。また、パスワードの変更やデータの変更といった事象を攻撃者のもとへ届ける機能や情報を漏洩する機能のプログラムを指す場合もある。
1-3-2 盗聴
盗聴とは
盗聴はネットワーク上を流れるデータを取得する行為。盗聴の特徴は特に積極的な攻撃行為を行わなくとも、収集できるデータを集めているだけでほしい情報が得られる可能性がある。
盗聴の種類
盗聴自体は、そのやり方さえわかってしまえば、それほど高度な技術力がなくても可能。それだけに確実に基本的な対策を施しておくことが重要。
スニファ
ネットワーク上を流れるデータ(パケット)を取得(キャプチャ)して、内容を解読する。プロトコルアナライザと呼ばれる機器(専用機や、PCにインストールして使うタイプがある)はネットワーク管理を行うための分析ツールで、パケットの取得と分析がでいる。悪用すれば盗聴になる。もちろん流れていないデータは取得できないので、攻撃者は任意の場所にプロトコルアナライザを設置する必要がある。入退室管理や通信の暗号化で対策する。
電波傍受
無線LANをはじめとする無線通信は、電波が届く範囲であれば誰でも受診できるため、常に盗聴のリスクがある。無線LANの標準的な暗号化方式であるWAP2を使って、暗号化を行う。前世代のWEPは脆弱性が発見されており、容易に盗聴できることが知られている。ケーブルなどから漏れる微弱な電流を取得して盗聴が行われることもある。これに対してはケーブルに電磁波シールとを施すなどの対策が有効。
キーボードロギング
キーロガーと呼ばれる、キーボードからの入力を蓄積して攻撃に送信するタイプのマルウェアが用いられる。キーボードを使って、IDやパスワードなどの重要な情報を入力するとそれがすべて攻撃者に知られてしまう。ウイルス対策ソフト、ソフトウェアキーボード、共有のPCを使わないなどの対策を行う。
DNSキャッシュポイズニング
DNSサーバに保存されている名前解決情報に、偽の情報を記録させ、利用者に意図しないサーバと通信させる方法。 DNSサーバはコンテンツサーバとキャッシュサーバに分類できる。
- コンテンツサーバ(権威サーバ):オリジナルの名前解決情報をもっている
- キャッシュサーバ:各サイトに置かれ、名前解決情報のコピーを保存する
通常手段
ディレクトリトラバーサル
管理者が意図していないディレクトリにアクセスを行う攻撃手法。 例えばカレントディレクトリ内のファイルだけにアクセスしてもらうつもりで、利用者にファイル名を入力してもらったとして、
| 内容 | 対策 | |
|---|---|---|
| スニファ | ネットワーク上のパケットを盗聴する | 暗号化 |
| 電波傍受 | 無線LANの傍受、ケーブルなどから漏れる微弱電磁波の傍受 | 暗号化、ケーブルをシールドする |
| キーボードロギング | キーボードからの入力を傍受 | マルウェア対策ソフト、PCの共有をしない |
| DNSキャッシュポイズニング | DNSを偽データで汚染する | DNSSECの利用、ポート番号のランダム化 |
| ディレクトリトラバーサル | 意図しないディレクトリにアクセスする | 不正なデータの無害化 |
1-3-3 なりすまし
なりすましとは
なりすましは攻撃者が正規のユーザになりすまして、不当な情報資産を利用する権限を得ようとする行為。
なりすましの種類
単純な手段からネットワークを介した技術の必要なものまでさまざまな方法がある。
パスワードリスト攻撃
不正な手段や他のサイトからの流出によって入手したIDやパスワードを利用して、他人になりすます方法。パスワードの使いまわしをやめ、定期的に変更することでリスクを低減できる。
IPスプーフィング
IPパケットのヘッダ情報を偽装することによって、他のマシンになりすまし、本来アクセスを許可されていないシステムにアクセスする方法。ステートフルインクスペクションやIDS/IPSの導入などにより、りすくを低減できる。
踏み台
第三者のコンピュータを踏み台にすることで、踏み台にしたコンピュータからアクセスしているように見せかける技術。アクセスログの監査などでも、踏み台のIPアドレスが残り犯罪を隠蔽できる。脆弱性のあるマシンや公開プロキシなどが踏み台に利用される。公開しているサーバのセキュリティ水準を上げることで、踏み台にされにくくし、またIDSやIPSなどで踏み台攻撃を識別する。
ARPスプーフィング
ARPはIPアドレスからMACアドレスを知るためのプロトコルだが、ARP要求に対する偽の返答を攻撃者が用意することで、不正なマシンに通信を誘導する技術。ARPテーブルの監視などで対応する。
セッションハイジャック
二者間で行われる通信を攻撃者が乗っ取る方法。サーバになりすまして個人情報やパスワードを入手したり、サーバとクラアンとの間に割って入って通信を中継(中間者攻撃)したりする。 通信内容がすべて攻撃者に筒抜けになる。セッションを管理しているセッションIDや通信用のポート番号をランダムにするなどして、攻撃者に攻撃の手がかりを与えないようにする。
リプレイ攻撃
ネットワークに送信されるログイン情報を取得して、そのコピーを使って不正ログインする。ワンタイムパスワードなどで対策する。
MITB
マン・イン・ザ・ブラウザ(Man in the Browser)の略称。MITBはマルウェアがブラウザとサーバの間に介入することによって、ブラウザの通信を乗っ取る攻撃で、利用者は正規のサーバと通信しているつもりだが、不正なサーバなどに情報を送信してしまう。スマホを使ったトランザクション認証によって対応する。 似た名前の用語として、MITM(マン・イン・ザ・ミドアタック)がある。MITMは「中間者攻撃」の意で、通信を行っている二者間に割り込んで、通信の中継を行う。割り込まれている二者は中継されていることに気づかず、すべての通信内容を盗聴されている。PKIを用いて、認証局が発行したデジタル証明書を使うことで攻撃を回避できる。
フィッシング
正規のサイトになりすますことで個人情報の入手や詐欺を行う手法。ぱっと見では本文のURLと判別しにくいURLをスパムメールで送ったり、本物のURLと打ち間違えやすいURLで、間違えて訪れる利用者を待ったりする。判別しにくい短縮URLも利用される。リンクは利用せず、検索エンジンを使って目的サイトに到達するなどの対策をする。
標的型攻撃
十分な準備を行って、特定の組織や人を攻撃する方法。標的企業の正規の書類フォーマットや組織図、人間関係を把握して行われるので、見破りにくいのが特徴。顧客のふりをして取引をしながら攻撃することもある。高度な技術を用いて執拗な攻撃が行われる場合を得にAPT (Advanced Persistent Threat) と呼ぶ。また、標的企業がよく利用するサイトを改ざんして、そこからマルウェアを感染させるような攻撃方法を水飲み場攻撃という。社員の情報セキュリティリテラシを向上するなどして対策する。
| 内容 | 対策 | |
|---|---|---|
| パスワードリスト攻撃 | 不正な手段で入手したIDとパスワードでログインする | パスワードの使いまわしをしない。定期的に変更する |
| IPスプーフィング | IPパケットのヘッダを偽装して、他のマシンが送信しているようになりすます | 一連の通信の矛盾を見つけるステートフルインスペクションなど |
| 踏み台 | 第三者のPCを経由して攻撃する | IDS/IPSの導入、自分が踏み台にされないことも重要 |
| ARPスプーフィング | ARPに偽の名前解決情報を記憶させる | ARPテーブルの監視 |
| セッションハイジャック | 二者間で行われる通信を、クラッカーが乗っ取る | 通信の認証と暗号化、セッション番号の乱数化 |
| リプレイ攻撃 | ネットワーク上を流れるログイン情報を取得し、そのまま使う | ワンタイムパスワード |
| MITB | ブラウザとサーバの間に介入して、ブラウザの通信を乗っ取る | スマホなどを使ったトランザクション認証 |
| フィッシング | 偽URLなどにより、詐欺サイトへ誘導する | URLの確認、リンクを踏まず検索エンジンから目的Webサイトへ、セキュリティ対策ソフトの利用 |
| 標的型攻撃 | ターゲットを絞り、周到な準備のもとに攻撃する | セキュリティ教育 |
1-3-4 サービス妨害
サービス妨害とは
サービス妨害(DoS)は、サーバに負荷を集中させるなどしてサーバを使用不能に陥れる攻撃。盗聴などと異なり、重要な情報を盗み出す、といった要素はないが、営業妨害などに利用される。 DoS攻撃の扱いで苦慮するのは、通常のアクセスと区別しにくい点。チケット販売サイトや重要な告知が行われるサイトでは、ユーザに悪意がなくても、アクセス要求の集中によるサービスのダウンなどが日常的に発生しており、DoS攻撃をこれらと完全に区別することは困難。
サービス妨害の種類
TCP SYN Flood
TCPの通信がスタートするときの3ウェイハンドシェイクは、SYN→SYN/ACK→ACKの3つのやり取りで行われるが、3つめのACKを行わないことで待ちぼうけを食らわせる攻撃方法。通信の要求があるとサーバ側は通信用にCPUやメモリを割り当てるので、これを無駄遣いさせる。繰り返すことで性能低下やシステムダウンを狙うことができる。この他にも大量の通信を送信して相手の処理能力を飽和させる、xxFlood系の攻撃方法は多数存在する。TCP SYN Floodの場合は一定時間経過したコネクションを切断することで対処する。
Ping of Death
セキュリティホールのあるOSでは、許容範囲を超えるサイズのpingを送ると意図しない動作を引き起こすことが可能。この脆弱性を突いた攻撃方法。セキュリティパッチを適用することで対応する。
DDoS攻撃
大規模分散型のDoS攻撃。DoS攻撃では、攻撃用の大量のパケットをどう作るかが攻撃者の悩みどころだが、ボットネットなどを使って多数のマシンを動員するのがDDoS攻撃。多数のマシンが関わるため、特定のIPアドレスからの通信を遮断するなどで対処しにくい特徴がある。IDSの導入や通信事業者との連携で対応する。
ランダムサブドメイン攻撃
あるドメインにランダムなサブドメインを付けて、オープンリゾルバに問い合わせをする攻撃方法。例えば、gihyo.co.jp を攻撃するなら、uhauha.gihyo.co.jp のようにする。ランダムであるため、オープンリゾルバのキャッシュには名前解決情報が存在せず、コンテンツサーバへの問い合わせを大量に発生させられる。
ICMP Flood
通信の疎通確認用プロトコルであるICMPを大量に送信する攻撃方法。基本的なプロトコルであるため、多くのマシンが攻撃対象となり得るのが特徴。ICMPに返答しないことで対応する。
smurf
疎通確認コマンドであるpingをブロードキャストアドレスに対して行い、返信先に攻撃対象のIPアドレスを設定する。攻撃者側のPCが1台でも、多数のマシンから攻撃用のパケットを送ることができる。ブロードキャストアドレスを使ったpingを禁止することで対応する。
| 特徴 | 対策 | |
|---|---|---|
| TCP SYN Flood | TCPのコネクションを多数はって妨害 | 一定期間経過したコネクションの切断 |
| Ping of Death | 巨大なパケットを送信して妨害 | セキュリティパッチの適用、ICMPへの応答の禁止 |
| DDoS攻撃 | 膨大な数のPCから攻撃パケットを送信する | 効果的な対策が難しい。IDSの導入やキャリアとの連携など |
| ICMP Flood | 大量のpingを送信して妨害 | ICMPへの応答の禁止 |
| smurf | pingの返信アドレスを標的PCにして、大量んも通信を発生させる | ブロードキャストpingの禁止 |
サービス妨害の法的根拠
サービス妨害では、個々の通信は特に違法性がない。一般的に伝統的な刑法はコンピュータ犯罪を裁くことが困難だった。 例えば情報の窃視(盗み見ること)は電子計算機損壊等妨害罪や電子計算機使用詐欺罪などの罪には該当しない。刑法では盗難とは有体物を盗むことであり、メモリ上のデータをコピーしても罪には問えないため。そこで不正アクセス禁止法などの行政法規が登場して、アクセス制御しているコンピュータへの攻撃やセキュリティホールを突いた攻撃への罪科を規定した。 しかし、アクセス制御されていないコンピュータは対象外のため、正規のアクセスと区別がしにくいサービス妨害攻撃への適用も困難。サービス妨害攻撃への適用も困難であるという課題は以前として残っている。
1-3-5 ソーシャルエンジニアリング
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングはIT技術によらず、人的な脆弱性を利用して情報を窃取する手法。
ショルダーハッキング
ショルダーハッキングはその中でも典型的な事例で、ユーザIDやパスワードをタイプしているユーザの肩口からその様子を盗み見て、情報を取得する。 攻撃者が社内の要因で信頼されている場合や、キーボードのタイプが遅いユーザに対して用いられると非常に効果的。攻撃者にしてみれば特にリスクを負うことなく情報を収集することができる。
スキャビンジング
ゴミ箱あさりのこと。ゴミ箱に捨てられた情報をつなぎ合わせて本来の重要な情報を復元する作業を指す。情報は廃棄段階で扱いがぞんざいになることが多く、意外に重要な情報がエられる場合がある。シュレッダされた情報を復元されるケースもあり、情報の廃棄段階での処理も重要。
会話
業務担当者同士の会話などは、重要情報の宝庫。ホテルのロビーや喫茶店などで打ち合わせをする場合、周囲の環境や会話の内容に注意する。重要な打ち合わせの場合は、公共の場所を利用しないなどの配慮が必要。 また、不慣れたユーザや権力のあるユーザを装って管理者にユーザIDやパスワードを聞く方法もある。
BEC
Business E-mail Compromise (「ビジネスメール 詐欺」と訳されることが多い)の略。上司や取引先など、自分にとって逆らいにくい相手からのメールに偽装して、偽の振込などをさせる手法。他のソーシャルエンジニアリング手法を併用して、その会社の標準的な文書フォーマットを攻撃に用いることで、攻撃の成功率を高める。
共連れ
ICカードや顔認証などのしくみによって、許可された者しか建物や部屋に入れないようなセキュリティシステムを構築していてで、ICカードをかざした者の直後に関係のない人が続くという実にアナログなやり方で、セキュリティシステムが突破されてしまうことがある。これを共連れという。
1-3-6 その他の攻撃方法
スパスメール
スパムメールとは、無断で送りつけられてくる報告メールや意味のない大量のメール(ネズミ講、チェーンメールなど)を指す。スパムメールはプログラムによって自動生成され、大量に送信されるため、メールサーバに大きな負荷をかける。
クリスサイトスクリプティング
クロスサイトスクリプティング(XSS)は、スクリプト攻撃の一種。スクリプト攻撃はホームページ記述言語であるHTMLにスクリプトを埋め込める性質を利用した攻撃方法。 HTMLへのスクリプトの埋め込みは、動的なコンテンツを作成するためによく利用される技術。しかし、スクリプトに悪意のあるコードを埋め込んでおくことでユーザのコンピュータに被害を与えることも可能。
[クロスサイトスクリプティングの手順]
- クラッカーは悪意のあるスクリプトを埋め込んだホームページを作成し、ユーザの利用を待つ。
- ユーザが偶然や誘導によりそのホームページを閲覧する。
- スクリプト実行に関する脆弱性のあるサイトに要求が転送される(ユーザが信頼しているサイトであればさらによい)
- 脆弱性のあるサイトは転送された悪意のあるスクリプトを埋め込んだ形でホームページデータを返信する。
- ユーザのブラウザで悪意のあるスクリプトが実行される。
クロスサイトリクエストフォージェリ
利用者が何らかのサービス(例えば掲示板)を見ている最中に、クラッカーの不正サイトを訪れると、クラッカーから不正スクリプトが送信され、掲示板に意図しない書き込みを行ってしまうような攻撃手法。
ゼロデイ攻撃
ゼロデイ攻撃は、脆弱性が見つかっているのに、それに対応する手段がない状態での攻撃を指す用語。セキュリティパッチが公開されるまで、ベンダが脆弱性を公表しないなどの措置をとることがあるのは、ゼロデイ攻撃の牽制。
情報セキュリティ基礎 [1-2 情報資産・脅威・脆弱性]
1-2-1 情報資産・脅威・脆弱性の関係
情報資産と脅威
情報セキュリティを考える上で最も重要なのは、守るべき範囲を決定すること。守るべき対象が明確化されていなければ、それを適切に保護していくことは不可能。
したがってセキュリティ対策を考える際にはまず自社がもつ情報セキュリティの中で保護されるべき対象を洗い出す。これを情報資産とよぶ。
脆弱性の存在
情報資産に対して脅威があるだけではリスクは顕在化しない。
リスクを顕在化させる状況のことを脆弱性と呼ぶ。
脅威が存在しても、脆弱性がなければリスクは現実のものにならない。また、脆弱性があっても脅威が存在しなければリスクににならない。
つまり、情報資産+脅威+脆弱性=リスクのうち、どれが欠けてもリスクは成立しない。脅威と脆弱性が一体化したときに、情報資産に対するリスクが発生する。
1-2-2 脅威の種類
物理的脅威
火災や地震、侵入者などによって、直接的に情報資産が破壊される脅威のことを指す。
技術的脅威
ソフトウェアのバグやコンピュータウイルス、不正アクセスなど、論理的に情報が漏洩したり破壊されたりする脅威。
結果敵に情報資産が破壊されるという点では、物理的脅威と変わらないが、経路やプロセスが不可視であるため、検知や対策がしにくい。
人的脅威
ミスによるデータ、機器の破壊や、内部犯による確信的な犯行によって情報資産が漏洩したり失われたりする脅威。
統計からもセキュリティ侵害が行われる最も大きな原因の一つが人的なミス。
攻撃者の目的
脆弱性と脅威が重なったとき、情報資産へのリスクが発生する。自然災害などではリスクが実際に発動するきっかけはランダムな要因によるが、人間の攻撃者の場合はリスクを積極的に利用して情報資産を手に入れようとうする。
知的好奇心
かつてのハッカーがハッキングを行う動機として、最も割合が高かったのが、知的好奇心を満足させるために行う攻撃。
金銭
近年になって増加している犯行動機。情報は貴重であるほど、高い対価が設定されるため、情報を盗み出して金銭に変えようとする攻撃者が現れる。
自己顕示欲
自分の高いシステム知識を見せびらかすために攻撃が行われる場合がある。ホームページの改ざんなどがこの動機の場合によく行われる。
攻撃者の種類
ハッカー
クラッカーと混同されるが、もともとは「情報システムに非常に詳しいユーザ」「知的好奇心に富んだパワーユーザ」などの尊称の意味。現在でも世界ハッカー会議などの有識者会議が存在する。
クラッカー
明確に犯罪者であると定義される。クラッカーの行為は非常に悪質だが、保持しているスキルは高いため攻撃者の中でもやっかいな部類に入り、あらゆる手段を駆使してシステムを攻撃する。高度なクラッカーに狙われた場合、そのシステムは運が悪かったと諦めるしかないとう論調もある。
内部犯
すべての攻撃者の中で唯一、正当なシステム権限を用いて情報資産を盗用したり流用したりできる点にある。攻撃者としての割合、リスクが顕在化した場合の被害額など大きな位置を占めている。
-用語-
1-2-3 脆弱性の種類
物理的脆弱性
物理的な施策でコントロールが可能な弱点を指す。例えば、社屋やコンピュータシステムが耐震構造になっていなかったり、マシンルームに可燃物が放置されていたり、社屋への進入路が開かれていたりといった状況が例に挙げられる。従来からある考え方でコントロールすべき対象物が目に見えるため、わかりやすいという特徴がある。
耐震・耐火構造の不備
情報資産は一般的にデリケートであるため、火災や地震で簡単に破壊されてしまう。業務が情報システムに大きく依存する度合いが大きくなっているいま、これらが失われると大損失を招く。そのため耐震、耐火は重要。耐震構造建屋、消化器などで対策する。
ファシリティチェックの不備
人材の流動性や働き方の多様性が高まっているため、多数の人が企業を訪れる機会が増えている。悪意の第三者が紛れやすくなっているため、入退室管理などの対策が必須。
機器故障対策の不備
セキュリティ対策というイメージが薄いため、盲点になりがちだが、安全に仕事をすすめるための施策として重要。機器の冗長化や故障する前に交換してしまう予防保守などによって対策する。
紛失対策の不備
情報端末の高性能化、小型化が進み、業務にスマホを使うことも一般化した。そのため、紛失や盗難のリスクが高まっている。必ず認証のしくみを使う、データを暗号化する、遠隔地から所在地を確認できる、データの消去ができるといった対策を取る。
技術的脆弱性
システムの設定やアップデートによってコントロールが可能な弱点を指す。例えばソフトウェア製品のセキュリティホール、コンピュータシステムへのウイルスの混入、アクセスコントロールのみ実施など。ネットワークの常時接続化によって技術的脆弱性のコントロールすることの重要性が増している。
アクセスコントロールの不備
正当な利用者だけが情報資源を使える権限管理は、セキュリティの基本。業務の多様化、人材の流動化、テレワークの増加にしたがい、権限管理の複雑さが増加。管理漏れなどへの対策として、マネジメントシステムの導入や、管理の自動化が有効。
マルウェア対策の不備
マルウェアの数が増え、作りも巧妙になっている。メールやSNSなど、感染経路も多様化しているため、何らかの対策を施すことが必須になっている。マルウェア対策の基本はウイルス対策ソフトの導入。シグネチャを最新に保つことや、セキュリティ教育も合わせて実施する。
セキュリティホール
攻撃者のプロ化が進み、攻撃の動機は確実に金銭目的へシフトしている。すでに生活の手段になっているため、膨大な労力を投じた新たなセキュリティホールが探されている。ベンダが公開する脆弱性情報は、守る側よりも攻撃者が積極的に収集し、攻撃手段を研究する種にしている。公開されたセキュリティパッチは迅速に適用する必要がある。
テストの不備
開発コストの圧縮や納期の短縮、システムの複雑化により、テスト期間の短縮とテスト項目の増大が同時におっている。テストの体系的な実施や、自動化ツールの導入で品質を落とさずにこうした事態に対処する。
人的脆弱性
人が介在する弱点。介在する人の多くは内部社員。脆弱性の例としては内部犯による情報資源の持ち出しや、オペレータの過失によるデータの喪失/誤入力などが挙げられる。人材の流動化やシステムの複雑化/分散化、情報のポータビリティ(持ち運びのしやすさ)の拡大など、多くの要因が関連しており、コントロールが難しい分野といわれる。
組織管理の不備
組織の人員が複雑で流動的になり、テレワークなどの遠隔勤務形態も一般的になったいま、組織をきちんとガバナンスしていくことは困難になっている。内部統制や業務のライフサイクルマネジメント、デジタル・フォレンジックすの導入などで組織や業務を可視化して対策する。
過失
情報システムが社会基盤となり、過失が引き起こす被害の範囲や影響が大きくなっている。フールプルーフや自動化処理、適切な業務環境の整備などで対策する。
必要な権利しか持たない、最小権限の原則は過失にも有効。「誤ってデータを消去した」といった事態の範囲を小さくできる。
状況的犯罪予防
「割れ窓理論」が有名だが、窓が割れるなどの一見軽微な瑕疵でも放置すると、ここは落書きしてもいいんだ、ゴミを捨ててもいいんだ、と、どんどん行為がエスカレートして、やがて犯罪を誘発する。クリアデスクや監視カメラの設置によって、犯罪をしにくい環境を整える。
不正のトライアングル
機会と動機と正当化がそろうと、不正が行われるリスクが高まる。例えば、
機会:先生が見回りをしない
動機:この単位を落とすと留年する
正当化:みんなやっている
→カンニングをしてしまう
となる。先生が鬼のように見回りをするなど、なにか一つ要素を除去してリスクを減らす。
情報セキュリティ基礎 [1-1 情報のCIA]
情報にはさまざまな形態がある。
特に近年は技術の高度化により、保存形態の面でも伝送形態の面でもバリエーションが増加している。
情報セキュリティのとらえ方
- 機密性(Confidentiality)
アクセスコントロールとも呼ばれる概念。許可された正当なユーザだけが情報にアクセスするよう。システムを構成することが要求される。 - 完全性(Integrity)
情報が完全で正確であることを保証する。情報の一部が失われたり、改ざんされたりすると完全性が失われる。 - 可用性(Availability)
ユーザが情報を必要とするときに、いつでも利用可能な状態であることを保証する。機器が保証していたり、停止していたりすることで可用性は低下する。 - 真正性
システムや利用者になりすましできないこと。主張する通りのものであること。 - 責任追跡性
情報システム、情報資産を利用した記録が確実に残ること。 - 否認防止
事象の発生と、それをやらかしたのが誰かを特定できること。 - 信頼性
システムの動作とその結果が意図された通りになっていること。意図する行動と結果とが一貫している。
クラッカーだけがセキュリティの敵ではない
情報セキュリティという言葉は、マスコミの報道などもあってクラッカーからシステムを保護するという意味合いにとられる場合が多くなっている。
しかし、機密性、完全性、可用性の情報セキュリティの要素をみると、必ずしも情報セキュリティはクラッカーのみによって侵害されるわけではないことがわかる。
例えば、コンピュータの故障は可用性を低下させる要因で、情報セキュリティにとって脅威となる。
情報セキュリティの目的
情報セキュリティは、セキュリティを達成すること、それ自体が目的ではない。セキュリティ施策を推進すているうちに、目的と手段がいれかわることは、ままあるので、目的を明確化することは重要。セキュリティ管理を行う目的は主に以下のようなもの。
- 情報資産の保護
- 顧客からの信頼獲得
- 1.と2.の結果として、競争力、収益力の維持・向上
プロシージャを強制終了する
Exit SubステートメントとEndステートメント
プロシージャを強制終了するときにはExit SubステートメントかEndステートメントを使います。
単独のプロシージャ内で使用するときには、両者の相違点はありません。したがって、どちらのステートメントでプロシージャを強制終了してもかまいません。しかし、サブルーチン内で使用するときには、その昨日が大いに異なりますので注意が必要です。
サブルーチン内でExit Subステートメントでプロシージャの実行を強制終了したときには、親プロシージャに制御が戻ります。そして、サブルーチンを呼び出した位置の次のステートメントから実行が再開されます。
一方、サブルーチンないでEndステートメントでプロシージャの実行を強制終了したときには、親プロシージャに制御は戻りません。つまり、その時点でプロシージャの実行は完全に終了するのです。
フラッシュバックテーブル
表のデータを過去の一時点まで戻す機能。
従来はバックアップをリストアする必要があるが、この機能を使えばその必要はない。
また、DBAが関与することなく、各ユーザーの責任で操作できることも特徴の1つ。
ただし、ユーザーはFLASHBACK ANY TABLEシステム権限を与えられていなくてはならない。
また、そのユーザーにはSELECT、INSERT、DELETE および ALTERオブジェクト権限も付与されている必要がある。
表のフラッシュバックを行うためのデータは、UNDO表領域から取り出される。
データを戻すためには、操作を行う表で、行の移動を有効にしておかなくてはならない。
