本日の勉強内容
- 脅威の種類と概要
脅威の分類
脅威とは
情報セキュリティを脅かし、損失を発生させる直接の原因となるもの。
- 災害の脅威
地震、落雷、風害、水害など - 障害の脅威
機器の故障、ソフトウェア障害、ネットワーク障害など - 人間による意図的な脅威
不正アクセス、盗聴、情報の改ざんなど - 人間による偶発的な脅威
操作ミス、書類やPCの紛失、物理的な事故など
不正のトライアングル
不正行為は、「動機」「機会」「正当化」の3つがそろったときに発生するという考え。
- 動機
過剰なノルマ、金銭トラブル、怨恨など、不正行為のきっかけとなるもの - 機会
ずさんなルール、対策の不備等、不正行為を可能、または容易にする環境の存在 - 正当化
「良心の呵責」を乗り越え、不正行為を納得するための都合の良い解釈や責任転嫁
J-CSIP(ジェイシップ)
サイバー情報共有イニシアティブ(Initiative for Cyber Security Information sharing Partnership of Japan:J-CSIP)
独立行政法人情報処理推進機構(IPA)によって発足。各参加機関でNDAを締結した上で、検知されたサイバー攻撃などの情報を公的機関であるIPAに集約。その後、情報提供元や機微情報の匿名化を行うとともに、IPAによる分析情報を付加した上で情報を提供することで、高度なサイバー攻撃対策につなげていく取組み。
NDA(Non Disclosure Agreement):非開示契約。秘密保持契約。
STIX(Structed Threat Information eXpression:脅威情報構造化記述式)
マルウェアをはじめとした各種サイバー攻撃活動に関する情報を記述するための標準仕様。
次の8つの情報群から構成。
- サイバー攻撃活動(Campaigns)
- 攻撃者(Threat_Actors)
- 攻撃手口(Tactics, Techniques and Procedures:TTPs)
- 検知指標(Indicators)
- 観測事象(Observables)
- インシデント(Incidents)
- 対処措置(Courses_Of_Action)
- 攻撃対象(Exploit_Targets)
サイバーキルチェーン
攻撃者の視点から、サイバー攻撃のプロセスをいくつかの段階に分けたもの。
- 偵察
- 武装化
- デリバリ
- 攻撃
- インストール
- コマンド&コントロール
- 目的実行
MITRE ATT&CK(MITRE Adversarial Tactics, Techniques, and Common Knowledge:マイターアタック)
MITRE社が運用する、攻撃者の攻撃手法や戦術を分析して作成された、サイバー攻撃の目的や手法を中心としたナレッジベース。
サイバー攻撃のプロセスを14のTacticsに分け、各Tacticsにおける攻撃手法を600以上のTechniques, Sub-Techniquesとして分類。
主なサイバー攻撃(概要)
アドレススキャン
ターゲットとなるネットワーク内に順番に「pingパケット」を送って応答が返ってくる機器のIPアドレスを調査する手法
ポートスキャン
サーバーの各ポートへデータを送信し、その応答から稼働状況を調べる方法
スタックフィンガープリンティング
サーバーで用いられているオペレーティングシステムの種類やバージョンなどを、外部から特定する手法
パケット盗聴
ネットワークを流れるパケットを不正に盗み見ること
DNSサーバからの情報収集(不正なゾーン転送要求)
権威 DNS サーバの設定不備を突き、ターゲットサイトのネットワーク構成やサーバ構成などの情報を入手する手法
ソーシャルエンジニアリング
ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法
フィッシング
本物を装ったメールを送付し、そこに悪意あるページのリンクを貼り付け、口座番号やクレジットカード番号などを入力させて盗む手法
DNSキャッシュポイズニング攻撃
名前解決要求に割り込み、不正な名前解決情報をDNSキャッシュに登録させる攻撃
ウォードライビング
利用可能なWi-Fiアクセスポイントを探してドライブする行為
他人の所有するWi-Fiを利用することで、自身の身元を隠匿しオンライン上で活動することが目的
パスワードクラック
辞書ファイル、ブルートフォース、レインボーテーブルなどの手法でパスワードを解読・ログインを試みる手法
セッションハイジャック
クライアントとサーバの正規のセッションに割り込んで、そのセッションを奪い取る行為
ARPポイズニング
ARPキャッシュを攻撃者が改ざんすることによりネットワークの盗聴や転送データの操作を可能にする攻撃法
セッションフィクセーション
悪意あるサイバー攻撃者が事前に取得したセッションIDを正規のサイトユーザーに利用させ、その利用者になりすます手法のこと
セッションIDの固定化とも言う
バッファオーバフロー(BOF)攻撃
入力データの処理に関するバグを突いて、コンピュータのメモリに不正なデータを書き込み攻撃を行う手法
クロスサイトスクリプティング(XSS)
WebアプリケーションやJavaScript等に存在する脆弱性を悪用し、ユーザのPC上で不正なスクリプトを実行させる攻撃
SQLインジェクション
ユーザの入力によってSQL文が発行されるWebアプリケーションにおいて、
Webページから不正なSQL文を発行することで、データベースの操作や情報野不正取得等を行う攻撃
OSコマンドインジェクション
ユーザの入力によってOSのコマンドを呼び出して処理するWebアプリケーションにおいて、
Webページから不正なコマンドを入力することで、任意ファイルの読出し、変更、削除、パスワードの不正取得等を行う攻撃
HTTPヘッダインジェクション
ユーザの入力によってHTTPメッセージのレスポンスが生成されるWebアプリケーションにおいて、
Webページから不正なデータを入力することで、任意のヘッダフィールドやメッセージボディを追加したり、複数のレスポンスに分割したりする攻撃
メールヘッダインジェクション
ユーザの入力によってメールが送信されるWebアプリケーションにおいて、
不正なメールヘッダを混入させることにより、意図していないアドレスに迷惑メールを送信するなど、メール送信機能を悪用した攻撃
ディレクトリトラバーサル攻撃
ユーザの入力によってファイルにアクセスするWebアプリケーションにおいて、
上位のディレクトリを意味する文字列等を用いることで、公開を意図していないファイルに不正にアクセスする攻撃
サーバサイドリクエストフォージェリ(SSRF)
攻撃者から直接到達できないサーバーに対する攻撃手法の一種
何らかの方法で公開サーバーから内部のサーバーにリクエストを送信することにより、内部のサーバーを攻撃
クロスサイトリクエストフォージェリ(CSRF)
Webアプリケーションのユーザ認証やセッション管理の不備を突いて、サイトの利用者に、Webアプリケーションに対する不正な処理要求を行わせる手法
DoS攻撃
ターゲットサイトに対して意図的に不正なパケットや膨大なパケットを送り付けることで、特定のサービスやターゲットサイトのネットワーク全体が正常動作できない状態に陥れる攻撃
スパムメール
受信者の意向を無視して一方的に繰り返し送られる迷惑メール
マルウェア(ウイルス、ワーム、ランサムウェア、ボットなど)
利用者の意図に反する不正な振舞いをするように作られた悪意あるプログラムやスクリプト
クリックジャッキング攻撃
webサイトのコンテンツ上に、透明化した例やに標的サイトのコンテンツを重ねて配置することで、利用者を視覚的に騙して不正な操作を実行させる攻撃
標的型攻撃
明確な目的を持つ攻撃者が、特定の組織や団体等をターゲットとして、その取引先や関係者、公的機関などを騙ってマルウェアや不正なリンクが埋め込まれたメールを送信することで相手を騙し、情報を盗もうとする攻撃
ビジネスメール詐欺(BEC)
取引先や上司を装った巧妙なメールのやり取りにより、企業などの担当者を騙し、攻撃者の口座へ不正に送金させる詐欺行為
SEOポイズニング
検索エンジンの順位付けアルゴリズムを悪用し、閲覧者をマルウェアに感染させるような悪意のあるサイトを検索結果の上位に表示させるようにする行為