情報セキュリティ読本 - IT 時代の危機管理入門 -

1

情報セキュリティ読本

情報セキュリティ読本　– プレゼンテーション資料 -

情報セキュリティ読本　　　 - IT 時代の危機管理入門 -

プレゼンテーション資料（第 2 章今日のセキュリティリスク）

2情報セキュリティ読本　– プレゼンテーション資料 -

第 2 章　今日のセキュリティリスク1. 情報セキュリティ2. 高水準で推移するウイルス被害3. 外部からの侵入（不正アクセス）4. サーバへの攻撃（サービス妨害）5. 情報システムのセキュリティホール


1. 情報セキュリティ

1 ）情報セキュリティの基本概念– 機密性– 完全性– 可用性

2 ）情報資産とリスク・インシデント– 情報資産– リスクとインシデント– リスクの要因

第 2 章


1 ）情報セキュリティの基本概念

正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること

◆ 機密性：アクセスを認可された者だけが、情報にアクセス　　　　　　　できることを確実にすること◆ 完全性：情報および処理方法が正確であること及び完全　　　　　　　であることを保護すること◆ 可用性：認可された利用者が、必要なときに、情報及び関連　　　　　　　する資産にアクセスできることを確実にすること

情報の機密性、完全性及び可用性の維持（情報セキュリティマネジメントシステムの国際標準である ISO/IEC17799 の定義）

第 2 章 > 1. 情報セキュリティ


2 ）情報資産とリスク・インシデント• 情報資産

– 財務情報、顧客情報、技術情報等– システム（ハードウェア、ソフトウェア）、

ネットワーク、データ、ノウハウなどさまざまな形

• リスク– 情報資産が損なわれる可能性（内的、外的な

要因がある）• インシデント

– 実際に、情報資産が損なわれてしまった状態

第 2 章 > 1. 情報セキュリティ


◆ 情報　　（紙、電子媒体、ネットワーク上）　　財務情報、人事情報、顧客情報、　　戦略情報、技術情報等◆ 情報システム　　コンピュータ（パソコン、サーバ、　　汎用機）、ネットワーク、通信設備◆ 社会的信用

（脅威）守るべきもの

リスクの要因第 2 章 > 1. 情報セキュリティ > 2. 情報資産とリスク・インシデント


2. 高水準で推移するウイルス被害• ウイルス届出件数は 1999 年より急増• 2002 年、 2003 年と減少したが、 2004

年から再び増加に転じる• 巧妙化・凶悪化が最近の特徴• ウイルス届出は、 IPA セキュリティセン

ターの Web ページに毎月掲載　コンピュータウイルスの届出状況　　 http://www.ipa.go.jp/security/txt/list.html

第 2 章


3. 外部からの侵入（不正アクセス）

1 ）侵入の手口2 ）事前調査3 ）権限取得4 ）不正実行5 ）後処理

第 2 章


1 ）侵入の手口• 一般的な侵入は次の 4 つの段階を経て行われ

る

第 2 章 > 3. 外部からの侵入（不正アクセス）

事前調査

ﾎﾟｰﾄｽｷｬﾝ

アカウント名の調査

ｼｽﾃﾑの情報収集

不正実行

ファイル奪取

資源利用

不正プログラム埋込

踏み台

後処理

裏口作成証拠の隠滅

（結果）

権限取得

一般ﾕｰｻﾞ権限獲得

様々な攻撃

特権ユーザ獲得

パスワード推測


2 ）事前調査• システム情報の収集

– IP アドレス– サーバ名– サーバソフトウェア– OS の種類、バージョン– 提供されているサービス– 侵入検知システム

• Web サイトの調査やポートスキャンを実行


　　ポートスキャンとは？（用語集より）　　攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの　　状態を調査すること。（ポートと脆弱性については、読本 p.83-84 参照）


3 ）権限取得

• ツールなどを使用し、パスワードを強引に解読して権限を取得　 = 　パスワードクラッキング

• パスワードクラッキングの手法　　 i ）ブルートフォース攻撃　⇔用語集 p.130 参照

• 総当り的に調べる　　 ii ）辞書攻撃　 ⇔用語集 p.125 参照

• 特殊な辞書を使用して照合



4 ）不正実行不正行為内　容

盗聴ネットワーク上のデータや保存データを不正に入手。情報窃盗。

（例）・パスワードの盗用　　・企業データの漏えい・個人データ（メール、日記など）の盗み見

改ざんデータを書き換え。（例）・ Web ページの改ざん、設定書換え

なりすまし別の個人を装い、さまざまな行為を行う。（例）・ ID 、パスワードを盗み出し、正当なユーザーに見

せかけて侵入　・他人のクレジットカードでショッピング

破壊　　データやプログラムの削除、ハードディスクの初期化など。コンピュータ不正使用

コンピュータを不正に使用する。（例）・コンピュータを遠隔地から操作

不正プログラムの埋め込み

　　不正プログラムには、ユーザの知らない間に情報を入手して　　外部へ送信したり、ファイルを破壊するなど様々な悪さを働くもの　　がある。これらのプログラムを埋め込む。

踏み台不正アクセスを行う際の中継地点として使用する。（例）・アカウントを不正使用し他のサイト攻撃の拠点とす

る・スパムメール (spam mail) の中継



5 ）後処理

• 証拠隠滅　　ログの消去などにより侵入の形跡を消す• バックドアの作成　　次回の侵入を容易にするための裏口を設置



4. サーバへの攻撃（サービス妨害）

1 ） DoS 攻撃（サービス妨害攻撃）– DoS: Denial of Services

2 ） DDoS 攻撃（分散 DoS 攻撃）– DDoS: Distributed DoS

3 ）メール攻撃

第 2 章


1 ） DoS 攻撃

• サーバに過大な負荷をかけ、パフォーマンスの低下やサービス停止に追い込む攻撃

• Ping の悪用など、さまざまな攻撃手法がある• DoS 攻撃を行うコードを仕込むウイルスも登場

している

第 2 章 > 4. サーバへの攻撃（サービス妨害）


2 ） DDoS 攻撃

攻撃プログラム埋め込み(ツール、ワーム等 )

攻撃者

踏み台

ターゲット

攻撃プログラム埋め込み(ツール、ワーム等 )

大量データを一斉送信(DDoS 攻撃 ) によりダウン

踏み台

DoS 攻撃を多くのコンピュータから一斉に行うと DDoS 攻撃

攻撃プログラムを埋め込まれて気づかずに DoS 攻撃に加担することがある



3 ）メール攻撃• メールサーバに大量のメールを送り付ける

– メールサーバのパフォーマンス低下や機能停止

• 第三者中継機能を悪用– スパムメールの踏み台として利用される

　　　　


i ）メールは自分のネットワーク宛のもののみ受信ii ）第三者中継は禁止

第三者中継：外部から来たメールを別の外部へ転送する機能


5. 情報システムのセキュリティホール

1 ）セキュリティ上の弱点（脆弱性）2 ） OS の脆弱性3 ） Webブラウザやメールソフトの脆弱

性4 ） Web アプリケーションの脆弱性5 ）脆弱性を悪用する攻撃

– バッファオーバーフロー攻撃– クロスサイトスクリプティング攻撃– SQL インジェクション攻撃

第 2 章


1 ）セキュリティ上の弱点（脆弱性）• 脆弱性＝「情報システムのセキュリティ上の欠陥」

• セキュリティホールと呼ぶこともある• 一般的な用語の使い分け

– ソフトウェアの設計もしくは実装上のエラーが原因⇒脆弱性

–弱いパスワードや設定ミスなども含め広い意味⇒セキュリティホール

　　　　　　　　　　　　　　　　　　　　　⇔用語集 p.126 （脆弱性、セキュリティホール）参照

第 2 章 > 5. 情報システムのセキュリティホール


2 ） OS の脆弱性• オペレーティングシステム（ OS ）＝コンピュ

ータシステムを管理する最も基本的なソフトウェア– Windows, Mac OS, UNIX, Linux など様々な OS

• このオペレーティングシステムに見つかったセキュリティ上の欠陥＝ OS の脆弱性

• メーカーから提供されているセキュリティパッチ（修正プログラム）を適用することが重要

　　　　　　　⇔用語集 p.125 （修正プログラム）参照



3 ） Webブラウザやメールソフトの脆弱性• インターネットを介してデータをやり取りする

ので、脆弱性があると影響を受けやすい• 例 : 不適切な MIME ヘッダが原因で、 IE が電

子メールの添付ファイルを実行する（ MS01-020 ）

　⇔用語集 p.127 （添付ファイル）、 p.121 （ MSxx-xxx ）参照

• 脆弱性を悪用するウイルスが増加しているので、

セキュリティパッチを適用することが重要



4 ） Web アプリケーションの脆弱性


aaa

Xxx xxx xx xxxxxxxx xxx xx

Webサーバ

ユーザ

CGIPHP

・・・①入力

Webアプリケーション

②処理③表示

脆弱性があると

・サーバ上のファイルを盗まれる・悪意のあるプログラムを実行されるなど

Webブラウザ


5 ）脆弱性を悪用する攻撃• バッファオーバーフロー攻撃• クロスサイトスクリプティング攻撃• SQL インジェクション攻撃



バッファオーバーフロー攻撃• 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。

• これにより、不正なコードを実行させたり、権限を不正に取得する。

　

第 2 章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃


クロスサイトスクリプティング攻撃• スクリプトと呼ばれるプログラムを悪用。 (1)• 罠が仕掛けられたサイトで、ユーザがリンクをクリック

すると発生。 (2)• 別サイトに飛ばされて、スクリプトが実行される。

(3,4)• 個人情報の漏えい、不正な買い物などの被害にあう。

(5)

第 2 章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃


SQL インジェクション攻撃第 2 章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃

一般利用者 Webサーバ　　　＋Webアプリケーション

データベース

情報

①正しい入力

ID

Pass

②SQL文でデータ照会

③結果（データ）を返却

④結果表示

Webアプリケーションに SQLインジェクションの脆弱性があると• データベースに問い合わせをする SQL文に不正なコマンドを埋め込むことにより、レコードを不正に操作

• 情報の改ざん、消去、漏えいなどの被害　


SQL インジェクション攻撃第 2 章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃

情報の改ざん、消去

悪意を持つ人 Webサーバ　　　＋Webアプリケーション

データベース

情報

②不正なコマンドが埋め込まれた SQL文①不正な入力

情報の閲覧（漏えい）

脆弱性があると｡｡｡｡　　 SQLインジェクションとは？（用語集より）　データベースと連携した Web アプリケーションの多くは、利用者からの入力情報を　基にデータベースへの命令文を組み立てている。この命令文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。この問題を悪用した攻撃手法は、一般に「 SQL インジェクション」と呼ばれている。

Web アプリケーションに SQL インジェクションの脆弱性があると、 SQL インジェクション攻撃を受けることがある


本資料の利用条件1. 著作権は独立行政法人情報処理推進機構に帰属します。

著作物として著作権法により保護されております。

2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。

3. 営利目的の使用はご遠慮下さい。

4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。

5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできる WEB サイトへの掲載はご遠慮下さい。　

6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] まで以下をお知らせ下さい。　・使用する方もしくは組織の名称　・使用目的　・教育への参加人数

7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。

情報セキュリティ読本 - IT 時代の危機管理入門 -

Documents

Transcript of 情報セキュリティ読本 - IT 時代の危機管理入門 -