情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威

1.脅威とは
情報セキュリティスペシャリスト試験を目指す女性SE

脅威という言葉ですが、
当たり前すぎて、説明しにくいですね。
脅威は脅威としか言いようがありません。
以下の問題を見てみよう。
問41 JIS Q 27002における情報資産に対する脅威の説明はどれか。
ア 情報資産に害をもたらすおそれのある事象の原因
イ 情報資産に内在して、リスクを顕在化させる弱点
ウ リスク対策に費用をかけないでリスクを許容する選択
エ リスク対策を適用しても解消しきれずに残存するリスク
(H22AP春 午前 問41)
リスクマネジメントの章で「リスク=情報資産の価値 x 脆弱性 x 脅威」という説明をする。
それを意識しながら、上記の選択肢を一つ一つそれぞれが何を意味するかを考えると勉強になる。

正解は、アの「情報資産に害をもたらすおそれのある事象の原因」です。

2.脅威の分類
脅威を分類すると、以下に分けられます。出典は情報セキュリティマネジメント試験のシラバス
https://www.jitec.ipa.go.jp/1_13download/syllabus_sg_ver1_0.pdf P2[脅威の種類])

脅威の分類代表例
①物理的脅威事故,災害,故障,破壊,盗難,不正侵入 ほか
②技術的脅威不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか
③人的脅威誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか
この中で、試験では、技術的な脅威が多数問われることでしょう。

参考までに、先ほどの設問の、他の選択肢を解説します。
選択肢イ
「情報資産に内在して、リスクを顕在化させる弱点」は脆弱性のことですね。
選択肢ウ
「リスク保有」です。リスクを全て対策することは費用対効果の面で適切ではありません。例えば、パンフレットが盗まれたとしても、そもそも配るものなのでがまんしましょうという考えです。
選択肢エ
「残存リスク」です。例えば、入退室管理にICカード認証による対策をします。しかし、共連れで不正に入室されるリスクは残ります。これが残存リスクです。
残存リスクに対しては、多くは運用面でルールを決めるなどして対処します。例えば、共連れで入るときは、正規に入った人が注意して入らせないようにするなどの対策を行います。

1.脆弱性とは
他の試験の過去問では、脆弱性に関して、「情報資産に内在して、リスクを顕在化させる弱点(H22AP春AM問41) 」と述べられています。
ただ、一言で弱点と言っても、いろいろあります。たとえば、分かりやすいのがOSなどのバグでしょう。これらはセキュリティパッチを適用して修正します。または、ファイアウォールにて外部からの通信が許可されるというセキュリティホールも脆弱性と言えます。加えて、人が間違えて情報漏えいをしてしまうという人的な脆弱性もあります。

参考ですが、ソフトウェア等脆弱性関連情報取扱基準では、脆弱性を次のように定義しています。
1.脆弱性
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。ウェブアプリケーションにあっては、ウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような、安全性が欠如している状態を含む。

2.脆弱性の指標
脆弱性という抽象的なものを明確に表すものとして、以下があります。
(1)CVE
CVE(Common Vulnerabilities and Exposures)とは、野ざらし(exposure)になったCommon(共通の)Vulnerabilities(脆弱性)という意味で、脆弱性の通番です。CVE-西暦年-4桁の通番で表されます。
たとえば、H26年に話題になったOpenSSL の脆弱性は「CVE-2014-0160」が振られています。
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

過去問(H25SC秋午前2問5)では、「JVN (Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか」として、「製品に含まれる脆弱性を識別するための識別子である」を正解としています。

(2)CWE
CVEと似た言葉に、CWEがあります。タイプミスではありません。別の言葉です。
IPAでは「共通脆弱性タイプ一覧CWE概説」というページがあります。(https://www.ipa.go.jp/security/vuln/CWE.html
ここでは、「CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。」と述べています。

例えば、以下のように脆弱性タイプを整理しています。
CWE-78:OSコマンド・インジェクション
CWE-79:クロスサイト・スクリプティング(XSS)
CWE-89:SQLインジェクション
 
過去問(H26年春SC午前2)を見てみましょう。
問14 JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
ア 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
イ 製品を識別するためのプラットフォーム名の一覧
ウ セキュリティに関連する設定項目を識別するための識別子
エ ソフトウェアの脆弱性の種類の一覧
ちなみに、アは次に解説するCVSSです。正解はエです。

ここで、JVNについて補足します。JVNはJPCERT/CCとIPAが共同で運用しています。JVNのサイト(http://jvn.jp/nav/jvn.html)では、JVN(Japan Vulnerability Notes)に関して次のように述べています。
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。

(3)CVSS
情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問10)では、CVSS(Common Vulnerability Scoring System) に関して、「基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」と述べられている。

CVSSに関しては、IPAの資料に詳しい解説と計算方法が記載されている。
https://www.ipa.go.jp/security/vuln/CVSS.html

たとえば、どれくらいの値になるのだろうか。
「GNU bash における任意のコードを実行される脆弱性」のCVSS値は10
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004431.html

※IPAとNISTでは値が違う可能性があるようだ。

DoSはDenial of Servicesで,「Services (サービス)のDenial(拒否)」という意味ですね。サーバなどに攻撃をして、サービスを提供できないようにすることです。
DDoS攻撃のDはDistributed(分布させた)。
よって、DDoS攻撃という言葉のとおり、複数に分布された攻撃マシンから一斉にDoS攻撃を行うことです!

試験センター(IPA)のサイトでは、「サービス運用妨害(DoS)」として記載されています。詳しい内容が載ってますので、一度見ておくとよいでしょう。
http://www.ipa.go.jp/security/vuln/vuln_contents/dos.html
問 サーバに対するDoS攻撃のねらいはどれか。
 ア サーバ管理者の権限を奪取する。
 イ サービスを妨害する。
 ウ データを改ざんする。
 エ データを盗む。 (H21春IP問68)

正解はイである。
容易に分かったことであろう。
6b2fb508

今はFWやIPSで止められるから、
DDoS攻撃なんて、実質無理では?



たしかに、Ping爆弾などのDos攻撃はFWやIPSである程度止めることができない。しかし、本当に止めることは難しい。UTMではなく、本格的なDDoS対策機が求められるだろう。
というのも、何かで話題になると、あるサーバにアクセスが集中してサーバがダウンする。これはDoS攻撃なのか。そうではない。普通に皆がアクセスするように攻撃してしまえばいいのだ。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「2009年7月、韓国及び米国のWebサイトに大規模なDDos攻撃が行われ、多くのWebサイトがアクセス不能な状態に陥った。(中略)標的となったサイトへのアクセスのほとんどは、「Webページの表示要求」といった、ごくありふれたものであった」と述べられている。これはF5攻撃とも言われる。
しかもである。上記の白書にも記載があるが、DDoS攻撃が、闇では時間単位で売られてるのである。しかも安い。
たとえば、1万円ほど払えばかなりのDoS攻撃が仕掛けられる。それをもとに1000万円をゆすることができたら、いい商売になってしまう。実際、お金を受け取ろうとするとTVドラマの身代金と同じように、受け取るのが大変だから、そう簡単ではないだろうが。

また、DDoS攻撃によって、サーバがダウンするというのは、商用サービスを提供している企業にとっての影響は計り知れない損害です。

同時に、Webサーバを運用しているシステム管理者への影響も大きなものです。社内のあちこちからのクレームや問合せによるDDoSで、業務はストップするし、精神的にもつらいことだと思います……。
第5回イラスト


1.不正アクセスとは
IPAの資料(https://www.ipa.go.jp/files/000011455.pdf)に不正アクセスの説明があります。
具体例が分かりやすいと思いますので、引用します。
具体的には、以下に示す行為のことです。
・ コンピュータのOSやアプリケーションあるいはハードウェアに存在するぜい弱性(セキュリティホール)を利用して、コンピュータのアクセス制御機能を迂回し、コンピュータ内に侵入する行為(侵入行為)
・ 他の人に与えられた、利用者IDおよびパスワードを、その持ち主の許可を得ずに利用して、持ち主に提供されるべきサービスを受ける行為(『なりすまし』行為)
・ 持ち主の許可を得ずに、その持ち主の利用者IDおよびパスワードを第三者に提供する行為

不正アクセスとは別に、クラッキングという言葉もあります。過去問(H27年秋IP問73)には、「情報セキュリティにおけるクラッキング」の説明として,「悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う」と述べられています。こちらも、不正アクセスと同じ意味と考えてもいいでしょう。

2.不正アクセスの被害
不正アクセスと言っても、とても幅広いものです。
IPAの資料に「コンピュータウイルス・不正アクセスの届出状況および相談状況 [2014年年間]」があります。
https://www.ipa.go.jp/security/txt/2015/2014outline.html
ここの「2014年不正アクセス被害内容」によると、以下がその例として述べらえています。
①踏み出しとして悪用 29%
②サービス低下 16%
③オンラインサービスの不正利用 16%
④ウェブサイト改ざん 11%
⑤データの窃取、盗み見 8%

3.不正アクセスの原因
上記と同じ資料に、「2014年不正アクセス被害原因」が記載されています。
①ID,パスワード管理の不備 17%
②古いバージョン、パッチ未導入など 11%
③設定不備 10%
とあります、ただ、一番多いのは「不明 34%」で、被害を受けた側は、何が原因なのか理解していない状況です。これでは、次も攻撃されることでしょう。

4.不正アクセス対策
では、不正アクセス対策は具体的にどのように行えばいいのでしょうか。
不正アクセスの攻撃も多岐にわたるため、簡単には言えません。代表的な対策としては、以下の3つが考えらえます。
①ゲートウェイ機器での対策
 ファイアウォールやIPS、WAFによる不正アクセスの防御
②サーバの要塞化
 不要なサービスおよびポート、アカウントの停止、パッチの適用、アクセス制御などを適切に行う
③運用管理
 ログを取得し、日々監視する。また、緊急時には迅速な対応を行う
不正アクセス_情報セキュリティスペシャリスト試験

①機会、②動機、③正当化の3つが揃うと不正が起こると言われています。

不正のトライアングル_情報セキュリティスペシャリスト試験

たとえば、社員が個人情報を第三者に販売したとします。
このとき以下のような要件が揃うのです。
①機会:システム管理者などの立場で、個人情報にアクセスできる機会があった
②動機:お金にとても困っていて、個人情報を売ればお金になる
③正当化:「個人情報を売っても、誰も困らないだろう」「悪いのは、安月給でコキ使って働かせる会社」などという、やむを得ない犯罪であるという心理
不正のトライアングル_情報セキュリティスペシャリスト
たとえば、平成21年に、三菱UFJ証券で、約5万件の顧客情報が流出する事件が起きました。この事件の原因は、情報システム部の社員が、借金返済のために名簿業者に売却したことでした。
守る側としては、この3要件を、一つでも潰すことで、不正を防ぎやすくなると言われています。では、過去問(H27年秋SC午前2)を見てみましょう。
問9 不正が発生する際にぱ不正のトライアングル”の3要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明のうち,適切なものはどれか。
ア “機会”とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正行為の実行を可能,又は容易にする環境の存在である。
イ “情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。
ウ “正当化”とは,ノルマによるプレッシャーなどのことである。
エ “動機”とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。
正解はアです。ウが「動機」で、エが「正当化」の説明です。

問41 IPスプーフィング(spoofing)攻撃による、自ネットワークのホストへの侵入を防止するのに有効な対策はどれか。
ア 外部から入るTCPコネクション確立要求のパケットのうち、外部へのインターネットサービスの提供に必要なもの以外を阻止する。
イ 外部から入るUDPパケットのうち、外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
ウ 外部から入るパケットが、インターネットとの直接の通信をすべきではない内部ホストのIPアドレスにあてられていれば、そのパケットを阻止する。
エ 外部から入るパケットの発信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する。(H18年SV 問41 より引用)
db2fc28c

spoofとは「だます」という意味ですね。
つまり、IP SpoofingはIPアドレスをだます(偽装する)攻撃ですね!



その通り。IPスプーフィングを利用した攻撃は様々だが、一例として送信元IPアドレスを内部ネットワークに偽装するSmurf攻撃がある。
正解はエ。Smurf攻撃を例にして、エの解説をする。
 
SmurfはDDoS攻撃の一種。IPパケットにおける送信元IPアドレスは、返信時の宛先IPアドレスになる。そこで、送信元IPアドレスを攻撃したい相手のIPアドレスに設定(偽装)すれば、その相手に攻撃をしかけることができる。
そこで、エのように「外部から入るパケットの発信元IPアドレスが自ネットワークのものであれば」FWなどで止めるのがよい。または、Smur攻撃の場合はルータのdirected-broadcastをフィルタしたりで防止することができる。とはいえ、最近のWindowsパソコンの場合、ブロードキャスト宛のpingには応答を返さないようになっているので、この攻撃を受けにくくなっていまる。

◆参考  ※試験にはでません
Smurfではこの攻撃をブロードキャストで実行するので、ブロードキャストで送信された全端末から一斉に標的のサーバに攻撃をしかけることができる。DDoS攻撃が簡単に行える。Smurfという言葉は、攻撃プログラムの名前に由来する。

SYN Flood攻撃は、DoS攻撃の一つといえる。過去問(H24SC秋午前2問10不正解選択肢)では、「コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。」とある。

その中身と対処策はH20SV午後1問2に記載がある。
SYN Flood攻撃は,TCPの接続開始処理をねらった攻撃です。一般に,TCPの接続開始処理は,[  a  ]ハンドシェイクと呼ばれる手順を経ることで行われます。ホストAからホストBへの接続開始処理を例に挙げると,まず,ホストAから[  b  ]パケットがホストBに送られます。次に,[  b  ]パケットを受け取ったホストBから[  c  ]パケットが返されます。最後に,ホストAから[  d  ]パケットが送られることによって,接続開始処理が完了します。SYN Flood 攻撃は,何らかの方法で,最後の[  d  ]パケットがホストBに届かないようにすることで,ホストBに未完了の接続開始処理(以下,ハーフオープンという)を大量に発生させる攻撃です。この結果、①正当な利用者がホストBに接続できなくなったり、接続に時間がかかるようになったりします。
なお,多くの場合,[  d  ]パケットがホストBに届かないようにするために,[  b  ]パケットの[  e  ]IPアドレスを詐称する方法が使われています。

設問1 本文中の[ a ]~[ e ]に入れる適切な字句を,それぞれ8字以内で答えよ。
設問2 SYN Flood 攻撃とその対策について,(1)~(3)に答えよ。
(1)本文中の下線①について,正当な接続要求に応答できなくなったり,接続に時間がかかるようになったりする理由を,“資源"という字句を用いて35字以内で述べよ。  (H20SV午後1問2より引用)
情報セキュリティスペシャリスト試験_SE成子 
設問1ですが、
これは3ウェイハンドシェークの基本的な動作だから分かります。
正解は以下ですね!
a 3ウェイ  b SYN  c SYN/ACK  d ACK  e 送信元
Syn Flood_情報セキュリティスペシャリスト試験

設問2(1)であるが、この答が、まさしくSYN Floodの原理である。
解答例は「大量のハーフオープンによって、ホストBの資源が占有されるから」

SYN Cookieによる対策
Syn Flood対策が、いくつか登場している。SYN Cookieである。これは、ハーフオープンの状態を持たない仕組みである。IPAの資料にも、この仕組みが紹介されている。 
SYN flood attack (SYN フラッド攻撃)
DoS attack (サービス妨害攻撃)のひとつ。標的ホストに対して、TCP のハンドシェイクが確立しない要求パケットを次々に送信し、リソースを浪費させる。この際、送信元の IP アドレスは、身元を隠すために存在しないアドレスに IP spoofing (IP スプーフィング)されることが多い。
 従来、対策が難しいと言われていたが、SYN Cookie という対策技術を実装した OS が普及しつつある。例えば Linux 現行 カーネル 2.4 においても SYN Cookie を利用可能である。
 [出典:http://www.ipa.go.jp/security/ciadr/crword.html]

【さきほどの問題の続き:H20SV午後1問2】
なるほど、それで②パケット量が増えても、Webサーバのアクセスログに記録されているアクセス数が増えないわけですね。
(中略)
ハーフオープン状態になっている接続開始処理と同じ送信元IPアドレスからの接続要求を拒否するという方法も考えられますが、③効果が得られないことが多いのです。

【設問】
設問2 SYN Flood攻撃とその対策について、(2)~(3)に答えよ。
(2)本文中の下線②について、その理由を50字以内で述べよ。
(3)本文中の下線③について、その理由を35字以内で述べよ。
SYN Floodの対策ですが、その困難さが問題になっている。
試験センターの解答例は以下。
(2)TCPの接続開始処理が未完了のものは、Webサーバのアクセスログに記録されないから
(3)同じ送信元IPアドレスを使って接続要求するとは限らないから
11d7b807

じゃあ、対策はどうすればいいのでしょうか?




この問題では、対策の一例が問題文に記載されている。
最近のFWは、ハーフオープン状態の接続がある数に達すると、それ以上の接続開始処理はいったんFWで保留することで、あて先のサーバに接続要求が到達しないようにできます。これによって、SYN Flood攻撃の対象サーバに対して、不正な接続開始処理を抑制することができます


dcf52feb

IPアドレスを偽装した攻撃というのがあるらしいですが、そもそもIPアドレスを偽装して通信はうまくいくのですか?



TCPの通信は、3wayハンドシェイクで送信元との確認処理をするため、基本的にIPアドレスの偽装はできない。
UDPならまあ、可能である。攻撃の場合、3wayハンドシェイクをする必要がない。TCPの接続開始処理をねらった攻撃であるSYN Floode攻撃もその一つ。

601a33a7そういえば、以前、ルータにping打とうとして192.168.1.254を指定したつもりが、192.168.1.255というブロードキャストを指定したんですよ。そうしたらどうなったと思います?
なんとreplyがあったんですよ。しかも複数から。これって、pingを192.168.1.0/24のセグメントへの一斉送信ですよね。便利ですね。
でも、一斉に応答が来たら、ある意味Dos攻撃されてるみたいですね。

そのとおり。もし、これを/8のサブネットで実行したら、莫大な台数からのpingのreplyがあり、送信したマシンはDDos攻撃を受けたような状態になる。これがSmurf攻撃に応用されている。
送信元のIPを偽装し、攻撃したいWebサーバに偽装してこのようなことをすると、WebサーバにDDos攻撃ができる。

過去問を見てみよう。
問14 DoS攻撃の一つであるSmurf攻撃の特徴はどれか。
ア ICMPの応答パケットを大量に発生させる。
イ TCP接続要求であるSYNパケットを大量に送信する。
ウ サイズが大きいUDPパケットを大量に送信する。
エ サイズが大きい電子メールや大量の電子メールを送信する。 (H25年春SC午前2問14) 
正解はア
イはSYN Flood攻撃
ウはUDP Flood攻撃
エはMail Bomb(メールボム or メール爆弾)

601a33a7
パスワードですが、最近は6文字以上などの制限があるなど、
短いパスワードが設定できなくなりました。

そうすると、パターンが多いので、解読は無理ではないのでしょうか?


確かに、やみくもに攻撃するブルートフォース攻撃では厳しいかもしれない。
でも、方法はそれだけではない。
以下がその例である。
ブルートフォース攻撃
辞書攻撃
スニッフィング

順に見ていこう
ブルートフォース攻撃
過去問では、「「文字を組み合わせてあらゆるパスワードでログインを何度も試みる(H19SV 午前問題 問44より引用)」攻撃」と述べられている。
違う過去問では、「共通鍵暗号の鍵を見つけ出す,ブルートフォース攻撃に該当するもの」として、「1組の平文と暗号文が与えられたとき,全ての鍵候補を一つずつ試して鍵を見つけ出す(H25SC秋午前2問9)」とある。
アニメのポパイに登場するブルートをイメージすると分かりやすい。ブルート(Brute)とは「猛獣」の意味し、フォース(Force)は「力」を意味するので、「猛獣による力による攻撃」が直訳である。
 力によるという直訳のとおり英数記号の全ての組み合わせを順に試してパスワードを解読する。

辞書攻撃
一般的にユーザが付けるパスワードは「0Tf!2_M5」のように複雑なものより、「tokyo2009」のように英単語を使ったものが多い。多くの人は辞書にある文字などを使っている。そうしないと覚えられないからだ。辞書攻撃を使うと、かなり高速に解読できる。

スニッフィング
sniffとは「臭いをかぎつける」という意味である。ネットワークアナライザのSnifferという言葉が馴染み深いかもしれない。
SniffingはSnifferなどのネットワークキャプチャソフトを利用して、ネットワークを流れるデータを盗聴する。
パスワードの不正取得方法

このページのトップヘ