情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威

601a33a7
パスワードですが、最近は6文字以上などの制限があるなど、
短いパスワードが設定できなくなりました。

そうすると、パターンが多いので、解読は無理ではないのでしょうか?


確かに、やみくもに攻撃するブルートフォース攻撃では厳しいかもしれない。
でも、方法はそれだけではない。
以下がその例である。
ブルートフォース攻撃
辞書攻撃
スニッフィング

順に見ていこう
ブルートフォース攻撃
過去問では、「「文字を組み合わせてあらゆるパスワードでログインを何度も試みる(H19SV 午前問題 問44より引用)」攻撃」と述べられている。
違う過去問では、「共通鍵暗号の鍵を見つけ出す,ブルートフォース攻撃に該当するもの」として、「1組の平文と暗号文が与えられたとき,全ての鍵候補を一つずつ試して鍵を見つけ出す(H25SC秋午前2問9)」とある。
アニメのポパイに登場するブルートをイメージすると分かりやすい。ブルート(Brute)とは「猛獣」の意味し、フォース(Force)は「力」を意味するので、「猛獣による力による攻撃」が直訳である。
 力によるという直訳のとおり英数記号の全ての組み合わせを順に試してパスワードを解読する。

辞書攻撃
一般的にユーザが付けるパスワードは「0Tf!2_M5」のように複雑なものより、「tokyo2009」のように英単語を使ったものが多い。多くの人は辞書にある文字などを使っている。そうしないと覚えられないからだ。辞書攻撃を使うと、かなり高速に解読できる。

スニッフィング
sniffとは「臭いをかぎつける」という意味である。ネットワークアナライザのSnifferという言葉が馴染み深いかもしれない。
SniffingはSnifferなどのネットワークキャプチャソフトを利用して、ネットワークを流れるデータを盗聴する。
パスワードの不正取得方法

55c44db1
パスワードクラックへの対策ですか?
そんなの、長いパスワードにすればいいだけでしょ。




確かにそれも一つである。H18年春SV午後1問3には、PIN(パスワードと考えればよい)の設定に関するガイドラインがある。3が正しく、成子ちゃんが言った対策である。2は、辞書攻撃に対する対策である。
1.アルファベットの大文字と小文字,数字,記号をランダムに並べ,当該本人情報から推測できるような情報を含めない。
2.一般に使用される単語,及びテレビ,ラジオなどのメディアで使用されている流行語や時事用語などは使用しない。
3.   8文字以上の文字列とする。
図I PINの設定に関するガイドライン

以下の問題も見てみよう。スニッフィングも含めた対策が問われている。
問8 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策を組合せよ。

①辞書攻撃 
②スニッフィング
③ブルートフォース攻撃

ア パスワードを平文で送信しない。
イ ログインの試行回数に制限を設ける。 
ウ ランダムな値でパスワードを設定する。
(H23春SC午前2問8参考)
正解は簡単だっただろう。
①は辞書にあるような文字を使わず、ランダムなパスワードにするという意味で、ウ。
②は、暗号化すれば、盗聴されないということで、ア
③は、総当たり攻撃をされたら、アカウントロックをするようにするということで、イ

リバースブルートフォース攻撃とは
ブルートフォース攻撃の「逆(リバース)」である。
情報セキュリティスペシャリスト試験を目指す女性SE 

何が逆なんですか?
普通のブルートフォース攻撃は、ログインIDを固定して、パスワードを順に変化させる。
一方のリバースブルートフォース攻撃は、変化させるのが逆である。つまり、パスワードを固定し、利用者IDを変化させるのだ。
これだと、利用者IDは毎回違うので、アカウントロックで防ぐことはできない。

過去問(H27年SC春午後1問3)では、リバースブルートフォース攻撃に関する出題があった。この問題は2014年に発生したJALやANAの不正ログイン事件をモデルにしていると思われる。JALの場合は数字6桁、ANAの場合は数字4桁の暗証番号での認証だった。Zサイトと同じようにパスワードへの攻撃を受けて、マイレージがAmazonギフト券などに交換される被害が発生した。
以下、過去問の該当部分。
A主任: Y社の調査によると,パスワードを固定した上で,約70万個の文字列を次々に利用者IDとして入力し,ログインを試行するという攻撃があったとのことでした。試行された利用者IDのうち,7万個については,利用者IDとして実在していました。また,実際に560件の利用者IDについては,不正ログインまで成功しており,さらに,130件については,ポイントが不正に交換されていました。

過去問(H24SC秋午前2問10)では、「pingコマンドを用いて同時に発信した大量の要求パケットによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する」とある。

まず、セッションの管理の全体像に関しては、以下を確認してほしい
http://sc.seeeko.com/archives/4570016.html

過去問(H23SC春午後2問2)を見てみよう。
Web検査の結果, Webアプリの脆弱性として,不適切なセッション管理が行われていることが判明した。Webアプリには, SSLで保護されたWebフォーム認証があり,利用者がパスワードを入力してログインすると, Set-CookieヘッダでセッションIDをブラウザに対して発行するようになっている。それ以降はセッション管理にこのセッションIDを利用するとともに, SSLによる通信の暗号化が図られている。しかし,公開Webサーバ内にはSSLを利用していないページも存在し, HTTP通信を盗聴することによってクッキーの情報を取得できることが判明した。この脆弱性を放置すると,[ g ]という攻撃手法によってなりすましによる不正アクセスが発生する可能性がある。
このgにあてはまるのがセッションハイジャックだ。
セッション情報さえわかれば、この人のセッションを持って買い物などができる。
情報セキュリティスペシャリスト試験_女性SE成子
でもログインIDやパスワードの情報が必要でしょ。
いや。ログインは不要だ。
ログインした後は、セッションIDでしか通信が管理されていない。
以下の図を見てください。セッションIDを盗聴することで、パスワード等を知らなくてもA氏として買い物ができてしまう。
セッションハイジャック_情報セキュリティスペシャリスト試験
①正規の利用者Aは、自分のIDパスワードを入力してログインします。
②Webサーバ(買い物サイト)から、セッションID(SID)として123が付与されます。
③それ以降の通信は、IDやパスワードが使われることなく、SIDを提示することでセッションが維持されます。
④第三者がSIDを盗聴します。
⑤盗聴したSIDである123を使えば、正規ユーザA氏に成り代わって通信をすることができます。


ではどう対処すべきか。対策は以下です。
①SSLで通信を暗号化する 
 SIDも暗号化される
②非SSLのSIDとは別のSIDを使う 
 SIDが暗号化されていても、それまでの非SSLのSIDと同じものを使っていたら、ばれてしまう。なので、SSL通信をする際には、SIDを新しく振りなおす必要があります。

以下は、H24NW午後1問3の問題である。
ログイン認証要求ではSID=xxxなのに、その応答のログイン完了表示では、SID=yyyと変わっている。
こうすることで、ログイン後のSIDが第三者に分からないようにしている。なおかつSSLで暗号化している。 セッションハイジャックを防ぐために当然の処置である。
セッションハイジャック_SSLの図

参考ですが、IPAの「『セキュア・プログラミング講座 (Webアプリケーション編)』 ブートアップセミナー」(http://www.ipa.go.jp/files/000030878.pdf)では、セッションハイジャック対策として、以下が述べられています。
セッションハイジャック対策

 ・「推測」への対抗
  ・予測困難なランダム値を使う
  ・ログイン(ユーザ認証)成功のたびに異なる値を使う
 ・「奪取」への対抗
  ・TLS を使用する
  ・Cookieにsecure属性をつける
  ・Cookieの「寿命」を短めにする
  ・ログイン成功時にセッションIDを発行し直す
情報セキュリティスペシャリスト試験を目指す女性SE 
 
そもそもですが、セッション情報を盗聴することはできるんでしたっけ?
セッション情報の盗聴は難しいかもしれませんが、盗聴以外の方法を使えばいいでしょう。たとえば、XSSの脆弱性で、セッション情報を取得してしまえばいいのです(具体的なやり方までは確認していませんが、たぶん簡単にできるはず)

c2f058cb

最近は標的型攻撃というのがあるらしいですが、なぜ流行っているんですか?




能動型攻撃は、外部から直接WEBサーバなどを攻撃する。ところが、最近ではFWやIPSなどの防御がしっかりしており、攻撃しにくい。そこで、誘導型攻撃にて利用者が特定の攻撃をとるように誘導するものである。
FWを通過できるメールやHTTPを利用する。多いのが、メールを送りつけてそれを開かせ、悪意のあるサイトに誘導してそこで情報漏えいなどを呼び込む。
15863853
これ、聞いたことあります。
不正なメールの添付ファイルに悪意のプログラムが含まれていたり、
メールにスクリプトが埋め込まれていたりするんですよね。
でも、これって、パソコンのウイルス対策ソフトで検出できないんですか?

まず無理だろう。というのも、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するサイトがある。それを確認してから送りつけてくるのだ。
http://www.virtest.com/

情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「2010年は国内外で標的型攻撃が確認されている。一般紙等でも報道された事例として、経済産業省を狙った標的型攻撃がある。報道によると、経済産業省の職員宛に一斉に標的型メールが送付され、その内の約20人がメールを開いてしまったとある。メールは、実際に行われた会談の内容に関するものであり、送信元のメールアドレスも会談を担当している職員に酷似していたとのことだ。この事象から、当事者間で共有されている情報が使用される等、偽メールと疑う余地が無い、手の込んだ攻撃だと分かる。」と述べられている。

しかし、標的攻撃は専門家でも受けてしまう可能性が高い。JPCERT/CCが実施したように、「予防接種」が良いと思う。一度、疑似攻撃を実施しておくことで、利用者への免疫ができるのだ。 
 http://www.jpcert.or.jp/research/index.html#inoculation

ただ、個人的には予防接種の効果については評価が分かれるのではなかと思う。

※以下のサイトを随分と参考にしました。
http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf

大規模な攻撃
大規模な攻撃には名前が付けられている。以下が詳しい。
http://www.ipa.go.jp/files/000026543.pdf

■2009年
オペレーション・オーロラ攻撃
Googleなどが狙われた大規模なサイバー攻撃はOperation Aurora攻撃と言われる。

■2009年11月
ナイトドラゴン攻撃
エネルギー系の会社を狙った攻撃は、Night Dragon攻撃と呼ばれる

■2010年
Night Dragon

■2012
オペレーションハイローラー

標的型攻撃とは
 標的型攻撃とは、SPAMメールなどのように無差別に攻撃するのではなく、標的を絞って効果的に攻撃をするものである。標的となるのは、官公庁や特定の企業が多い。当然のことながら、産業スパイなどが何らかの意図があって攻撃しているのであろう。
 SPAMメールであれば、ありとあらゆるメールアドレスに対して無差別かつ大量に迷惑メールを送る。これに対し、標的型攻撃の場合は、標的を絞り、極端な場合は標的の相手に1通のメールしか送らない。その分、効果的な攻撃を仕掛ける。たとえば、標的企業の取引先情報を入手し、取引先企業のメールと誰もが間違えてしまうほどの内容を作り上げる。受信した人は、偽りのメールとは気付かずに、添付ファイルを開くと、ウイルスやスパイウエアに感染してしまうのである。
 技術的な攻撃よりソーシャルエンジニアリングの要素が多い攻撃である。

過去問(H25春午前1共通問14)には、以下がある。
問14 ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。
ア 件名に“未承諾広告※”と記述されている。
イ 件名や本文に,受信者の業務に関係がありそうな内容が記述されている。
ウ 支払う必要がない料金を振り込ませるために,債権回収会社などを装い無差別に送信される。
エ 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信される。

正解はイ

標的型攻撃の対策法
 標的攻撃であろうが、SPAMメールであろうが、対処方法は基本的に同じである。ウイルスソフトのパターンファイルやOSのパッチを最新に保つことが大切である。
 さらに、ボットネットのように、外部の司令を受けないように、ファイアウォールにて不要なポートを閉じることも大切である。
  ※以下のサイトを随分と参考にしました。
 http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf

APT(Advanced Persistent Threat)
最近流行りのAPTである。「新しいタイプの攻撃」と言われることがある。
問1 APT(Advanced Persistent Threats)の説明はどれか。
ア 攻撃者はDOS攻撃及びDDOS攻撃を繰り返し組み合わせて,長期間にわたって特定組織の業務を妨害する。
イ 攻撃者は興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
ウ 攻撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執ように攻撃を繰り返す。
エ 攻撃者は不特定多数への感染を目的として,複数の攻撃方法を組み合わせたマルウェアを継続的にばらまく。(H25春SC午後Ⅱ 問1)
正解はウの「攻撃者は特定の目的をもち、特定組織を標的に複数の手法を組み合わせて気付くかれないよう執拗に攻撃を繰り返す。」である。
4

これって標的型攻撃のことですか?
まあ、同じ仲間と思ってもらえばよい。厳密な定義はないからね。
APTの場合は、Advanced(先進的)でPersistent(永続的)なThreat(脅威)という直訳になります。Persistentという言葉があるように、標的型攻撃を長期間(たとえば数か月~数年)にわたって行うものだ。
韓国でも被害があったが、あれも長期間にわたっての攻撃だったようす。
IPAでは、APTという言葉を使わず、「新しいタイプの攻撃」と表現している。内容に関しては、動画があるので、ご覧いただきたい。
http://www.youtube.com/watch?v=-efeSnIcfSY

過去問(H25SC秋午後Ⅱ問1)を見てみよう。
K主任:NさんのPCは,どのようにしてMさんからのメールを入手したのでしょうか。
X氏 :状況から考えると,NさんのPCがマルウェアPに感染し,LさんのPCのメール受信時の通信を盗聴した可能性があります。
K主任:どのような手口が使われたのでしょうか。
X氏 :[ d ]という盗聴の手口が利用されたのではないかと思います。
X氏は,図12の拠点6のネットワーク構成及び図13の盗聴時のLさんのPCのARPテーブルを用いて,K主任に盗聴の手口を説明した。
情報セキュリティスペシャリスト過去問H25秋
X氏 :この手法で盗聴されていたとしたら,LさんのPCのARPテーブルは図13のようになっていたはずです。
K主任:なるほど。このような手口だと,[ f ]を利用してネットワークを構築していても盗聴されてしまいますね。
 X氏はNさんのPC上に保存されているメールが他にもないか,社内で他にもマルウェアPの感染や不審なメールの受信がないかなどを調査し,今回の事象をまとめて報告書を作成した。

設問3 (2)本文及び図14中の[ d ],本文中の[ f ]に入れる最も適切な字句を答えよ。
(3)図13中の[ e ]に入れる適切なMACアドレスを答えよ。
(4)本文及び図14中の[ d ]の手口を用いてNさんのPCによる盗聴が成立するパケットの送信元IPアドレスの範囲を具体的に答えよ。

正解
(2)
d ARPスプーフィング
f L2SW
→この意図を補足する。通常、スイッチングHUBは、MACアドレスを見て、該当ポートにのみフレームを転送する。よって、ネットワーク上の関係のない端末では、たとえ同一セグメントにあったとしても盗聴はできない。
しかし、今回のARPスプーフィングであれば、盗聴ができるのである。

(3)xx:xx:xx:aa:bb:22
 つまり、NさんのPCのMACアドレス。ウイルスに感染しており、すべての通信をここで盗聴したあと、転送される。

(4)192.168.1.1,192.168.1.3~192.168.1.253

ARPスプーフィングはなぜ成功するのだろうか
そもそもであるが、ARPスプーフィングはなぜ成功するのだろうか?
過去のOSでは、ARP応答を無条件に信じたようである。なおかつ、ARP要求を送って いない場合でも、突然ARP応答が来たら、それを信じたのだ。当然、そんなのは改良されている(と思う)。
情報セキュリティスペシャリスト試験を目指す女性SE 

では、攻撃するPCに、嘘のARPレスポンスを定期的に送り続ければいいかもしれませんね。
なるほど、PCが本当のARP要求を送ったタイミングで、攻撃者の嘘のレスポンスを受け入れるということだね。
でも、そんなバッチリのタイミングで送ることは難しいだろう。

理屈はもっと簡単だ。攻撃対象のPCは通信するために、ARP要求を定期的に発する。それはブロードキャストだから、攻撃するPCにも届くわけだ。だから、攻撃PCは、正規のPC応答より早く「自分が本物ですよ!」と返すのである。

以下の記事も参考になります。
http://itpro.nikkeibp.co.jp/article/COLUMN/20090225/325452/

また、別の過去問(H29春SC午後1問1)で、ARPスプーフィングではなくARPポイズニングとして、攻撃に関する詳細な設問があります。

過去問(H25秋FE午前問43)では、「コンピュータ犯罪の手口の一つであるサラミ法」に関して、「不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。」と述べられています。サラミといえば、お酒の友である乾いたソーセージの薄切りです。少しずつ薄く切る様子が、この不正行為と似ていると判断したのでしょう。
四捨五入をごまかすだけでも、たしかこれって莫大な金額になるようです。最近はあまり聞かなくなりました。

水飲み場型攻撃
標的型攻撃において、ウイルス感染させる方法は、メールだけではありません。水飲み場型攻撃というWebサイトを使う方法もあります。
大手のWebサイトを改ざんしたWebサイトにマルウェアを仕込めば、多くの人にマルウェアを感染させることができます。この様子は、ライオンが多くの動物が集まる水飲み場で獲物を待ち受ける様子に例えられ、「水飲み場攻撃」とも言われます。

過去問(H27秋SC午前Ⅱ問8)では、「水飲み場型攻撃(Watering Hole Attack)の手口」として、「標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする」と述べられています。

ドライブバイダウンロード
大手自動車会社のホームページ改ざんでは、ドライブバイダウンロード攻撃が仕掛けられました。
過去問(H28SG春午前問25)では、「ドライブバイダウンロード攻撃の説明」として、「Webサイトを閲覧したとき,利用者が気付かないうちに,利用者の意図にかかわらず,利用者のPCに不正プログラムが転送される」と述べられています。

このページのトップヘ