情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威 > 2.7 脅威その他

まず、セッションの管理の全体像に関しては、以下を確認してほしい
http://sc.seeeko.com/archives/4570016.html

過去問(H23SC春午後2問2)を見てみよう。
Web検査の結果, Webアプリの脆弱性として,不適切なセッション管理が行われていることが判明した。Webアプリには, SSLで保護されたWebフォーム認証があり,利用者がパスワードを入力してログインすると, Set-CookieヘッダでセッションIDをブラウザに対して発行するようになっている。それ以降はセッション管理にこのセッションIDを利用するとともに, SSLによる通信の暗号化が図られている。しかし,公開Webサーバ内にはSSLを利用していないページも存在し, HTTP通信を盗聴することによってクッキーの情報を取得できることが判明した。この脆弱性を放置すると,[ g ]という攻撃手法によってなりすましによる不正アクセスが発生する可能性がある。
このgにあてはまるのがセッションハイジャックだ。
セッション情報さえわかれば、この人のセッションを持って買い物などができる。
情報セキュリティスペシャリスト試験_女性SE成子
でもログインIDやパスワードの情報が必要でしょ。
いや。ログインは不要だ。
ログインした後は、セッションIDでしか通信が管理されていない。
以下の図を見てください。セッションIDを盗聴することで、パスワード等を知らなくてもA氏として買い物ができてしまう。
セッションハイジャック_情報セキュリティスペシャリスト試験
①正規の利用者Aは、自分のIDパスワードを入力してログインします。
②Webサーバ(買い物サイト)から、セッションID(SID)として123が付与されます。
③それ以降の通信は、IDやパスワードが使われることなく、SIDを提示することでセッションが維持されます。
④第三者がSIDを盗聴します。
⑤盗聴したSIDである123を使えば、正規ユーザA氏に成り代わって通信をすることができます。


ではどう対処すべきか。対策は以下です。
①SSLで通信を暗号化する 
 SIDも暗号化される
②非SSLのSIDとは別のSIDを使う 
 SIDが暗号化されていても、それまでの非SSLのSIDと同じものを使っていたら、ばれてしまう。なので、SSL通信をする際には、SIDを新しく振りなおす必要があります。

以下は、H24NW午後1問3の問題である。
ログイン認証要求ではSID=xxxなのに、その応答のログイン完了表示では、SID=yyyと変わっている。
こうすることで、ログイン後のSIDが第三者に分からないようにしている。なおかつSSLで暗号化している。 セッションハイジャックを防ぐために当然の処置である。
セッションハイジャック_SSLの図

参考ですが、IPAの「『セキュア・プログラミング講座 (Webアプリケーション編)』 ブートアップセミナー」(http://www.ipa.go.jp/files/000030878.pdf)では、セッションハイジャック対策として、以下が述べられています。
セッションハイジャック対策

 ・「推測」への対抗
  ・予測困難なランダム値を使う
  ・ログイン(ユーザ認証)成功のたびに異なる値を使う
 ・「奪取」への対抗
  ・TLS を使用する
  ・Cookieにsecure属性をつける
  ・Cookieの「寿命」を短めにする
  ・ログイン成功時にセッションIDを発行し直す
情報セキュリティスペシャリスト試験を目指す女性SE 
 
そもそもですが、セッション情報を盗聴することはできるんでしたっけ?
セッション情報の盗聴は難しいかもしれませんが、盗聴以外の方法を使えばいいでしょう。たとえば、XSSの脆弱性で、セッション情報を取得してしまえばいいのです(具体的なやり方までは確認していませんが、たぶん簡単にできるはず)

過去問(H25SC秋午後Ⅱ問1)を見てみよう。
K主任:NさんのPCは,どのようにしてMさんからのメールを入手したのでしょうか。
X氏 :状況から考えると,NさんのPCがマルウェアPに感染し,LさんのPCのメール受信時の通信を盗聴した可能性があります。
K主任:どのような手口が使われたのでしょうか。
X氏 :[ d ]という盗聴の手口が利用されたのではないかと思います。
X氏は,図12の拠点6のネットワーク構成及び図13の盗聴時のLさんのPCのARPテーブルを用いて,K主任に盗聴の手口を説明した。
情報セキュリティスペシャリスト過去問H25秋
X氏 :この手法で盗聴されていたとしたら,LさんのPCのARPテーブルは図13のようになっていたはずです。
K主任:なるほど。このような手口だと,[ f ]を利用してネットワークを構築していても盗聴されてしまいますね。
 X氏はNさんのPC上に保存されているメールが他にもないか,社内で他にもマルウェアPの感染や不審なメールの受信がないかなどを調査し,今回の事象をまとめて報告書を作成した。

設問3 (2)本文及び図14中の[ d ],本文中の[ f ]に入れる最も適切な字句を答えよ。
(3)図13中の[ e ]に入れる適切なMACアドレスを答えよ。
(4)本文及び図14中の[ d ]の手口を用いてNさんのPCによる盗聴が成立するパケットの送信元IPアドレスの範囲を具体的に答えよ。

正解
(2)
d ARPスプーフィング
f L2SW
→この意図を補足する。通常、スイッチングHUBは、MACアドレスを見て、該当ポートにのみフレームを転送する。よって、ネットワーク上の関係のない端末では、たとえ同一セグメントにあったとしても盗聴はできない。
しかし、今回のARPスプーフィングであれば、盗聴ができるのである。

(3)xx:xx:xx:aa:bb:22
 つまり、NさんのPCのMACアドレス。ウイルスに感染しており、すべての通信をここで盗聴したあと、転送される。

(4)192.168.1.1,192.168.1.3~192.168.1.253

ARPスプーフィングはなぜ成功するのだろうか
そもそもであるが、ARPスプーフィングはなぜ成功するのだろうか?
過去のOSでは、ARP応答を無条件に信じたようである。なおかつ、ARP要求を送って いない場合でも、突然ARP応答が来たら、それを信じたのだ。当然、そんなのは改良されている(と思う)。
情報セキュリティスペシャリスト試験を目指す女性SE 

では、攻撃するPCに、嘘のARPレスポンスを定期的に送り続ければいいかもしれませんね。
なるほど、PCが本当のARP要求を送ったタイミングで、攻撃者の嘘のレスポンスを受け入れるということだね。
でも、そんなバッチリのタイミングで送ることは難しいだろう。

理屈はもっと簡単だ。攻撃対象のPCは通信するために、ARP要求を定期的に発する。それはブロードキャストだから、攻撃するPCにも届くわけだ。だから、攻撃PCは、正規のPC応答より早く「自分が本物ですよ!」と返すのである。

以下の記事も参考になります。
http://itpro.nikkeibp.co.jp/article/COLUMN/20090225/325452/

また、別の過去問(H29春SC午後1問1)で、ARPスプーフィングではなくARPポイズニングとして、攻撃に関する詳細な設問があります。

過去問(H25秋FE午前問43)では、「コンピュータ犯罪の手口の一つであるサラミ法」に関して、「不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。」と述べられています。サラミといえば、お酒の友である乾いたソーセージの薄切りです。少しずつ薄く切る様子が、この不正行為と似ていると判断したのでしょう。
四捨五入をごまかすだけでも、たしかこれって莫大な金額になるようです。最近はあまり聞かなくなりました。

パソコンから漏れる電波によって情報を盗み出すことである。漏れる電波は微弱なので、遠く離れたところから盗聴することはできない。過去問(H23春SC午前2問11)では、「テンペスト(TEMPEST)攻撃」の説明として、「処理中に機器から放射される電磁波を観測し解析する」と述べられている。

違う過去問を見てみよう。
問75 テンペスト技術の説明とその対策として,適切なものはどれか。
ア ディスプレイやケーブルなどから放射される電磁波を傍受し,内容を観察する技術であり,電磁波遮断が施された部屋に機器を設置することによって対抗する。
イ データ通信の途中でパケットを横取りし,内容を改ざんする技術であり,ディジタル署名による改ざん検知の仕組みを実装することによって対抗する。
ウ マクロウイルスにおいて使われる技術であり,ウイルス対策ソフトを導入し,最新の定義ファイルを適用することによって対抗する。
エ 無線LANの信号から通信内容を傍受し,解析する技術であり,通信パケットを暗号化することによって対抗する。
(H20秋SW午前問75)

正解はアである。

db2fc28c


以下はもう一問、テンペストに絡んだ問題です。



製造LANのセキュリティ対策について、(1)、(2)に答えよ。
(1) 本文中の下線②について、サーバエリアから製造装置までのネットワークケーブルを電線管によって保護するのは、どのようなリスクの低減を意図したものか。ネットワークケーブルが破損すること以外のリスクを、25文字以内で述べよ。(H22SC秋午後Ⅱ問2設問4(1)より)
25字以内という制限がある。実際に書いていただきたい。
解答例は、「ケーブルから漏れる電磁波による通信内容の盗聴(22文字)」

beaconとは標識などを意味する言葉であり、Webビーコンとは、WebサイトやHTMLメールなどに埋め込まれた小さな画像のことである。
Webバグと言われることもある。バグといってもプログラムの誤りを表わすバグという意味ではない。
601a33a7


一体、何の目的で、そんなことをするんですか?



アクセスしたユーザのIPアドレスなどを把握するためである。IPアドレスや時刻などを元に、アクセス履歴を分析することができる。過去問では、次のように述べられている。
「webページなどに小さい画像を埋め込み、利用者のアクセス動向などの情報を収集する仕組み(H21春FE午前問42)」
メールを送っても、それが読まれたかどうかは分からない。
そこで、Webビーコンの登場である。もしメール受信者がHTMLメールを開くと、埋め込まれた画像ファイルのリンクがサーバに通信をする。つまり、履歴が残るので、読んだかどうかが分かる。しかも、ユーザ毎に違う画像をリンクさせておけば、誰がアクセスしたかまで分かる。

22










Webビーコンを利用することで個人情報が漏えいすることはないが、利用者に無断で情報収集することには一部批判がある。そこで、SBIのサイトでは、WebビーコンとCookieを利用してアクセス履歴をとっていることを公表している。

まずは、情報セキュリティスペシャリスト試験の過去問(H25SC春午後1問2)を見てみよう。
DNSの名前解決通信は,主に[ a ]を用いる。[ a ]は,[ b ]ハンドシェイクを用いてコネクションを確立するTCPと比べて,送信元IPアドレスの詐称の検知が困難である。

試験センターの解答例であるが、以下である。
a UDP
b 3way

ここにあるように、UDPではIPアドレスの詐称が行いやすいが、TCPでは基本的に難しい。過去問(H26SC春午後1問2)の採点講評にも、以下の記述がある。
「SMTPはTCP上で動作しているので,事実上,IPアドレスを詐称することはできないことを理解してほしい。」
情報セキュリティスペシャリスト試験を目指す女性SE 
そうなんですか? 
IPアドレス偽装なんて,PCの設定で好きなIPアドレスを入れるだけだから簡単ですよね。
実際,IPスプーフィングという言葉もありますし。
それはUDPの場合である。TCPの場合は,3ウェイハンドシェイクにて,送信元と通信を確立しなければいけない。でも,偽装したIPアドレスとは正常なコネクションが確立できない。
情報セキュリティスペシャリスト試験の図

※TORなどを使って、IPアドレスが分からないようにすることはTCPでも容易である。あくまでも、正規のIPアドレスになりすます(偽装)することが難しいことを言っている。

中間者攻撃(MITM:man-in-the-middle)とは、「通信経路上の第三者Cが,利用者Aから送られる情報を,にせの情報にすりかえて利用者Bに送信する(H17秋FE午後問3)」攻撃である。また、違う過去問(H25春SC午前2問5不正解選択肢)では、「通信を行う二者の間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する」とある。
中間者攻撃のイメージは、以下です。
中間者攻撃
中間者攻撃といってもやり方はいくつかあるが、今回はDNS情報を書き換えるDNSキャッシュポイズニングによるものを紹介する。それ以外には、ARP情報を偽装するものもある。

【中間者攻撃の流れ】
①攻撃者は、利用者が使用するDNSサーバのDNS情報を書き換える。(DNSキャッシュポイズニング)
②正規利用者は、X銀行にアクセスするために、DNSサーバにIPアドレスを問い合わせる
③DNSサーバから偽装された情報を受け取る(図でいう2.2.x.2のIP)
④利用者は、取得したDNS情報に基づき、2.2.x.2のIPアドレスに接続する。(つまり、攻撃者が用意した偽サーバに接続)
⑤攻撃者はX銀行の正規サーバと接続する。
 このように、中間者として通信を乗っ取ることで、ID/パスワードや通信内容を盗聴したり、不正送金などの不正な処理をしたりする。
中間者攻撃_情報セキュリティスペシャリスト試験 
しかし,中間者攻撃には弱点がある。上の図を見てもらうと分かるが、利用者は偽サーバに接続している。だから、利用者のブラウザには正規な証明書が表示されない。

中間者攻撃①の記事では、通信経路上に攻撃者が入ることが中間者攻撃であることをお伝えしました。
ここでは、HTTPS通信における中間者攻撃について、過去問(H28春SC午後Ⅰ問3)を見てみましょう。
[Sアプリでのサーバ証明書の検証不備による影響の検討〕
 Rさんは、Sアプリでのサーバ証明書の検証に不備がある場合に,どのような攻撃が行われると影響を受けるのかを,A氏に質問した。A氏は,中間者攻撃に用いられる環境の例を図4に示した。
2

 図4では,攻撃者が中間者サーバを含む機器を準備し,その先でインターネットを介してSサイトに接続している。中間者サーバは, Sアプリとの間,及びSサイトとの間で,独立した二つのHTTPS通信を確立し,中継する。
 RさんはA氏に,例えば,表3に示す攻撃者が準備するサーバ証明書のうち,どれを使用すると中間者攻撃が成功するのかを質問した。A氏は,もしSアプリにサーバ証明書の検証不備があると,表4のとおり攻撃が成功すると答えた。
1


さて、表3に関して少し補足します。
スマートフォン側(一般的なブラウザでも同じ)では、サーバの証明書に関して、以下の3つを確認します。
①発行者が不正ではないか
②有効期限内であるか
③証明書のサブジェクトのコモンネームがサーバのFQDNと一致するか
※この点は、この問題文の前半に関連する内容の記載があります。また、ブラウザにおける証明書の有効性確認方法でも解説しています。

証明書番号1にある「スマートフォンに対応している商用認証局」は、ベリサインなどの公的認証局のことです。上記①で確認できます。
表の右側にある「サブジェクトのコモンネーム」は、正規のサーバであるSサーバFQDNと一致するかを確認します。(上記③)

では、この点を踏まえて、この問題を解いてみましょう。
3
設問2(1)表4中の[ e ]~[ g ]に入れるサーバ証明書を,それぞれ表3中から全て選び,証明書番号で答えよ。
項番1は、発行者の検証とサブジェクトのコモンネームの検証に不備があります。つまり、上記①も③もチェックをしないので、1~4の全ての証明書で中間者攻撃が成功してしまいます。
項番2は、サブジェクトのコモンネームの検証をしますので、サブジェクトのコモンネームが正しいSサーバのFQDN(証明書番号3)の攻撃が成功します。
項番2は、発行者の検証(上記の①)だけを実施します。
商用認証局を利用している証明書番号1の攻撃が成功します。
【正解】
e 1,2,3,4
f 3
g 1

サイドチャネル攻撃は、物理攻撃に位置づけられ、装置の外部から、その電力量や処理時間の違いなどの情報をもとに情報を搾取するものです。過去問(H25SC春午前2問5)には、サイドチャネル攻撃の説明として、「暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る」とある。

また、サイドチャネル攻撃には、いくつかの手法がある。過去問(H25SC秋午前2問6)より整理したい。
タイミング攻撃
演算処理時間の違いに着目する攻撃です。対策は,「演算アルゴリズムに対策を施して,機密情報の違いによって演算の処理時間に差異が出ないようにする(正解選択肢)」ことです。

フォールト解析攻撃
対策として、「故障を検出する機構を設けて,検出したら機密情報を破壊する(不正解選択肢)」

電力解析攻撃
消費電力量の違いに着目する攻撃です。対策は、「コンデンサを挿入して,電力消費量が時間的に均一になるようにする(不正解選択肢)」ことです。

過去問では、不正解選択肢ではあるが、以下のように述べられている。
実際には、車で探すようで、drivingという言葉がフィットする。
問75 無線LANの電波を検知できるPCを持って街中を移動し,不正に利用が可能なアクセスポイントを見つけ出す。(H23年春IP問75) 

このページのトップヘ