情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威 > 2.1 脅威について

1.脅威とは
情報セキュリティスペシャリスト試験を目指す女性SE

脅威という言葉ですが、
当たり前すぎて、説明しにくいですね。
脅威は脅威としか言いようがありません。
以下の問題を見てみよう。
問41 JIS Q 27002における情報資産に対する脅威の説明はどれか。
ア 情報資産に害をもたらすおそれのある事象の原因
イ 情報資産に内在して、リスクを顕在化させる弱点
ウ リスク対策に費用をかけないでリスクを許容する選択
エ リスク対策を適用しても解消しきれずに残存するリスク
(H22AP春 午前 問41)
リスクマネジメントの章で「リスク=情報資産の価値 x 脆弱性 x 脅威」という説明をする。
それを意識しながら、上記の選択肢を一つ一つそれぞれが何を意味するかを考えると勉強になる。

正解は、アの「情報資産に害をもたらすおそれのある事象の原因」です。

2.脅威の分類
脅威を分類すると、以下に分けられます。出典は情報セキュリティマネジメント試験のシラバス
https://www.jitec.ipa.go.jp/1_13download/syllabus_sg_ver1_0.pdf P2[脅威の種類])

脅威の分類代表例
①物理的脅威事故,災害,故障,破壊,盗難,不正侵入 ほか
②技術的脅威不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか
③人的脅威誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか
この中で、試験では、技術的な脅威が多数問われることでしょう。

参考までに、先ほどの設問の、他の選択肢を解説します。
選択肢イ
「情報資産に内在して、リスクを顕在化させる弱点」は脆弱性のことですね。
選択肢ウ
「リスク保有」です。リスクを全て対策することは費用対効果の面で適切ではありません。例えば、パンフレットが盗まれたとしても、そもそも配るものなのでがまんしましょうという考えです。
選択肢エ
「残存リスク」です。例えば、入退室管理にICカード認証による対策をします。しかし、共連れで不正に入室されるリスクは残ります。これが残存リスクです。
残存リスクに対しては、多くは運用面でルールを決めるなどして対処します。例えば、共連れで入るときは、正規に入った人が注意して入らせないようにするなどの対策を行います。

1.脆弱性とは
他の試験の過去問では、脆弱性に関して、「情報資産に内在して、リスクを顕在化させる弱点(H22AP春AM問41) 」と述べられています。
ただ、一言で弱点と言っても、いろいろあります。たとえば、分かりやすいのがOSなどのバグでしょう。これらはセキュリティパッチを適用して修正します。または、ファイアウォールにて外部からの通信が許可されるというセキュリティホールも脆弱性と言えます。加えて、人が間違えて情報漏えいをしてしまうという人的な脆弱性もあります。

参考ですが、ソフトウェア等脆弱性関連情報取扱基準では、脆弱性を次のように定義しています。
1.脆弱性
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。ウェブアプリケーションにあっては、ウェブサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような、安全性が欠如している状態を含む。

2.脆弱性の指標
脆弱性という抽象的なものを明確に表すものとして、以下があります。
(1)CVE
CVE(Common Vulnerabilities and Exposures)とは、野ざらし(exposure)になったCommon(共通の)Vulnerabilities(脆弱性)という意味で、脆弱性の通番です。CVE-西暦年-4桁の通番で表されます。
たとえば、H26年に話題になったOpenSSL の脆弱性は「CVE-2014-0160」が振られています。
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

過去問(H25SC秋午前2問5)では、「JVN (Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか」として、「製品に含まれる脆弱性を識別するための識別子である」を正解としています。

過去問(H28秋SC午後Ⅰ問2)を見てみましょう。
〔脆弱性及びその悪用〕
ソフトウェアの脆弱性の情報を組織間で一意に特定し共有できる仕組みが運用されている。例えば,脆弱性が報告されると,[ a ]識別子が付番され,日本国内ではJPCERT/CCなどが公表し注意喚起している。ただし,公表前に悪用されるものもあり,[ b ]脆弱性と呼ばれる[ b ]脆弱性は,特定の組織を狙う攻撃,つまり[ c ]型攻撃でしばしば悪用される。
さて、空欄に当てはまる言葉ですが、正解は以下です。
a CVE
b ゼロデイ
c 標的

(2)CWE
CVEと似た言葉に、CWEがあります。タイプミスではありません。別の言葉です。
IPAでは「共通脆弱性タイプ一覧CWE概説」というページがあります。(https://www.ipa.go.jp/security/vuln/CWE.html
ここでは、「CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するための、脆弱性の種類(脆弱性タイプ)の一覧を体系化して提供しています。」と述べています。

例えば、以下のように脆弱性タイプを整理しています。
CWE-78:OSコマンド・インジェクション
CWE-79:クロスサイト・スクリプティング(XSS)
CWE-89:SQLインジェクション
 
過去問(H26年春SC午前2)を見てみましょう。
問14 JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
ア 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
イ 製品を識別するためのプラットフォーム名の一覧
ウ セキュリティに関連する設定項目を識別するための識別子
エ ソフトウェアの脆弱性の種類の一覧
ちなみに、アは次に解説するCVSSです。正解はエです。

ここで、JVNについて補足します。JVNはJPCERT/CCとIPAが共同で運用しています。JVNのサイト(http://jvn.jp/nav/jvn.html)では、JVN(Japan Vulnerability Notes)に関して次のように述べています。
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。

(3)CVSS
情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問10)では、CVSS(Common Vulnerability Scoring System) に関して、「基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」と述べられている。
詳しくはCVSSの記事にて解説しています。

1.不正アクセスとは
IPAの資料(https://www.ipa.go.jp/files/000011455.pdf)に不正アクセスの説明があります。
具体例が分かりやすいと思いますので、引用します。
具体的には、以下に示す行為のことです。
・ コンピュータのOSやアプリケーションあるいはハードウェアに存在するぜい弱性(セキュリティホール)を利用して、コンピュータのアクセス制御機能を迂回し、コンピュータ内に侵入する行為(侵入行為)
・ 他の人に与えられた、利用者IDおよびパスワードを、その持ち主の許可を得ずに利用して、持ち主に提供されるべきサービスを受ける行為(『なりすまし』行為)
・ 持ち主の許可を得ずに、その持ち主の利用者IDおよびパスワードを第三者に提供する行為

不正アクセスとは別に、クラッキングという言葉もあります。過去問(H27年秋IP問73)には、「情報セキュリティにおけるクラッキング」の説明として,「悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う」と述べられています。こちらも、不正アクセスと同じ意味と考えてもいいでしょう。

2.不正アクセスの被害
不正アクセスと言っても、とても幅広いものです。
IPAの資料に「コンピュータウイルス・不正アクセスの届出状況および相談状況 [2014年年間]」があります。
https://www.ipa.go.jp/security/txt/2015/2014outline.html
ここの「2014年不正アクセス被害内容」によると、以下がその例として述べらえています。
①踏み出しとして悪用 29%
②サービス低下 16%
③オンラインサービスの不正利用 16%
④ウェブサイト改ざん 11%
⑤データの窃取、盗み見 8%

3.不正アクセスの原因
上記と同じ資料に、「2014年不正アクセス被害原因」が記載されています。
①ID,パスワード管理の不備 17%
②古いバージョン、パッチ未導入など 11%
③設定不備 10%
とあります、ただ、一番多いのは「不明 34%」で、被害を受けた側は、何が原因なのか理解していない状況です。これでは、次も攻撃されることでしょう。

4.不正アクセス対策
では、不正アクセス対策は具体的にどのように行えばいいのでしょうか。
不正アクセスの攻撃も多岐にわたるため、簡単には言えません。代表的な対策としては、以下の3つが考えらえます。
①ゲートウェイ機器での対策
 ファイアウォールやIPS、WAFによる不正アクセスの防御
②サーバの要塞化
 不要なサービスおよびポート、アカウントの停止、パッチの適用、アクセス制御などを適切に行う
③運用管理
 ログを取得し、日々監視する。また、緊急時には迅速な対応を行う
不正アクセス_情報セキュリティスペシャリスト試験

情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問10)では、CVSS(Common Vulnerability Scoring System) に関して、「基本評価基準現状評価基準環境評価基準の三つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」と述べられています。

さて、過去問(H28春SC午後Ⅱ問1)に、CVSSに関する3つの基準について詳しい解説があります。
ポイントとなるところを赤字にしています。
CVSSは,三つの基準で脆弱性を評価する手法である。一つ目は、”基本評価基準”であり,機密性などのセキュリティの特性や,ネットワークから攻撃が可能かといった攻撃元の特性からスコアを算出する。この基準は,時間の経過や環境の違いによるスコアの変化はない。どこから攻撃可能であるかを評価する攻撃元区分を表5に示す。
abc
 二つ目は”現状評価基準”であり,攻撃コードの出現有無や対策情報が利用可能であるかどうかを基にした評価基準である。ベンダなどの脆弱性への対策状況に応じ,時間の経過によって変化し,脆弱性を公表する組織が,脆弱性の現状を表すために評価する基準である。
 三つ目は”環境評価基準”であリ,ネットワーク環境やセキュリティ対策状況を含め,攻撃元区分の再評価などによって,組織にとっての最終的な脆弱性の深刻度を評価する基準である。
 基本評価基準のスコアは脆弱性ごとに定まるが,環境評価基準は脆弱性が存在する情報機器ごとにスコアが異なる

設問6(1)CVSSについて,ゼロデイ攻撃が可能な脆弱性か否かは,どの評価基準に最も反映されるか。基準名を答えよ。
ゼロデイ攻撃は、ベンダなどが脆弱性への対策ができているかに左右されます。よって、「現状評価基準」が正解です。
情報セキュリティスペシャリスト試験を目指す女性SE

話が変わりますが、環境評価基準は、
同じ脅威でも、情報機器ごとにスコアが異なるんですね。
そうなんです。その具体例が、この問題にあります。その問題を見てみましょう。
123
 (中略)

  例えば,図3のFW1とFW2に関する,ある脆弱性が公表された場合,この脆弱性の基本評価基準のスコアに対して,評価時点の現状評価基準のスコアを算出し,最後に,環境評価基準として,FW1とFW2のそれぞれで最終的な深刻度のスコアを算出する。U課長は実際に,FW1とFW2に存在する,ある脆弱性の深刻度を算出してみた。この脆弱性は,FWのポリシ更新のコマンド発行において,特定のパラメタを組み合わせると管理者権限がなくても不正にポリシを更新できるというものである。環境評価基準において, FW1の攻撃元区分は[ c ]であリ,FW2の攻撃元区分は[ d ]であることから,[ e ]のスコアがより高い値を示した。

設問6(2)本文中の[ c ]~[ e ]に入れる適切な字句を答えよ。[ c ],[ d ]は表5中の区分名から選び,[ e ]は"FWl"又は"FW2"のどちらかで答えよ。
先ほどの表5をもとに、空欄[ c ],[ d ]を考えます。FW1は、「外部事業者の担当者が遠隔地から(中略)更新作業を行っている」とありますから、cの区分名は「ネットワーク」です。
FW2は、「コンソールポートに常時接続されたMPCからだけ許可」とありますから、dの区分名は「ローカル」です。攻撃の難しさを考えると、ネットワーク経由で攻撃が可能なFW1の方が危険です。よって、eにはFW1が入ります。

【解答例】
c ネットワーク  d ローカル  e FW1

参考
CVSSに関しては、IPAの資料に詳しい解説と計算方法が記載されている。
https://www.ipa.go.jp/security/vuln/CVSS.html
たとえば、どれくらいの値になるのだろうか。
「GNU bash における任意のコードを実行される脆弱性」のCVSS値は10
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004431.html
※IPAとNISTでは値が違う可能性があるようです。

①機会、②動機、③正当化の3つが揃うと不正が起こると言われています。

不正のトライアングル_情報セキュリティスペシャリスト試験

たとえば、社員が個人情報を第三者に販売したとします。
このとき以下のような要件が揃うのです。
①機会:システム管理者などの立場で、個人情報にアクセスできる機会があった
②動機:お金にとても困っていて、個人情報を売ればお金になる
③正当化:「個人情報を売っても、誰も困らないだろう」「悪いのは、安月給でコキ使って働かせる会社」などという、やむを得ない犯罪であるという心理
不正のトライアングル_情報セキュリティスペシャリスト
たとえば、平成21年に、三菱UFJ証券で、約5万件の顧客情報が流出する事件が起きました。この事件の原因は、情報システム部の社員が、借金返済のために名簿業者に売却したことでした。
守る側としては、この3要件を、一つでも潰すことで、不正を防ぎやすくなると言われています。では、過去問(H27年秋SC午前2)を見てみましょう。
問9 不正が発生する際にぱ不正のトライアングル”の3要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明のうち,適切なものはどれか。
ア “機会”とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正行為の実行を可能,又は容易にする環境の存在である。
イ “情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。
ウ “正当化”とは,ノルマによるプレッシャーなどのことである。
エ “動機”とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。
正解はアです。ウが「動機」で、エが「正当化」の説明です。

ハッカーとホワイトハッカー
 ハッカー(hacker)とは、元々は、コンピュータに精通した人を意味しました。しかし、世間一般には、悪意を持って攻撃する人を指すことが多くなっています。そこで、正義の専門家をハッカー、攻撃者をクラッカー(Cracker)と分けていたときもありましたが、クラッカーという言葉はあまり普及しませんでした。
そこで(、なのかは分かりませんが)、攻撃を防ぐために技術に精通した善意の人は、悪意のある人と区別するために、ホワイトハッカー(white hacker)と言われます。 
ハッカーとハクティビスト 

そもそも、彼らは何のために攻撃しているのか。以下にIPAの資料がある。
http://www.ipa.go.jp/security/vuln/documents/10threats2013_slide.pdf

これによると、かつては「いたずら目的」だったものが、「いたずら目的」「金銭目的」「抗議目的」「諜報目的」と多様化している。金銭目的はクレジットカード情報を盗んだり、個人情報を盗んで売ったりなどであり、最近はとても増えている。

ハクティビスト(hacktivist)
過去問(H25SC春午前2問8不正解選択肢)では、「情報技術を利用し,信教や政治的な目標を達成するという目的をもった人や組織の総称である」と述べられている。

アノニマス
ガイ・フォークスの仮面をして抗議をしている姿をTVで見た人も多いだろう。彼らのつながりはネットであり、人数や中心人物など、実態はほとんど分かっていないようだ。

ちなみに、仮面はAmazonでも1000円程度で売られている。品切れのときもあった。
2012年には、以下の事件も
「凄腕ハッカー集団“霞が関”と“霞ヶ浦”間違えて攻撃」
http://www.sponichi.co.jp/society/news/2012/06/29/kiji/K20120629003566470.html

ボットハーダー
「herder」は「羊飼い」という意味です。ボットハーダー(bot herder)とは、ボットネットを操る犯罪者と考えてください。

スクリプトキディ(script kiddie)
script(スクリプト)を使って攻撃をするkiddie(子供)という意味です。幼稚な攻撃しかできない初心者という皮肉が込められています。
過去問(H28秋SG午前問24)では、「スクリプトキディの典型的な行為」として「技術不足なので新しい攻撃手法を考え出すことはできないが,公開された方法に従って不正アクセスを行う。」と述べられています。

天才ハッカー ジョージ・ホッツ氏
17歳でiPhoneの脱獄に成功してブログに公開、SONYのPSの脱獄(ジェイルブレイク)にも成功(後にSONYに訴えられる)ということから、英雄視されていることもある。その後、Facebookに雇われることになった。

6b2fb508

日本は世界的にみて、セキュリティ対策のレベルは高いのですか?




情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、ボット感染状況として、「マイクロソフトの「Security Intelligence Report」によると、日本は、インターネット先進国ばかりでなく、全世界的に極端に感染が少ない国」「マイクロソフトの駆除ツールMSRTの実行1000回あたりのボット感染駆除の値(中略)日本は0.6で最小となっており、他の先進国は、米国5.2、ロシア4.3、フランス4.0、英国2.7、ドイツ1.4で、近隣の韓国は14.6となっている。」と述べられている。

解答群
①元交際相手や元従業員等の顔見知りの者
②交友関係のない他人
③ネットワーク上の知り合い
イラスト②「被疑者でもっとも多いのは」
「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」にいろいろなデータが掲載されている
http://www.npsc.go.jp/hightech/H230303.pdf
正解は①

最近では、データが変わっているようである。
僅差で②が一位のようだ。

----------------
(2) 被疑者と利用権者の関係
不正アクセス禁止法違反に係る被疑者と識別符号を窃用された利用権者の関係に
ついてみると、交友関係のない他人によるものが最も多く(76人)、次いで元交際
相手や元従業員等の顔見知りの者によるもの(75人)、ネットワーク上の知り合い
によるもの(19人)となっている。
http://www.soumu.go.jp/main_content/000347975.pdf
----------------

警察庁のページに、「平成25年中のサイバー犯罪の検挙状況等について」掲載されている。
https://www.npa.go.jp/cyber/statics/h25/pdf01-2.pdf
8113件で、過去最高。これに対し、相談件数は84863件。
たしか今は10万件を突破しているはず。

AppGoat
IPAが、脆弱性体験学習ツール AppGoatを開発し、公開されています。
ちょっとやってみましたが、かなり作りこまれていて、本格的です。
Webサーバを立てるなどの手順を踏む必要があり、それほど手軽とは言えませんが、ほとんどがスクリプト化されているので、数分で体験までこぎつけることができます。
脅威および攻撃手法を実際に体験するいい機会です。皆さんもお試し下さい。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

XSS-GAME
Googeが公開しているXSSのゲームというか、簡易学習サイトがあります。
https://xss-game.appspot.com/
フォームに何かを入力して、脆弱性を見つけるものです。Hintがあるので、押して行くといいでしょう。
体験するにはちょうどいいと思います。

OWASP BWA
学習用の脆弱性があるサイトとして、OWASP BWAがあります。
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
BWAとは、Broken(壊れた)WebApplicationです。
使い方などは、ネットに落ちていますので、興味がある方は是非

このページのトップヘ