情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

9.サーバセキュリティ > 9.9 その他

1.クリックジャッキングとは
情報セキュリティスペシャリスト試験の過去問(H24SC春午前2問1)では、「 Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。」とあります。ジャッキングとは、飛行機を乗っ取るハイジャックをイメージしてください。クリックを乗っ取ると考えればいいでしょう。

情報セキュリティスペシャリスト試験の過去問(H26年秋SC午後Ⅱ問2)で詳しく問われましたので、その内容を確認しましょう。
(Ⅱ)クリックシャッキングの対策
 クリックシャツキングの対策には,④HTTP応答ヘッダで“X-FRAME-OPTIONS”にDENYを指定することによって,自サイトをフレーム内で表示させないようにする方法がある。近年,クリックシャッキングによると思われる事件が発生しており,この応答ヘッダに対応したブラウザが増えている。

IPAの資料(https://www.ipa.go.jp/files/000026479.pdf)に、詳しい解説があるので、時間があれば読んでください。
この資料では、「クリックジャッキング攻撃とは、ユーザを視覚的にだまして正常に見えるウェブページ上のコンテンツをクリックさせ、別のウェブページのコンテンツをクリックさせる攻撃のこと」と述べられています。
クリックジャッキング_情報セキュリティスペシャリスト試験 
※出典:https://www.ipa.go.jp/files/000026479.pdf

ユーザには、後ろにある悪意のページしか見えていないのですが、実際には表側にあるサイトをクリックしているのです。このケースでは、勝手に「情報公開」にしてしまいます。
具体的な透過方法は、iframe等によりクリックさせたいサイトを読み込み、そのページをCSS(Cascading Style Sheets)の設定で透明にします。

2.対策
対策ですが、自社のWebサイトが攻撃者のサイトのiframe内で勝手に表示されないようにします。具体的には、ブラウザからコンテンツを要求されると,Webサーバはブラウザに対して「このサイトをiframe内で表示させないようにしてください」いう通知を送るのです。このとき、Webサーバからの通知に使うのが「X-FRAME-OPTIONS」というHTTPヘッダです。Webサーバが通知した「X-FRAME-OPTIONS」をブラウザが確認し,拒否が設定されていればブラウザはiframe内にコンテンツを表示しません。

攻撃の概要
セッションフィクセーションとは,「セッションIDの固定化」とも呼ばれる攻撃手法である。
情報セキュリティスペシャリスト試験を目指す女性SE
フィクセーション(fixation)のfixは「固定する」という意味ですよね
だから、ログイン前後(http→https)にて、同じセッションID使っている(=セッションIDが固定化している)ときに受ける攻撃ですよね。
間違ってもいいないが、正確でもない。たしかに、セッションIDが同じだと、この攻撃を受けやすい。
ただ、セッションフィクセーションの攻撃は、攻撃者が事前にセッションIDを取得し,利用者に使用させることで,攻撃者が利用者のログイン権限になりすます攻撃を指す。

過去問(H27年SC春午後1問1)には以下の記述がある。
T君:はい。図6の一連のHTTPヘッダのうち,例えば,行番号[ d ]と行番号[ e ]を見比べると,サーバ側のセッション管理に問題があり,セッションフィクセーションの脆弱性が存在する可能性があります。攻撃者がCookie Monster Bugを突く攻撃や,前述したHTTPヘッダインジェクション攻撃を組み合わせることによって,セッションフィクセーションを成功させる可能性があります。図9に攻撃手順の一例を示します。

1.攻撃者Jが,試験用サイトの画面Aにアクセスし,セッションIDを取得する。このときの,セッションIDを“01234”とする。
2.攻撃者Jが,攻撃対象の利用者KにHTMLメールを送信する。このHTMLメールにはURLリンクがあり,攻撃用のクエリ文字列を含む画面CのURLが記載されている。
3.利用者Kが,試験用サイトの画面Aにアクセスし,セッションIDを取得する。このときの,セッションIDを“56789”とする。その後,HTMLメールのURLリンクをクリックする。その際に送信されるHTTPリクエストには,攻撃者Jが用意した攻撃用クエリ文字列が含まれており,検索文字列の値は次のとおりである。
%0d%0aSet%2dCookie%3a%20SESSIONID%3d[ f ]%3b%20Expires%3d(省略)domain%3dexample%2eco%2ejp%3b(省略)
4.利用者Kがログインする。
5.攻撃者Jは,利用者Kになりすまし,本来はアクセス権限がない画面にアクセスできるようになる。
                                    図9 攻撃手順の一例
dとeは、ログイン前とログイン後で,SESSIONIDの値が変わっていない点が設問にて問われている。
また、fには「01234」が入る。

簡略化して図にすると、こんな感じである。
セッションフィクセーション_情報セキュリティスペシャリスト試験

対策
この問題には、セッションフィクセーションの脆弱性対策として、「ログイン後の,画面Eから画面Cに遷移する際の,サーバ側の処理において[ g ]といった対策を行うことによって,この脆弱性を確実に防ぐ」とある。

この空欄gが、セッションフィクセーションの攻撃を防ぐシンプルな対策である。
まず、なぜセッションフィクセーションの脆弱性につながったかのか。それは、ログイン前とログイン後で同じセッションIDを利用しているからである。仮に攻撃者がセッションIDを送り込んだとしても、画面Eから画面Cに遷移する際に、サーバが新しいセッションIDを割り当てればよい。そうすれば、攻撃者がセッションIDを知ることができないし、不正なアクセスをすることもできない。 

解答:新しいセッションIDによるセッションを開始する

c2f058cb
不正サイトに誘導されたとして、万が一振り込みやカードでお金を支払ったとするでしょ。でも、その人が通報してたら振り込み先の口座情報などが分かるから、犯人が特定できると思います。身代金要求の誘拐で現金の受け渡しが困難なように、なかなか犯罪にまでつながらないのでは?


犯罪者は巧みで、足がつかない工夫をしているようだ。例えば、確かに銀行口座は身分証明書が必要で本人にしか作れないが、その口座の闇での売買が行われている。だから、振り込まれたらすぐにお金を引き出し、そして口座の身元が警察に突き止められても、真犯人は捕まらない仕組みになっている。
一方、DoS攻撃による現金要求などがあったが、このようにオープンに要求する場合は、TVドラマの身代金要求における現金受渡しと同様に、かなり難しいかもしれない。

・出会い系サイトから子供を守る
詳しくは、サイバー警察のサイトにある出会い系サイトによる犯罪が増えているようだ。
親はパソコンにソフトを入れるように促している。
またサイトの事業者は、年齢確認として、18歳以上かどうかを選ぶページを作る必要がある。
c2f058cb
でもこれって、クリックするだけでしょ。コンビニでたばこを買うときに免許証を見せたりするチェックとは違い、全く意味がないと思う。→サイバー警察に電話して聞いてみよう。

データベースに関するセキュリティ対策は、通常のセキュリティ対策と基本的には同じである。たとえば、データベースの暗号化、アクセス権設定によるアクセス制御、利用者認証を実施する。また、万が一のデータ破壊に備えてバックアップをきちんと取ることが大切である。それ以外に、SQL インジェクション対策としてのサニタイジングなどがある

0b330982
インターネットでクレジット情報入れるけど。たしかにSSLで暗号化されているかもしれないけど、店側には私のクレジット番号がバレてますよね?かんたんに悪用されません?



たしかに、私もそういう経験がある。どうしても欲しい物があって、その店に連絡したらクレジットの情報を言わされた。「大丈夫です。セキュリティは守りますから」と言われて、どうしても欲しかったから言ったけど、店側のモラルに任されている場合がある。クレジットを安全に取引するSETの仕組みも普及していないし。
ただ、最近では、クレジットカードの認証サービスで、購入した店舗ではなく、クレジット会社に認証を行い、パスワードを入れることも多くなってきた。こうなると安全性はかなり上がるよね。
6b2fb508
でも、そういう仕組みを導入しない店もまだあるでしょ。クレジット番号がバレると悪用されるのでは?サインもしないし。




たしかに、その恐れは十分にある。とはいえ、ネット決済ということは、商品を誰かの家に配達する必要がある。そこが犯人の家だったという単純なことはないかもしれないが、入力するときのIPアドレス情報を含めて、何らかの足がつく。カードの金額上限もあるしね。
4d80b27a
あの上限って勝手に増えていないですか?先日見たら99万円に上がっていた。それと、私の名前にして第三者の住所(犯人)に送ったら、カード会社も私がやったのか、不正な第三者がやったのかが分からないと思うわ。



例外はあると思うけど、基本的に住所と名前が一致しないと、郵便や宅配便は届かないよ。だから、第三者があやちゃんのカード情報を手に入れ、あやちゃん宛だけど自分の住所にダイヤを送ろうとしても送れない。社会全体として、セキュリティを保つ仕組みになっている。



Webサーバへの攻撃は高度化、多様化している。
自分達のサーバが安全かどうかは、第三者の専門家に診断してもらうのがいい。

過去問(H26SC春午後2問2)では、「公開Webサーバの運用再開前に,脆弱性検査を実施することを推奨する」とある。
第三者である必要はないが、自前でもいいので診断をしよう。
しかし、それは以外に難しい。専門知識が必要なのだ。
そこで、ツールを使うといいだろう。
プラットフォーム診断であれば、Nessusという有名なツールや、WebアプリであればBurpなどがある。
また、IPAには「安全なウェブサイトの作り方」というのが公開されており、こちらは、手動にはなるが、簡易診断が行える。簡易とはいえ、やる価値は十二分にあると考えている。
https://www.ipa.go.jp/security/vuln/websecurity.html

「インターネット上で、安全なクレジット決済の取引処理を提供するために定められたプロトコル(H16SU午前 問23)」を何というか
PKIを利用したインターネットでカード情報を安全に取引する規格である。大手クレジット会社と大手ソフトウェアメーカが規格化したもので、正解は「SET(Secure Electronic Transaction)」です。
残念ながら普及していません。パソコンにソフトが必要なのが原因なのか、そのあたりはよく分かっていませんが。

db2fc28cこの話は、決して私の話じゃないですよ。
知人からうけた相談です。





ワンクリック詐欺(ワンクリック不正請求)ですね。かなり巧みというか心理をついている。
一つは、ユーザ(被害者)がクリックしたという行為をしていること。メールが一方的に来ただけでなく、自らクリックしていることから、「あなたは(クリックして)同意しました」と表示されると、その通りと考えてしまうから。
もう一つは、IPアドレスだったり、携帯番号の個体識別番号であったり、ブラウザの種類などが知られたことにより、自分のことを特定されたと思ってしまう。
c2f058cb
でも、IPアドレスでおおよその住所は分かるんですよね。それと、プロバイダに聞いたら個人も特定できますよね。




大丈夫です。おおよそ(関東とか関西)のエリアしか分かりません。また、プロバイダが情報を教えるわけありません。個人情報は特定できません。
d18680c9
でも、教えるかもしれないでしょ。





その場合、プロバイダに責任がありますから、プロバイダに損害賠償請求ができます。大事なのは「無視」することです。「支払いません」などと連絡をとったり、クレジットカード情報を入力したら、本当に個人情報が伝わってしまいます。※たしか、この詐欺に対しては、電子消費者契約法により、守られているはず。

セキュアOS
セキュアOSとはセキュリティ機能を強化したOSのこと。LinuxのSElinuxが馴染み深いだろう。

Trusted OS
一方、Trusted OSとは、オレンジブックと呼ばれるTCSEC(Trusted Computer System Evaluation Criteria)のB1以上の基準を満たしたOSのこと。
 Trusted OSもセキュリティ機能を強化したという意味ではセキュアOS。しかし、SElinuxはTCSECの基準を満たしていないので、Trusted OSとは言えない。
 Trusted OSの条件を満たすには、強制アクセス制御(MAC)、最小特権などが必要。

このページのトップヘ