セキュリティ(2)
不正アクセス対策
インターネット経由
不正アクセスの脅威
| 不正行為 | 内容 | 被害 |
|---|---|---|
| サーバ内の情報漏えい | サーバ内のファイルや設定情報を不正に入手する | 機密データの漏えい |
| サーバコンテンツの書き換え | Webサーバ内のデータを書き換える | 情報提供の停止 社会的信用の低下 |
| サービス拒否攻撃 DoS | サーバのサービスが停止する | 情報提供の停止 社会的信用の低下 |
| 踏み台 | サーバの管理者権限を盗まれ、サーバを他サイトへの不正アクセスに利用される | 他サイトに被害をもたらす 社会的信用の低下 |
| スパムメールの中継サーバ | スパムメールと呼ばれるダイレクトメールの配信サーバに利用される | 情報資源の浪費 社会的信用の低下 |
基本的な対策法
サーバの不要なポートを閉じる
不要なサービス(アプリケーションプロトコル)を停止することを“ポートを閉じる”という。サーバで不要なサービスを停止し、攻撃のチャンスを減らす
ファイアウォールを設置する
セキュリティホールのチェックと修正プログラムの適応
セキュリティホールのあるソフトウェアの利用を停止するか、修正プログラム(セキュリティパッチ)でホールをふさぐ
アクセスログの監視
ファイアウォールのサーバのアクセスログを補完し、監査することにより、不正アクセスを発見することが可能。また、被害のあった場合、解析することにより、原因や被害状況、不正アクセス者を特定できることがある。アクセスログのチェックには解析ツールを使用
侵入検知ツール(IDS
)の使用
ファイアウォールで防ぐことが出来なかった不正アクセスを検知するために利用。ネットワーク上のパケットをリアルタイムで解析し、あらかじめ記録されている攻撃パターンと一致するかを検査し、攻撃と判断された場合は、管理者へ通知する
侵入防止ツール(IPS)の使用
侵入を検知した後にファイアウォールと連携して該当するパケットの通信を遮断するなど侵入を防止するための仕組み
セキュリティ監視ツールの使用
セキュリティ上の弱点を検知するルーツ
例)ファイアウォールがセキュリティポリシのとおりに正しく設定されているかをペネトレーションテスト(貫通テスト:実際に外部から侵入を試みるテスト)などでチェックする
CGIやスクリプト、Cookieを制限する
RADIUSによる認証の強化
RADIUS:認証用のプロトコル
RADIUSを設置し、認証管理の一元化を行う。利用者情報の登録や削除漏れを防いだり、パスワード管理を容易にして、脆弱なパスワードを防いだりする
リモートアクセス経由
コールバックを行う
電話回線経由の時、外部から着信した回線をいったん切断し、サーバ側から登録された電話番号にかけ直すこと。不正な場所からの接続を防ぐことが可能
発信者番号を利用する
事前に登録されていない電話番号からの接続を防ぐ
VPNを利用する
インターネットのような誰でも利用可能なネットワークを、あたかも専用線のように利用する技術
社内LAN経由
検疫ネットワークの使用
社内LANに不正な機器が接続されることを防ぐための技術。社内LANに直接アクセスせず、検疫ネットワークを介して接続する
ファイアウォール
許可された通信パケットしか通過できなくさせることで不正なパケットのネットワークへの侵入を防ぐ
DMZ(非武装地帯)
組織の内部ネットワークと外部ネットワークの間に設置されている隔離されたネットワーク領域(サブネットワーク)のこと。企業がインターネットに公開するWebサーバやメールサーバなどはDMZ領域に設置する。DMZに公開されたサーバは社内のネットワーク、インターネットからのアクセスは許可するが、DMZを経由して社内のネットワークに経由して社内のネットワークにアクセスする事は出来ない。万一、インターネットに公開するサーバが不正アクセスされても社内のネットワークへの被害の拡散を防止できる
ファイアウォールの種類
パケットフィルタリング
IPアドレスとポート番号により、通過を許可するパケットを制限し、不正侵入を試みるパケットを排除する
アプリケーションゲートウェイ
プロキシサーバの機能を利用して、内部と外部の間の TCPコネクションを切り分ける。外部からはファイアウォールしか見えない
ファイアウォールの実現
●ファイアウォール専用ソフト、専用ハードウェアを利用する方法(セキュリティの強度が高い)
●プロキシサーバやルータを使用して構築する方法
ファイアウォールの運用
●アクセスログをチェックし、自サイトへの攻撃の種類を確認し、それに備えた設定に変更する
●ファイアウォール自身のセキュリティホールに対応する
無線LANのセキュリティ対策
無線LANへの攻撃
●盗聴
●不正な接続
対策
MACアドレス認証
事前にMACアドレスが登録されたクライアントだけに接続を許可する
WEP(Wired Equivalent Privacy)による暗号化
無線電波を暗号化し、盗聴を防ぐ。IEEE802.11で規定されている無線LANの暗号化のこと。脆弱性があり、解読可能
WPA(Wi-Fi Protected Access)による暗号化
WEPよりも強固な暗号化を行う仕組み。暗号化アルゴリズムには、AESやTKIPなどが使われる
IEEE802.1X
ネットワーク内でユーザ認証をおこなうための方式を定めた規格。EAP認証方式を採用し、「ユーザID・パスワード」による認証や電子証明書による認証など、様々な認証に対応している。認証の際には、RADIUSという認証サーバが必要になる。EAP-TLSなどがある
攻撃手法とセキュリティ対策
サーバに対する攻撃とその対応策
ポートスキャン
サーバがサービスを提供しているポート番号を調べること。ポート番号から利用しているサービスの種類などを推定する。攻撃のヒントを与える
※対策※
●不要なサービスを停止する
●ファイアウォールによって必要なポート以外への接続を許可しない
パスワードクラッキング
パスワードを不正な方法で破ること。ブルートフォース(総当たり)、パスワード辞書を使ってのパスワード探しなど
※対策※
●安易なパスワードを設定しない
●パスワードの長さを十分長いものにする
DoS攻撃:サービス拒否攻撃
サーバのサービスを停止させることを目的とした攻撃。ハーフコネクションを大量発生させる方法、サーバOSやサーバソフトのセキュリティホールを利用する、複数のサイトから同時にDoS攻撃を仕掛けるDDoS攻撃がある
※対策※
●ファイアウォールで不正なパケットを遮断し、IDSで不正なパケットを監視する
●サーバの動作を常に監視し、DoS攻撃を受けていると判断されたら直ちに原因を究明し、対応策を探し、実施する
踏み台
あるサイドを攻撃する際の中継点となること
ゼロディ攻撃
OSやアプリケーションにセキュリティ上のセキュリティホールが発見されることがある。この場合、パッチを速やかに適用する必要があるが、問題の存在自体が広く公表される前にそこを標的にされることがある。公開までのタイムラグを狙ったもの
DNSキャッシュポイズニング
DNSはWebへのアクセスやメールの送受信などの際に、接続相手ののIPアドレスを調べる仕組み。DNSキャッシュポイズニングはDNSが偽の応答を返すようにしてしまう攻撃。気づかないうちにフィッシングサイトに誘導されてしまうなど
迷惑メールの中継サーバ
※対策※
●認証機能付きのSMTPを採用する
●第三者中継を行わない
バックドア
不正侵入者が、次回の侵入を容易にするために何らかの方法でシステムに不正アクセスできるように残した仕掛け
※対策※
●ウイルス対策ソフトの導入
●バックドアによる不正アクセスを検知したら磁気ディスク装置をフォーマットする、OSなどを再インストールするなどして、バックドアを完全に消去することが有効
Webアプリケーションに対する攻撃とその対応策
セキュアプログラミング
十分にセキュリティを考慮したプログラムを作成すること
サニタイジング:入力データから危険な文字を取り除くこと
バッファオーバーフロー
プログラムの脆弱性を利用して、任意のコマンドなどを実行するほうほう。想像以上のサイズデータを送る。プログラムの管理外のメモリに任意のプログラムコードを送り込んで実行させる。異常終了させるなど
※対策※
●脆弱性を取り除くための修正プログラム(パッチ)を使い、プログラムのアップデートを行う
ディレクトリトラバーサル
Webサーバ内の非公開のディレクトリ(フォルダ)にアクセスする方法。Webアプリケーションにデータ入力欄に、任意の文字列が入力可能な場合に発生する
※対策※
●サニタイジングを行う。Webアプリケーションの入力フォームで、適切なチェックを行い、想定外の動作を起こす文字列の入力を受け付けないようにする
SQLインジェクション
Webアプリケーションで想定外のSQLを実行させて不正にデータベースを操作する方法
※対策※
●SQLの実行に関する入力データのチェックを厳密に行う
クロスサイトスクリプティング
Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと
※対策※
●入力データから危険な文字を取り除く処理を行うサニタイジング
●ブラウザにスクリプトを無効にする処理を行うこと
●利用者側はむやみに掲示板などで示されたリンクをクリックしない
セッションハイジャック
盗聴や推測などによって不正にセッションIDを入手して、セッションを乗っ取ってしまうこと
※セッション:WebサーバとWebブラウザ間のやり取りを管理する概念
※対策※
●セッションIDの推測が困難なものにする
●SSLによる暗号化を行う
●ソフトウェアのセキュリティホールが原因の場合は修正プログラムで修正する
ソーシャルエンジニアリング
人をだまして情報を入手し、不正なアクセスを試みる手法の総称
なりすまし
顧客や会社内の人間になりすまして、企業秘密をはじめあらゆる情報を引き出そうとする手法
スキャベンジング
ゴミ箱あさり
ショルダーハッキング
パスワードの入力情報を後ろから覗き込む
フィッシング
メールで偽のWebサイトに誘導し、IDやパスワード、クレジットカード番号等を不正に入力する手法
※対策※
利用者教育
●電話ではID、パスワードを教えない
●機密情報をゴミ箱に捨てない
●メールからのリンクは利用しないで自分のリンク、Webサイトのトップページからリンクをたどる
●心当たりのない情報の再入力は必ず問合せをする
クライアントPCに対する攻撃と対応策
フォーミング
利用者を偽のサイトに誘導して情報を収集する方法。利用者のPCのHostsファイルを不正に書き換えて、DNSサーバの設定ファイルや設定のキャッシュファイルを書き換えて誘導する
※Hostsファイル:PCの中にあるホスト名IPアドレスの組合せを格納しているファイル
※対策※
●利用者教育
●SSLによる暗号化通信とサーバの認証が正しく行われているか、Webブラウザの鍵マークをクリック、証明書が正しいかを確認する
BOT
コンピュータウイルスの一種で、感染したコンピュータはインターネット経由で、攻撃者が遠隔操作を行うことができるもの
ワーム
ユーザに気づかれないようにコンピュータに侵入し、破壊活動や別のコンピュータへの侵入などを行う、悪意のあるプログラム(マルウェア)の一種
Autorun.inf
USBの規格にUSBを介して感染するコンピュータウイルスの多くはこの仕組みを悪用しており、USBメモリをコンピュータに挿入するとウイルスプログラムを自動実行するようなAutorun.infを勝手に作成する
その他
LANアナライザ
通信回線を流れるパケットを捕獲(キャプチャ)し、中身を表示するソフトウェアやハードウェアの総称。ネットワークを流れるデータの通信量やその変化を調べたり、障害発生時に原因を調査するのに使われる。LANアナライザは通信内容を送信者や受信者に気付かれずに閲覧することが出来るため、暗号化されていないパスワードはクレジットカード番号など、秘密にしたい通信内容の盗聴に悪用される場合がある。外部からの侵入者がLANアナライザを仕掛け、定期的に結果を報告させていたという事例もある
耐タンパ性
物理的、論理的に内部の情報を読み取られることに対する耐性。内部解析(リバースエンジニアリング)や改変に対する防護力のこと
コモンクライテリア(Common Criteria、略称CC)
コンピュータセキュリティのための国際規格であり、ISO/IEC15408である。IT製品や情報システムに対して、情報セキュリティを評価し認証するための評価基準を定めている
MACアドレスフィルタリング
無線LANのアクセス制限方式の一つ。MACアドレスを事前にアクセスポイント(無線ルータなど)に登録した端末しか接続できないように制限する機能のこと
閉域接続
端末アドレスを登録することにより、利用者を制限するネットワークセキュリティ(VANサービスなど)
IDS(侵入検知システム)
コンピュータシステムやネットワークを監視、セキュリティ上問題となる兆候や行為を検出するシステム
| ネットワーク型IDS | ホスト型IDS |
|---|---|
| ネットワークを流れるパケットを監視する | ホスト上のOSやアプリケーションログなどを監視する |
| 一つのIDSで監視対象のネットワーク全体を監視でき、導入コストが低い | 全体を監視するには全ホストにIDSを導入する必要があり、導入コストが高い |
| 監視対象ネットワークに影響を与えない | OSとの相性やパフォーマンスなどホストへの影響に注意が必要 |
| IDSの存在自体を隠ぺいすることができ、侵入を受ける可能性は低い | 監視対象ホストへの侵入は、そのままIDSへの侵入を意味する |
| パケットのみ監視 | パケットの監視、OSやアプリケーションのログ監視も可能なため、より多様な情報から不正アクセスを監視可能 |
| 攻撃手法を監視する | 攻撃結果を監視する |
| 一般的には、暗号化されたパケットの中身を見ることはできない | 暗号化された通信についても監視可能 |
