【情報処理試験対策】サイバー攻撃手法と対策まとめ
そろそろ情報処理試験まで一か月を切りましたね。合格を目指して勉強している皆様は、順調でしょうか。
基本情報処理、応用情報処理から、セキュリティスペシャリスト試験、セキュリティマネジメント試験まで幅広く出題される情報セキュリティ分野でとりあげられるサイバー攻撃手法を紹介します。
主要なものだけリストアップしてもかなりの量になりますが、攻撃対象(システム、人)で分類するなども一つの手です。
1.外部公開されているWEBサーバなどシステムへの攻撃と対策
DoS攻撃
概要
サーバに負荷を集中させるなどしてサーバを使用不可に陥れる。営業妨害などを目的として利用される。
対策
どの通信を利用するかによって異なるが、基本的には不要なポートは閉じ、不正な通信をフィルタリングすることがあげられる。
TCP SYN Flood(3ウェイハンドシェイクを大量に送り付ける)
→一定時間を過ぎた不成立コネクションは強制終了させる。不要なポートは閉じる。
Connection Flood(大量のコネクションを確立させる)
→特定ノードやグループからのコネクション数を制限する。FWやIPSで攻撃元アドレスからの通信を遮断する。
UDP Flood(UDPポートに大量のデータを送り付ける)
→不必要なUDPポートを閉じる
→ICMPによる通信を遮断し、WAN側からのpingには応答しない
DDoS攻撃
概要
DoS攻撃を大量のノードから実行する。なかでも、踏み台サーバなどを利用して、大量にSYNパケットを投げる手法をDRDoS攻撃(分散反射型DoS攻撃)という。直近では今月前半にヨドバシカメラが被害を受けたDNSamp攻撃(DNSリフレクション攻撃)、またICMPエコーを悪用したSmurf攻撃などが挙げられる。
国内の複数のウェブサイトでつながりにくい状況--「DNS amp」攻撃の疑い - CNET Japan
対策
手口により個別の対応が必要。(SmurfではICMPに応答しないなど)
IDS,IPSの導入も一定の効果がある。
ただ、ヨドバシの件のように莫大なトラフィックが集中した場合、一社での対応は難しく、プロバイダなどに相談して帯域制限を考えるなど、関係各社での協力体制が必要になる。
SQLインジェクション
概要
Webページ上の入力ホームに不正な文字列を入力し、攻撃用のSQL文を作成して、DBの内容を不正に閲覧、操作する。
対策
エスケープ処理をする。
バインド機構を利用する。
クロスサイトスクリプティング(XSS)
概要
悪意のあるスクリプトの文字列を記述したURLを作成して、攻撃対象のWebページにリンクを張る。そのリンクをクリックしたときに攻撃対象のWEBサイト上で悪意のあるスクリプトを含むページを作成させ、被害者のブラウザで起動させる。
対策
Webページに出力する文字列から、スクリプトを作成させるために用いる「’」「”」などの特殊文字を取り除き無害化する。(サニタイジング)
WAFを導入する。
クロスサイトフォージェリ(CSRF)
概要
利用者があるサイトでログイン状態にあることを利用して、クラッカーが利用者の名前で任意の操作を行う。
対策
利用がすんだらログアウトをすること。
WAFの導入。
OSコマンドインジェクション
概要
Webページ上の入力フォームにOSのコマンドライン上で有効なコマンドを入力させ、Webサーバー上で不正な命令を実行させる。
対策
Webページ上から直接コマンドラインにパラメータを送らないようにする。
DNSキャッシュポイズニング
概要
DNSサーバ上に誤ったドメイン情報を送り込み、そのDNSサーバを参照したPCを正規のWebサーバとは異なるサーバへ誘導する。
対策
DNSサーバプログラムのバージョンを最新に保ち、脆弱性を付かれないようにする。
DNSSECを導入する。
バッファオーバーフロー
概要
入力データを記録するデータ領域(バッファ)のサイズよりも大きいデータを送り込み、バッファをあふれさせることで、プログラムを誤動作させて管理者権限を奪う。
対策
入力データのサイズチェックを行い、不正なサイズのデータを受け付けないようにする。
IPスプーフィング
概要
送信元IPアドレスを攻撃対象のネットワーク内のアドレスのように偽装したIPパケットを送り付けて、ファイアウォールのパケットフィルタリングをすり抜け、不正なIPパケットを攻撃対象のLAN内に侵入させる。
対策
社外から、社内のIPアドレスのIPアドレスを送信元とするIPパケットが送信された場合に侵入させないようにフィルタリングルールを設定する。
パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性をチェックする。
ポートスキャン
概要
サーバ上で稼働するサービスの種類を確認するため、送信先ポート番号を1つずつ変化させたIPパケットを多数送信し、返答の有無を確認する。
対策
使用していないポートは閉じる。
送信先ポートを1つずつ変えたIPパケットを送ってくるような送信元からのアクセスを遮断する。
セッションハイジャック
概要
2者間で行われている通信をクラッカーが乗っ取る攻撃方法。サーバに成りすましたり、サーバ、クライアントの中間に割り込んだりと、方法は多岐にわたる。
対策
セッション番号の割り当てに乱数を使う。
暗号化と認証を行う。
ポート番号をランダムに選択する。
2.不正サイトへの誘導、アクセス権奪取など人をターゲットとした攻撃
Webビーコン
概要
imgタグが別サーバへアクセスしにいく特性を利用した攻撃。WebページやHTMLメールに小さい画像を埋め込み、悪意のあるプログラムをロードさせ、Webページ閲覧者やメール受信者の行動を把握する。
対策
メールをテキストとして読み込む。
画像の読み込みをブロックする。
フィッシング
概要
正規のWebサイトと酷似した偽のWebサイトを用意し、スパムメールや有名サイトと少し文字が違うドメイン名を用いる(利用者のうち間違えを期待)などで利用者を誘導して、個人情報を盗む。
対策
差出人不明のメールのURLなどにアクセスしない、業務に関係のないサイトを閲覧しないなどの運用規定の徹底。
ブラウザやセキュリティソフトのフィッシング判別機能を利用する。
ファーミング
概要
DNSキャッシュポイズニングなど名前解決情報の操作による不正サイトへの誘導。フィッシングと違って利用者に落ち度がなくても引っかかってしまう。
対策
サーバのディジタル証明書を確認する。
辞書攻撃
概要
よく用いられる文字、氏名や生年月日、電話番号など推測されるパスワードを片っ端から入力する。
対策
一般的な単語、氏名や生年月日、電話番号などをパスワードとして設定しない。
ブルートフォース
概要
考えられる文字列の組み合わせをすべて試すことで、パスワードを推測しようとする。
対策
パスワードの文字列をできるだけ長くし、かつ英語や記号、数字などの組み合わせたものにする。
ソーシャルエンジニアリング
概要
本人、関係者に成りすまして電話などでパスワードを聞き出す、ユーザの肩口からキーボードを盗み見する(ショルダーハッキング)など、人的な脆弱性を利用したもの。
対策
折り返し電話をするなど、本人確認をおこなう。
のぞき見防止対策を行う
まとめ
今回は、情報処理試験向けに書いたので、対策については一般論的な話ばかりです。
また、実際の攻撃手法は多岐にわたり様々ですが、主要なところを押さえておけば、試験でも実業務でも適切に分類し対応することができると思います。