情報セキュリティ読本 - ipa › files ›...
TRANSCRIPT
1
情報セキュリティ読本
情報セキュリティ読本 ‒ プレゼンテーション資料 -
情報セキュリティ読本- IT時代の危機管理入門 -
プレゼンテーション資料
(第2章今日のセキュリティリスク)
2情報セキュリティ読本 ‒ プレゼンテーション資料 -
第2章 今日のセキュリティリスク
1. 情報セキュリティ2. 高水準で推移するウイルス被害3. 外部からの侵入(不正アクセス)4. サーバへの攻撃(サービス妨害)5. 情報システムのセキュリティホール
3情報セキュリティ読本 ‒ プレゼンテーション資料 -
1. 情報セキュリティ
1) 情報セキュリティの基本概念– 機密性
– 完全性
– 可用性
2) 情報資産とリスク・インシデント– 情報資産
– リスクとインシデント
– リスクの要因
第2章
4情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) 情報セキュリティの基本概念
正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること
◆機密性:アクセスを認可された者だけが、情報にアクセスできることを確実にすること
◆完全性:情報および処理方法が正確であること及び完全であることを保護すること
◆可用性:認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること
情報の機密性、完全性及び可用性の維持(情報セキュリティマネジメントシステムの国際標準であるISO/IEC17799の定義)
第2章 > 1. 情報セキュリティ
5情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) 情報資産とリスク・インシデント
• 情報資産–財務情報、顧客情報、技術情報等–システム(ハードウェア、ソフトウェア)、ネットワーク、データ、ノウハウなどさまざまな形
• リスク–情報資産が損なわれる可能性(内的、外的な要因がある)
• インシデント–実際に、情報資産が損なわれてしまった状態
第2章 > 1. 情報セキュリティ
6情報セキュリティ読本 ‒ プレゼンテーション資料 -
◆ 情報(紙、電子媒体、ネットワーク上)財務情報、人事情報、顧客情報、戦略情報、技術情報等
◆情報システムコンピュータ(パソコン、サーバ、汎用機)、 ネットワーク、通信設備
◆社会的信用
(脅威)守るべきもの
リスクの要因
第2章 > 1. 情報セキュリティ > 2. 情報資産とリスク・インシデント
7情報セキュリティ読本 ‒ プレゼンテーション資料 -
2. 高水準で推移するウイルス被害
• ウイルス届出件数は1999年より急増• 2002年、2003年と減少したが、2004年から再び増加に転じる
• 巧妙化・凶悪化が最近の特徴• ウイルス届出は、IPAセキュリティセンターの
Webページに毎月掲載コンピュータウイルスの届出状況
http://www.ipa.go.jp/security/txt/list.html
第2章
8情報セキュリティ読本 ‒ プレゼンテーション資料 -
3. 外部からの侵入(不正アクセス)
1)侵入の手口2)事前調査3)権限取得4)不正実行5)後処理
第2章
9情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) 侵入の手口
• 一般的な侵入は次の4つの段階を経て行われる
第2章 > 3. 外部からの侵入(不正アクセス)
事前調査
ポートスキャン
アカウント名の調査
システムの情報収集
不正実行
ファイル奪取
資源利用
不正プログラム埋込
踏み台
後処理
裏口作成証拠の隠滅
(結果)
権限取得
一般ユーザ権限獲得
様々な攻撃
特権ユー
ザ獲得
パスワード推測
10情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) 事前調査
• システム情報の収集– IPアドレス– サーバ名– サーバソフトウェア– OSの種類、バージョン– 提供されているサービス– 侵入検知システム
• Webサイトの調査やポートスキャンを実行
第2章 > 3. 外部からの侵入(不正アクセス)
ポートスキャンとは?(用語集より)攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの状態を調査すること。(ポートと脆弱性については、読本 p.83-84 参照)
11情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) 権限取得
• ツールなどを使用し、パスワードを強引に解読して権限を取得 = パスワードクラッキング
• パスワードクラッキングの手法i) ブルートフォース攻撃 ⇔用語集p.130 参照
• 総当り的に調べる
ii)辞書攻撃 ⇔用語集p.125参照
• 特殊な辞書を使用して照合
第2章 > 3. 外部からの侵入(不正アクセス)
12情報セキュリティ読本 ‒ プレゼンテーション資料 -
4) 不正実行
不正アクセスを行う際の中継地点として使用する。(例)・アカウントを不正使用し他のサイト攻撃の拠点とする・スパムメール(spam mail)の中継
踏み台
不正プログラムには、ユーザの知らない間に情報を入手して外部へ送信したり、ファイルを破壊するなど様々な悪さを働くものがある。これらのプログラムを埋め込む。
不正プログラムの埋め込み
コンピュータを不正に使用する。(例)・コンピュータを遠隔地から操作
コンピュータ不正使用
データやプログラムの削除、ハードディスクの初期化など。破壊
別の個人を装い、さまざまな行為を行う。(例)・ID、パスワードを盗み出し、正当なユーザーに見せかけて侵入 ・他人のクレジットカードでショッピング
なりすまし
データを書き換え。(例)・Webページの改ざん、設定書換え改ざん
ネットワーク上のデータや保存データを不正に入手。情報窃盗。(例)・パスワードの盗用 ・企業データの漏えい・個人データ(メール、日記など)の盗み見
盗聴
内 容不正行為
第2章 > 3. 外部からの侵入(不正アクセス)
13情報セキュリティ読本 ‒ プレゼンテーション資料 -
5) 後処理
• 証拠隠滅ログの消去などにより侵入の形跡を消す
• バックドアの作成次回の侵入を容易にするための裏口を設置
第2章 > 3. 外部からの侵入(不正アクセス)
14情報セキュリティ読本 ‒ プレゼンテーション資料 -
4. サーバへの攻撃(サービス妨害)
1)DoS攻撃(サービス妨害攻撃)– DoS: Denial of Services
2)DDoS攻撃(分散DoS攻撃)– DDoS: Distributed DoS
3)メール攻撃
第2章
15情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) DoS攻撃
• サーバに過大な負荷をかけ、パフォーマンスの低下やサービス停止に追い込む攻撃
• Pingの悪用など、さまざまな攻撃手法がある• DoS攻撃を行うコードを仕込むウイルスも登場している
第2章 > 4. サーバへの攻撃(サービス妨害)
16情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) DDoS攻撃
攻撃プログラム埋め込み(ツール、ワーム等)
攻撃者
踏み台
ターゲット
攻撃プログラム埋め込み(ツール、ワーム等)
大量データを一斉送信(DDoS攻撃)によりダウン
踏み台
DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃
攻撃プログラムを埋め込まれて気づかずにDoS攻撃に加担することがある
第2章 > 4. サーバへの攻撃(サービス妨害)
17情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) メール攻撃
• メールサーバに大量のメールを送り付ける– メールサーバのパフォーマンス低下や機能停止
• 第三者中継機能を悪用– スパムメールの踏み台として利用される
第2章 > 4. サーバへの攻撃(サービス妨害)
i) メールは自分のネットワーク宛のもののみ受信ii)第三者中継は禁止
第三者中継 : 外部から来たメールを別の外部へ転送する機能
18情報セキュリティ読本 ‒ プレゼンテーション資料 -
5. 情報システムのセキュリティホール
1)セキュリティ上の弱点(脆弱性)2)OSの脆弱性3)Webブラウザやメールソフトの脆弱性4)Webアプリケーションの脆弱性5)脆弱性を悪用する攻撃
– バッファオーバーフロー攻撃
– クロスサイトスクリプティング攻撃
– SQLインジェクション攻撃
第2章
19情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) セキュリティ上の弱点(脆弱性)
• 脆弱性=「情報システムのセキュリティ上の欠陥」• セキュリティホールと呼ぶこともある• 一般的な用語の使い分け
– ソフトウェアの設計もしくは実装上のエラーが原因⇒脆弱性
–弱いパスワードや設定ミスなども含め広い意味⇒セキュリティホール
⇔用語集p.126 (脆弱性、セキュリティホール) 参照
第2章 > 5. 情報システムのセキュリティホール
20情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) OSの脆弱性
• オペレーティングシステム(OS)=コンピュータシステムを管理する最も基本的なソフトウェア– Windows, Mac OS, UNIX, Linux など様々なOS
• このオペレーティングシステムに見つかったセキュリティ上の欠陥=OSの脆弱性
• メーカーから提供されているセキュリティパッチ(修正プログラム)を適用することが重要
⇔用語集p.125 (修正プログラム) 参照
第2章 > 5. 情報システムのセキュリティホール
21情報セキュリティ読本 ‒ プレゼンテーション資料 -
3)Webブラウザやメールソフトの脆弱性
• インターネットを介してデータをやり取りするので、脆弱性があると影響を受けやすい
• 例: 不適切なMIMEヘッダが原因で、IEが電子メールの添付ファイルを実行する(MS01-020)⇔用語集p.127 (添付ファイル)、p.121(MSxx-xxx) 参照
• 脆弱性を悪用するウイルスが増加しているので、セキュリティパッチを適用することが重要
第2章 > 5. 情報システムのセキュリティホール
22情報セキュリティ読本 ‒ プレゼンテーション資料 -
4)Webアプリケーションの脆弱性第2章 > 5. 情報システムのセキュリティホール
aaa
Xxx xxx xx xxxxxxxx xxx xx
Webサーバ
ユーザ
CGIPHP・・・
①入力
Webアプリケーション
②処理③表示
脆弱性があると
・サーバ上のファイルを盗まれる・悪意のあるプログラムを実行されるなど
Webブラウザ
23情報セキュリティ読本 ‒ プレゼンテーション資料 -
5) 脆弱性を悪用する攻撃
• バッファオーバーフロー攻撃• クロスサイトスクリプティング攻撃• SQLインジェクション攻撃
第2章 > 5. 情報システムのセキュリティホール
24情報セキュリティ読本 ‒ プレゼンテーション資料 -
バッファオーバーフロー攻撃
• 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。
• これにより、不正なコードを実行させたり、権限を不正に取得する。
第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
25情報セキュリティ読本 ‒ プレゼンテーション資料 -
クロスサイトスクリプティング攻撃
• スクリプトと呼ばれるプログラムを悪用。 (1)• 罠が仕掛けられたサイトで、ユーザがリンクをクリックすると発生。 (2)
• 別サイトに飛ばされて、スクリプトが実行される。 (3,4)• 個人情報の漏えい、不正な買い物などの被害にあう。 (5)
第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
26情報セキュリティ読本 ‒ プレゼンテーション資料 -
SQLインジェクション攻撃第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
一般利用者 Webサーバ+
Webアプリケーション
データベース
情報
①正しい入力
IDPass
②SQL文でデータ照会
③結果(データ)を返却④結果表示
WebアプリケーションにSQLインジェクションの脆弱性があると• データベースに問い合わせをするSQL文に不正なコマンドを埋め込むことにより、レコードを不正に操作
• 情報の改ざん、消去、漏えいなどの被害
27情報セキュリティ読本 ‒ プレゼンテーション資料 -
SQLインジェクション攻撃第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
情報の改ざん、消去
悪意を持つ人 Webサーバ+
Webアプリケーション
データベース
情報
②不正なコマンドが埋め込まれたSQL文①不正な入力
情報の閲覧(漏えい)
脆弱性があると。。。。
SQLインジェクションとは?(用語集より)データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基にデータベースへの命令文を組み立てている。この命令文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。この問題を悪用した攻撃手法は、一般に「SQL インジェクション」と呼ばれている。
Web アプリケーションにSQLインジェクションの脆弱性があると、SQLインジェクション攻撃を受けることがある
28情報セキュリティ読本 ‒ プレゼンテーション資料 -
本資料の利用条件
1. 著作権は独立行政法人情報処理推進機構に帰属します。著作物として著作権法により保護されております。
2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。
3. 営利目的の使用はご遠慮下さい。
4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。
5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] まで以下をお知らせ下さい。・使用する方もしくは組織の名称・使用目的・教育への参加人数
7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。