$ whois -h whois.jprs.jp example.jp Domain Information: [ドメイン情報]
[Domain Name] EXAMPLE.JP [登録者名] John Smith
[Registrant] John Smith [Name Server] ns.example.jp [Name Server] foo.test
①問い合わせ
②foo.testを回答 Jp ドメイン管理
testドメイン管理
③問い合わせ
④1.1.1.1を回答
example.jpドメイ ンを持つ組織が 管理委託してい foo.test
1.1.1.1
⑤問い 合わせ
⑥1.1.1.10を回答 1.1.1.10
⑦1.1.1.10 へアクセス
foo.testは1.1.1.1 foo.testは2.2.2.2
悪意を持つ人が foo.testドメインを 取得してIPアドレス 変更
⑤ 問い合わせ
⑥ 2.2.2.10を回答
⑦ 2.2.2.10へアクセス
④ 2.2.2.2を回答
悪意を持つ人
悪意を持つ人
www.example.jp DNSサーバ foo.test
2.2.2.10 2.2.2.2
偽
悪意を持つ人
不正アクセス・手口の解説と対策( 3 )
• 脅威: DNS 情報の設定不備
• 影響
– ドメインの乗っ取り(ドメインハイジャック)
– 偽サイトへの誘導 – メールの盗み見
– 利用者個人情報の詐取(フィッシング)
– 利用者 PC への悪質なソフトウェアインストール
不正アクセス・手口の解説と対策( 3 )
• 脅威: DNS 情報の設定不備
• 対策
– ドメイン名が安全に運用されているか確認 – DNS サーバの登録情報を確認
– DNS サーバ管理を他社に委託している場合、
業者が正しく DNS サーバを運用しているか確認
参考: ドメイン名の登録と DNS サーバの設定に関する注意喚起 http://www.ipa.go.jp/security/vuln/20050627_dns.html
JPRS が DNS サーバの不適切な管理による危険性解消のための取り組みを開始
http://jprs.co.jp/press/050804.html
その他のウェブサイトの問題
• パス・トラバーサルの問題
– 公開するべきではないファイルが公開されてしまっている
• ショッピングサイト上の表記改ざんの問題
– 商品の値段や、商品名が書き換えられてしまう
• オーバーフローの問題
– 長すぎる入力をされると、サーバやCGIに異常が発生する
• セッション・ハイジャックの問題
– 第三者にセッションを乗っとられ、ログイン認証を回避される
• ネットワーク盗聴の問題
– 暗号化されていない場合に、重要な情報が盗まれる
• パスワード推測の問題
– パスワードが推測可能な場合、認証を突破される
• フィッシング詐欺につながる問題
– オレオレ証明書や、ウェブサイトの脆弱性がフィッシングに利用される 参考: 消費者向け電子商取引サイトの運用における注意点
http://www.ipa.go.jp/security/vuln/20050304_ec_security.html
まとめ
• ウェブサイトの脆弱性の悪用による被害を
回避するためには、以下の対策が必要です。
– ウェブアプリケーションが稼動しているウェブ サーバのセキュリティ対策
– ウェブサーバが設置されているネットワーク
(ルータやファイアウォール)のセキュリティ対策 – ウェブアプリケーションのセキュリティ対策
参考: ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜
http://www.ipa.go.jp/security/vuln/20050623_websecurity.html
ご参考
• フリーのウェブアプリケーションファイアウォール情報
– mod_security
http://www.modsecurity.org/
– Guardian@JUMPERZ.NET
http://www.jumperz.net/index.php
– CodeSeeker
http://sourceforge.net/project/showfiles.php?group_id=
64424&package_id=76046
情報セキュリティセミナー 2005
情報セキュリティ技術マップ
情報セキュリティ技術マップ
情報セキュリティ
ネットワークセキュリティ
建物や設備の物理
的なセキュリティ
情報セキュリティ技術マップ
(1)不正アクセス 対策
(3)資源・利用者 管理
(2)情報漏えい対策
(4)ログ管理
対策の基本
• 多重防御の原則
• 最小権限の原則
(1)不正アクセス対策
• ルータやファイアウォール
• プロキシサーバ
• IDS/IPS
• リモートアクセス対策(暗号化)
• サーバの要塞化(セキュアOS)
• 定期的な監査
• ログ管理
企業内ネットワーク
仮想ネットワーク
リモートアクセス環境
DMZ に置かれた サーバ群
インターネット
IDS/IPS 通信の暗号化
サーバの 要塞化 ファイア
ウォール
無線LAN
ルータやファイアウォール
• NAT および IP マスカレード
• パケットフィルタリング
– ファイアウォールは、ルータより も多様なアクセス制御が可能
• アクセス履歴(ログ)の保存
Internet
内部ネットワーク
外からの通信
内部からの通信
プロキシサーバ
• プロキシサーバ
– 通信の間に入ってクライアントを守る – キャッシュによる高速化
– 通信制限
• ワクチンサーバ(ウイルスウォール)
– メールサーバの多重化
– ウイルスメールを遮断・無効化
ドキュメント内
技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2
(ページ 39-53)