⑦1.1.1.10 へアクセス

$ whois -h whois.jprs.jp example.jp Domain Information: [ドメイン情報]

[Domain Name] EXAMPLE.JP [登録者名] John Smith

[Registrant] John Smith [Name Server] ns.example.jp [Name Server] foo.test

①問い合わせ

②foo.testを回答 Jp ドメイン管理

testドメイン管理

③問い合わせ

④1.1.1.1を回答

example.jpドメイ ンを持つ組織が 管理委託してい foo.test

1.1.1.1

⑤問い 合わせ

⑥1.1.1.10を回答 1.1.1.10

⑦1.1.1.10 へアクセス

foo.testは1.1.1.1 foo.testは2.2.2.2

悪意を持つ人が foo.testドメインを 取得してIPアドレス 変更

⑤ 問い合わせ

⑥ 2.2.2.10を回答

⑦ 2.2.2.10へアクセス

④ 2.2.2.2を回答

悪意を持つ人

悪意を持つ人

www.example.jp DNSサーバ foo.test

2.2.2.10 2.2.2.2

偽

悪意を持つ人

不正アクセス・手口の解説と対策（ 3 ）

• 脅威： DNS 情報の設定不備

• 影響

– ドメインの乗っ取り（ドメインハイジャック）

– 偽サイトへの誘導 – メールの盗み見

– 利用者個人情報の詐取（フィッシング）

– 利用者 PC への悪質なソフトウェアインストール

不正アクセス・手口の解説と対策（ 3 ）

• 脅威： DNS 情報の設定不備

• 対策

– ドメイン名が安全に運用されているか確認 – DNS サーバの登録情報を確認

– DNS サーバ管理を他社に委託している場合、

業者が正しく DNS サーバを運用しているか確認

参考： ドメイン名の登録と DNS サーバの設定に関する注意喚起 http://www.ipa.go.jp/security/vuln/20050627_dns.html

JPRS が DNS サーバの不適切な管理による危険性解消のための取り組みを開始

http://jprs.co.jp/press/050804.html

その他のウェブサイトの問題

• パス・トラバーサルの問題

– 公開するべきではないファイルが公開されてしまっている

• ショッピングサイト上の表記改ざんの問題

– 商品の値段や、商品名が書き換えられてしまう

• オーバーフローの問題

– 長すぎる入力をされると、サーバやCGIに異常が発生する

• セッション・ハイジャックの問題

– 第三者にセッションを乗っとられ、ログイン認証を回避される

• ネットワーク盗聴の問題

– 暗号化されていない場合に、重要な情報が盗まれる

• パスワード推測の問題

– パスワードが推測可能な場合、認証を突破される

• フィッシング詐欺につながる問題

– オレオレ証明書や、ウェブサイトの脆弱性がフィッシングに利用される 参考： 消費者向け電子商取引サイトの運用における注意点

http://www.ipa.go.jp/security/vuln/20050304_ec_security.html

まとめ

• ウェブサイトの脆弱性の悪用による被害を

回避するためには、以下の対策が必要です。

– ウェブアプリケーションが稼動しているウェブ サーバのセキュリティ対策

– ウェブサーバが設置されているネットワーク

（ルータやファイアウォール）のセキュリティ対策 – ウェブアプリケーションのセキュリティ対策

参考： ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

ご参考

• フリーのウェブアプリケーションファイアウォール情報

– mod_security

http://www.modsecurity.org/

– Guardian@JUMPERZ.NET

http://www.jumperz.net/index.php

– CodeSeeker

http://sourceforge.net/project/showfiles.php?group_id=

64424&package_id=76046

情報セキュリティセミナー 2005

情報セキュリティ技術マップ

情報セキュリティ技術マップ

情報セキュリティ

ネットワークセキュリティ

建物や設備の物理

的なセキュリティ

情報セキュリティ技術マップ

(1)不正アクセス 対策

(3)資源･利用者 管理

(2)情報漏えい対策

(4)ログ管理

対策の基本

• 多重防御の原則

• 最小権限の原則

(1)不正アクセス対策

• ルータやファイアウォール

• プロキシサーバ

• IDS/IPS

• リモートアクセス対策(暗号化)

• サーバの要塞化(セキュアOS)

• 定期的な監査

• ログ管理

企業内ネットワーク

仮想ネットワーク

リモートアクセス環境

DMZ に置かれた サーバ群

インターネット

IDS/IPS 通信の暗号化

サーバの 要塞化 ファイア

ウォール

無線LAN

ルータやファイアウォール

• NAT および IP マスカレード

• パケットフィルタリング

– ファイアウォールは、ルータより も多様なアクセス制御が可能

• アクセス履歴（ログ）の保存

Internet

内部ネットワーク

外からの通信

内部からの通信

プロキシサーバ

• プロキシサーバ

– 通信の間に入ってクライアントを守る – キャッシュによる高速化

– 通信制限

• ワクチンサーバ（ウイルスウォール）

– メールサーバの多重化

– ウイルスメールを遮断・無効化

ドキュメント内 技術コースの内容 1. 情報漏洩の傾向と原因分析 2. 不正アクセス 手口の解説と対策 3. 情報セキュリティ技術マップ 4. インシデント対応 2 (ページ 39-53)