セキュリティ脅威1(不正アクセス)
2013年10月8日
後 保範
2
情報セキュリティ脅威の種類
• 破壊(データの破壊、消去) • 漏洩(機密情報漏洩、個人情報漏洩) • 改ざん(HPやデータベースの不正な書き換え) • 盗難(ノートパソコンや書類、USBメモリ等の盗難) • 不正利用(通信回線、サーバー等の不正利用) • サービス停止(大量アクセス等で利用不能に) • 踏み台(他のサイトを攻撃する拠点に利用される) • ウイルス感染(データの破壊や他への感染)不正アクセスとは
• インターネットを通して忍び込む侵入者 知らない間にパソコンの情報がのぞかれる ウイルスなどに感染し、パソコンの情報が壊される • 不正アクセスによる被害 メールが勝手に見られる 個人情報が盗まれ、その情報が売買される ホームページの情報が勝手に改ざんされる オンラインショップ等で勝手に買い物される4
不正アクセス事例(1週間)
2013/08/08:「GREE」で3万9590件の不正ログインが発生 - 関連 アカウントのサービスを一時停止 2013/08/08:「じゃらんnet」で2万7620件の不正ログイン被害が 判明 - 2月と6月に発生 2013/08/07:「IP-PBXへの不正アクセスに注意 」 身に覚へのな い国際電話料金が発生するおそれ 2013/08/06:「サイトの一部が改ざん」閲覧者にウイルス感染の おそれ - ホクト 2013/08/02:「メールニュース読者に誤ってマルウェアをメール 配信」- 都産技研 2013/08/02:LINEが「NAVER」の不正アクセス犯を海外警察と連 携して特定 - 「立会いのもとデータを削除した」 http://www.security-next.com/category/cat191/cat27より不正アクセスの手順
事前調査 権限取得 不正実行 後処理 不正アクセス 住居の下見 住居侵入 金品の窃盗 証拠隠滅 窃盗による住居侵入6
ネットワークのスキャン
• アドレススキャン HPの周辺の接続可能IPアドレスをpingで探す • ポートスキャン TCP/IPの仕組みを利用し、利用可能なポートを探す • バナーチェック 接続テストの応答情報から接続情報を探す • セキュリティスキャナ 上記からサイトの脆弱性の調査を統合して行うポート番号とは
• インターネット通信において、IPアドレス(電子 住所)の下に設けられた補助アドレス • 補助アドレスとして0~65535のポート番号 • IPアドレスとポート番号を組み合わせたネット ワークアドレスを「ソケット」と呼ぶ • 実際のデータの送受信はソケット単位 • 20,21(FTP), 22(ssh), 23(telnet), 25(SMTP), 80(http)等は決ったポート番号を使用8
ポートスキャン
• ポートスキャンはポートに順番にアクセスし、 動作しているOSやアプリケーションを調べ、 侵入口となる脆弱ポートがないか調べる • ポートスキャンの結果、セキュリティホールが 発見されると侵入用のプログラムを使用し、 不正侵入を試みる • ポートスキャンコマンドWindows: nmap, netstat Unix: nmap, netstat
ポートスキャン例1
nmap –F 192.168.1.22 nmapコマンド
ポートスキャン例2
nmap –O –sV -F 192.168.1.22 nmapコマンド
パスワード・クラック
• OSやアプリケーション、リモートアクセスに設 定されたパスワードを解読する攻撃 • オンライン攻撃 ターゲットに対しアクセスしながら行う攻撃 パスワードの誤入力が3回連続なら認証停止 • オフライン攻撃 侵入により一度パスワードが保存されたファイル(通 常、暗号化されている)を入手して解読する12
パスワードの不正入手
• パスワードは普及した本人確認の手段 • これが盗まれると大きな被害の可能性大 • パスワード解読の攻撃方法 総当り攻撃(ブルートフォースアタック) 辞書攻撃(ありそうな組合せ)、盗聴(スニフィング) • 不正入手後のクラッカーの行動 ログの消去(証拠隠滅) バックドア(正規手順以外のアクセス経路)の作成パスワード奪取の方法
方 法 内 容 総当り攻撃 考えられるすべてのパスワードの組み 合わせを試す いつかはパスワードにたどり着く 時間がかかる 辞書攻撃 よくやりそうなパスワードから試す ふつうの辞書や人名、場所等の辞書 パスワード向き言葉を集めた辞書 個人情報を収集し辞書にする14
パスワード奪取への対策
方 法 内 容 総当り攻撃 パスワードを長くする 使う文字数を増やす 英小文字と数字4文字: 364 = 百万 英大小と数字9文字: 629 = 京 定期的に変更する 辞書攻撃 簡単に推測できる言葉にしない 辞書にのる有意味語にしない 生年月日等の個人情報にしない 大文字や特殊記号を途中にいれるセキュリティホールとは
• システムのプログラムミスなどにより生じた、 セキュリティ上の弱点 • 外部ユーザが本来実行できない操作が可能 になり、情報が改ざんされたり、個人情報が 漏洩したり、踏み台にされたりする。 • OS、Webブラウザ、メール・クライアント、http サーバやDNSサーバなどに欠陥があると、そ れを悪用されて不正実行される16
セキュリティホールの利用
• セキュリティホールを利用した主な攻撃方法 を下記に示す (1) バッファーオーバフロー (2) SQLインジェクション (3) クロスサイト・スクリプティング (4) クロスサイト・リクエスト・フォージェリバッファーオーバーフロー
• バッファーオーバーフローとは アプリケーションのバグ(バッファーサイズのチェック が不十分)を利用した攻撃 • バッファーオーバーフローの原理 入力バッファーサイズのチェックが不十分なプログラ ムに対し、不正に長いデータを入力し、バッファー領 域の先(戻りアドレス)を不正に書き換える。 書き換えた戻りアドレスの位置(入力バッファー内)に 不正な機械語プログラムを送り込む。18
バッファーオーバーフロー
19
SQLインジェクション
• ホームページの入力フィールドのSQLコマンド を不正に入力し、データベースの内容を不正 に操作すること • 原因は入力に対する値のチェックが不十分 • 新聞等で「ハッカーによる不正アクセスで個 人情報が漏洩」の多くはこの手法 • データベースの内容が改ざんでき、ネットバン キングの口座情報が書き換えられる可能性20
SQLインジェクション
SQL言語
• SQLはデータベースを操作する専門言語 • データベース・マネージメントシステム(DBMS) に命令を送るのが仕事 • その文法は一つの文で完結して意味を持つ • 条件分岐や繰り返しは制御は持たない • 具体例 SELECT * FROM 顧客テーブル WHERE 顧客ID=1 OR 顧客ID=322
クロスサイト・スクリプティング
• ユーザーのWebブラウザにスクリプトを送り 込み、それを実行させる攻撃手法 • セッションIDを盗むのに使われることが多い • セッションIDを盗むほかの手口はWebサイトと ブラウザの間の通信暗号化で防げるが、本 方法では暗号化しても防げない • 盗んだCookieを使えば、どのパソコンからでも正規 ユーザーになりすまして狙ったWebサイトに不正ア クセスできるクロスサイト・スクリプティング
24
スクリプ言語
• 機械語への変換作業を省略して簡単に実行 できるようにした簡易プログラム作成言語 • スクリプト言語で作られたプログラムをスプリ クトと呼ぶ • PerlやVBScript、JavaScriptなどがある • 小規模なプログラムを簡単に作成できる • Webページに動きを加えたり、Webサーバ上 で動的にページを生成するのに使用Cookie
• Web サイトでは、Cookie を使用してユーザー ごとに表示内容を変えたり、Web サイトの使 用状況に関する情報を収集したりします • Cookie を使用して、サイトにユーザーの個人 設定を記憶させたり、サイトにアクセスする際 のサインインを省略可能にしたりして、利便性 を向上させる • Cookieはユーザ領域(C:¥users¥...など)に保存26
