1
盗聴と不正利用
2013年10月15日
後 保範
2盗聴
• ネットワークに接続されているデータは簡単 に盗聴される • ネットワークを流れるパケットは,暗号化され ていなければ,そのままの状態で流れている • ネットワークの盗聴は,「スニッファ」(Sniffer) と呼ばれるネットワーク管理ツールを利用し て行われる • スニッファをクラッカーが悪用し,ネットワーク を流れるパケットを盗聴する 3Sniffer
• ネットワーク上を流れるパケットをモニタリン グし、トラフィック調査やパケットキャプチャな どの障害解析などの目的で使用する製品 • ネットワーク上を流れるパケットを,自ノードに 関係のないデータまで含めてすべて取り込ん で解析するソフトウェアや装置 • Sniffing(盗聴)は悪意を持った盗聴者だけで はなく、会社のネットワーク管理者が経営者 の許可をもらって行っている場合もある 情報セ4 4キーロギング
• キーボードから入力を監視して記録するソフト • デバッグ用のツールとして開発されたが、こっ そり仕掛けてパスワードなどを盗むのに悪用 • 常駐型のソフトで、別のプログラムを使用中 に透過的動作する • インターネットカフェに仕掛け、ネットバンキン グのパスワードを盗み、口座から現金をこっ そり引き出すなどに悪用されている 情報セ4 5なりすまし
• 他人のユーザIDやパスワードを盗み、その人 のふりをしてネットワーク上で活動すること • IPスプーフィング (1) IPアドレスを詐称して、使用PCとは異なるIP アドレスが送信元であるように錯覚させる 方法 (2) IPヘッダに含まれている、送信元アドレス フィールドを書き換えるだけ 情報セ4 6サービス停止攻撃
• Dos攻撃(1対1攻撃) 過負荷攻撃:自動で大量の接続要求を行う 異常処理攻撃:セキュリティホールを利用して 異常処理を起こしシステムを停止させる • DDos攻撃(複数が1台を攻撃) 脆弱性のあるサーバをインターネットで探し、 それを踏み台にして、Botと言う攻撃指令を持 つプログラムを埋め込み、攻撃させる 情報セ47
踏み台攻撃
• サーバのセキュリティ・ホールを悪用して、第 三者に攻撃を行うこと • 踏み台にされたサーバは被害者であるが、 攻撃を受けた側は、踏み台にされたサーバ からの攻撃のように見える • 攻撃されたサーバのログには、踏み台のIPア ドレスが残るため、攻撃者の特定が困難 2013/10/13PCの遠隔操作
• 「遠隔操作」と言うと何を思い浮かべますか • 「4人の誤認逮捕」事件を思い浮かべる人が 多いと思います • 「遠隔操作」はWindowsに標準装備されてい ます • スーパーコンピュータ等の大型計算機も、承 認を得ていれば「遠隔操作」で自宅から使用 できます 8 2013/10/13Windows XPの遠隔操作機能
• リモートアシスタント機能 • Windows XP, Vista, 7の機能 • 自分のパソコンの画面を、離れた場所にいる 相手のパソコンに表示させて、操作してもらう ことができる • 自分のパソコンと相手のパソコンは同じシス テムであることが必要(XPならXP) 9 情報セ4 2013/10/13遠隔操作手順の1画面
10 情報セ4 2013/10/13スマートホンからの遠隔操作
11 http://matome.naver.jp/より 情報セ4 12遠隔操作事件
• 「遠隔操作ウイルス」事件では「文字置換が簡単に できる」と称するプログラムをインストールしたユー ザーのPCがマルウェアに感染 • マルウェアは攻撃者が指示した掲示板サイトの投稿 テキストと密かに読み取る • 「クロスサイト・リクエスト・フォージェリ」と呼ばれる Webサイトの脆弱性悪用攻撃を、感染PCのユー ザーになりすまして実行 • Webサイトに犯罪予告を書き込んだとされる 情報セ4 IPA(情報処理推進機構)のHPより13
遠隔操作ウイルス感染
IPA(情報処理推進機構)のHPより 14遠隔操作ウイルスによる書き込み
IPA(情報処理推進機構)のHPより 2013/10/13遠隔操作ウイルスの実態
15 IPA(情報処理推進機構)の資料より 情報セ4 2013/10/13遠隔操作による誤認逮捕
16 時事ドットコムのHPより 情報セ4 2013/10/13犯人性の認定(遠隔操作事件前)
17 大阪弁護士会のHPより 情報セ4 2013/10/13犯人性の認定(遠隔操作事件後)
18 大阪弁護士会のHPより 情報セ42013/10/13
ドメイン名とIPアドレス
19 日経BP のHPより ドメイン名 IPアドレス 2013/10/13固定アドレスと動的アドレス
20 インターリンクのHPより 2013/10/13固定アドレスと動的アドレス
21 インターリンクのHPより 情報セ4 22Webビーコン
• Webビーコンとは、ウェブページに埋め込ま れた小さな画像ファイル • そのウェブページが訪問されたかどうか、ま た何回訪問されたか等の統計データを把握 することができ、情報を収集する • 一般に収集した情報は利用規約等に従い、 管理されサービス向上など利用される • クラッカーは行動監視や、詐欺などの準備行 為に使用する 情報セ4 23フィッシング
• 金融機関や有名なサイトになりすまして、重 要な個人情報を盗み取る攻撃 • 誘導されてしまった場合、本物そっくりの画面 が表示され、入力した情報を盗まれる • 主な2種類の手口 (1) よく似たアドレス(URL)を用意 (2) なりすましサイトへのリンク込メールが来る 情報セ4 24フィッシングの方法
情報セ4 フィッシング対策協議会のHPより25
ファーミング
• フィッシングを発展させた攻撃で、正しいURL を入力しても偽りのサイトに誘導される • ウイルスにより被害者のPCのデータを変更 PCの中に保存されている、ドメインとアドレスを対応 付けるhostsファイルをウイルスで書き換える • 不正アクセスでDNSサーバのデータを変更 DSNキャッシュポイズニングを使用して 26ファーミングの方法
フィッシング対策協議会のHPより 27DNSサーバ
• DNSはインターネットの基本サービスで、道路 における標識のようなもの • キャッシュサーバとコンテンツサーバがある • まづキャッシュサーバへドメイン名で問合せる • キャッシュサーバに情報があれば応答、なけ ればコンテンツサーバへ転送し問い合わる • コンテンツサーバから教えてもらった情報はし ばらくキャッシュサーバに保存 情報セ4 28DNSサーバの構成
情報セ4 29DNSキャッシュポイズニング
• キャッシュサーバに偽りの名前解決情報を登 録させることで、悪意のあるサイトに導く • DNSキャッシュポイズニング完成の手順 (1) クラッカーがキャッシュサーバに問い合わせる (2) キャッシュサーバは上位のコンテンツサーバに再 帰問い合わせをおこなう (3) コンテンツサーバの応答より早く、クラッカーが偽 の応答をおこなう (4) 偽りの情報がキャッシュサーバに登録される 情報セ4 30DNSSEC
• DNSを拡張したプロトコルで、DNSの名前解決情報を ディジタル署名で解決する • クラッカーが偽造した名前解決情報は認証されず、 キャッシュサーバの汚染は起こらない • DNSSECの手順 (1) DSNの名前解決情報のハッシュ値からディジタル 署名を作る (2) ディジタル署名をRRSIGレコードとして登録 (3) 受け取り側はRRSIGレコードを公開鍵で検証 情報セ431
DNS Changer
• 目的はDNSキャッシュポイズニングと一緒で、 悪意のあるサイトへ利用者を導く • DNSキャッシュポイズニングとの相違点 DNSキャッシュポイズニング DNSサーバのリソースレコードを不正に書 き換える DNS Changer クラッカー用意した不正なDNSサーバに問 合わせるようにする 32Dos攻撃(サービス停止攻撃)
• Dos: Denial of Service
• Webサーバやメールサーバで行っている利用 できなくする攻撃 • 過負荷をかける攻撃 SynFlood(大量の接続要求)、メール爆弾、ホーム ページへの異常な数のアクセスなど • 異常処理を起こさせる攻撃 セキュリティホールを利用して、サーバー上で稼働し ているサービスやネットワークを異常処理で停止 33
Dos攻撃の仕組み
情報セ4 日経BP社のHPから 34DDos攻撃(
分散サービス停止攻撃
)
• DDos: Distributed Denial of Service
• Dos攻撃が1台で行うのに対し、Ddos攻撃で は複数台で1台のサーバーを攻撃する • Ddos攻撃には踏み台となる多数のPCが必要 である • まず、脆弱性があるPCを探し、Botという攻撃 司令を持つプログラムを埋め込む • 攻撃命令はチャット通信に偽装するか、予め 指定した日時になると自動攻撃させる 情報セ4 35
