本資料について本資料について

(1)

本資料について本資料について

本資料は下記書籍を基にして作成されたものです。

文書の内容の正確さは保証できないため、正確な知識を求める方は原文を参照してください。

書籍名：ハッカーの秘密

インターネットセキュリティ入門

著者：ジェフ・クルーム

(Jeff Crume)

訳者：林　秀幸

(2)

ハッカーの秘密ハッカーの秘密

渡辺研究室

０４０４２７１７７　細尾幸宏

(3)

背景背景



インターネットの急速な普及



インターネット上でのビジネスの普及



情報の価値の増加

(4)

インターネットは安全ではないインターネットは安全ではない

TCP/IP

はセキュリティではなく、接続性のために設計されている

TCP/IP

が設計された時代はインターネットのような公衆回線を経由した伝送は想定されておらず、専用回線だけを経由して伝送することを想定していた。



データにアクセスできる端末は銃を持った警備兵が監視

(5)

ハッカーの人物像ハッカーの人物像

ハッカーの種類ハッカーの種類



初級ハッカー初級ハッカー



入手したツールを理解せずに使用



中級ハッカー中級ハッカー



ツールの意味を理解した上で使用



上級ハッカー上級ハッカー

上級ハッカー

中級ハッカー

初級ハッカー

(6)

ハッキングの目的ハッキングの目的



ハッキングを試みること自体が目的



金銭目的でなく、自分の楽しみのため



企業や組織にとっては重要でもハッカーにとって重要とは限らない



画面の向こうにいる「人間」を意識していない

(7)

サイバーテロサイバーテロ

 1996

年　スウェーデンのグループが

CIA

のウェブサイトを書き換え

 1999

年

3

月　英国軍の通信衛星に侵入し、軍事通信、監視衛星および通話を制御する回線に関する設定を変更



カナダ、ノルウェー、タイを経由して米国防総省を集団攻撃

(8)

ハッカーは内部にもいるハッカーは内部にもいる

 1999

年の

FBI

と

CSI

による調査では内部の人間によるハッキングは全体の半数



イントラネット内にファイアウォールを設置してセキュリティゾーンを確立して内部からも隔離



外部からの侵入者にとってもう

1

つの障害になる

人事部門

研究開発部門

経理部門

社内イントラネット

(9)

セキュリティ対策セキュリティ対策



単一のセキュリティ対策では脆弱性が必ず存在する



ツール、方針、手順などを何層にも組み合わせて多重防御



ハッカーの攻撃が失敗する可能性を高める

(10)

ファイアウォールファイアウォール



内部ネットワークと信頼できない外部ネットワークの間に設置する防壁



主な技術



パケットフィルタ



パケットの状態検査



プロキシ

(11)

ファイアウォールの技術ファイアウォールの技術



パケットフィルタパケットフィルタ



パケットのパケットのヘヘッダ部分を調べてッダ部分を調べて処処理を行うか判断理を行うか判断



送信送信元、元、宛先宛先

IPアIP

アドレドレス、プロトコル、ス、プロトコル、ポート番号ポート番号



パケットの状態検査パケットの状態検査



パケットのパケットのヘヘッダ情報からアクセスの可否ッダ情報からアクセスの可否を判断を判断

(12)

ファイアウォールの技術ファイアウォールの技術



アプリケーションレベルのプロキシアプリケーションレベルのプロキシ



パケット取り込んでアプリケーションで実パケット取り込んでアプリケーションで実行行



リモートサーバのセッションとクライアントのセッションをリモートサーバのセッションとクライアントのセッションを別別個に用意して内部ネットワークアドレスを隠蔽

個に用意して内部ネットワークアドレスを隠蔽



オーバヘオーバヘッドの増加によりパフォーマッドの増加によりパフォーマンスがンスが低下低下



保護保護するアプリケーションごとにプロキシを書く必要するアプリケーションごとにプロキシを書く必要

(13)

ファイアウォールの技術ファイアウォールの技術



サーキットレベルのプロキシ（例：サーキットレベルのプロキシ（例： SOCKS SOCKS ））



トランストランスポート層でポート層で動動作しデータ送受作しデータ送受信を代理信を代理



リモートサーバのセッションとクライアントのセッションをリモートサーバのセッションとクライアントのセッションを別別個に用意して内部ネットワークアドレスを隠蔽

個に用意して内部ネットワークアドレスを隠蔽



プロキシだけが２つのセッションの関プロキシだけが２つのセッションの関係を知っているので係を知っているので内部のホストは特定の種類のネットワークベース攻撃から内部のホストは特定の種類のネットワークベース攻撃から隔離される

隔離される

(14)

システムの中で最も弱いのは人間システムの中で最も弱いのは人間



スパイ組織

CIA

の元長官のような立場の人なら機密情報をセキュリティの弱いコンピュータに置いておくことが危険な行為だと認識しているはず



しかし、実際にはこれと同様な危険な行為を行っていたことを

CIA

は認めている

(15)

パスワードは安全ではないパスワードは安全ではない



ユーザ

ID

とパスワードによる認証システム



パスワードの問題点・・・パスワードを知っていれば本人に間違いないと仮定する



しかし、パスワードのような「知識」は複数人で共有できてしまう

(16)

パスワードを覚える人間の問題パスワードを覚える人間の問題



楽なほうを選択する傾向

　覚えやすいパスワードを設定する

　複数のパスワードを同じものに設定する



人間には複雑なパスワードを覚えるのは困難

　頻繁に変更されるパスワードを覚えるのは困難

　解析されにくいパスワードを覚えるのは困難

(17)

パスワードを破るパスワードを破る



パスワードを推測



パスワードを盗み見る



辞書攻撃と合成攻撃



総当り攻撃

(18)

シングルサインオン（

シングルサインオン（ SSO SSO ））



セキュリティと使いやすさを両立した方法



単一のパスワードで複数のシステムにアクセスできる問題の解

(19)

ネットワークの盗聴ネットワークの盗聴

イーサネット

(Ethernet)

の基本動作



パケットを作成してネットワークにブロードキャスト



パケットは接続しているすべての端末に到達する



端末は自分宛のパケット以外はすぐに破棄する

(20)

LAN LAN アダプタのプロミスキャスモードアダプタのプロミスキャスモード



プロミスキャスモードは自分宛かどうかに関係なく、全てのパケットのデータをコピーする



宛て先以外のノードがデータをコピーしたことは通知されないし

、防ぐこともできない



ネットワーク管理のための利用とハッカーによる悪用

(21)

盗聴盗聴



盗聴は受動的に動作し、発見が難しい



トロイの木馬

(RAT:Remote Access Trojan)



無害なプログラムを装って盗聴ツールをインストール



盗聴ツールはインターネット経由で外部に情報を伝える

(22)

盗聴者を発見する

盗聴者を発見する (1) (1)

Anti Sniff



ネットワーク内に存在しない

IP

アドレスからの通信データを作成し、調査対象のノードに送信する。ホスト名調べる逆

DNS

探索を監視



ネットワーク内に偽物の通信データを大量に発生させた場合に

応答に遅延が発生するかどうかを監視

(23)

盗聴者を発見する

盗聴者を発見する (2) (2)

Sniffer Detector



いくつかのおとりクライアントがおとりのサーバにログオンし、いくつかの作業を行ってログオフする。



おとりサーバにおとりクライアント以外の

IP

アドレスからログオ

ンを試みられたらそれが盗聴者である可能性が高い

(24)

攻撃が簡単になってきた攻撃が簡単になってきた



ハッキングツールの入手が容易になっている



ツールを使う無知なハッカーによる安易な攻撃の脅威



ツールを用いた自動攻撃

サービス不能攻撃（

DoS

攻撃）

SYN

洪水攻撃（

SYN flood

）

Smurf

攻撃

分散型サービス不能攻撃（

DDoS

攻撃）

(25)

ハッカーの未来ハッカーの未来

 IT

への依存度が増すほど脅威も増していく



無線

LAN

ネットワークの危険性



暗号による解決への期待

(26)

本資料について 本資料について

本資料について 本資料について

本資料は下記書籍を基にして作成されたものです。

文書の内容の正確さは保証できないため、正確な 知識を求める方は原文を参照してください。

書籍名： ハッカーの秘密

インターネットセキュリティ入門

著者：ジェフ・クルーム

訳者：林 秀幸

ハッカーの秘密 ハッカーの秘密

渡辺研究室

０４０４２７１７７ 細尾幸宏

背景 背景

インターネットの急速な普及

インターネット上でのビジネスの普及

情報の価値の増加

インターネットは安全ではない インターネットは安全ではない

はセキュリティではなく、接続性のために設計されている

が設計された時代はインターネットのような公衆回線を 経由した伝送は想定されておらず、専用回線だけを経由して伝 送することを想定していた。

データにアクセスできる端末は銃を持った警備兵が監視

ハッカーの人物像 ハッカーの人物像

ハッカーの種類 ハッカーの種類

初級ハッカー 初級ハッカー

入手したツールを理解せずに使用

中級ハッカー 中級ハッカー

ツールの意味を理解した上で使用

上級ハッカー 上級ハッカー

ハッキングの目的 ハッキングの目的

ハッキングを試みること自体が目的

金銭目的でなく、自分の楽しみのため

企業や組織にとっては重要でもハッカーにとって重要とは限ら ない

画面の向こうにいる「人間」を意識していない

サイバーテロ サイバーテロ

年 スウェーデンのグループが

のウェブサイトを書き換 え

年

月 英国軍の通信衛星に侵入し、軍事通信、監視衛 星および通話を制御する回線に関する設定を変更

カナダ、ノルウェー、タイを経由して米国防総省を集団攻撃

ハッカーは内部にもいる ハッカーは内部にもいる

年の

と

による調査 では内 部の人間によるハッキン グは全体の 半数

イントラネット内にファイアウ ォールを設置 してセキュリティゾ ー ンを確立して内部か らも隔離

外部からの侵入者にとってもう

つの障害になる

セキュリティ対策 セキュリティ対策

単一 のセキュリティ対策 では 脆弱性が必ず 存在する

ツール、方針、手順な どを 何層 にも組み 合わせて多重防御

ハッカーの攻撃が 失敗する可能 性を 高める

ファイアウォール ファイアウォール

内部 ネットワークと信 頼できない外部 ネットワークの間に設置 する防 壁

主な 技術

パケットフィルタ

パケットの状態検査

プロキシ

ファイアウォールの技術 ファイアウォールの技術

パケットフィルタ パケットフィルタ

パケットの パケットのヘ ヘ ッダ部分を調べて ッダ部分を調べて 処 処 理を行うか判断 理を行うか判断

送信 送信 元、 元、 宛先 宛先

アドレ ドレス、プロトコル、 ス、プロトコル、 ポート番号 ポート番号

パケットの状態検査 パケットの状態検査

パケットの パケットのヘ ヘ ッダ情報からアクセスの可否 ッダ情報からアクセスの可否を判断 を判断

ファイアウォールの技術 ファイアウォールの技術

アプリケーションレベルのプロキシ アプリケーションレベルのプロキシ

パケット取り込んでアプリケーションで実 パケット取り込んでアプリケーションで 実行 行

リモートサーバのセッションとクライアントのセッションを リモートサーバのセッションとクライアントのセッションを別 別 個に用意して内 部ネットワークアドレ スを隠蔽

個に用意して内 部ネットワークア ドレスを隠蔽

オーバヘ オーバヘ ッドの増加によりパフォーマ ッドの増加によりパフォーマンスが ンスが低下 低下

保護 保護 するアプリケーションごとにプロキシを書く必要 するアプリケーションごとにプロキシを書く必要

ファイアウォールの技術 ファイアウォールの技術

サーキットレベルのプロキシ（例： サーキットレベルのプロキシ（例： SOCKS SOCKS ） ）

トランス トランス ポート層で ポ ート層で 動 動 作しデータ送受 作しデータ送受 信を代理 信を代理

リモートサーバのセッションとクライアントのセッションを リモートサーバのセッションとクライアントのセッションを別 別 個に用意して内 部ネットワークアドレ スを隠蔽

個に用意して内 部ネットワークア ドレスを隠蔽

隔離 される

システムの中で最も弱いのは人間 システムの中で最も弱いのは人間

ス パイ組織

の元長官のような立場 の人なら機密情報をセ キュリティの 弱いコンピュータに置いておくことが危険な行為 だと認識しているはず

しかし、実際にはこれと同様 な危険な行 為を行っていたことを

は認 めている

パスワードは安全ではない パスワードは安全ではない

本資料について本資料について

本資料について本資料について

文書の内容の正確さは保証できないため、正確な知識を求める方は原文を参照してください。

書籍名：ハッカーの秘密

訳者：林　秀幸

ハッカーの秘密ハッカーの秘密

０４０４２７１７７　細尾幸宏

背景背景

インターネットは安全ではないインターネットは安全ではない

が設計された時代はインターネットのような公衆回線を経由した伝送は想定されておらず、専用回線だけを経由して伝送することを想定していた。

ハッカーの人物像ハッカーの人物像

ハッカーの種類ハッカーの種類

初級ハッカー初級ハッカー

中級ハッカー中級ハッカー

上級ハッカー上級ハッカー

ハッキングの目的ハッキングの目的

企業や組織にとっては重要でもハッカーにとって重要とは限らない

サイバーテロサイバーテロ

年　スウェーデンのグループが

のウェブサイトを書き換え

月　英国軍の通信衛星に侵入し、軍事通信、監視衛星および通話を制御する回線に関する設定を変更

ハッカーは内部にもいるハッカーは内部にもいる

による調査では内部の人間によるハッキングは全体の半数

イントラネット内にファイアウォールを設置してセキュリティゾーンを確立して内部からも隔離

セキュリティ対策セキュリティ対策

単一のセキュリティ対策では脆弱性が必ず存在する

ツール、方針、手順などを何層にも組み合わせて多重防御

ハッカーの攻撃が失敗する可能性を高める

ファイアウォールファイアウォール

内部ネットワークと信頼できない外部ネットワークの間に設置する防壁

主な技術

ファイアウォールの技術ファイアウォールの技術

パケットフィルタパケットフィルタ

パケットのパケットのヘヘッダ部分を調べてッダ部分を調べて処処理を行うか判断理を行うか判断

送信送信元、元、宛先宛先

アドレドレス、プロトコル、ス、プロトコル、ポート番号ポート番号

パケットの状態検査パケットの状態検査

パケットのパケットのヘヘッダ情報からアクセスの可否ッダ情報からアクセスの可否を判断を判断

ファイアウォールの技術ファイアウォールの技術

アプリケーションレベルのプロキシアプリケーションレベルのプロキシ

パケット取り込んでアプリケーションで実パケット取り込んでアプリケーションで実行行

リモートサーバのセッションとクライアントのセッションをリモートサーバのセッションとクライアントのセッションを別別個に用意して内部ネットワークアドレスを隠蔽

個に用意して内部ネットワークアドレスを隠蔽

オーバヘオーバヘッドの増加によりパフォーマッドの増加によりパフォーマンスがンスが低下低下

保護保護するアプリケーションごとにプロキシを書く必要するアプリケーションごとにプロキシを書く必要

ファイアウォールの技術ファイアウォールの技術

サーキットレベルのプロキシ（例：サーキットレベルのプロキシ（例： SOCKS SOCKS ））

トランストランスポート層でポート層で動動作しデータ送受作しデータ送受信を代理信を代理

リモートサーバのセッションとクライアントのセッションをリモートサーバのセッションとクライアントのセッションを別別個に用意して内部ネットワークアドレスを隠蔽

個に用意して内部ネットワークアドレスを隠蔽

隔離される

システムの中で最も弱いのは人間システムの中で最も弱いのは人間

スパイ組織

の元長官のような立場の人なら機密情報をセキュリティの弱いコンピュータに置いておくことが危険な行為だと認識しているはず

しかし、実際にはこれと同様な危険な行為を行っていたことを

は認めている

パスワードは安全ではないパスワードは安全ではない

とパスワードによる認証システム

パスワードの問題点・・・パスワードを知っていれば本人に間違いないと仮定する

しかし、パスワードのような「知識」は複数人で共有できてしまう

パスワードを覚える人間の問題パスワードを覚える人間の問題

楽なほうを選択する傾向

　覚えやすいパスワードを設定する

　複数のパスワードを同じものに設定する

人間には複雑なパスワードを覚えるのは困難

　頻繁に変更されるパスワードを覚えるのは困難

　解析されにくいパスワードを覚えるのは困難

パスワードを破るパスワードを破る

パスワードを推測

パスワードを盗み見る

辞書攻撃と合成攻撃

シングルサインオン（ SSO SSO ））

セキュリティと使いやすさを両立した方法

単一のパスワードで複数のシステムにアクセスできる問題の解

ネットワークの盗聴ネットワークの盗聴

パケットを作成してネットワークにブロードキャスト

パケットは接続しているすべての端末に到達する

端末は自分宛のパケット以外はすぐに破棄する

LAN LAN アダプタのプロミスキャスモードアダプタのプロミスキャスモード

プロミスキャスモードは自分宛かどうかに関係なく、全てのパケットのデータをコピーする