情報セキュリティセミナー 2005
1.
情報漏洩の傾向と原因分析
2.
不正アクセス・手口の解説と対策
3.
情報セキュリティ技術マップ
4.
インシデント対応
情報セキュリティセミナー 2005
情報漏洩の原因傾向
•
目立つノートPC置き忘れ
•
「モバイルPCの管理ルール、個人情報保護
法施行でも進展なし」
–
http://nikkeibp.jp/wcs/leaf/CID/onair/jp/ex03/3
84228
•
最近USBメモリも増えている
–
http://nikkeibp.jp/sj2005/special/09/
•
しかし、意外に多いのが・・・
漏洩原因について
•
JNSA(日本ネットワー
クセキュリティ協会)の
調査による分析
–
http://www.jnsa.org/ac
tive/2004/active2004_
1a.html
情報漏洩の原因は?
2.4%
46.7%
24.3%
4.4%
22.1%
%
内部犯罪、情報持ち出し、盗難
犯罪
非技術的
内容詳細
原因
要素
その他、不明
人為ミス
対策不足
人為ミス
その他、不明
その他
置き忘れ、目的外利用
非技術的
バグ、セキュリティホール、ウイルス、
不正アクセス
技術的
設定ミス、誤操作、管理ミス
技術的
出典: http://www.jnsa.org/active/2004/active2004_1a.html
漏洩の経路
•
紙が多い!
•
しかし、紙よりノートPC
の方が保持する情報
の量が多い=ビジネス
インパクトが大きい
–
http://www.jnsa.org/ac
tive/2004/active2004_
1a.html
原因傾向からわかること
•
紙媒体の管理の問題
•
「盗難」されてしまうものとは何か?
•
「紛失」「置き忘れ」されてしまうものとは何
原因傾向から考える対策
•
「盗難」対策
–
防犯対策(オフィスの保護)
–
機器、書類の持ち出し管理
–
盗まれた後中身を読まれないための対策
•
「紛失」「置き忘れ」対策
–
機器、書類の持ち出し管理
–
誰かの手にわたったあと、中身を読まれないた
めの対策
具体的な対策の中身
•
ルール制定、手順化による対策
–
「機器を持ち出すときには上長の承認を得て、管
理者が持ち出し簿に記録したのち、持ち出す」
•
ワイアで机にくくりつけるなどの防犯対策
•
コンピュータの中身を読みにくくする
–
暗号、認証強化(USBキーなど)
情報漏洩への技術的対策
•
予防的対策
–
アクセス制御、リソース制御などの強化
–
ファイルトレース(DRM=電子著作権保護管理
システムなど)
•
事後への備え
–
操作記録
–
通信記録
–
暗号化
操作記録、監視ソフトウエア
•
対象となるPCのほぼすべてがわかり、記録
可能であり、操作も可能である
–
事後に記録を解析するため?
–
心理的抑止効果?
•
USBのI/FやCD,DVDのI/Fの制限、制御が
できるものもある
–
漏洩予防
ファイルの追跡
•
デジタル著作権管理システム
•
ファイルコピー、送出などの制限
通信ログ
•
事後の証拠としての記録
•
監査に使う記録
•
膨大な量になる記録
–
リアルタイムの解析は絶望的?
•
単にログだけがあっても、特異点抽出が難し
い
暗号化
•
ファイルシステムの暗号化
•
ファイルの暗号化
•
各種媒体の防御、暗号化
バランス
•
ルールや手順化に頼りすぎるパターン
–
手間や煩雑さの増大
–
業務効率の悪化
•
技術的対策に頼りすぎるパターン
–
情報を処理しきれない
–
システム不全時に業務ができない
バランスを取るポイント
•
現在の業務フローを書き出す
•
セキュリティ面を改良する
–
ここで、手順が増えるのかどうか、増える場合に
それを技術的対策で代替できるのかどうかを考
え、検討する
–
組織の文化風土が重要
•
エラー処理を考える
•
増える手順、エラー処理を技術でどこまで補
完、サポートできるかがポイント
最近の傾向からの予測
•
データベースが狙われている
–
SQLインジェクション
•
問われる情報システム自体の安全性
–
アプリケーションの分野のセキュリティは、まだ対
応できていないところが多い
情報セキュリティセミナー 2005
不正アクセスとは何か
システムを利用する者が、その者に与えられた
権限によって許された行為以外の行為をネット
ワークを介して意図的に行うこと。
「コンピュータ不正アクセス対策基準」より。
(平成8年8月8日付け通商産業省 <現・経済産業省>告示第362号)
http://www.meti.go.jp/press/past/c60806a2.html
一般的な概念
法的な定義
参照: 不正アクセス行為の禁止等に関する法律
http://www.ipa.go.jp/security/ciadr/law199908.html
共通の不正アクセス対策
適切な ID・パスワードの設定、管理
脆弱性の解消
デフォルト設定からの変更
不正アクセス・最近の傾向
個人情報の略奪
が目的と思われる
ケースが多くなりつつある
(フィッシング、SQLインジェクションによる手口など)
ウェブアプリケーションの脆弱性
を
突いた攻撃が目立ってきた
情報システムの脆弱性対策への取り組み
∼情報セキュリティ早期警戒パートナーシップ∼
製
品
開
発
者
脆弱性関連
情報届出
対応状況の 集約,公表 日の調整等 報告された 脆弱性関連 情報の 内容の確認シ
ス
テ
ム
導
入
支
援
者
対策方法
等公表
【
【
受付機関
受付機関
】
】
セキュリティ 対策推進 協議会 等発見者
IPA
公表日の決定, 海外の調整機 関との連携等JPCERT
/CC
【
【
調整機関
調整機関
】
】
脆弱性関連
情報通知
ユーザ
政府
企業
個人
ソ
フ
ト
ウ
エ
ア
製
品
の
脆
弱
性
ウ
ェ
ブ
サ
イ
ト
の
脆
弱
性
脆弱性関連
情報届出
ウェブサイト
運営者
脆弱性関連情報通知
検証,対策実施個人情報漏
洩時は事実
関係を公表
①製品開発者及びウェブサイト運営者による脆弱性対策を促進
②脆弱性関連情報の放置・危険な公表を抑制
【期待効果】
IPA, JPCERT/CC
対策情報ポータル (JVN)ウェブアプリケーションの脆弱性届出状況
<ウェブアプリケーションの脆弱性
種類別
種類別
内訳>
(2004年7月から2005年6月末までの、合計
265
件の届出の内訳)
46%
8%
5%
5%
4%
3%
10%
2%
1%
1%
2%
2%
3%
1%
1%
1%
6%
クロスサイト・
スクリプティング
SQLインジェクション
DNS情報の設定不備
1位: クロスサイト・スクリプティング (46%)
2位: パス名パラメータの未チェック (10%)
3位: SQLインジェクション (8%)
4位: ファイルの誤った公開 (5%)
5位: 価格等の改ざん (5%)
出典:ソフトウエア等の脆弱性関連情報に関する届出状況
[2005年第2四半期(4月∼6月)]
http://www.ipa.go.jp/security/vuln/report/vuln2005q2.html
1位
2位
3位
4位
5位
ウェブアプリケーションの脆弱性届出状況
<ウェブアプリケーションの脆弱性
脅威
脅威
別
別
内訳>
32%
14%
14%
13%
8%
4%
2%
2%
1%
6%
2%
2%
出典:ソフトウエア等の脆弱性関連情報に関する届出状況
[2005年第2四半期(4月∼6月)]
http://www.ipa.go.jp/security/vuln/report/vuln2005q2.html
1位: Cookie情報の漏洩 (32%)
2位: サーバ内ファイルの漏洩 (14%)
3位: データの改ざん、消去 (14%)
4位: 本物サイト上への偽情報表示 (13%)
5位: 個人情報の漏洩 (8%)
1位
2位
3位
4位
5位
不正アクセス・手口の解説と対策
不正アクセス・手口の解説と対策(1)
•
クロスサイトスクリプティングとは?
–
利用者からの入力に対して、ウェブサーバ側で動的に
HTML等のページを生成する仕組みを設けている場合に、
セキュリティ上の問題となり得るもの
–
あるサイトに書かれているスクリプトが別のサイトへと
またがり(クロスして)転送され、最終的には利用者の
ブラウザ上で実行されることから、クロスサイト スクリプ
ティングと呼ばれる
不正アクセス・手口の解説と対策(1)
不正アクセス・手口の解説と対策(1)
•
脅威:クロスサイトスクリプティング脆弱性
•
影響
–
利用者のブラウザ上で、スクリプトが実行される
•
セッションIDを含むCookieの盗難
•
表示ページの改ざん
•
フィッシングの餌食に
•
ファイルの破壊
•
その他、悪意のあるスクリプトの実行
企業の信用失墜につながる
不正アクセス・手口の解説と対策(1)
•
脅威:クロスサイトスクリプティング脆弱性
•
対策
(開発時)
–
ユーザが入力可能な文字を厳密に定義
–
ページ生成時のメタキャラクタのエスケープ処理を行う
などのスクリプト無効化処理
(運用時)
–
ウェブアプリケーションファイアウォールの導入
(mod_security、Guardian@JUMPERZ.NET、CodeSeekerなど)
–
ウェブサーバやウェブアプリケーションベンダ情報を入手
し対処(ウェブサーバなどの欠陥修正)
不正アクセス・手口の解説と対策(1)
•
ページ生成時のメタキャラクタのエスケープ処理
–
動的生成されたページ中に意図しないタグが含まれないようにする
(例)
<A HREF=“abc”>
の「abc」部分を生成する時点では、文字「“」をエスケープ処理
(「"」に置き換える)します。この他に、「<」は「<」、「>」は
「>」にエスケープします。
参考: ウェブサイトにおけるクロスサイト スクリプティング脆弱性に関する情報
http://www.ipa.go.jp/security/ciadr/20011023css.html
セキュア・プログラミング講座
不正アクセス・手口の解説と対策
不正アクセス・手口の解説と対策(2)
•
SQLインジェクションとは?
–
利用者から入力を受け付けるウェブアプリケーションが
データベースと連携してサービスを行っている場合に、
セキュリティ上の問題になり得るもの
–
データベースに対する問合せデータ中に、意図的に
SQL文を混ぜ込んでおき、データベース内部でそのSQL
コマンドを不正に実行させ、情報を盗み出したりシステム
に被害を及ぼしたりすること
※SQL (Structured Query Language)
リレーショナルデータベースマネジメントシステム(RDBMS)において、データの操作や
定義を行うための問合せ言語のこと。構造化問い合わせ言語とも言う。
不正アクセス・手口の解説と対策(2)
悪意を持つ人
一般利用者
ウェブサーバ
+ウェブアプリ
データベース
ID john
ID john ’ or ‘A’=‘A
SELECT * FROM user
WHERE id= ‘john’ or ‘A’=‘A'
‘john’ or ‘A’=‘A’
•
SQLインジェクションとは?
「全て」を意味する
全てのレコード
user
johnのレコード
$SQL="SELECT * FROM user WHERE id='$ID' ";
SQL文例
SELECT * FROM user
WHERE id= ‘john'
‘john’
不正アクセス・手口の解説と対策(2)
•
脅威:SQLインジェクション
•
影響
–
データベース内で、管理者が意図しないSQL
コマンドを実行されてしまう
•
データベース内データの不正閲覧、
パスワード情報の盗難
•
データベースの改ざん、データ破壊
•
その他、コマンドの不正実行
不正アクセス・手口の解説と対策(2)
•
脅威:SQLインジェクション
•
対策
(開発時)
–
ユーザが入力可能な値を厳密に定義
–
不正入力値の無害化
–
準備済みSQL文の使用(バインドメカニズム)
(運用時)
–
エラーメッセージを出さない
–
ウェブアプリケーションが持つ権限の最小限化
–
ウェブアプリケーションのパスワードの秘匿
–
実行可能なコマンドの制限
–
アクセスログの取得および解析
–
ウェブアプリケーションファイアウォールの導入
(mod_security、Guardian@JUMPERZ.NET、CodeSeekerなど)
参考: セキュアプログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
不正アクセス・手口の解説と対策
不正アクセス・手口の解説と対策(2)
•
DNS情報の設定不備を突いた手口とは?
–
DNSサーバ運用を外部の業者等に委託したりした場合、
管理の誤りなどでドメイン登録情報とサーバ設定が一致
していない場合、セキュリティ上の問題となり得るもの
–
期限切れのドメイン名を第三者が正規の手続きで取得し、
アクセスしてきた利用者を偽サイトに誘導したりすること
※DNSキャッシュ汚染の問題とは別です
不正アクセス・手口の解説と対策(3)
•
DNS情報の設定不備を突いた手口とは?
DNSサーバ
DNSサーバ
一般利用者
www.example.jp
へアクセス
$ whois -h whois.jprs.jp example.jp Domain Information: [ドメイン情報] [Domain Name] EXAMPLE.JP [登録者名] John Smith
[Registrant] John Smith [Name Server] ns.example.jp [Name Server] foo.test