攻撃手法
不正アクセス
不正アクセスの定義
与えられた権限を越えて意図的にシステムへ接続する行為
2000年2月より不正アクセス禁止法により刑事責任が発生。
法解釈については最近の判例で混沌としているので省略。
以下に具体的な内容や対策を掲載するが、あくまで概論に留める。
詳細はそのうち扱うのでそちらを参照の事。
ネットワークスキャン
pingによるノード存在確認など、攻撃の準備段階でおこなう攻撃対象の存在確認。。
ポートスキャン
攻撃対象で稼動するサービスや脆弱性の有無を確認するための予備犯行。
3ウェイハンドシェイクなどがおこなわれるがこれも詳細は別項へ
対策としては、不必要なポートを閉じることや、サービス提供時にIPを認証する事、不特定多数に公開するサーバーをDMZ(DeMilitarizedZone:非武装地帯)に置く事など。
バッファオーバーフロー
規定のメモリアドレスを越えたデータを伝送し、誤動作を誘発する攻撃。典型的な侵入手法で幅広く応用される。
基本的にソフトウェアのバグを突く手法なので、随時修正パッチを適用するのが一番メジャーな対策。また、自前で設計するソフトウェアに関しては実行時のチェック機構を実装すると安全性が高まる。
ブルートフォースアタック
いわゆる総当り法。パスワード取得における一番基本的な手法で、デフォルトパスワードや典型的なパスワードなど、思いつくものを片端から試すやり方。
シンプルだがセキュリティ意識の低いシステムに対しては効果的。
対策としては複雑なパスワードを使うことと定期的にそれを変更すること。
また、何度かパスワードを間違えたらアカウントをロックするのも有効。
辞書攻撃
ブルートフォースアタックの発展系。世の中でパスワードに使われやすい語句をデータベース化し、それを片端から試す。ありていに言えば候補が増えたブルートフォース。管理者やユーザーの個人情報なども候補に盛り込まれることが多い。
対策としては、容易に類推可能なパスワードを使わないこと。また、十分な長さを持たせる事も大事。パスワード自体の運用法は後述。
ログの消去
侵入の痕跡(足跡)を消す作業。これをされると追跡が困難になる
盗聴
盗聴の定義
ネットワーク上を流れる情報を不正に取得する事。
被害者が被害を自覚しないままに情報が漏洩する点が特徴。
スニファ
最も基本的な盗聴方法。ネットワーク上を流れるデータを取得して解読する。
通信方式はほとんどの場合規格統一されているためパケット取得さえできれば解読は容易。
パケット取得のための機器若しくはソフトウェアを然るべき場所に設置しなければいけないため、入退室管理などを徹底して不審者が物理的に侵入できないようにすることが重要。また、盗聴される危険がある場合はやり取りするデータを暗号化することでリスクを回避できる。
他には、情報資産管理を徹底して盗聴機器が設置されてもすぐ気づけるような環境を作る事も対策になる
電波傍受
現在では無線LANの盗聴を指すが、かつてはケーブルから漏れる微小な電磁波を復元する技術だった。
無線LANではESS-IDというグループ名を特定できれば接続が可能になるため、ESSIDを特定できないステルスモードや、ANYモード(IDなしでの接続)の禁止などの対策が採られる。
また無線LAN自体をWEPにより暗号化するのも重要。WEP自体はそれほど強固な暗号ではないが、あるとないでリスクは大きく違う。
キーロギング
キーボードに打ち込まれた文字列を記録・取得してパスワードなどを入手する手法。
シンプルだが確実かつ発覚しにくいので危険度は高い。
内部犯行や公共の場所での犯行は実行が容易なためさらに厄介。
たいていはソフトウェアでおこなわれるので不正なソフトウェアのインストールを監視するなどが主な対策。また、公共の場所で機密情報を扱わないのも重要。
なりすまし
なりすましの定義
攻撃者があたかも正規ユーザーのように振る舞い、権限を取得する行為
論理的なものだけでなく、実社会においてもたびたび行われるので注意。
IDやパスワードの偽装
他人のIDやPASSを用いての侵入。
表面上は正規の権限で活動しているので識別が難しい。
対策はID,Passが漏洩しないよう適切に管理する事。
IPスプーフィング
ID,PASSだけでなく発信もとのIPアドレスも偽装する手法
IPアドレスによる認証を突破するのに用いられる。
またログにも偽装されたIPが載るため追跡が難しくなる。
対策としてはより上位のプロトコルやステートフルインスペクションでパケットの正当性を監視する事。
踏み台
本命を攻撃する前に別のマシンへ侵入してそこから攻撃を行うこと。
攻撃対象に万一ログが残ったとしても踏み台の情報が残るだけなので追跡が困難になる。管理者は攻撃される側としてより、踏み台にならない対策が必要。
サービス妨害
いわゆるDoS攻撃。サーバーに負荷を集中させてサービスを提供不能にする攻撃。情報の盗用ではなく純粋な破壊行為。営業妨害やサイバーテロなどに用いられる。通常の負荷集中との区別が難しい点が厄介。
TCP SYN Flood
TCPのコネクション確立を完了せずに保持する事でサーバーのリソースを独占する攻撃。最悪サーバーのダウンにつながる。
Ping of Death
規定以上のサイズもとつpingパケットはある種の脆弱性により誤作動を誘発する。
これを突いた攻撃。既に過去の脆弱性となっているためよほど古いシステムで無い限り問題はない。
ソーシャルエンジニアリング
人間の心の隙を突く攻撃手法。
PCを用いずにオフラインで行われる犯行である点が特殊。
ショルダーハック
ユーザーのキーボード入力や画面表示を肩越しに盗み見る攻撃手法。
単純だが確実かつ痕跡を残さずにパスワードを盗用できる。
そういった不振な活動がしにくい職場環境を作る、個人個人のセキュリティ意識を高めて重要な情報を周囲に盗み見られないように注意させるくらいしか対策は無い。
トラッシング・スキャビンジング
廃棄されたゴミの中から情報を拾い出す手法。
パスワードの書かれたメモや運用マニュアルなどが標的になる。
シュレッダーにかけた書類も場合によっては復元される危険性がある。
紙媒体、磁気媒体の違いに関わらず、情報誌さんの処分には明確な規定を設け、漏洩を防ぐ対策を講じる必要がある。処理を外部に委託する場合も、守秘義務契約や処分方法の確認などを厳密に行わないと危険。
会話
業務担当者の会話を盗み聞く、ユーザーから誘導尋問により情報を引き出すなど。
権力者や管理者を装ったり、個人の良心やちょっとした隙に付け入ったりする場合も多い。状況は無数に想定でき、構成員の数だけ標的が存在するのでユーザーのセキュリティ意識を常に高く保つことが重要である。
スパムメール
いわゆる迷惑メールだが、量が増えればサーバーにかなりの負担をかける事になる。
また、スパム中継サーバーとそしてセキュリティの甘いシステムが悪用されるという事例も数多く見られる。
管理者には受信拒否によるトラフィック削減や踏み台にされないための強固なセキュリティ対策が要求される。
クロスサイトスクリプティング
WebサイトへHTMLによるコード埋め込みを行い、それを利用して攻撃する手法。
ブラウザ側の設定でコードの実行を制限するのが主な対策