【セキュリティ】攻撃 防御 対策に関する学習まとめ

情報においての

• 攻撃方法
• 防御方法
• 監査手段
• 具体的にどのように対策をすることで安全性が高められるか

Wikipediaや記事などから細かい部分を抜粋した内容です。
(書籍にて情報セキュリティを学んだ部分に関しては別の投稿にて記載します。)

・APT( Advanced Persistent Threat )攻撃

APT攻撃

ターゲットを分析して攻撃する緻密なハッキング手法
不特定多数を標的としたサイバー攻撃よりも被害を受ける可能性が高いのが特徴

主にAPT攻撃者は6段階の工程に分けられる

1.偵察：配送可能なペイロードを作成　
2.配送：マルウェア配送　
3.攻撃：実行する
4.インストール：ターゲットにマルウェアをインストール　クライアントにバックドア仕込んだり
5.遠隔操作：C&C.サーバへのチャネルを確立　
6.目的実行：重要情報を持ち出すなど

例として

• 偵察をする
攻撃可能なpdf.docファイル等を収集

• リンクをユーザにクリックさせる
ように仕向ける
• ユーザが利用しているソフトウェア情報を取得し利用をする
• 
ホストスキャンやポートスキャンをして標的組織全体のネットワークを把握する
• (
それ用のツールなどもフリーで落ちていたり、普及されているのが現状)


この段階で対策を講じるのは非常に困難だがログの解析や既存アクセス解析であぶり出せるかもしれないので対応、対策共に重要

頻繁に攻撃拠点を変える

犯罪用に匿名化された防弾ホスティングサーバなどの身元が割れにくいサービスを利用
米国や欧州では国家が国民の個人情報やトラフィック情報を収集するのが禁止されているため、逆手に取るのが流行したケースもあるらしい

---

・ウィルス、サイバー攻撃、脅威関連

あまりにも多かったので分かりにくく覚えにくかった部分を記載

シャドーIT

許可されていない端末を持込み、脅威の可能性になる人的脅威

ルートキット

攻撃後に痕跡を消し見つかりにくくするツール

バックドア

通信経路が不正なもので侵入され利用される
事前にPCに組み込まれているケースもある

スパイウェア

入力を監視されるツールや無断でダウンロードをされるツールなど複数ある

トロイ

安全なプログラムに見せかけて常駐する不正プログラム

ランサムウェア

アクセス制限を不正にし、代金を要求するプログラム

ボットbot

近年では攻撃者が利用したC&Cサーバーを利用してボットに指令を出すことが増えている

ワーム

自ら増殖するウィルス、感染する際は宿主となるファイルを必要としないのが特徴

ファストフラックス

ドメイン名が特定されそうになると絶えずIPアドレスを変化できる

クローキング

アクセス者によって表示サイトが変化

サイドチャネル攻撃

暗号解読攻撃、「処理時間」などを見て、タイミング攻撃

クロサイトスプリクティング(XSS)

悪意のあるサイトに誘導されスクリプトを実行される、移動後に情報を盗み取られる

リフレクション攻撃(DrDoS)

送信元になりすましてサーバにDoS攻撃する、DRDoS攻撃

ファーミング

偽サイトに誘導させる詐欺

アイコン.拡張子偽装

添付ファイルやリンク先に仕込み組織内に侵入拡大する事を目的


オープンリダイレクト

リダイレクト機能を利用し悪意のあるサイトに誘導され
passwordやIDを取られる手口

バックドア


無許可で出入りできるようなもの

プログラマーが作為的にコード化し、侵入しやすいようにしている部分の脆弱性

侵入しやすいように作ったシステム内の脆弱性のこと

設計開発段階で作り込まれるケースが多い


アメリカ内で「中国製のルータ等には政治的な動機によりバックドアが埋め込まれている」と見解、
製品検査した際IPアドレスが中国解放軍の区域の物だと発言
さてれいる

ブラウザフィンガープリンティング

ユーザの環境に最適な攻撃を実行

サーバサイドとクライアントサイドがありHTTPからかJavascriptからかでユーザ情報の詳細差がある

DDoS

大量の端末から本体サーバへ
F5攻撃などのリクエストによる攻撃もある
1.5TB/毎秒 などとととんでもない量のデータを秒間に送る
メディア取り上げでサーバダウン系の記事は大体DoS

インジェクション


脆弱性の高いプログラムに無効なデータやソースコードを注入して
不正は命令を実行しプログラムを改変する
DBにアクセスするプログラムに不正なSQL文を送り込み

データ改竄、情報奪取するSQLインジェクションが主な手口


SQLインジェクション


アプリのSQLの呼び出しにおいてDBシステムを不正操作する
攻撃
攻撃コードを入れ不正なクエリが発生し情報が攻撃される
原因としては：userからの入力がSQL文として解釈されるから

対策として

エスケープ処理

制御文字を置き換える処理のこと

バインド機構

あらかじめSQL文をある程度用意しておき、そこに入力を促すように割り当てる方式のこと

などが挙げられる

サイドチャネル攻撃

暗号解読方法
処理時間に注目したタイミング攻撃や
装置から漏洩する電磁波に注目した電磁波解析攻撃がある
中間者攻撃
盗聴等の方法
攻撃者が被害者との間に独立した通信経路を確保し
Messageを中継し、横取りする
中間でA Bとお互いに公開鍵の認証を捏造することで
原理的に成功するパターン
相互認証や秘密鍵

バッファオーバーラン


動作しているプログラムで確保している
バッファを超えるデータを送り
クラッカーが意図する不正な処理をする攻撃、バグ
元々その場所にあったメモリが破壊される

C言語によるget関数

バッファ長を確認しないで書き込むgets関数、不正動作の危険性がある


#include <stdio.h>
int main(int argc, char *argv[])
{
   char buf[200];
   gets(buf);
   ....
}

このような部分から脆弱性が生まれる古典的なバッファオーバフロー
プログラミングにおけるコピペによる開発でも
C言語にて配列にstrcpyやscanfを使用することで脆弱性が生まれる

アドレスの領域にバッファオーバーフローによるシェルコード(悪意のあるプログラム)
を書かれ攻撃者側の悪意のあるアドレスに飛ばされたり
マルウェアのダウンロードを行なったりする

クリックジャッキング


透明化されているボタンによりクリックしアクセスした
先が悪意のあるサイトである手口
JavaScriptやFlashを無効にする必要がある

---

・サイバーセキュリティにおけるフレームワーク

国際規格として扱われるセキュリティマネジメント、研究所が発案した規格などから発足されている

BSI（イギリス規格協会)が発案したISMS

ISMS（情報セキュリティマネジメントシステム）

米国国立標準研究所（NIST)内部署：ITL

情報技術研究所(ITL)規定：サイバーセキュリティフレームワーク

...など

大きく作業工程として5項目に分けることができる

1.特定：脆弱性特定やリスク管理
2.防御：データアクセス制やログ記録
3.探知：ネット.個人間のアクセス.外部プロバイダ等モニタリング
4.対応：インシデント封じ込め.低減
5.復旧をする

場所によってレベルを分けて対策をする

ゾーニング(企業のオフィスなどでセキュリティレベルに合わせた間取りを設定)
などがあるように、セキュリティレベルを全て全力で上げる必要はない
あくまで場所に適したセキュリティ対策が重要

家


基本的なファイアウォール
WPA、WPA2などセキュリティの中でも強力なもの
意識の向上が重要
WPA Wi-Fi Protected Access..など

中小企業


強力なファイアウォール
2週間に1度などパスワードを変更すること
アンチウイルスソフトウェア


大企業


さらに細かくパスワードの変更を頻繁にする
モニターを利用し監視
従業員のセキュリティ教養実施


政府

強力な暗号、通常は256bitの鍵
無闇に無線接続させないように通信を制御、封鎖
ファイアウォール内に全てサーバを設置


アクセス制御モデル
外部からのアクセスを遮断し権限を規制する

アクセスが可能な者に関しては正規に承認をする
ことによりアクセス制限を設けるように推奨されている

任意アクセス制御


ファイルの所有者がアクセス方針を決定する
許可する人や認可する人を決める

強制アクセス制御


政府や軍の情報のような機密システム
これらを多重レベルシステムとも言う
(多重レベルシステム) - サブジェクトやオブジェクトを
複数のクラスに分けるシステム
(サブジェクト) - アクセスする主体
(オブジェクト) - 対象 

ロールベースアクセス制御


サブジェクトとオブジェクトの間にロール(役割)と言う
概念を置くモデル
役割に応じて規格が変動する
属性ベースアクセス制御
属性に応じて対応する

アイデンティティベースアクセス制御


アクセス制御リストに任せる制御

---

・サイバーセキュリティにおける防御対策

主にファイアウォール部分を調べました。

パケットフィルタリング型

IPやポート番号を指定許可/指定遮断タイプ
3層4層あたりで遮断する


スタティック型


予め決められたテーブルにしたがって通信許可/遮断
IP.ポート番号などを監視し、予め決められた設定に基づいて動作する
高速動作、設定に手間がかかり、防御がいまいち

ダイナミック型


境界内~境界外へ通信発生時.返答が境界外から帰ってきた場合のみ例外的に許可
内部から外部の通信を許可するだけ

サーキットレベルゲートウェイ型


レイヤ4のトランスポート層にて制御
通過する際IPアドレスを付け替え.境界内のIPアドレスが境界外にもれないようにする
プライベートIPアドレスしか持たない内部ネットワークでも
外部ネットワークに通信ができるというのがメリット

アプリケーションゲートウェイ型


マルウェア検知したり有害サイトフィルタリングしたり
プロキシサーバと言われている
外部との通信は全てプロキシサーバが仲介をする

内部対策、出口対策


犯行中や侵入中かもしれない
情報持出や外部接続など監視


マイクロセグメンテーション


セグメントを多く構築して複雑にさせて防御する


エアギャップ


セキュリティを高める行為
通信遮断や電源落とすなど

アクティブディレクトリ


microsoft社によって開発されたPCと管理者を管理するシステム
導入することで一括で整理と制御ができる

ファイアウォール
UNIXやMacなどはipfw

Windowsではノートン、ウイルスバスターなどが一般的
に普及されている
ノートンやウイルスバスターはファイアウォールというより"IDS"に近い動き
をするのが特徴

---

大まかな内容しか理解していないので、今後業務において触れる機会があれば
深追いして詳細を調べ、知識として学んでいければと感じました。