安全確保支援士試験の備忘録 #Security

マルウェア

ポリモーフィック型：攻撃用コードを暗号化する
メタモーフィック型：攻撃用コードを変化させる。Metamorphose（変化）
ウィルス定義ファイルでパッカーの検知が困難な理由は、暗号鍵を変えてパック処理すると暗号化済みコード部が変化し、ウィルス定義ファイルに登録されていないファイルとなるから

認証

リスクベース認証：アクセス状況が普段と異なる場合に検知し、追加の認証を行う方式（IPアドレス、位置情報、アクセス頻度、端末）
従業員が仮パスワードを更新しないのは、仮パスワードのままでも業務システムを利用できるから。
リバースブルートフォース攻撃やリスト型攻撃の対策として、利用者の単位時間あたりの認証失敗数がしきい値を超えた場合に、追加の認証を行う
IPアドレスが固定されない端末からのアクセスを制限する場合は、クライアント証明書を用いた端末認証を行う
ログイン失敗のエラーメッセージを表示しないのは、攻撃者に攻撃の手がかりを与えないため
クライアント証明書と比べたサーバ証明書の違いは、利用者がクライアント証明書を用意する必要がないから

攻撃手法

辞書攻撃：一般的な単語、人名、地名など良く使われる単語を使用
パスワードリスト攻撃：他のサイトで流出したものや、初期のID/パスワードなどを利用
レインボーテーブル：すべてのパスワード候補（文字列）に対するハッシュ値をあらかじめ計算して表にしたもの
ドライブバイダウンロード：改ざんされたWEBページにアクセスすると、マルウェアが自動でダウンロードされる
SEOポイズニング：Web検索エンジンの検索結果ページの上位に、マルウェアなどが含まれる悪質なWebサイトを紛れ込ませる
Smurf攻撃：ターゲットのIPアドレスに偽装して、複数の中継サーバからターゲットにICMP replyを送りつける
ICMP flood：対象の相手にICMP echoを大量に送りつける
ショルダーハッキング：肩口から覗き見する
スキャベンジング：ゴミ箱をあさり、重要な情報を入手する
MITBへの対策は、利用者が口座番号を入力して作成したワンタイムパスワードを使用し、書き換えられた攻撃者の口座に振り込みをできないようにする
DLLインジェクション：ブラウザなどのソフトウェアに不正なDLLを注入すること。MITBをこの攻撃手法の一種
マルウェアからC&CサーバへのHTTP通信をプロキシで止める対策は、プロキシの利用者認証を有効にすること

DNS

DNSSEC：DNSサーバのレスポンスにディジタル署名を付与する。クライアントはDNSサーバのレコードから公開鍵を取得して、ディジタル署名を検証する
DSNキャッシュポイズニングへの対策は、キャッシュサーバからの問い合わせ時のポート番号をランダムにする
攻撃者がダイナミックDNSを利用することにより、フィルタリング設定が無効化される
DNSの設定変更直後の注意点は、参照するDNSサーバのキャッシュに切り替え前の情報が保持されている可能性がある。

無線LAN

ビーコン：APが定期的にSSIDをネットワーク内のすべてのクライアントに送信するもの
SSIDステルス：ビーコンにSSIDを含めない
ANYプローブ：クライアントからSSIDを「ANY」に設定すると、APからSSIDが返却される
PEAP：利用者IDとパスワードを用いる。暗号化にはTLSを利用
EAP-TLS：クライアント証明書を用いる。クライアントの端末は認証できるが、利用者の認証はできない。相互認証であるため、秘密鍵・クライアント証明書以外にも、CAのルート証明書が必要
IEEE802.1X：サプリカント(PC)、オーセンティケータ(スイッチ,AP)、認証サーバ(RADIUS等)の3つの要素で構成
IEEE802.11a：5GHz帯
IEEE802.11b/g：2.4GHz帯
IEEE802.11n：2.4GHz,5GHz帯

メール

SPF：送信元ドメインをエンベロープで確認し、DNSサーバのSPFレコードを確認する
Sender ID：送信元ドメインをメールヘッダで確認
DKIM：送信元がメールに電子署名を付与し、DNSサーバで公開鍵を公開する
APOP：メール受信時の認証情報を、パスワードのハッシュ値を用いて認証する仕組み
迷惑メールの送信者がドメインを正当に取得した場合は、SPFを用いても迷惑メールを防げない
メールヘッダのReceived：中継したメールサーバが記載される。下にあるものほど古い
SMTPSは通信の最初から、STARTTLSは通信の途中から暗号化を行う
POP before SMTPは、SMTP AUTHと違ってメールソフトに依存しない

セキュアコーディング

スタック領域は通常のメモリの配置とは逆に、高位アドレスから低位アドレスに向かって配置される
プレースホルダ：SQLの「?」の部分
データ実行防止機能では、ヒープ領域を書き換える行為を防止できない
スクリプトを実行できる属性は、イベントハンドラ属性(onclick, onmouseover)・style属性・URL属性(href)
委託する場合は、脆弱性検査の合格を受け入れ条件とする
Same Origin Policy：「スキーム(http,https)＋ホスト＋ポート」の組み合わせが全て一致すること。反対の意味はクロスオリジン
Same Origin Policy＝同一生成元ポリシ＝同一オリジンポリシ

IPsec

AHとESPはIPsec専用のヘッダ情報。AHは認証のみで、ESPは認証と暗号化の情報が入る

鍵

OCSP(Online Certificate Status Protocol)：ディジタル証明書の失効を確認するプロトコル
共通鍵暗号方式は、公開鍵暗号方式と比べて処理が早い
共通鍵暗号方式はn(n-1)/2の鍵数が必要であり、公開鍵暗号方式は2nの鍵が必要
ドメイン認証証明書：クライアントはサーバの運営者の情報を確認できない

暗号化

SHA-2：224,256,384,512ビットのハッシュ値を生成
SSLは公開鍵暗号と共通鍵暗号を組み合わせたハイブリッド暗号方式
ECBモードは各ブロックをまたぐ連鎖がないため、平文が同じブロックは同じ暗号文になるので、暗号文から平文を推測されやすい
ブラウザに保存するクッキーを暗号化して問題となる場合は、クッキーがクライアント上で参照される場合や、クッキーがWAFを経由しない別のWEBサーバへ送信される場合

インシデント対応

感染したPCを発見した際は、まずは社内LANからの切り離しを行う。
感染したPCをシャットダウンしてはいけない理由は、メモリ上の証跡がなくなってしまうから
インシデント対応の体制を事前に作っておく(原因究明の観点の)メリットは、原因究明に必要な情報の収集に迅速かつ組織的に着手できること

ディジタルフォレンジックス

感染したPCのバックアップを用いて、マルウェア感染前後におけるOSの状態の差分を確認するため
マルウェアに感染したサーバの電源が落ちた後に再度起動してはいけない理由は、再起動することでサーバ機上のファイルが改変される可能性があるから
マルウェアに感染したHDDを複製して解析を行う理由は、解析の際に原本のデータを書き換えてしまう可能性があるから

検疫ネットワーク

認証スイッチ方式：認証機能のあるスイッチを利用し、VLANによって社内LANへの接続を許可する方式。
パーソナルファイアウォール方式：PCに検疫ネットーワーク用のパーソナルファイアウォールを導入し、ポリシーから配信されるセキュリティポリシに従う。パーソナルファイアウォールを導入できないPCは利用できない。
認証DHCP方式：検疫用のIPアドレスを割り当て、安全性が確認された後、社内LANのIPアドレスを割り当てる。固定でIPアドレスが設定されたPCは利用できない。

組織

日本を代表するCSIRTはJPCERT/CC

リスク

リスク分析→リスク評価→リスク対応
リスク分析：リスク因子を特定し、リスクを数値化
リスク評価：リスクの重大さを決定するために、算定されたリスクを、与えられたリスク評価基準と比較
リスク対応：リスク移転、リスク回避、リスク保有、リスク低減
リスクファイナンス：リスクに対して、損失の補填や対応費用の確保をしておくこと。リスクを減らすためのリスク低減やリスク回避に用いる費用ではない

その他

HSTSプリロード：ブラウザにドメインを登録することで、当該ドメインへアクセスする場合は常にHTTPSが使用される
X-Forwarded-For：LBやProxyサーバにて、このフィールドに、接続元のIPアドレス情報を追記することができる
IPアドレスやポート番号などの固定的な情報で検査を行うことを「スタティックパケットフィルタリング」、通信の文脈などの動的な情報で検査を行うことを「ダイナミックパケットフィルタリング」
ステートフルインスペクション：パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認して通過させること。ダイナミックパケットフィルタリングの一種
ログのモニタリング条件を開示しない理由は、モニタリング条件を回避するようにして悪意ある行動をとられるから
営業秘密の3要件：秘密として管理されている、営業上有効な情報である、公然と知られていないこと
パスワードを取得するページのURLを利用者にメールで通知する場合、メールを盗聴し、利用者より先に取得ページにアクセスする手口が使われる