はじめに
応用情報技術者試験のシラバスが令和6年秋からverがアップデートされるので変更点を中心にまとめていきます(セキュリティ)
随時更新予定
情報セキュリティ
情報セキュリティの目的と考え方
セキュリティバイデザイン(セキュアバイデザイン)
セキュリティバイデザイン自体は前からあったが、新しくセキュアバイデザインが同意味で追加された
セキュリティバイデザインとはシステムの企画・設計段階からセキュリティ確保すること
ちなみに似た用語でセキュアバイデフォルト(セキュリティ機能を最初から組み込んだ状態にするべきというプラクティス)がある
また、システムの企画・設計段階でプライバシー保護の機能を組み込むことをプライバシーバイデザインと言います
情報セキュリティの重要性
脅威
アクセス権の誤設定
そのまんまの意味ですが、本来アクセスする権限を付与するべきではない人に、誤って権限を与えてしまうことで情報漏洩などのセキュリティインシデントに繋がることを言います
AIに対する脅威
これもそのままですが、AIを悪用したサイバー攻撃が脅威になるってことですね(AIを狙ったサイバー攻撃の意味もあるかも)
この内容はAIを悪用したサイバー攻撃のリスクと対策では以下のように説明されています
例えば、AI技術を用いればシステムの脆弱性を発見するのも容易になると考えられます。システムやソフトウェアの脆弱生・不具合を発見する手法として、予測不可能な入力データ(ファズ)を与えることで意図的に例外を発生させ、挙動を確認するファジングと呼ばれる手法がよく知られています。このファジングをAIが行えば、高度な技術や専門知識がなくても脆弱性を見つけられるようになり、悪用することで、さらにそこから最適化された攻撃方法を組み立てられるようになることが危惧されます。
では、AIを利用したサイバー攻撃を防ぐ方法について考えてみましょう。現状のままのセキュリティ対策で対応しているうちは、AI機能を駆使した攻撃に対して常に後手を踏むことになると予測され、完全に防ぐことは困難と言わざるを得ません。
解決法として期待されているのはAIを搭載したセキュリティシステムの開発です。AI対AIという構図になれば、攻撃側の優位点を同様の技術で抑え込むことができるかもしれません。試行錯誤を繰り返しながら学習し、圧倒的なスピード感でシステムに侵入してくるAIに対抗できるのは、分析し学習しながら最適な対応策を講じていくAIだけである可能性が高いでしょう。
遠隔操作型ウイルス(RAT:Remote Access Trojan)
RAT(Remote Access Trojan)が追加、通常の遠隔操作ソフトと同じように動作して不正に侵入し遠隔操作するマルウェア
ステルス技術(ポリモーフィック型,メタモーフィック型ほか),ファイルレスマルウェア,エクスプロイトコード,エクスプロイトキット
セキュリティソフトを用いても見つかりにくいステルス技術を用いたウイルスが追加された
-
ポリモーフィック型
自身のコードを変化させながら感染を広げるマルウェア -
メタモーフィック型
ポリモーフィック型の進化版、自己複製時にコードの構造を根本的に変えることで検出を避けるウイルス -
ファイルレスマルウェア
ファイルレスマルウェアとは、パソコンのOSなどが持つ正規のツールや機能を悪用する攻撃
対策ソフトなどの検出が厳しく高度な攻撃手法となっている -
エクスプロイトコード
OSやアプリケーションの脆弱性を攻撃するプログラムの総称 -
エクスプロイトキット
OSやアプリケーションの脆弱性を攻撃する「エクスプロイト」を集めたパッケージ
脆弱性
情報システムの情報セキュリティに関する欠陥、行動規範・職務分掌(ぶんしょう)の組織での未整備、従業員への不徹底などの脆弱性を理解する
脆弱性の説明に職務分掌というワードが追加されました
職務分掌とは、組織や企業内での職務や役割の分担を明確にすること
内部統制の不備
組織内の業務プロセスやリスク管理の仕組みが不十分であること
不正のメカニズム
割れ窓理論
社会の小さな問題を放置すると、さらに大きな問題が発生するという考え方
攻撃者の種類、攻撃の動機
二重脅迫(ダブルエクストーション)
サイバー犯罪の手法で、データを暗号化するランサムウェア攻撃に加え、データを盗んで脅迫する方法
まずデータを暗号化し、その後、盗んだデータを公開するぞと脅してさらなる金銭を要求します。
リークサイト
盗まれた情報や機密データが公開されるウェブサイト
攻撃手法
パスワードリスト攻撃(クレデンシャルスタッフィング)
盗まれたユーザー名とパスワードの組み合わせを使って、他のアカウントに不正ログインを試みるサイバー攻撃の手法
パスワードリストに同意味としてクレデンシャルスタッフィングが追加された
OSコマンドインジェクション
ウェブアプリケーションの入力フォームやURLパラメータに悪意のあるコマンドを挿入し、サーバーのオペレーティングシステム上でそのコマンドを実行させる攻撃手法
オープンリダイレクトの悪用
オープンリダイレクトは、ユーザーを信頼できるドメインから悪意のあるドメインへリダイレクトすることを許可するウェブアプリケーションの脆弱性
悪用方法にフィッシング攻撃やクロスサイトスクリプティングが挙げられる
第3者中継(オープンリレー)
メールサーバーが認証なしで外部からのメールを転送できる設定
フィッシング(スミッシングほか)
スミッシングとはSMSを利用したフィッシング攻撃の1種
サイドチェネル攻撃(テンペスト攻撃、プローブ攻撃、タイミング攻撃、電力解析攻撃など)
サイドチャネル攻撃に細かい攻撃手法が追加された
- テンペスト攻撃
物理的なセキュリティに関連する攻撃手法で、電子機器が発する電磁波を利用して機密情報を盗む方法 - プローブ攻撃
ネットワークやシステムのセキュリティを評価するために、脆弱性を発見することを目的とした攻撃手法 - タイミング攻撃
システムやアプリケーションが処理する際の時間的な差異を利用して、秘密情報や機密データを盗み取る攻撃手法 - 電力解析攻撃
電子機器やマイクロプロセッサが動作する際の電力消費パターンを分析することで、暗号鍵や機密情報を抽出する攻撃手法
バージョンロールバック攻撃
ソフトウェアやシステムのバージョン管理に関連するセキュリティ攻撃の一つで、意図的に古いバージョンのソフトウェアやプロトコルに戻すことで、既知の脆弱性を悪用する攻撃手法
ラテラルムーブメント
サイバー攻撃において、攻撃者がネットワーク内で横移動しながら権限を拡大し、より重要なシステムやデータにアクセスする行動
情報セキュリティに関する技術
秘密計算
データについて暗号化(秘密)にしたまま計算する方法のこと
ハッシュ関数(SHA-2(SHA-2),SHA-3,一方向性,第二原像発見困難性,衝突発見困難性ほか
ハッシュ関数自体は暗号化でおなじみのやつですが、特徴や役割が追加されました
SHA-2やSHA-3はハッシュ関数の1つでSHA-3が一番すごい?ぽい
一方向性,第二原像発見困難性,衝突発見困難性の3つもハッシュ関数の特徴を述べてるやつです
一方向性は「ハッシュ値から元データを復元することが困難であること」
第二原像発見困難性は「ある入力値に対するハッシュ値が与えられた時に、そのハッシュ値と一致する別の入力値を見つけることが困難なこと」
衝突発見困難性は「同じハッシュ値をもつ異なるデータを生成することが困難であること」
ゼロ知識証明
パスワードそのものを送るのではなくパスワードを所有することを証明すること
チャレンジ・レスポンス方式とかはこの方式を使ってますね
ブロックチェーン
取引の記録をブロックと呼ぶ単位にまとめ、これを時系列に連結することでデータを保管する分散型のデータベース
メッセージダイジェスト
ハッシュ関数とかでメッセージを安全なものに変更するやつ
1言で言うと、「データの指紋」みたいなもの
HMAC
アルゴリズムの1種
通常のハッシュ関数(SHA-256とか)と秘密鍵を組み合わせて、安全なメッセージダイジェストを生成する
パスワードレス認証(FIDO UAF,FIDO U2F,FIDO2,WebAuthn)
パスワードを利用しない認証
代表的なものは生体認証やデバイス認証があげられる
EMV 3D セキュア(3Dセキュア2.0)
オンライン決済の本人認証を強化して不正利用を防ぐプロトコル
ver1から2に上がって認証方法(生体認証など)が追加されたらしい
ちなみに3DのDはドメインのこと。お店、カード会社、その2つをリンクさせる運用の3つのドメインから認証がなりたってい