応用技術者試験の「情報セキュリティ」の知識をシラバスを見つつ、
過去に出たことのある用語周りを整理する。
https://www.jitec.ipa.go.jp/1_13download/syllabus_ap_ver6_2.pdf
情報セキュリティ
脅威
遠隔操作による脅威
ボット
攻撃者は他者のPCを感染させて、遠隔操作して他者のPCから攻撃を行わせる。
ボットネット
ボットとなったPCが何台にも増えて、一斉に攻撃をおこなったりする。
C&Cサーバー
攻撃者がいつでも遠隔操作可能になったPCをボット、
それが複数の何台にもふえたものがボットネット。
そんなボットネットに、一斉にコマンドで命令をおくるサーバー的なPC、
攻撃者が一括で指示をだすときに呼び出されるのがC&Cサーバー(Command & Control)
ボットハーダー
ボットを利用した一通りの攻撃を行う人のこと
不正プログラムの種類
キーロガー
感染したPCが入力する情報を全て外部に送信する。
エクスポロイキット
PCのOSの脆弱性をつくコードをひとまとめにしたツールで、
アップデートされてない脆弱性を一通り調べ上げて、脆弱性をつくツール
脆弱性
シャドーIT
企業が承認していない個人デバイスなどのこと。
昨今、リモートワークなどの業務が増えたことが一因して、
会社が把握できないデバイスが業務に使われることが発生するようになった。
BYOD
シャドーITとは逆に、承認している個人デバイスのこと。
脆弱性の管理
CVE:脆弱性を世界共通のIDに振り分けたもの。
CVSS:脆弱性の危険度の評価スコア
CWE:どういう種類の脆弱性か種類分けしたもの
攻撃
攻撃者の種類
スクリプトキディ
知識全くないけど、ツールの使い方だけしっていて使用する攻撃者
攻撃の種類
ブルートフォース攻撃
おなじみ。文字の全パターン試す。
パスワード入力の回数制限に弱い。
リバースブルートフォース攻撃
ブルートフォース攻撃はパスワード入力の回数制限で防がれる。
しかし大概のサイトでは、アカウントのほうは何度でも試行できる。
これを利用して、パスワードではなくアカウントのほうをたくさん試行する。
アカウントのリストを取得して、簡単なパスワードを全アカウントで試行する攻撃。
レインボー攻撃
パスワードをハッシュ化さえしてればオーケーの時代はおわった。
ハッシュ化した文字列の結果を辞書として一通り用意して、その辞書に
一致するものがないか調べて攻撃する方法。
(XSS)クロスサイトスクリプティング
TwitterとかYoutubeなどのWebアプリに対して、
攻撃者はツイートやコメントを投稿する欄にスクリプトを書き込む。
ユーザー自身が、スクリプトによって意図せぬ操作を行わされる。
ユーザーはそのスクリプトの投稿を表示すると悪意あるスクリプトが実行される。
Twitterでは、マウスが上にくると勝手にリツイートされるスクリプトが実行されたりした。
(CSRF)クロスサイトリクエストジェリ
TwitterとかYoutubeなどのWebアプリに対して、
攻撃者はツイートやコメントを投稿する欄にスクリプトを書き込む。
XSSとの違いとしては、
ユーザー自身が、WEBサーバーに対してスクリプトによって意図せぬ操作を行わされる。
MITB攻撃
Man in the Browser.ブラウザの中の人。
ブラウザを乗っ取り、入力された情報を取得する攻撃。
クリプトジャッキング
暗号資産のワードがでてきたらこれ。
怪しいサイトに行くと、スマホの挙動が遅くなったりする。
こういう時は、裏で立ち上がってるブラウザのページで、
攻撃者のプログラムによって、暗号資産用の計算が勝手に行われている。
ゼロデイ攻撃
ソフトウェアの脆弱性が公表されたとき、脆弱性を回収したパッチが
すぐには当たらないことを見越して、攻撃者がその脆弱性をつく攻撃
攻撃の準備
フットプリンティング
対称のPCの情報を収集する事。取得する情報は様々
ポートスキャン
対象のPCのどのポートが解放されてるか調べて、弱いところを探す。
セキュリティ対策
ペナトレーションテスト
Penetration。貫通する。脆弱性がないか、あらゆる攻撃を試して問題ないかをテストする。
マルウェア検出方法
静的ヒューリスティック法
あらかじめ登録したウイルスの行動を検知する。
ビヘイビア法
仮想環境でウイルスに感染させて、危険な振る舞いから検知をおこなう。
パターンマッチング法
ウイルスのコードの特徴的な部分を検知する。
セキュリティ機器・ソフト
パケットフィルタリング型FW
IPアドレスとポート番号を見て、通過させるか判断する。
IPS vs IDS
ApcheなどのWEBサーバー上のミドルウェアの通信内容を監視して、不正か正常化を見分けます。
IDSはDetectionとある通り、検知だけを行い
IPSはPrevetionとある通り、防止策として遮断を行います。
WAF vs IPS/IDS
WAFはWebapplicationと名前がつく通り、WEBアプリケーション上の不正を検知し、
IPSは Appcheなどのミドルウェア~OS上の不正を検知する。
FW vs IPS/IDS
FWは通信の可否を制御しますが、通信内容はチェックしない。
IPS/IDSは通信内容をチェックする。
UTM
FWやIPS/IDSなどの複数の様々なセキュリティ機器を1つに統合したもの。
TPM
windows11から必須になったチップ。
暗号化にかかわる機能や情報をこのチップに集約し、漏れないように厳密に管理する。
セキュアブート
OS起動時に実行されるもの。
OSやドライバを実行するとき、デジタル署名で問題ないかを検証してから実行する。
デジタルフォレンジックス
不正アクセスなどの問題が起きたときに、ログを解析・収集すること。
攻撃者がログを改ざんしている可能性があるので、ログをハッシュ化して同一性を確認したり、
不正アクセスの検知などを粉うのではなく、あくまでログを解析することを
デジタルフォレンジックスという。
暗号化通信
公開鍵暗号
受信者側で公開鍵と秘密鍵を作成。
送信者は受信者の公開鍵で暗号化
受信者は受信者の秘密鍵で複合化
盗聴は理論上は不可能。
デジタル署名
送信側で公開鍵と秘密鍵を作成。
送信者は送信者の秘密鍵で暗号化
受信者は送信者の公開鍵で複合化
盗聴は可能。改ざんされているかどうかを確認できる。
デジタル証明書
デジタル署名において、公開鍵で改ざんされているかを確認できるが、
そもそも公開鍵が攻撃者のものの可能性がある。
そこを証明するのがデジタル証明書。
サーバーは、デジタル証明書の中に公開鍵をいれて送信する。
PKI 公開鍵基盤
信頼できる発行元から公開鍵を発行する仕組みを、PKIという。
CA(認証局)
PKIを実際に行う機関。
CRL
失効した証明書の情報が載ってる。
なので、証明書を特定する情報(シリアル番号)と日付の情報が少なくとも入ってる。
OCSP
証明書が失効しているかどうかを返答するプロトコル。
デジタル証明書のシリアル番号を送る。
証明書の種類
DV:ドメイン名を保証
OV:ドメイン名を保証・組織の実在性の保証
EV:ドメイン名を保証・組織の実在性の保証・更に踏み込んで組織の存在を証明
SSL/TLS
上記のような暗号通信行うのがSSL/TLS
盗聴を防ぐプロトコル
IPSec
IPのパケットを暗号化した方式。
IPSecとVPNによる接続方式は多くの企業で人気。
WPA2/WPA3
無線lanの規格
以下、暗号方式・アルゴリズムと鍵の長さ。
WPA -TKIP-RC4 128bit
WPA2-TKIP-RC4 128bit
WPA -AES -AES 128-256bit
WPA2-AES -AES 128-256bit
WPA2-AES-CCMP 128-256bit
WPA2パーソナル
無線lanの裏に書かれてる暗号化キーPSKさえわかれば利用可能。
WPA2エンタープライズ
例えば大学の無線anでは、卒業した人には使わせたくない。
そんな要件を満たしたものがWPA2エンタープライズ。
EAP :認証方式。認証が通ってるものだけネットワークに入れる。
RADIUSサーバー:認証を行うサーバー。
S/MIME
MIMEは画像付きのメールを送信するプロトコル。
公開鍵暗号により、認証・暗号化・改ざん検出が可能。
なりすましを防ぐプロトコル
SPF
送信メールのなりすまし防止対策として、認証を行う。
IPアドレスをもとになりすましでないか確認する。
送信メールの中のIPアドレスを取得して、
送信元のDNSサーバーにそのIPアドレスが存在するか確認する。
SMTP-AUTH
SMTP単体では、もともと認証機能がなかったのでなりすましメールが送り放題だった。
これに対してユーザー・パスワードで認証機能ができたのがSMTP-AUTH。
OAuth
Facebookに投稿した内容をInstagramにも投稿する、みたいな、
アプリケーション間の連携昨日のこと。
ネットワーク上での不正利用を防ぐ仕組み
パケットフィルタリング
IPアドレスアドレスとポート番号を見て、通すかどうかを決定する。
いわゆるパケットフィルタリング型のFW。
ステートフルパケットフィルタリング
パケットを監視する。過去の通信履歴を参照して、
パケットの内容が通信履歴にない例外的なモノかどうかを判断する
アプリケーションゲートウェイ方式
通常のパケットフィルタリング型のFWは、通信の可否を決定するだけで、
実際に通信を行うのはクライアント側のPCだった。
アプリケーションゲートウェイ方式では、PCと外部の間に配置し、
内部のPCの代わりに通信を行うことで、不正な攻撃を検知する
プロキシサーバーがアプリケーションゲートウェイ型のFWと言える。
OP25B
迷惑メールを減少させる仕組み。
外向きの送信メール用のポート25を規制する。
ブロック対象としては、
・動的IPアドレスのユーザーのメール
・想定しているメールサーバー以外ののメール
ハニーボット
セキュリティ的にかなり危険なPCをインターネットに接続し、
あえて攻撃を受けることで不正プログラムの検体を取得したり、おとりとして利用する。
システムの評価
RASISという5つの評価基準がある。
R:Relief 信頼性
A:Available 可用性
S:Available 保守性
I:Integrity 整合性
S:Security 安全性
非接触型ICカード
電気の発電
(令和3年秋期 午後)
ICをかざす装置から「電磁波」を発信し、
「アンテナコイル」がその電磁波を電気に変える。
アンテナコイルは、中学で磁石動かしたら発電するやつ。
(余談)ICタグ・RFID
ICカードと同様にICチップが生みこまれている。原理的には同じ。
RFIDリーダーから発される電磁波を「アンテナ」が受け取り電気を供給する。
このタイプを一般に「パッシブ」と呼び、
中には電源を別に供給して、常に発信を行う「アクティブ」のものもある。
アンテナとしては、
そこそこ遠距離でも通信できるウルトラ高い周波数UHF、
近距離特化で遮蔽物に強いNFCなどが採用される。
セキュリティに用いられるICカードに対して、
荷札などにつけて物品の管理等に活用して量産しようという発想なのがRFID。
盗まれたらカード情報盗まれる? 耐タンパ性
(令和3年春期 午前問46)
盗まれて回析しようとしても、内部の情報を自分で破壊して、
読み取られないようにする仕組みがある。
ICカード+2要素認証
セキュリティの一例として、
セキュリティを高めるために、ICカードに加えて別のもう一つの要素で認証を行う。
(平成20年秋期 午前問65)
その一つとして、「PIN」による認証。
「PIN」はあくまでセキュリティ向上のために行い、
ICカードとは独立した形でセキュリティ認証をできるようにする必要がある。
なので、ICカードを配送する場合にはPINを同封せず,別経路で利用者に知らせる。
このような認証を「2要素認証」
「所有」「知識」「特徴」に基づく認証方式を2段構えで行う。
ISMS
(平成27年秋期 午前問40)
JIS Q 27001はISMSが定めたセキュリティにおける規格。
組織のセキュリティ全般の体制を評価する規格。保護する範囲が会社全体。
物理的な対策
鍵の施錠、カメラの設置などの一般的なものを除いて、用語として登場するものをいくつかピックアップする。
クリアデスク:机をきれいにしましょう。ノートパソコンは鍵付きのロッカーにしっかり片づけましょう。
クリアスクリーン:離席するときは、スクリーンをロックしてアクセスできないようにしましょう。
プライバシーマーク
JIS Q 15001はプライバシーマークが定めたセキュリティにおける規格。
ISMSは組織全体を対象とするが、こちらは情報資産のみ対象。