第 7 章 ネットワークセキュリティ 大久保 恭太
7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取
ドメイン情報の取得 whois コマンド 攻撃対象のネットワーク管理 者などの情報が検索できる nslookup コマンド DNS へアクセスし FQDN から IP アドレスを取得できる
ドメイン情報の取得 DNS サーバーの望ましい運用 ◆不要な情報を DNS に保管しない ・内部向け DNS が外部向け DNS にサーバーを待ち受けるように設定しない ・イントラネットにおいても連絡先の名称、電話番号などはリスト表示させない ◆ゾーン転送を制限する ・ゾーン転送は信頼関係の間に限定する ・内部向けであっても、端末から不用意に参照できないようにする ◆ドメイン名、サーバー名に必要以上の情報を与えない ・ fw1.example.net(FW 製品の名前が推測できてしまう ) ・ mysql1.example.net(sql サーバーの種類が推測できてしまう ) ・社外 DNS は社内 DNS に問い合わせに行かない ・外部への問い合わせは、社外 DNS のみとする (社内 DNS は社外 DNS を利用する)
ホストへのスキャン ICMP を用いたスキャン ・ type0: エコー応答 ・ type8: エコー要求 ・ type11: 時間超過 Ping エコーメッセージのやり取りで通信可能かど うかを調べる Trancert/tranceroute 最終目的地までの経路情報を取得する
ホストへのスキャン ポートスキャン ホストで稼働中のサービスを特定する ◆ TCP スキャニング(ホスト側にログが残る) ◆ステルススキャニング(ホスト側にログが残らない) nmap ・様々なスキャン方式を実装したツール ・オープンソースで大規模なネットワークを 高速でスキャンできる 対策 ・空いているポートへのアクセスをブロックする ・ FW で特定のサービスのみ内部サーバーへのアクセスを許可する ・不要なポート、不要なサービスを停止する
パスワードの奪取 パスワードを得ることで、ホストに侵入しさらなる攻撃のステップとする。 パスワードの奪取方法 ・ブルートフォース攻撃(総当たり) ・アカウント管理ファイルの奪取 ・ネットワーク上のパスワード奪取 (遠隔からのログインする利用者を狙う)
セッションハイジャック 正規の2者間のネットワーク通信におけるセッションを当事者以 外が乗っ取る攻撃 ARP Poisoning 方式 攻撃者が ARP 情報を 書き換える
マルウェア対策 コンピュータウイルス ・自己伝染機能:自己を複製し、他のコンピュータに広げる機能 ・潜伏機能:特定の条件になるまで、活動を待機する機能 ・発病機能:破壊などの活動を行う機能 ワーム ・単独で侵入し、感染し、活動を行うプログラム ・攻撃対象のセキュリティホールを利用して侵入 ・宿主となるプログラムが必要なものは、「ワームウイルス」となる 宿主となるプログラムを 必要とする メモリ上で単体でも活動 する ボット コンピュータに感染し、インターネットを通じてそのコンピュータを 外部から操ることを目的とする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする スパイウェア 個人情報やアクセス履歴などを盗む
マルウェア対策 対策 ・ OS 、ライブラリ、ミドルウェア、アプリケーションを最新のものに しておく ・セキュリティパッチを適用する ・コンピュータウイルス対策ソフトを最新のものに更新しておく ・定期的に脆弱性のスキャンを行う ・怪しい Web サイトや不審なメールに注意する ・万が一のためにデータをバックアップする 一般の利用者のセキュリティ意識向上を狙う教育や、マルウェアを招 き入れないシステム利用ガイドラインの策定も必要
マルウェア対策 マルウェアは 、 コンピュータウイルス対策ソフトで検知される ことを逃れるため 、 巧妙な技術で進化している ポリモーフィック型マルウェア ・マルウェアのプログラムコードの一部を暗号化することで、パター ンマッチング手法による検知を回避する。 ・感染するごとに、暗号化される鍵をランダムに変えることで、マル ウェアの特徴点のパターンが異なることになる ・暗号化されたマルウェアと復号ルーチンから構成される
マルウェア対策 メタモーフィック型マルウェア ・暗号化するのではなく、プログラムコードを分割して順序を入れ替 えたり、実質的に何もしない命令を挿入したりする ルートキット利用型マルウェア ・攻撃者が侵入したホストへ継続的にリモートアクセスするための ツール群 ・キーロガーやバックドアなどがある ・ファイルやシステムデータを不正な作成、変更、削除を行うものも ある
マルウェア対策 コンピュータウイルス対策ソフトの仕組み マルウェアを未然に防ぐためのソフトウェア ・各サーバーで運用されるケースや組織内のネットワーク上に NISD と して運用されるケースがある 以下の2通りのタイミングでマルウェアの検査を行う ① PC 端末の外部からデータを取得するとき、当該データを検査する ②定期的もしくは、 PC 端末の利用者が実行を指示したとき、新しいデ バイスを追加したとき、 OS から参照できるストレージを検査する。
マルウェア対策 コンペア手法 ・感染する前のオリジナルのデータをあらかじめ取得しておき、検査において オリジナルと比較する ・オリジナルのファイルの情報が膨大になるので、ファイルの容量や ハッシュ値などで比較することもある パターンマッチング手法 ・マルウェアの特徴を保存したデータベースを用意し、そのデータと比較す。 ・パターンファイルは人間が作成するが、機械学習により特徴点を抽出、比較 する方法もある ・パターンを常に最新のものにしなくてはならない ・脆弱性の情報が発見、公開されるまでの空白の時間帯は対処できない ヒューリスティック手法 ・検査対象のプログラムを実際の OS 上で動作させずに検査させる手法 ・マルウェア特有の命令が検査対象のプログラムに含まれているかどうか (静的ヒューリスティック) ・仮想マシン上で検査対象のプログラムを起動する (動的ヒューリスティック) ・正常なプログラムと区別するのが容易ではない
マルウェア対策 ビヘイビア手法 ・実行しているアプリケーションプログラムをリアルタイムで監視し「不正な 動作を要求するシステムコール」や「不正な削除、変更の実行」を検出し阻止 する。 ・正常なプログラムとの区別が難しい。 (正常なプログラムでも削除、変更を行う為)