情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第5章 もっと知りたいセキュリティ技術)
第5章 もっと知りたいセキュリティ技術 アカウント、ID、パスワード 攻撃手法 脆弱性を悪用する攻撃 ファイアウォール 暗号とディジタル署名
1. アカウント、ID、パスワード 1) パスワードの重要性 2) パスワードクラッキング 3) パスワードを保護するための対策 第5章 1. アカウント、ID、パスワード 1) パスワードの重要性 2) パスワードクラッキング 3) パスワードを保護するための対策 4) さまざまな認証方式
1) パスワードの重要性 ID: ユーザが誰であるかを識別 パスワード: 本人であることを確認 大原則「パスワードは本人しか知らない」 パスワードが漏えいした瞬間から、システムやネットワークが脅威にさらされる パスワードは、ユーザが思っている以上に重要なもの
2) パスワードクラッキング パスワードクラッキングの種類 本人から入手(ソーシャルエンジニアリング) パスワードを推測 第5章 > 1. アカウント、ID、パスワード 2) パスワードクラッキング パスワードクラッキングの種類 本人から入手(ソーシャルエンジニアリング) パスワードを推測 パスワードファイルを解析する(不正なツールを使用) 辞書攻撃 、ブルートフォース攻撃など ⇔用語集p.127(辞書攻撃)、p.131 (ブルートフォース攻撃) 参照 盗聴する
3) パスワードを保護するための対策 強度が高い(推測しにくい)パスワードを使用する 定期的にパスワードを変更する 絶対に人に教えない 第5章 > 1. アカウント、ID、パスワード 3) パスワードを保護するための対策 強度が高い(推測しにくい)パスワードを使用する 長くする、生年月日・電話番号・愛称などは避ける 大文字・小文字・数字・記号を組み合わせる 定期的にパスワードを変更する 初期パスワードをそのまま使わない 絶対に人に教えない 管理者などから問われることはない アカウントの貸し借りはしない 例:パスフレーズによる設計(好きなフレーズをもとに変換) パスフレーズ「JINSEI IROIRO」 パスワード 「J#NS2R&R」 母音を抜き記号や数字を挿入
4) さまざまな認証方式 本人しか知らない情報を入力 本人固有の持ち物を使用 本人の身体的特徴で識別 パスワード 第5章 > 1. アカウント、ID、パスワード 4) さまざまな認証方式 本人しか知らない情報を入力 パスワード 本人固有の持ち物を使用 トークン(ワンタイムパスワード生成装置) スマートカード等 本人の身体的特徴で識別 バイオメトリック認証(指紋など) ⇔用語集p.133(ワンタイムパスワード)、p.128 (スマートカード) p.129(バイオメトリック認証)参照
2. 攻撃手法 外部からの攻撃(侵入)の流れ 事前調査 不正実行 後処理 (結果) 権限取得 第5章 ポートスキャン アカウント名の 調査 システムの 情報収集 不正実行 ファイル 奪取 資源利用 不正プログ ラム埋込 踏み台 後処理 裏口作成 証拠の隠滅 (結果) 権限取得 一般ユーザ 権限獲得 様々な 攻撃 特権ユー ザ獲得 パスワード 推測
1) 事前調査 システム情報の収集 Webサイトの調査やポートスキャンを実行 IPアドレス サーバ名 サーバソフトウェア 第5章 > 2. 攻撃手法 1) 事前調査 システム情報の収集 IPアドレス サーバ名 サーバソフトウェア OSの種類、バージョン 提供されているサービス 侵入検知システム Webサイトの調査やポートスキャンを実行 ポートスキャンとは? 攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの 状態を調査すること。(ポートと脆弱性については、第5章 p.84-85 参照)
2) 権限取得 ツールなどを使用し、パスワードを強引に解読して権限を取得 = パスワードクラッキング パスワードクラッキングの手法 第5章 > 2. 攻撃手法 2) 権限取得 ツールなどを使用し、パスワードを強引に解読して権限を取得 = パスワードクラッキング パスワードクラッキングの手法 ブルートフォース攻撃 ⇔用語集p.131 参照 総当り的に調べる 辞書攻撃 ⇔用語集p.127 参照 特殊な辞書を使用して照合
3) 不正実行 さまざまな不正行為を実行する 盗聴 改ざん なりすまし 破壊 不正プログラムの埋め込み 踏み台 第5章 > 2. 攻撃手法 3) 不正実行 さまざまな不正行為を実行する 盗聴 改ざん なりすまし 破壊 不正プログラムの埋め込み 踏み台 ⇔詳細については、第2章 > 2. 外部のリスク要因 > 2) 外部からの侵入(不正アクセス)のスライド、または 第5章 p.82-83 を参照
4) 後処理 証拠隠滅 ログの消去などにより侵入の形跡を消す バックドアの作成 次回の侵入を容易にするための裏口を設置 第5章 > 2. 攻撃手法 4) 後処理 証拠隠滅 ログの消去などにより侵入の形跡を消す バックドアの作成 次回の侵入を容易にするための裏口を設置
3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 2) 脆弱性を悪用する攻撃例 バッファオーバーフロー攻撃 クロスサイトスクリプティング攻撃 第5章 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 2) 脆弱性を悪用する攻撃例 バッファオーバーフロー攻撃 クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 DNSキャッシュポイズニング攻撃
1) ポートと脆弱性 (1) ポート(80番、25番、110番など) プロトコル(HTTP、SMTP、POP3など) 第5章 > 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 (1) ポート(80番、25番、110番など) インターネットで特定のサービスを通信させるための識別番号 プロトコル(HTTP、SMTP、POP3など) サービスを提供するための約束ごと 例:サービスと使用するポート番号 WWWプロトコル(HTTP)→ポート80番 メール送信プロトコル(SMTP)→ポート25番 メール受信プロトコル(POP3)→ポート110番
第5章 > 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 (2) ポートとプロトコル
1) ポートと脆弱性 (3) ポートが開いていると・・・ 対策: 使わないポートは閉じる パッチを適用し脆弱性をふさぐ 第5章 > 3. 脆弱性を悪用する攻撃 1) ポートと脆弱性 (3) ポートが開いていると・・・ 提供しているサービスがわかる 開いているポートを悪用して侵入・攻撃 脆弱性があると、さまざまな被害を受ける(ウイルス感染、操作権限の奪取、DoS攻撃を仕掛けるプログラムの埋め込みなど) 対策: 使わないポートは閉じる パッチを適用し脆弱性をふさぐ
バッファオーバーフロー攻撃 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。 第5章 > 3. 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。 これにより、不正なプログラムを実行させたり、権限を不正に取得する。
クロスサイトスクリプティング攻撃 第5章 > 3. 脆弱性を悪用する攻撃 ①スクリプトと呼ばれるプログラムを仕込む ②罠が仕掛けられたサイトで、ユーザがリンクをうっかりクリックすると。。 ③ターゲットのサイトへジャンプ ④仕込まれたスクリプトがターゲットのサイトで無害化されずにPCに当該サイトからの指示のごとく返してしまう。 ⑤個人情報の漏えい、不正な買い物などの被害にあう
SQLインジェクション攻撃 第5章 > 3. 脆弱性を悪用する攻撃 WebアプリケーションにSQLインジェクションの脆弱性があると 情報の改ざん、消去、漏えいなどの被害
DNSキャッシュポイズニング攻撃 (1) DNSサーバのキャッシュを不正に書き換え、IPアドレスとドメイン名の対応を誤ったものにする 第5章 > 3. 脆弱性を悪用する攻撃 DNSキャッシュポイズニング攻撃 (1) DNSサーバのキャッシュを不正に書き換え、IPアドレスとドメイン名の対応を誤ったものにする ユーザは別の送信先にメールを送信してしまったり、偽のWebページに誘導され、個人情報や機密情報が盗まれる DNS amp攻撃などがある DNS: Domain Name System DNS サーバ: ドメイン名をIPアドレスに変換するサービスを提供するサーバ
第5章 > 3. 脆弱性を悪用する攻撃 DNSキャッシュポイズニング攻撃 (2)
4. ファイアウォール 1) ファイアウォールとは? 2) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 第5章 4. ファイアウォール 1) ファイアウォールとは? 2) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 3) ネットワークアドレス変換技術(NAT) 4) DMZ(非武装地帯) 5) ファイアウォールの落とし穴 6) パーソナルファイアウォール
1) ファイアウォールとは? インターネットと内部ネットワーク(LAN)の 境界線上で、アクセス制御を行う装置 第5章 > 4. ファイアウォール 1) ファイアウォールとは? インターネットと内部ネットワーク(LAN)の 境界線上で、アクセス制御を行う装置 【ファイアウォールの主な機能】 外部との出入口を絞る 内部ネットワーク(LAN)の構造を外部に見せない 外部からの不正なアクセスを排除 必要なアクセスだけを通過させる
2) パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス 第5章 > 4. ファイアウォール 2) パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス パケットフィルタリング パケットの選別 アプリケーションゲートウェイ アプリケーションプロトコルに基づくアクセス制御 プライベートアドレスの割り当て グローバルアドレスとプライベートアドレス
第5章 > 4. ファイアウォール > 2)パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス パケットの情報に基づいて、通過させるパケットと通過させないパケットを選別。通常は「通過を許可するパケットだけを指定」。
アプリケーションゲートウェイ アプリケーションプロトコルに基づいてアクセスを制御する アプリケーションプロトコルごとに許可/禁止を制御可能 第5章 > 4. ファイアウォール > 2)パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス アプリケーションゲートウェイ アプリケーションプロトコルに基づいてアクセスを制御する 例: HTTP(Webアクセス)、FTP(ファイル転送)、 POP(メール受信)、SMTP(メール送信)など アプリケーションプロトコルごとに許可/禁止を制御可能
プライベートアドレスの割り当て グローバルアドレス プライベートアドレス インターネットに接続する各機器に一意に割り当てられたIPアドレス 第5章 > 4. ファイアウォール > 2) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス プライベートアドレスの割り当て グローバルアドレス インターネットに接続する各機器に一意に割り当てられたIPアドレス プライベートアドレス 組織や会社内の閉じられた空間で独自に割り当てられたIPアドレス そのままではインターネットにアクセスできない 外部からアクセスされない利点もある
3) ネットワークアドレス変換技術(NAT) (1) 第5章 > 4. ファイアウォール 3) ネットワークアドレス変換技術(NAT) (1) 内部のプライベートアドレスをグローバルアドレスに変換し、インターネットへのアクセスを可能にする技術 利点 限られたグローバルアドレスの有効活用 内部情報を隠す 外部からの不正アクセスを防ぐ
3) ネットワークアドレス変換技術(NAT) (2) 第5章 > 4. ファイアウォール 3) ネットワークアドレス変換技術(NAT) (2) ネットワークアドレス変換(NAT:Network Address Translation)
4) DMZ (DeMilitarized Zone:非武装地帯) 第5章 > 4. ファイアウォール 4) DMZ (DeMilitarized Zone:非武装地帯) 外部のインターネットと内部のLANの間に緩衝地帯を設け、公開サーバを設置
5) ファイアウォールの落とし穴 ファイアウォールも万全ではない 過信せずにあらゆるセキュリティ対策を行うことが肝要 第5章 > 4. ファイアウォール 5) ファイアウォールの落とし穴 ファイアウォールも万全ではない 例: DoS攻撃やウイルスは防げないこともある 過信せずにあらゆるセキュリティ対策を行うことが肝要
6) パーソナルファイアウォール(1) インターネットに常時接続する個人ユーザに効果的 さまざまな製品が発売されている 第5章 > 4. ファイアウォール 6) パーソナルファイアウォール(1) インターネットに常時接続する個人ユーザに効果的 さまざまな製品が発売されている ウイルス対策ソフトウェアと組合せたもの等 Windows XPの簡易ファイアウォール機能
6) パーソナルファイアウォール(2) 第5章 > 4. ファイアウォール 通常利用 利用者 侵入者 インターネット 攻撃や不正な アクセスを制限 通常利用 自分が攻撃して しまう場合 侵入者 インターネット パーソナル ファイアウォール 利用者
第5章 5. 暗号とディジタル署名 1) 暗号技術とは 2) ディジタル署名とは 3) 認証局とは 4) 身近に使われている暗号技術
1) 暗号技術とは 暗号化、復号、鍵 共通鍵暗号方式 公開鍵暗号方式 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式) 第5章 > 5. 暗号とディジタル署名 1) 暗号技術とは 暗号化、復号、鍵 共通鍵暗号方式 公開鍵暗号方式 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式)
暗号化、復号、鍵 (1) 暗号化: 特定の法則に基づいてデータを変換し、第三者に内容を知られないようにすること 第5章 > 5. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (1) 暗号化: 特定の法則に基づいてデータを変換し、第三者に内容を知られないようにすること 暗号化、復号、平文、暗号文、アルゴリズム、鍵などの用語を理解したい 共通鍵暗号方式と公開鍵暗号方式の2つが使用されている ⇔用語集p.131(復号)
暗号化、復号、鍵 (2) あした えそて 例 ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす 暗号化 復号 3文字後ろにずらす 第5章 > 5. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (2) 例 ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす 暗号化 あした えそて 復号 平文 暗号文 3文字後ろにずらす アルゴリズム 鍵
共通鍵暗号方式 共通鍵暗号方式 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を使用する 同じ鍵=共通鍵 第5章 > 5. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵暗号方式 共通鍵暗号方式 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を使用する 同じ鍵=共通鍵 例: DES、トリプルDES、AES、MISTY1、Camellia など ⇔用語集p.122(DES)、p.129 (トリプルDES)、p.122(AES) p.124(MISTY1)、p.122 (Camellia)参照
公開鍵暗号方式 (1) 秘密鍵と公開鍵の2本の鍵(ペア)を使用 公開鍵を使用して暗号化し、秘密鍵で復号する 第5章 > 5. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (1) 秘密鍵と公開鍵の2本の鍵(ペア)を使用 公開鍵を使用して暗号化し、秘密鍵で復号する 「公開鍵と対になっている秘密鍵を使用しないと復号できない」ことがポイント ↓ その秘密鍵を持つ人だけが復号可能
第5章 > 5. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (2) 秘密鍵と公開鍵
公開鍵暗号方式 (3) 公開鍵暗号方式による通信 例: RSA、Diffie-Hellmanなど(一般的にRSAが使用される) 第5章 > 5. 暗号化とディジタル署名 > 1)暗号技術とは 公開鍵暗号方式 (3) 公開鍵暗号方式による通信 例: RSA、Diffie-Hellmanなど(一般的にRSAが使用される)
共通鍵方式と公開鍵方式の組み合わせ 共通鍵暗号方式 公開鍵暗号方式 2つを組み合わせることで弱点を克服 最初の鍵の受け渡しが弱点 第5章 > 5. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵方式と公開鍵方式の組み合わせ 共通鍵暗号方式 最初の鍵の受け渡しが弱点 公開鍵暗号方式 暗号化と復号に時間がかかる 2つを組み合わせることで弱点を克服 最初に公開鍵暗号方式で共通鍵を送り、以降は共通鍵で暗号化/復号
2) ディジタル署名 送信者が本人であり、送信内容が改ざんされていないことを証明する仕組み 公開鍵暗号方式に基づいて本人を識別 第5章 > 5. 暗号化とディジタル署名 2) ディジタル署名 送信者が本人であり、送信内容が改ざんされていないことを証明する仕組み 公開鍵暗号方式に基づいて本人を識別 公開鍵で復号できる → 対応する秘密鍵を持つ本人から送られたことが証明される ハッシュ関数によるメッセージダイジェストで改ざんを検証
3) 認証局とは (1) 公開鍵暗号方式は優れた仕組みだが、なりすましを防げない 第三の機関を設け、公開鍵の正当性を証明する=認証局 第5章 > 5. 暗号化とディジタル署名 3) 認証局とは (1) 公開鍵暗号方式は優れた仕組みだが、なりすましを防げない 第三の機関を設け、公開鍵の正当性を証明する=認証局
3) 認証局とは (2) 公開鍵証明書の利用 第5章 > 5. 暗号化とディジタル署名 認証局に申請し ディジタル署名を発行してもらい Aさんに送信
4) 身近に使われている暗号技術 WWWでの暗号化 暗号化メール 携帯電話やICカードで利用される 暗号技術 PGP S/MIME 第5章 > 5. 暗号とディジタル署名 4) 身近に使われている暗号技術 WWWでの暗号化 暗号化メール PGP S/MIME 携帯電話やICカードで利用される 暗号技術
WWWでの暗号化(SSL) HTTPプロトコルではデータが暗号化されずそのまま流れる データを暗号化して送受信=SSL SSLでの通信は 第5章 > 5. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 WWWでの暗号化(SSL) HTTPプロトコルではデータが暗号化されずそのまま流れる 盗聴などデータ漏えいの危険性 データを暗号化して送受信=SSL SSLでの通信は Webブラウザで 確認できる http:// → https:// 鍵のつながったアイコンが現れる EV-SSLに対応しているブラウザで表示をすると,アドレスバーが緑色になり,サイトの運営者が表示されます
暗号化メール 暗号化メールにより、電子メールの安全性が高まる 幅広く使用されている方式 盗聴の防止 改ざんの検証 なりすましの防止 PGP 第5章 > 5. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 暗号化メール 暗号化メールにより、電子メールの安全性が高まる 盗聴の防止 改ざんの検証 なりすましの防止 幅広く使用されている方式 PGP S/MIME
携帯電話やICカードで利用される暗号技術 第5章 > 5. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 携帯電話やICカードで利用される暗号技術 SSL対応のWWWサーバへアクセスできる携帯電話 高度な暗号技術を使用したWWWサーバの認証やディジタル署名の利用が可能 セキュリティ面での信頼性が向上 ICカード 暗号鍵を搭載できるので安全性が高い クレジットカード、住民基本台帳カードなど
本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。