情報セキュリティ読本 - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
Advertisements

第 7 章 ネットワークセキュリティ 大久保 恭太. 7.3 ネットワークスキャン 攻撃者はネットワークを攻撃するにあたって 、 攻撃対象のネットワークの 様々な情報を取得していく 。 ・ドメイン情報の取得 ・ホストに関する情報の取得 ・パスワードの奪取.
Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構 セキュリティセンター 日本国内における コンピュータウイルスの発見届出状況について 2004 年 11 月 25.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
情報セキュリティ読本 - IT時代の危機管理入門 -
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
受動的攻撃について Eiji James Yoshida penetration technique research site
(第3章 見えない脅威とその対策 - 個人レベルのセキュリティ対策 -)
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
CGI Programming and Web Security
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
市販のソフトウェアが これほど脆弱な理由 (それをどのように解決するか).
「コンピュータと情報システム」 07章 インターネットとセキュリティ
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
Vulnerability of Cross-Site Scripting
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会を生きるための 情報倫理
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
セキュリティ・チェックリスト解説 【5~10分】
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
利用者が守るセキュリティー (パスワードについて)
情報セキュリティ読本 - IT時代の危機管理入門 -
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
784 基礎知識2.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
映像で知る情報セキュリティ ~標的型攻撃対策(従業員編)~
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
ネットワークセキュリティ グループ J
情報セキュリティ - IT時代の危機管理入門 -
第8章 Web技術とセキュリティ   岡本 好未.
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
第2回 SQL インジェクション その攻撃と対処 NECラーニング 山崎 明子.
1.情報セキュリティ概論 岡本 好未.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
セキュリティ(5) 05A2013 大川内 斉.
情報セキュリティ - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
サイバーセキュリティ バッファオーバフロー
セキュリティ 05A2013 大川内 斉.
セキュリティ(2) 05A2013 大川内 斉.
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
VIRUS.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
A18 スパムサーバの調査 ~ボットを見抜けるか?~
情報セキュリティ - IT時代の危機管理入門 -
コンピュータ リテラシー 担当教官  河中.
第一回 情報セキュリティ 05A1027 後藤航太.
筑波大学附属視覚特別支援学校 情報活用 村山 慎二郎
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
copyright © Shogo Matsumoto
情報モラル06 情報 セキュリティ.
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
牧之内研勉強会資料 2002年9月17日 牧之内研D3 尾下真樹
Presentation transcript:

情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第2章 今日のセキュリティリスク)

第2章 今日のセキュリティリスク 情報セキュリティ 高水準で推移するウイルス被害 外部からの侵入(不正アクセス) 第2章 今日のセキュリティリスク 情報セキュリティ 高水準で推移するウイルス被害 外部からの侵入(不正アクセス) サーバへの攻撃(サービス妨害) 情報システムのセキュリティホール

1. 情報セキュリティ 1) 情報セキュリティの基本概念 2) 情報資産とリスク・インシデント 機密性 完全性 可用性 情報資産 第2章 1. 情報セキュリティ 1) 情報セキュリティの基本概念 機密性 完全性 可用性 2) 情報資産とリスク・インシデント 情報資産 リスクとインシデント リスクの要因

1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること 第2章 > 1. 情報セキュリティ 1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること 情報の機密性、完全性及び可用性の維持 (情報セキュリティマネジメントシステムの国際標準であるISO/IEC17799の定義) ◆機密性:アクセスを認可された者だけが、情報にアクセス        できることを確実にすること ◆完全性:情報および処理方法が正確であること及び完全        であることを保護すること ◆可用性:認可された利用者が、必要なときに、情報及び関連        する資産にアクセスできることを確実にすること

2) 情報資産とリスク・インシデント 情報資産 リスク インシデント 財務情報、顧客情報、技術情報 等 第2章 > 1. 情報セキュリティ 2) 情報資産とリスク・インシデント 情報資産 財務情報、顧客情報、技術情報 等 システム(ハードウェア、ソフトウェア)、ネットワーク、データ、ノウハウなどさまざまな形 リスク 情報資産が損なわれる可能性(内的、外的な要因がある) インシデント 実際に、情報資産が損なわれてしまった状態

リスクの要因 守るべきもの ◆ 情報 ◆ 情報システム ◆ 社会的信用 (紙、電子媒体、ネットワーク上) 財務情報、人事情報、顧客情報、 第2章 > 1. 情報セキュリティ > 2. 情報資産とリスク・インシデント リスクの要因 (脅威) 守るべきもの ◆ 情報   (紙、電子媒体、ネットワーク上)   財務情報、人事情報、顧客情報、   戦略情報、技術情報 等 ◆ 情報システム   コンピュータ(パソコン、サーバ、   汎用機)、 ネットワーク、通信設備 ◆ 社会的信用

2. 高水準で推移するウイルス被害 ウイルス届出件数は1999年より急増 2002年、2003年と減少したが、2004年から再び増加に転じる 第2章 2. 高水準で推移するウイルス被害 ウイルス届出件数は1999年より急増 2002年、2003年と減少したが、2004年から再び増加に転じる 巧妙化・凶悪化が最近の特徴 ウイルス届出は、IPAセキュリティセンターのWebページに毎月掲載  コンピュータウイルスの届出状況    http://www.ipa.go.jp/security/txt/list.html

第2章 3. 外部からの侵入(不正アクセス) 1)侵入の手口 2)事前調査 3)権限取得 4)不正実行 5)後処理

1) 侵入の手口 一般的な侵入は次の4つの段階を経て行われる 事前調査 不正実行 後処理 (結果) 権限取得 第2章 > 3. 外部からの侵入(不正アクセス) 1) 侵入の手口 一般的な侵入は次の4つの段階を経て行われる 事前調査 ポートスキャン アカウント名の 調査 システムの 情報収集 不正実行 ファイル 奪取 資源利用 不正プログ ラム埋込 踏み台 後処理 裏口作成 証拠の隠滅 (結果) 権限取得 一般ユーザ 権限獲得 様々な 攻撃 特権ユー ザ獲得 パスワード 推測

2) 事前調査 システム情報の収集 Webサイトの調査やポートスキャンを実行 IPアドレス サーバ名 サーバソフトウェア 第2章 > 3. 外部からの侵入(不正アクセス) 2) 事前調査 システム情報の収集 IPアドレス サーバ名 サーバソフトウェア OSの種類、バージョン 提供されているサービス 侵入検知システム Webサイトの調査やポートスキャンを実行   ポートスキャンとは?(用語集より)   攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの   状態を調査すること。(ポートと脆弱性については、読本 p.83-84 参照)

3) 権限取得 ツールなどを使用し、パスワードを強引に解読して権限を取得 = パスワードクラッキング パスワードクラッキングの手法 第2章 > 3. 外部からの侵入(不正アクセス) 3) 権限取得 ツールなどを使用し、パスワードを強引に解読して権限を取得 = パスワードクラッキング パスワードクラッキングの手法   i) ブルートフォース攻撃 ⇔用語集p.130 参照 総当り的に調べる   ii)辞書攻撃  ⇔用語集p.125 参照 特殊な辞書を使用して照合

4) 不正実行 第2章 > 3. 外部からの侵入(不正アクセス) 不正行為 内 容 盗聴 内 容 盗聴 ネットワーク上のデータや保存データを不正に入手。情報窃盗。 (例)・パスワードの盗用  ・企業データの漏えい ・個人データ(メール、日記など)の盗み見 改ざん データを書き換え。(例)・Webページの改ざん、設定書換え なりすまし 別の個人を装い、さまざまな行為を行う。 (例)・ID、パスワードを盗み出し、正当なユーザーに見せかけて 侵入 ・他人のクレジットカードでショッピング 破壊   データやプログラムの削除、ハードディスクの初期化など。 コンピュータ不正使用 コンピュータを不正に使用する。 (例)・コンピュータを遠隔地から操作 不正プログラムの埋め込み   不正プログラムには、ユーザの知らない間に情報を入手して   外部へ送信したり、ファイルを破壊するなど様々な悪さを働くもの   がある。これらのプログラムを埋め込む。 踏み台 不正アクセスを行う際の中継地点として使用する。 (例)・アカウントを不正使用し他のサイト攻撃の拠点とする ・スパムメール(spam mail)の中継

5) 後処理 証拠隠滅 ログの消去などにより侵入の形跡を消す バックドアの作成 次回の侵入を容易にするための裏口を設置 第2章 > 3. 外部からの侵入(不正アクセス) 5) 後処理 証拠隠滅   ログの消去などにより侵入の形跡を消す バックドアの作成   次回の侵入を容易にするための裏口を設置

4. サーバへの攻撃(サービス妨害) 1)DoS攻撃(サービス妨害攻撃) 2)DDoS攻撃(分散DoS攻撃) 3)メール攻撃 第2章 4. サーバへの攻撃(サービス妨害) 1)DoS攻撃(サービス妨害攻撃) DoS: Denial of Services 2)DDoS攻撃(分散DoS攻撃) DDoS: Distributed DoS 3)メール攻撃

1) DoS攻撃 サーバに過大な負荷をかけ、パフォーマンスの低下やサービス停止に追い込む攻撃 Pingの悪用など、さまざまな攻撃手法がある 第2章 > 4. サーバへの攻撃(サービス妨害) 1) DoS攻撃 サーバに過大な負荷をかけ、パフォーマンスの低下やサービス停止に追い込む攻撃 Pingの悪用など、さまざまな攻撃手法がある DoS攻撃を行うコードを仕込むウイルスも登場している

2) DDoS攻撃 攻撃者 ターゲット 踏み台 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 第2章 > 4. サーバへの攻撃(サービス妨害) 2) DDoS攻撃 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 攻撃プログラムを埋め込まれて気づかずにDoS攻撃に加担することがある 攻撃者 踏み台 ターゲット 攻撃プログラム埋め込み (ツール、ワーム等) 大量データを一斉送信 (DDoS攻撃)によりダウン 攻撃プログラム埋め込み (ツール、ワーム等)

3) メール攻撃 メールサーバに大量のメールを送り付ける 第三者中継機能を悪用 メールサーバのパフォーマンス低下や機能停止 第2章 > 4. サーバへの攻撃(サービス妨害) 3) メール攻撃 メールサーバに大量のメールを送り付ける メールサーバのパフォーマンス低下や機能停止 第三者中継機能を悪用 スパムメールの踏み台として利用される i) メールは自分のネットワーク宛のもののみ受信 ii)第三者中継は禁止 第三者中継 : 外部から来たメールを別の外部へ転送する機能

5. 情報システムのセキュリティホール 1)セキュリティ上の弱点(脆弱性) 2)OSの脆弱性 3)Webブラウザやメールソフトの脆弱性 第2章 5. 情報システムのセキュリティホール 1)セキュリティ上の弱点(脆弱性) 2)OSの脆弱性 3)Webブラウザやメールソフトの脆弱性 4)Webアプリケーションの脆弱性 5)脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 クロスサイトスクリプティング攻撃 SQLインジェクション攻撃

1) セキュリティ上の弱点(脆弱性) 脆弱性=「情報システムのセキュリティ上の欠陥」 セキュリティホールと呼ぶこともある 第2章 > 5. 情報システムのセキュリティホール 1) セキュリティ上の弱点(脆弱性) 脆弱性=「情報システムのセキュリティ上の欠陥」 セキュリティホールと呼ぶこともある 一般的な用語の使い分け ソフトウェアの設計もしくは実装上のエラーが原因⇒脆弱性 弱いパスワードや設定ミスなども含め広い意味⇒セキュリティホール                      ⇔用語集p.126 (脆弱性、セキュリティホール) 参照

2) OSの脆弱性 オペレーティングシステム(OS)=コンピュータシステムを管理する最も基本的なソフトウェア 第2章 > 5. 情報システムのセキュリティホール 2) OSの脆弱性 オペレーティングシステム(OS)=コンピュータシステムを管理する最も基本的なソフトウェア Windows, Mac OS, UNIX, Linux など様々なOS このオペレーティングシステムに見つかったセキュリティ上の欠陥=OSの脆弱性 メーカーから提供されているセキュリティパッチ(修正プログラム)を適用することが重要        ⇔用語集p.125 (修正プログラム) 参照

3) Webブラウザやメールソフトの脆弱性 インターネットを介してデータをやり取りするので、脆弱性があると影響を受けやすい 第2章 > 5. 情報システムのセキュリティホール 3) Webブラウザやメールソフトの脆弱性 インターネットを介してデータをやり取りするので、脆弱性があると影響を受けやすい 例: 不適切なMIMEヘッダが原因で、IEが電子メールの添付ファイルを実行する(MS01-020)  ⇔用語集p.127 (添付ファイル)、p.121(MSxx-xxx) 参照 脆弱性を悪用するウイルスが増加しているので、 セキュリティパッチを適用することが重要

4) Webアプリケーションの脆弱性 ①入力 ②処理 ③表示 脆弱性があると ・サーバ上のファイルを盗まれる 第2章 > 5. 情報システムのセキュリティホール 4) Webアプリケーションの脆弱性 aaa Xxx xxx xx xxx xxxxx xxx xx Webサーバ ユーザ CGI PHP ・・・ ①入力 Webアプリ ケーション ②処理 ③表示 脆弱性があると ・サーバ上のファイルを盗まれる ・悪意のあるプログラムを実行されるなど Webブラウザ

5) 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 第2章 > 5. 情報システムのセキュリティホール 5) 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 クロスサイトスクリプティング攻撃 SQLインジェクション攻撃

バッファオーバーフロー攻撃 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。 これにより、不正なコードを実行させたり、権限を不正に取得する。

クロスサイトスクリプティング攻撃 スクリプトと呼ばれるプログラムを悪用。 (1) 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 クロスサイトスクリプティング攻撃 スクリプトと呼ばれるプログラムを悪用。 (1) 罠が仕掛けられたサイトで、ユーザがリンクをクリックすると発生。 (2) 別サイトに飛ばされて、スクリプトが実行される。 (3,4) 個人情報の漏えい、不正な買い物などの被害にあう。 (5)

SQLインジェクション攻撃 WebアプリケーションにSQLインジェクションの脆弱性があると 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 SQLインジェクション攻撃 一般利用者 Webサーバ    + Webアプリケーション データベース 情報 ①正しい入力 ID Pass ②SQL文でデータ照会 ③結果(データ)を返却 ④結果表示 WebアプリケーションにSQLインジェクションの脆弱性があると データベースに問い合わせをするSQL文に不正なコマンドを埋め込むことにより、レコードを不正に操作 情報の改ざん、消去、漏えいなどの被害 

SQLインジェクション攻撃 Web アプリケーションにSQLインジェクションの脆弱性があると、SQLインジェクション攻撃を受けることがある 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 SQLインジェクション攻撃 Web アプリケーションにSQLインジェクションの脆弱性があると、SQLインジェクション攻撃を受けることがある 情報の改ざん、消去 悪意を持つ人 Webサーバ    + Webアプリケーション データベース 情報 ②不正なコマンドが埋め込まれたSQL文 ①不正な入力 情報の閲覧 (漏えい) 脆弱性があると。。。。   SQLインジェクションとは?(用語集より)  データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を 基にデータベースへの命令文を組み立てている。この命令文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。 この問題を悪用した攻撃手法は、一般に「SQL インジェクション」と呼ばれている。

本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。   上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。   ・使用する方もしくは組織の名称   ・使用目的   ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。