ネットワークセキュリティ 肖　云上

7.3 ネットワークスキャン 攻撃者はネットワークに攻撃するにあたって、先ず、様々な 情報を収集します。 ドメイン情報を取得する 　　攻撃者はネットワークに攻撃するにあたって、先ず、様々な 情報を収集します。 ドメイン情報を取得する ホストに関する情報を取得する パスワードを奪取

7.3 ネットワークスキャン 7.3.1 ドメイン情報の取得 whoisを利用し、ネットワークの管理者を割り出す。 7.3.1 ドメイン情報の取得　 whoisを利用し、ネットワークの管理者を割り出す。 知り得た情報を活用し、何方法で組織内の人と接触して、 ネットワークに関する情報を取る。 3. nslookupを使って、ネットワークに関する情報の取得を試みる。 　　Nslookupとは、DNSへ接続し、FQDNからIPアドレス(もしくはその逆の情報)を取得するためのツール。 　　主要機能は以下： ホストまたはドメイン名及びIPアドレスの一覧表示 ドメイン内のホストの一覧表示 ドメイン名からIPアドレス、及びIPアドレスからドメイン名を検索 DNSサーバーのバージョン番号を取得

7.3 ネットワークスキャン 7.3.1 ドメイン情報の取得 DNSサーバーの望ましい運用 ◆不要な情報をDNSに保管しない 7.3.1 ドメイン情報の取得　 DNSサーバーの望ましい運用 ◆不要な情報をDNSに保管しない 　・内部向けDNSが外部向けDNSにサーバーを待ち受けるように設定しない 　・イントラネットにおいても連絡先の名称、電話番号などはリスト表示させない ◆ゾーン転送を制限する 　・ゾーン転送は信頼関係の間に限定する 　・内部向けであっても、端末から不用意に参照できないようにする ◆ドメイン名、サーバー名に必要以上の情報を与えない 　・fw1.example.net(FW製品の名前が推測できてしまう) 　・mysql1.example.net(sqlサーバーの種類が推測できてしまう) ゾーン： 　　DNSドメインに属するすべてのホストに関する情報はDNSゾーンと呼ばれる。

7.3 ネットワークスキャン 7.3.1 ドメイン情報の取得　 　　社外向けのDNSと社内向けのDNSを別々用意する場合、DNSに関するFWのフィルタリングルールは以下のようにするのが望ましい ・社外DNSは社内DNSに問い合わせに行かない ・外部への問い合わせは、社外DNSのみとする（社内DNSは社外DNSを利用する）

7.3 ネットワークスキャン 7.3.2 ホストのスキャン　 　　攻撃者は、DNSなどから得られる情報をもとに、ネットワークの構成を獲得します。この情報をもとに、各ホストに関する情報を収集し、特定のホストの攻撃に移ります。 　　まず攻撃者は、ICMPを用いたスキャニングを行う。知り得たホストの存否に基づき、対象とするホストに対してポートスキャンを行う。その際、OSやネットワークサーバーソフトウェア(Apache など)の名前やバージョン番号などの情報も取得する。これも知り得て、既知の脆弱性を攻撃して、侵入や破壊できる。

7.3 ネットワークスキャン 7.3.2 ホストのスキャン IMCPを用いたスキャン 7.3.2 ホストのスキャン　 IMCPを用いたスキャン 　　IMCPとは、ネットワークシステム管理者がネットワークの到達性などを調査する際に使用するプロトコル。以下のようなタイプのメッセージが定義されている。 ・type0:エコー応答 ・type8:エコー要求 ・type11:時間超過

7.3 ネットワークスキャン 7.3.2 ホストのスキャン IMCPを用いたスキャン pingコマンド： 7.3.2 ホストのスキャン　 IMCPを用いたスキャン pingコマンド： ICMPのtype8のエコー要求メッセージを宛先に送る。 受け取って宛先の端末は、ICMPのtype0のエコー応答メッセージを返す。 送信元は、この応答メッセージを受け取って、通信が可能かどうかを確認できます。 　　pingコマンドを使用して、到達可能かどうかだけでなく、様々なエコー対応するステークスの確認と統計値を調べてネットワークの状態の計算もできる。 pingスイプ： 　　攻撃者は、目的ネットワークセグメント内のすべてのホストへpingを行い、ネットワークセグメント内のホスト群の存否を検索する。

7.3 ネットワークスキャン 7.3.2 ホストのスキャン IMCPを用いたスキャン Trancert/tranceroute 7.3.2 ホストのスキャン　 IMCPを用いたスキャン Trancert/tranceroute TTLを１に設定してICMPパケットを送信します。 一番目のルーターがこのパケットを受け取った時点でTTLが1に減算されて0になって、ICMPのtype11が返されます。 これを受けて、TTLを2にしてICMPパケットを送信します、そして、目的地までの経路上の2番目のルーターの情報を入手します。 これを繰り返すことで、最終目的のホストまでの経路情報を取得します。 　　攻撃者はTrancert/trancerouteを用いて、攻撃対象のネットワークセグメントの構成を取得する可能性がある。

7.3 ネットワークスキャン 7.3.2 ホストのスキャン ポートスキャン 7.3.2 ホストのスキャン　 ポートスキャン 　　攻撃対象のホストのポートに様々なパケットを送信し、応答パケットを利用して稼働中のサービスを調査する。 TCPスキャニング： (ホスト側にログが残る) 　・TCPの3ウェイハンドシェイクを行ってTCPを確立する方式 　・SYNパケットのみの送信で接続を止めるハーフスキャン方式 ステルススキャニング： (ホスト側にログが残らない) 　・TCPフラグによる逆スキャン 　・Ackフラグによるプローボスキャン 　・TCP断片化によるスキャン

7.3 ネットワークスキャン 7.3.2 ホストのスキャン ポートスキャン対策 開いているポートへのアクセスをブロックする FWがある場合 7.3.2 ホストのスキャン　 ポートスキャン対策 開いているポートへのアクセスをブロックする FWがある場合 　　フィルタリングルールを設定して内部サーバーの接続を必要な特定のサービスのみ限定することｇ重要です。 FWがない場合 　　プラットフォームでポートを閉じるだけではなく、不要なサービスをすべて停止することが重要です。

7.3 ネットワークスキャン 7.3.3 パスワードを奪取　 　　攻撃者はパスワード(利用者IDを含む)を得ることによってホストに侵入し、さらなる攻撃のステップとする。 パスワードの奪取方法 　・ブルートフォース攻撃（総当たり） 　・アカウント管理ファイルの奪取 　・ネットワーク上のパスワード奪取 　（遠隔からのログインする利用者を狙う）

7.3 ネットワークスキャン 7.3.3 パスワードを奪取 ブルートフォース攻撃 7.3.3 パスワードを奪取　 ブルートフォース攻撃 利用者IDもしくはパスワードのいずれかを固定して、他方を無作為に総当たりで試み方法。 　　利用者IDを固定してパスワードをブルートフォース攻撃する場合、回数制限などによるロックアウトが対策となる。 　　パスワードを固定して利用者IDをブルートフォース攻撃する(逆ブルートフォース攻撃)には、今のところ打つ手はない。

7.3 ネットワークスキャン 7.3.3 パスワードを奪取 アカウント管理ファイルの奪取 7.3.3 パスワードを奪取　 アカウント管理ファイルの奪取 何方法でOSの外部からアカウントを管理しているファイルを奪い取る。 　　攻撃者は解読ツールによるそれらのハッシュ値を解読できます。 　　レインボーテーブル：単純なハッシュ値と平文の対応表ではなく、還元関数という特殊な関数を利用してサイズを圧縮したものです。 　　この攻撃に対しては、古いOSの利用を避けセキュリティパッチを適用することとパスワードの定期変更が対策となります。

7.3 ネットワークスキャン 7.3.3 パスワードを奪取 ネットワーク上のパスワード奪取 7.3.3 パスワードを奪取　 ネットワーク上のパスワード奪取 遠隔からログインを試みる利用者からパスワードを奪う。 LM(DESを利用) NTLMv1(DESとMD4を利用) NTLMv2(HMAC-MD5を利用) Kerberos

7.4 セッションハイジャック 正規の２者間のネットワーク通信におけるセッションを当事 者以外が乗っ取る攻撃をセッションハイジャックと呼ぶ。 　　正規の２者間のネットワーク通信におけるセッションを当事 者以外が乗っ取る攻撃をセッションハイジャックと呼ぶ。 ARP Poisoning攻撃 通信ホストのARPデーブルを攻撃者の都合の良いように書き換えて、正規の2者間の通信をすべて取得する攻撃。 攻撃者がARP情報を書き換える

7.５ マルウェア対策 7.5.1 コンピュータウイルスとワーム コンピュータウイルス （宿主となるプログラムを必要とする） 7.5.1 コンピュータウイルスとワーム　 コンピュータウイルス　（宿主となるプログラムを必要とする） ・自己伝染機能：自己を複製し、他のコンピュータに広げる機能 ・潜伏機能：特定の条件になるまで、活動を待機する機能 ・発病機能：破壊などの活動を行う機能 ワーム　（メモリ上で単体でも活動する） ・単独で侵入し、感染し、活動を行うプログラム ・攻撃対象のセキュリティホールを利用して侵入 ・宿主となるプログラムが必要なものは、「ワームウイルス」となる ボット 　　コンピュータに感染し、インターネットを通じてそのコンピュータを外部から操ることを目的とする ボット 　　コンピュータに感染し、インターネットを通じてそのコンピュータを外部から操ることを目的とする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする トロイの木馬 一見不正なものとは思えないソフトウェアに同封されていたりする スパイウェア 個人情報やアクセス履歴などを盗む

7.５ マルウェア対策 7.5.2 対策 ・OS、ライブラリ、ミドルウェア、アプリケーションを最新のものにしておく 7.5.2 対策　 ・OS、ライブラリ、ミドルウェア、アプリケーションを最新のものにしておく ・セキュリティパッチを適用する ・コンピュータウイルス対策ソフトを最新のものに更新しておく ・定期的に脆弱性のスキャンを行う ・怪しいWebサイトや不審なメールに注意する ・万が一のためにデータをバックアップする 　　一般の利用者のセキュリティ意識向上を狙う教育や、マルウェアを招き入れないシステム利用ガイドラインの策定も必要

7.５ マルウェア対策 7.5.3 進化するマルウェアの現実形態 ポリモーフィック型マルウェア 7.5.3 進化するマルウェアの現実形態　 ポリモーフィック型マルウェア 　　コンピュータウイルス対策ソフトは、マルウェアを検知する際、対象とするプログラムコードの特徴点のパターンと、あらかじめ登録してあるマルウェアの特徴点のパターンを比較して、同じであるか否かで判断します。これをパターンマッチングといいます。 　　マルウェアの作成者は、マルウェアのプログラムコードの一部を暗号化することで、パターンマッチング手法による検知を回避する手法を導入しました。

7.５ マルウェア対策 7.5.3 進化するマルウェアの現実形態 ポリモーフィック型マルウェア 7.5.3 進化するマルウェアの現実形態　 ポリモーフィック型マルウェア ・マルウェアのプログラムコードの一部を暗号化することで、パターンマッチング手法による検知を回避する。 ・感染するごとに、暗号化される鍵をランダムに変えることで、マルウェアの特徴点のパターンが異なることになる ・暗号化されたマルウェアと復号ルーチンから構成される

7.５ マルウェア対策 7.5.3 進化するマルウェアの現実形態 メタモーフィック型マルウェア 7.5.3 進化するマルウェアの現実形態　 メタモーフィック型マルウェア 　　自身を暗号化するのではなく、プログラムコードを分割して順序を入れ替えたり、実質的に何にもしない命令を挿入したり、オリジナルと同じ処理をする別の命令群に置き換えたりして、自身のプログラムコードを、感染時に書き替える手法。

7.５ マルウェア対策 7.5.3 進化するマルウェアの現実形態 ルートキット利用型マルウェア 7.5.3 進化するマルウェアの現実形態　 ルートキット利用型マルウェア ・攻撃者が侵入したホストへ継続的にリモートアクセスするためのツール群 ・キーロガーやバックドアなどがある ・OSのコマンドやシステムコールなどを書き変えて動作中の不正なプロセスを隠蔽したり、ファイルやシステムデータを不正な作成、変更、削除を行うものもある

7.５ マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み ・マルウェアを未然に防ぐためのソフトウェア 7.5.4 コンピュータウイルス対策ソフトの仕組み　 ・マルウェアを未然に防ぐためのソフトウェア ・各サーバーで運用されるケースや組織内のネットワーク上にNISDとして運用されるケースがある 以下の２通りのタイミングでマルウェアの検査を行う ①PC端末の外部からデータを取得するとき、当該データを検査する ②定期的もしくは、PC端末の利用者が実行を指示したとき、新しいデバイスを追加したとき、OSから参照できるストレージを検査する。

7.５ マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み コンペア手法 7.5.4 コンピュータウイルス対策ソフトの仕組み　 コンペア手法 ・感染する前のオリジナルのデータをあらかじめ取得しておき、検査においてオリジナルと比較する ・オリジナルのファイルの情報が膨大になるので、ファイルの容量や ハッシュ値などで比較することもある

7.５ マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み パターンマッチング手法 7.5.4 コンピュータウイルス対策ソフトの仕組み　 パターンマッチング手法 ・マルウェアの特徴を保存したデータベースを用意し、そのデータと比較す。 ・パターンファイルは人間が作成するが、機械学習により特徴点を抽出、比較する方法もある ・パターンを常に最新のものにしなくてはならない ・脆弱性の情報が発見、公開されるまでの空白の時間帯は対処できない

7.５ マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み ヒューリスティック手法 7.5.4 コンピュータウイルス対策ソフトの仕組み　 ヒューリスティック手法 ・検査対象のプログラムを実際のOS上で動作させずに検査させる手法 ・マルウェア特有の命令が検査対象のプログラムに含まれているかどうか （静的ヒューリスティック） ・仮想マシン上で検査対象のプログラムを起動する （動的ヒューリスティック） ・正常なプログラムと区別するのが容易ではない

7.５ マルウェア対策 7.5.4 コンピュータウイルス対策ソフトの仕組み ビヘイビア手法 7.5.4 コンピュータウイルス対策ソフトの仕組み　 ビヘイビア手法 ・実行しているアプリケーションプログラムをリアルタイムで監視し「不正な動作を要求するシステムコール」や「不正な削除、変更の実行」を検出し阻止する。 ・正常なプログラムとの区別が難しい。 （正常なプログラムでも削除、変更を行う為）

セキュリティニュース URL： http://www.security-next.com/088905