📕

情報セキュリティマネジメント試験ノート~(一)サイバー攻撃手法

2022/02/04に公開

サイバー攻撃

  • 動機:
    興味本位:自己顕示欲で攻撃
    ハクティビズム:政治的主張・活動
    サイバーテロリズム:政治的主張を目的で社会インフラを攻撃し、大規模の被害を生じらせる。
    軍事:国の軍隊設備などを攻撃、スパイ活動など

  • 攻撃者種類
    ハッカー:高い技術力を活かす人(善悪を不問)
    クラッカー:悪意ある目的のハッカー
    スクリプトキディ:いたずら目的で、他人の真似事をしてサイバー攻撃をする人
    愉快犯:被害者の醜態の様子を観察したりする人
    詐欺犯:事前に周到な計画を立て、悪質で攻撃をする人

マルウェア

  • マルウェア:利用者ノイズしない動作をするソフトウェア全般のこと

  • コンピューターウィルス:伝染するマルウェア

  • ワーム:自己増殖するマルウェア

  • トロイの木馬:役立つように見えるが、不正動作するプログラム

    • ダウンロード:攻撃するために外部からダウンロードするマルウェア
    • ドロッパ:プログラムを内部に隠し持つマルウェア
    • バックドア:裏口のこと
  • ウイルスの機能

    • 自己伝染
    • 潜伏
    • 発病
  • マルウェアの感染経路

    • 電子メール
    • Webアクセス
    • ネットワークアクセス経由
    • メディア経由
  • ボット:感染した情報機器をインターネット経由で外部から操ることを目的で、不正プログラムのこと

    • 攻撃者:ポットハーダー
    • C&Cサーバー経由
    • ポットネット内のポット(ゾンビ)に対し指令を出す
    • 遠隔操作されたポットが攻撃を行う
  • マクロウィルス

    • ソフトウェアの処理を自動化するための機能
    • オフィスソフトのマクロ機能を悪利用することが多い
    • 正規のソフトに格納される
  • 偽セキュリティ対策ソフト型ウイルス

    • 正規のセキュリティ対策ソフトに似せたウイルス
  • その他マルウェア

    • 遠隔操作型ウイルス:掲示板サイトにマルウエアへと誘導するリンクを書き込む
    • スパイウェア:感染したコンピュータ内部の利用者の個人情報などを収集する
    • アドウエア:広告を見せる無料ソフトなど(無断情報収集の可能性あり)
    • ランサムウェア:ファイルやシステムを使用不能にし、復旧と引き換えに金銭を要求る
    • キーロガー:スパイウェアの一種、コンピュータへのキー入力を監視するソフト
    • ルートキット:侵入の後、管理者権限を奪うことにより侵入の痕跡を消すプログラム集
    • ポリモーフィック型ウイルス:ウイルス対策ソフトのパターンマッチング法によるウイルス検出を免れる目的で、感染のたびに異なる方式で自身のウイルスコードを暗号化するウイルス

悪意の大きさ:マルウエア>スパイウエア>アドウエア

  • マルウエアへの対策
    • ウイルス対策ソフトを導入
    • マクロウイルスへの対策:オフィスソフトなどのマクロ機能を無効にする

パスワードクラック

  • 類推攻撃:利用者の個人情報を利用しパスワードを見破る
  • 辞書攻撃:パスワードに単語を使う人を狙う
  • ブルーフォース攻撃:一つのユーザーに可能な組み合わせをすべて試す
  • リバースブルートフォース攻撃:一つのパスワードを様々な利用者IDを試す
  • パスワードリスト攻撃:利用者ID・パスワードを使い回す人を狙う
  • レインボー攻撃:予想したパスワードから作られたハッシュ値と利用者のパスワードのハッシュ値を照合し、パスワードを見破る
  • パスワードクラックへの対策
    • 意味のある単語をパスワードに使わない
    • パスワードを複雑にする
    • パスワードを使い回さない

不正アクセス・盗聴

  • 不正アクセス:ネットワークを通じて、機器に接続し、本来認められていない操作をすること
    • 侵入行為:ソフトウエアの脆弱性を悪用し、不正侵入
    • なりすまし行為:攻撃者が正規の利用者ID・パスワードを悪用し、正規の利用者になりすましすること
  • フットプリンティング:攻撃者がサイバー攻撃の前に行う情報収集・下調べのこと
  • ダークウエブ:闇サイト
    • Tor:接続経路を匿名化するための技術・規格
  • ポートスキャン(ポートスキャナ)
    不正アクセスを行う前に、接続先のポート番号に抜け穴があるかを調べる行為
  • スニッフィング(スニファ)
    ネットワークを流れる通信データを監視・記録する盗聴行為
  • ウォードライビング:無防備な無線LAN親機を、自動車で移動しながら探し回る行為
    • 社内ネットワーク内にある重要な情報を奪う
    • インターネット接続を無断で利用する
    • 社内ネットワーク内で送受信されている通信データを盗聴する
  • サイバーキルチェーン
    サイバー攻撃の7段階区分
    1. 偵察:対象者に関する情報を事前調査・情報収集
    2. 武器化:エクスプロイドコード・マルウエアを作成し、添付ファイルに格納する
    3. 配送:添付ファイルを含むメールを対象者へ送付
    4. 攻撃実行:添付ファイルを実行させる
    5. インストール:対象のPCがマルウエアに感染する
    6. 遠隔制御:C&Cサーバ経由でマルウエアを操作し内部情報を収集する
    7. 目的実行:内部情報を圧縮・暗号化した後、持ち出す
  • テンペスト:コンピューターのデスプレイから発する微弱な電磁波を傍受し、表示内容を盗み見
  • サイドチャンネル:暗号装置が発する電磁波・熱・消費電力・処理時間などを外部から観測し、暗号解読の手掛かりにする方法
  • 不正アクセス・盗聴への対策
    • 不要なアプリケーションをインストールしない(ポートが勝手に開くから)
    • パスワードを長くする
    • ケーブルに電磁波を通さない素材を巻く

なりすまし

  • なりすまし:本人でないのに、本人のふりをすること

  • MITM・中間攻撃者:通信を行う二者の間に割り込んで、両者が交換する情報を自分のものとすり替えることによって、誰にも気づかれることなく盗聴すること

  • MITB:情報端末に潜伏し、WEBブラウザがオンラインバンキングに接続すると、WEBブラウザの通信内容を盗聴・改ざんし、不正送金を行う攻撃

  • 踏み台:サイバー攻撃の攻撃者は、自身が犯人であることを隠すために、証拠を残さないよう第三者を経由して攻撃を仕掛ける。中継点となる第三者は踏み台となる

  • 第三者中継:第三者のメールサーバを不正に中継し、身元を偽ってメールを送信すること

    • 迷惑メール送信の踏み台にする
    • 第三者中継が可能なサイトを、ブラックリストとして公開する。その結果、迷惑メール対策として、そのアドレスからのメールを受信拒否にするメールサーバが出てくる
  • IPスプーフィング(IPアドレス偽装攻撃):自分のIPアドレスを別のIPアドレスに偽装し、なりすましする攻撃

    • 外部からの不正アクセスを、内部のIPアドレスからの通信に偽装し、なりすまし
    • DoS攻撃の攻撃者や踏み台の身元を隠す目的で、別のIPアドレスからの通信に偽装
  • セッションハイジャック:ウエブサイト提供者とWEB閲覧者との間のセッションを、攻撃者が盗聴し、正規のWEB閲覧者になりすまし、不正アクセスする攻撃
    セッションとは、WEBサイト提供者とウエブ閲覧者が、お互いの通信であることを識別するための仕組み

    • 正規のWEB閲覧者の個人情報を盗んだり、内容を改ざんしたりする
    • 商品をなりすましして注文したり、犯人を特定されにくいため、購入者を騙す目的で不正出品したりする
  • セッション固定攻撃:WEBサイト提供者とWEB閲覧者との間のセッションを、攻撃者が用意したセッションにすり替え、正規のWEB閲覧者になりすましして不正アクセスする攻撃

  • ドメイン名ハイジャック:攻撃者が上位に位置するDNSサーバ(権威DNSサーバ)を改ざんし、偽の権威DNSサーバに参照させ、利用者がWEBサイトを開く際、偽のWEBサイトに接続させることで、利用者をだます攻撃

    • パスワードを盗んだり、システムの脆弱性を突いたりし、管理者になりすましして改ざんする
    • アクセス数が多い著名なドメイン名が狙われる
  • リプレイ攻撃:攻撃者が、ネットワークを流れる正規の利用者のパスワードなどを盗聴し、そのまま再利用して、正規の利用者になりすましして不正アクセスする攻撃。仮にパスワードなどを暗号化しても、攻撃者がその通信内容を丸ごと再利用すれば、なりすましできる。

  • なりすましへの対策

    • 踏み台→ウイルス対策ソフトを導入
    • 第三者中継→メール送信者の範囲を限定したり、自分のドメインが宛先であるメールだけを受信するように設定したりする
    • リプレイ攻撃→通信内容を再利用できないように、チャレンジレスポンス認証を使う
    • MITB攻撃への対策は、トランザクション署名を使う。
    • トランザクション署名:送金取引時にその内容を確認する目的で使われる機器。オンラインバンキングにおける、送金者と金融機関との間の経路を、ウエブブラウザでない経路にすることで、送金の確認画面を、さらに改ざんされるという事態を防ぐ

DoS攻撃

  • DoS攻撃:何度も連続してサーバに通信を行い、サーバをパンク状態にしてサービスを停止させる攻撃
    • 個別の手法でなく、様々な攻撃手法の総称
    • 攻撃側1台から、相手側1台に対して攻撃が行われる→1対1
    • DoS攻撃は、OSやソフトウエアのバグによるケースも少なくない
  • DDoS攻撃:1台が攻撃するDoS攻撃とは違って、複数台が攻撃するDoS攻撃である
    • 攻撃側複数台から、相手側1台に対して攻撃が行われる→多対1
    • 攻撃側を発見することが困難
    • マルウエアの一つであるボットに感染し乗っ取られたシステム(踏み台)からDDoS攻撃が行われることが多い
  • 電子メール爆弾:嫌がらせ目的で、特定者に対し、大量のメールや、大サイズの添付ファイルのメールを送りつけること
  • DoS攻撃への対策:DoS攻撃には、IDS・IPSを使って、対策する

Web攻撃

  • フィッシング
    • 有名な機関の名乗って偽のメールを送信し、偽のWebサイトにアクセスすることを誘導し、個人情報を入力させ騙し取る行為
  • ファーミング
    • フィッシングの目的と同じで、システムの設定を改ざんし、Web閲覧者が正しいドメイン名を入力しても、偽のサイトに誘導する攻撃
  • ワンクリック詐欺
    • Webサイトの画像をクリックするだけで、料金を請求される手口(個人を特定する情報は取得せず)
  • クリックジャッキング
    • Webサイトの閲覧者を視覚的に騙し、一見正規に見えるページをクリックさせることで、実際に閲覧者が意図しない操作をさせる攻撃
  • その他
    • Webビーコン:Webサイトに埋め込んだ小さな画像を使って、閲覧者の情報を収集する仕組み
    • ドライブバイダウンロード:ブラウザやセキュリティホールが悪用され、Webサイトを閲覧しただけで、マルウェアを閲覧者のPCにダウンロードさせる攻撃
    • スミッシング:SMSを利用し、フィッシングサイトに誘導する行為
    • SEO ポイズニング:検索サイトの検索結果の上位に、マルウエアに感染させるWebサイトを表示する行為
  • Web攻撃への対策
    • フィッシング対策:メールやSMSに含まれるURLをクリックしない
    • ワンクリック詐欺:料金の請求を無視する

スクリプト攻撃

  • クロスサイトスクリプティング(XSS):Web閲覧者により入力された内容を表示するWebページで、攻撃者が入力内容にスクリプトを混ぜ込むことで、別のサイトを表示し、閲覧者に個人情報などを送らせてしまう攻撃
    • 実行する場所:Webブラウザ
  • クロスサイトリクエストフォージェリ(CSRF):攻撃者がWebサイトに罠を設置し、閲覧者に閲覧させ、別のサイトで閲覧者を偽って意図しない操作をさせる攻撃
    • 実行する場所:Webサイト(サーバ)
  • SQLインジェクション:DBのデータを操作するサイトで、文字を巧みに入力し、データを盗み見、改ざんする攻撃
  • OSコマンドインジェクション:Webサイトの入力欄にOSの操作コマンドを埋め込んでサーバに送信し、サーバを不正に操作する攻撃
  • ディレクトリリスティング:Webサーバ内のファイル一覧やディレクトリ一覧を表示する機能
    • この機能を無効にしなければ、悪用され、攻撃者にファイルを盗まれる危険性がある
  • ディレクトリトラバーサル:攻撃者が相対パス記法を悪用し、Webサイト内にある非公開のファイルを閲覧や改ざんをする攻撃
    • 相対パス記法:「../」が上位ディレクトリへ移動すること
  • スクリプト攻撃への対策
    • エスケープ処理:ブラウザからサイトへ送信する文字に含まれる特殊文字を悪用されない形式に変換する処理(文字を無害化)
    • プレースホルダ:ブラウザからサイトへ送信する文字を後で埋め込む仕組み

標的型攻撃

  • 標的型攻撃
    • 特定の組織に狙いを定めて行うサイバー攻撃の総称
    • 攻撃対象の脆弱性を事前に調べ上げた上、その脆弱性を利用し秘密情報を不正取得
    • 特定の対象のために作られたマルウェアを使用するため、ウイルス対策ソフトに検知されにくい
    • 攻撃対象は少ないため、発見が遅く、ウイルス対策ソルトの定義ファイルの対応が遅くなる
  • 標的型攻撃メール:標的となる組織に存在するメールアドレスに送り付けつルメール
    • メール受信者に不信感を抱かれないように、次のテクニックを使用する
      • 業務に関係が深い話題
      • 組織全体への案内
      • 実在する組織名や個人名を含む
  • やり取り型攻撃:筋が通る内容のメールを受信者にやり取りし、信頼させた上、マルウェアを添付したメールを送りつける攻撃
  • APT(Advanced Persistent Threats):標的となる組織の脆弱性をみつかるために、事前に調査した上、複数の攻撃手法を組み合わせて作られたマルウェアで行う攻撃
    • 既存の攻撃手法の中から、システムへの侵入を目的とする共通攻撃部と、システムへの侵入後に特定のシステムを標的とする個別攻撃部を組み合わせ、マルウェアを作る
  • 水飲み場型攻撃:標的となる組織がよく使うサイト(水飲み場)にマルウェアを埋め込み、組織が接続した時だけ感染させる攻撃
    • IPアドレスなどから接続元を解析し、標的となる組織から接続された時だけ攻撃する
    • 攻撃対象を一つだけに限定し、攻撃の検出を遅らせ、攻撃の成功率を高める
  • BEC(Business E-mail Compromise):取引先になりすまし、偽のメールを送り、お金を騙しとる詐欺の手口
  • 標的型攻撃への対策
    • 不審なメールに気づいたら、速やかに組織内の情報集約窓口に報告
    • 類似の不審メールが他に届いていないかを確認

その他の攻撃手法

  • DNSキャッシュポイズニング:攻撃者がDNSサーバに偽の情報を覚え込ませ、利用者がサイトを開いた時、偽のサイトに接続させる攻撃
  • 迷惑メール
    • スパムメール:受け取る側の意思に関係なく、一方的に送りつける電子メール
      • メールの添付ファイルにマルウェアを入れ込み、そのメールを開かせ感染させる
      • メール本文のリンクをクリックさせ、マルウェアを仕込んだサイトに誘導する
  • ソーシャルエンジニアリング:人の心理的な隙やミスに付け込んで秘密情報を盗み出す方法、人的脅威の一種
    • ショルだハッキング:肩越しに、操作中の画面をぞき見する
    • スキャベンジング・トラッシング:ゴミ箱を漁り、秘密情報が印刷された破棄書類を盗み出す方法
  • サラミ法:気付かれないほどの少額を大勢の人から奪う方法
  • その他の用語
    • ファイル交換ソフトウェア:インターネット経由で、不特定多数の利用者の間でファイルを交換できるソフトウェア
      • 代表例:Winny・Share
    • ゼロデイ攻撃:ソフトウェアにセキュリティホール(脆弱性)が発見された際、修正プログラムが提供されるより前、セキュリティホールを悪用し行われる攻撃
    • バッファオーバフロー:大量のデータをプログラムのバッファに送り込み、想定外の動作をさせる攻撃
      • バッファ:データを一時的に保存しておくメモリなどの領域
    • クリプトジャッキング:仮想通貨を得るために、他人のPCに乗っ取り、取引に昼用となる計算処理を勝手に実行する攻撃
  • その他の攻撃手法への対策
    • 迷惑・スパムメール:添付ファイルやメール本文を開かず、そのまま削除
    • ソーシャルエンジニアリング
      • 不必要なデータを持ち出さない
      • 持ち出すときは上司の許可を得て、記録を残す
    • バッファオーバフロー:バッファにデータを保存する際にデータサイズを常にチェック

Discussion