カミンスキー攻撃について

hogehoge.www.example.jp.の解決に対し、

応答がこうなる。

 

アンサーセクション
ANSWER SECTION

hogehoge.www.example.jp. 86400 IN A なんでもいい

解決した結果。

ここは何でも良い。

 

権威セクション
AUTHORITY SECTION

www.example.jp. 86400 IN NS dns1.攻撃者が用意した.com.

その結果をもつDNSサーバ一覧。

これで、被害を受けているキャッシュサーバ上から

www.example.jp.の正規の権威DNSサーバのキャッシュが消えたら、

www.example.jp.についての解決要求をdns1.攻撃者が用意した.com.に送るようになる。

 

アディショナルセクション
ADDITIONAL SECTION

オーソリティセクションのDNSサーバのAレコードとか

ここにdns1.攻撃者が用意した.com.のAレコードを書く場合もある。

 

情報セキュリティ 対策のしおり 覚書

サポートの切れたOSやソフトウェア

脆弱性が見つかっても、脆弱性を解消するための修正プログラムが作成されないため危険。

ネットワークからの攻撃対策

スケアウェア

脅迫するウイルスのこと。例えば、「あなたのパソコンはウイルスに感染しています。」などとニセの情報を表示する。

ボット

パソコンに感染し、そのパソコンをネットワークを通じて外部から操ることを目的として作成されたプログラム。 これが指令サーバを介してボットネットを構成する。

ウイルス対策ソフトの設定

パスワード盗難対策

  • 必要に応じて変更
  • 紙に書き留めて放置しない
  • パソコンに保存しない
  • いつ漏洩するか、または漏洩したかわからないので、定期的な変更
  • 他のサービスでなりすまされないように使いまわさない

ファイルサーバやオンラインストレージ、ネットワーク接続の複合機

サーバやネットワーク接続機器は必要な人にのみ共有されるよう設定する。

脅威や攻撃の手口を知るために

利用中のウェブサービスや製品メーカーが発信するセキュリティ注意喚起を確認し、社内で共有する

電子メールの誤送信防止

送信ボタンを押す前に、再度宛先とメールの内容の整合性を確認する 複数の人に送信する際には、送り先の指定方法(To, CC, BCC等)を確認する 具体的には→目視にて送信先アドレスの確認

電子メールの情報漏えい対策

電子メールを保護する理由
  • 間違った相手に届いても安心
  • 通信経路で盗聴されても安全
具体的な情報保護方法
  • メール本文の暗号化 PGP, S/MIMEを利用する

  • 電子メールの添付ファイルを暗号化して送受信する方法
    一般的なドキュメント作成ツールやファイル圧縮・解凍ツールでパスワード保護する

  • 専用サーバに格納し、宛先には一時的なアクセス権を渡す方法

電子メール本文や添付ファイルを専用のサーバに格納する。 電子メールの宛先には、該当ファイルの一時的なアクセス権(URL, アクセス用の利用者IDとパスワード)を渡す。

利点
  • 間違った宛先に情報を送信してしまった場合でも情報にアクセスできないように制御できる
  • 情報が宛先に伝わったかどうかがサーバの履歴を参照することで確認できる
暗号化した添付ファイルのパスワードの送りかた
  • 直接本人に電話等で伝える
  • あらかじめパスワードを決めておく

バックアップの注意事項

  • 定期的なバックアップ
  • 戻せることの確認
  • バックアップ媒体は安全に管理し、情報漏えいを防ぐ バックアップ元の情報と同じ環境はNG。 同じタイミングで壊れるまたは盗難に遭う可能性があるため。
  • 不要になったら確実に消去

重要な情報の管理

保管場所を定め、作業に必要な場合のみ持ち出し、終了後に戻すことを徹底する。 机の上に放置せず、鍵付き書庫に保管する。

重要な情報の持ち出し

ノートパソコンやスマートフォンの利用にあたって、 パスワードの入力を求めるように設定したり、 データファイルを暗号化するなどの対策を事前に行う。

関係者以外の立ち入りの制限

サーバ、書庫、金庫など、重要な情報の保管場所の近くには、 無許可の人が近づけないようにする。

対策

事務所で見知らぬ人を見かけたら声をかける

事務所での機器の盗難対策

退社時に、机の上のノートパソコンや備品を引き出しに入れ、施錠する

事務所等での入退出管理

最終退出者は、事務所を施錠し、退出の記録(日時、退出者)を残す

重要な情報を廃棄する際の注意点

書類は細断、データは消去ツールを使う。

OSのファイル削除機能で削除できるのは見かけ上だけ。 記憶媒体の寿命を延ばせるし、削除機能の見ための処理が速くなるため。 専用のファイル復元ソフトを利用すると、削除したファイルの記録位置が 他のファイルによって使われていなければ、復活する場合がある、

USBメモリからの漏洩対策
  • 貸し借りをしない。
  • 自動暗号化の出来る暗号化USBメモリを利用する。

情報漏えい対策のしおり 覚書

企業の情報資産を、許可なく持ち出さない

大切な情報は持ち出さない、仕事を家に持って帰らないこと。

情報漏えいの原因となった管理ミスの例

  • 引越し後に個人情報の行方がわからなくなった 例:誤廃棄

  • 受け取ったはずの個人情報が紛失した 受け渡し確認が不十分だったため。

  • 誤って開示してしまった 情報の公開、管理ルールが明確化されていなかったため。

持ち出し時やってはいけないこと

  • 管理下にないパソコン(例:ネットカフェのパソコン)で利用する

  • 業務で持ち出したパソコンを不必要または無防備な状態で、企業外のネットワークに接続する

  • 業務で持ち出したパソコンを、業務以外の目的で利用したり、他人に貸したりする

持ち出し許可を得た場合は、データを暗号化しておく。

情報資産を、未対策のまま、目の届かない所に放置しない

情報資産を、未対策のまま、廃棄しない

私物のパソコンや電子媒体やデータを、許可なく持ち込まない

許可されていないプログラムやサービスは、事前に安全な環境で動作確認を行って、 仕組みや設定をよく理解した上で、管理者の許可・管理のもとで利用する。

権限を、許可なく、他の人に貸与または譲渡しない

業務上知り得た情報を、許可なく、公言しない

情報漏えいを起こしたら、まず報告する。自分だけで判断しない。

標的型攻撃メール 対策のしおり 覚書

トロイの木馬

怖い機能

検知したら

業務パソコンの場合、初期化(OSのクリーンインストール)する

ウイルス対策ソフト

ウイルス定義ファイルを自動更新するよう設定する

ファイル偽装の手口

開く前に拡張子を確認すべき。

アイコンの偽装

実行形式ファイルを文書ファイルや動画ファイルなどのアイコンにすること。

ファイル名の偽装

  • 本来の拡張子の前に空白文字を埋め込み、偽の拡張子で偽装 例:hoge.txt .exe

  • RLOの悪用 Unicodeの制御文字であるRLOを悪用する。 例:文書exe.doc

ファイル属性の偽装

ファイル属性(プロパティ)とは、ファイルの情報の総称です。

  • 拡張子を非表示する設定を悪用してファイル属性を偽装
  • 自己解凍形式の圧縮ファイルに偽装
  • 何らかの操作を要求することで、注意をそらす
  • 解凍したファイルも偽装されている可能性がある

ファイル偽装の見破り方

まず、送信者にメールを送信したこと、ファイルを添付したことを電話等で確認する 確認が取れない場合は、偽装されていないことをファイルの属性(プロパティ)で確認する。 判断できない場合は、システム管理者等のセキュリティ専門家に相談する。

情報処理安全確保支援士の勉強法

まだ勉強中ですが書きます。

他のサイトと本記事を組み合わせることをおすすめします。

 【対象者】

・AP合格程度

 

覚えるポイント

資料を読む時は、具体的な攻撃方法と、その対策を覚えます。

そして攻撃名や脆弱性から対策が思い浮かぶ状態にします。

対策を読んだら理解できるレベルでは意味がないです。

試験ではそれを思いつき書かなければなりません。

 

過去問演習編

十分に知識が得られたあとに始めましょう。

情報処理安全確保支援士(以下、セキュスペと呼ぶ)では

あまり同じ質問は出ませんが、長文を読む練習と、

解答に関係しそうな場所を判断する勘が養えます。

例えば、

・文章の最後のほうにある「なお、」など逆説から始まる文

・妙に詳しく書いてある所

・図や表の注釈

が要チェックです。

意味不明な解答だった時は、「{解答の一部分} site:ipa.go.jp」と検索します。

私たちが見落としているだけで、IPAはどこかで解答を知らせているのです。

検索結果にpdfなど、何らかの資料があったら読みましょう。

 

教材

なんだかんだ、IPAの試験なのでIPAの資料が大切です。

解答がそのままIPAの資料に書いてあったりします。

なのでIPAの資料が多いです。

【全般】

・適当なセキュスペの本

確実に全て読み終えることが出来るものが良いです。

巷で勧められている上原本は過去出題されたところを多く収録しています。

前述の通り、セキュスペにはあまり同じ質問が出ないので、良し悪しです。

 

・3分間ネットワーク

[改訂新版] 3分間ネットワーク基礎講座

[改訂新版] 3分間ネットワーク基礎講座

 

ネットワークについてわかりやすく書かれています。

Webサイトを書籍化したものなので、そちらを読んでも良いです。

私は本のほうが読みやすかったです。

 

・10大脅威

IPAが発行している資料です。

攻撃手法の手口と対策などまとめられています。

毎年発行しているため、1~3つ読めば良いんじゃないかと思います。

 

・「標的型メール攻撃」対策に向けたシステム設計ガイド

IPAが発行している資料です。

標的型攻撃でなくても役立つ内容かと思います。

 

 ・セスペシリーズ

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

セスぺの春26 情報セキュリティスペシャリスト試験の最も詳しい過去問解説

 

1冊がまるごと1回の解説です。 

ひとつくらいはもっていても良いんじゃないでしょうか。

 

・ポケットスタディ

過去問演習の効果が薄くなるので、最後に使いましょう。 

 

【セキュアプログラミング編】

・安全なWebアプリケーションの作り方

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

 

セキュスペの定番です。

構築済みの仮想環境で簡単に攻撃を演習できます。 

 

・安全なWebサイトの作り方

IPAが発行している資料です。

先程挙げた書籍には収録されていない攻撃についての記述があります。

 

・AppGoat

IPAが公開しています。

攻撃の演習が可能なファイルと、その手法や対策が解説されたWebサイトがセットになったものです。

Webアプリケーション版と、それ以外があるのですが、
前者はそれぞれ脆弱性をもつWebサイトが、
後者ではBOFなど脆弱性を持つソフトが、脆弱性ごとに用意されています。

特に解説が参考になりました。

 

 

 

オープンリダイレクタ対策の正規表現によるドメインのチェック

preg_match('/example.com/',$url);

これは$urlにexample.comが含まれることを確認する正規表現だが、

このように、example.comをファイル名に含むファイルを作っておくことで回避できる。
http://wana.com/example.com.php

 

次に、/dir/test.phpのような、スラッシュで始まるファイルパス参照かどうかを確認する正規表現だが、
preg_match ('/^\//',$url);

このように、スラッシュを2つ連続させ、ネットワークパス参照と呼ばれる形にすることで、すり抜けてしまう。
//wana.com/wana.php

 

正解はこれ。
preg_match('/^https?:\/\/example.jp\//',$url);

http(s)://example.jp/で始まることをチェックする。

ハットは文字列の最初を表す。

ハテナは直前の一文字の有無を許容する。

クリックジャッキング

例えば、ショッピングサイトの場合

正規サイトの内容をiframeで偽懸賞サイトの上にかぶせる。
このとき、偽懸賞サイトのの応募と正規サイトの購入ボタンの位置を合わせる事で、
もし正規サイトにログインしているユーザがボタンを押したら
意図せず商品を購入させられてしまう。

また、iframeを透明にすることでユーザに気付かせないようにする。

 

対策は、正規サイトがX-Frame-OptionsをSAMEORIGINまたはDENYにする。
提携のサイトであるexample.jpの埋め込みだけ許可するときは、ALLOW-FROM http://example.jpとする。