Transcript 情報セキュリティ読本 - IPA 独立行政法人 情報処理推進機構

情報セキュリティ読本
情報セキュリティ読本
- IT時代の危機管理入門 -
プレゼンテーション資料
（第2章 今日のセキュリティリスク）
情報セキュリティ読本 – プレゼンテーション資料 -
1
第2章 今日のセキュリティリスク
1.
2.
3.
4.
5.
情報セキュリティ
高水準で推移するウイルス被害
外部からの侵入（不正アクセス）
サーバへの攻撃（サービス妨害）
情報システムのセキュリティホール
情報セキュリティ読本 – プレゼンテーション資料 -
2
第2章
1. 情報セキュリティ
1） 情報セキュリティの基本概念
– 機密性
– 完全性
– 可用性
2） 情報資産とリスク・インシデント
– 情報資産
– リスクとインシデント
– リスクの要因
情報セキュリティ読本 – プレゼンテーション資料 -
3
第2章 > 1. 情報セキュリティ
1） 情報セキュリティの基本概念
正当な権利をもつ個人や組織が、情報やシステ
ムを意図通りに制御できること
情報の機密性、完全性及び可用性の維持
（情報セキュリティマネジメントシステムの国際標準であるISO/IEC17799の定義）
◆機密性：アクセスを認可された者だけが、情報にアクセス
できることを確実にすること
◆完全性：情報および処理方法が正確であること及び完全
であることを保護すること
◆可用性：認可された利用者が、必要なときに、情報及び関連
する資産にアクセスできることを確実にすること
情報セキュリティ読本 – プレゼンテーション資料 -
4
第2章 > 1. 情報セキュリティ
2） 情報資産とリスク・インシデント
• 情報資産
– 財務情報、顧客情報、技術情報 等
– システム（ハードウェア、ソフトウェア）、ネットワー
ク、データ、ノウハウなどさまざまな形
• リスク
– 情報資産が損なわれる可能性（内的、外的な要
因がある）
• インシデント
– 実際に、情報資産が損なわれてしまった状態
情報セキュリティ読本 – プレゼンテーション資料 -
5
第2章 > 1. 情報セキュリティ > 2. 情報資産とリスク・インシデント
リスクの要因
（脅威）
守るべきもの
◆ 情報
（紙、電子媒体、ネットワーク上）
財務情報、人事情報、顧客情報、
戦略情報、技術情報 等
◆ 情報システム
コンピュータ（パソコン、サーバ、
汎用機）、 ネットワーク、通信設備
◆ 社会的信用
情報セキュリティ読本 – プレゼンテーション資料 -
6
第2章
2. 高水準で推移するウイルス被害
• ウイルス届出件数は1999年より急増
• 2002年、2003年と減少したが、2004年から
再び増加に転じる
• 巧妙化・凶悪化が最近の特徴
• ウイルス届出は、IPAセキュリティセンターの
Webページに毎月掲載
コンピュータウイルスの届出状況
http://www.ipa.go.jp/security/txt/list.html
情報セキュリティ読本 – プレゼンテーション資料 -
7
第2章
3. 外部からの侵入（不正アクセス）
1）侵入の手口
2）事前調査
3）権限取得
4）不正実行
5）後処理
情報セキュリティ読本 – プレゼンテーション資料 -
8
第2章 > 3. 外部からの侵入（不正アクセス）
1） 侵入の手口
•
一般的な侵入は次の4つの段階を経て行われる
事前調査
権限取得
ﾎﾟｰﾄｽｷｬﾝ
様々な
攻撃
特権ユー
ザ獲得
ｼｽﾃﾑの
情報収集
アカウント名の
調査
（結果）
不正実行
ファイル
奪取
後処理
裏口作成
証拠の隠滅
資源利用
不正プログ
ラム埋込
パスワード
推測
一般ﾕｰｻﾞ
権限獲得
踏み台
情報セキュリティ読本 – プレゼンテーション資料 -
9
第2章 > 3. 外部からの侵入（不正アクセス）
2） 事前調査
• システム情報の収集
–
–
–
–
–
–
IPアドレス
サーバ名
サーバソフトウェア
OSの種類、バージョン
提供されているサービス
侵入検知システム
• Webサイトの調査やポートスキャンを実行
ポートスキャンとは？（用語集より）
攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの
状態を調査すること。（ポートと脆弱性については、読本 p.83-84 参照）
情報セキュリティ読本 – プレゼンテーション資料 -
10
第2章 > 3. 外部からの侵入（不正アクセス）
3） 権限取得
• ツールなどを使用し、パスワードを強引に
解読して権限を取得 = パスワードクラッキング
• パスワードクラッキングの手法
i） ブルートフォース攻撃 ⇔用語集p.130 参照
• 総当り的に調べる
ii）辞書攻撃
⇔用語集p.125 参照
• 特殊な辞書を使用して照合
情報セキュリティ読本 – プレゼンテーション資料 -
11
第2章 > 3. 外部からの侵入（不正アクセス）
4） 不正実行
不正行為
内 容
盗聴
ネットワーク上のデータや保存データを不正に入手。情報窃盗。
（例）・パスワードの盗用 ・企業データの漏えい
・個人データ（メール、日記など）の盗み見
改ざん
データを書き換え。（例）・Webページの改ざん、設定書換え
なりすまし
別の個人を装い、さまざまな行為を行う。
（例）・ID、パスワードを盗み出し、正当なユーザーに見せかけて
侵入 ・他人のクレジットカードでショッピング
破壊
データやプログラムの削除、ハードディスクの初期化など。
コンピュータ不正
使用
コンピュータを不正に使用する。
（例）・コンピュータを遠隔地から操作
不正プログラム
の埋め込み
不正プログラムには、ユーザの知らない間に情報を入手して
外部へ送信したり、ファイルを破壊するなど様々な悪さを働くもの
がある。これらのプログラムを埋め込む。
踏み台
不正アクセスを行う際の中継地点として使用する。
（例）・アカウントを不正使用し他のサイト攻撃の拠点とする
・スパムメール(spam mail)の中継
情報セキュリティ読本 – プレゼンテーション資料 -
12
第2章 > 3. 外部からの侵入（不正アクセス）
5） 後処理
• 証拠隠滅
ログの消去などにより侵入の形跡を消す
• バックドアの作成
次回の侵入を容易にするための裏口を設置
情報セキュリティ読本 – プレゼンテーション資料 -
13
第2章
4. サーバへの攻撃（サービス妨害）
1）DoS攻撃（サービス妨害攻撃）
– DoS: Denial of Services
2）DDoS攻撃（分散DoS攻撃）
– DDoS: Distributed DoS
3）メール攻撃
情報セキュリティ読本 – プレゼンテーション資料 -
14
第2章 > 4. サーバへの攻撃（サービス妨害）
1） DoS攻撃
• サーバに過大な負荷をかけ、パフォーマンスの低
下やサービス停止に追い込む攻撃
• Pingの悪用など、さまざまな攻撃手法がある
• DoS攻撃を行うコードを仕込むウイルスも登場して
いる
情報セキュリティ読本 – プレゼンテーション資料 -
15
第2章 > 4. サーバへの攻撃（サービス妨害）
2） DDoS攻撃
DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃
攻撃プログラムを埋め込まれて気づかずにDoS攻撃に加担することがある
攻撃プログラム埋め込み
(ツール、ワーム等)
攻撃者
ターゲット
踏み台
攻撃プログラム埋め込み
(ツール、ワーム等)
踏み台
大量データを一斉送信
(DDoS攻撃)によりダウン
情報セキュリティ読本 – プレゼンテーション資料 -
16
第2章 > 4. サーバへの攻撃（サービス妨害）
3） メール攻撃
• メールサーバに大量のメールを送り付ける
– メールサーバのパフォーマンス低下や機能停止
• 第三者中継機能を悪用
– スパムメールの踏み台として利用される
i） メールは自分のネットワーク宛のもののみ受信
ii）第三者中継は禁止
第三者中継 ： 外部から来たメールを別の外部へ転送する機能
情報セキュリティ読本 – プレゼンテーション資料 -
17
第2章
5. 情報システムのセキュリティホール
1）セキュリティ上の弱点（脆弱性）
2）OSの脆弱性
3）Webブラウザやメールソフトの脆弱性
4）Webアプリケーションの脆弱性
5）脆弱性を悪用する攻撃
– バッファオーバーフロー攻撃
– クロスサイトスクリプティング攻撃
– SQLインジェクション攻撃
情報セキュリティ読本 – プレゼンテーション資料 -
18
第2章 > 5. 情報システムのセキュリティホール
1） セキュリティ上の弱点（脆弱性）
• 脆弱性＝「情報システムのセキュリティ上の欠陥」
• セキュリティホールと呼ぶこともある
• 一般的な用語の使い分け
– ソフトウェアの設計もしくは実装上のエラーが原
因⇒脆弱性
– 弱いパスワードや設定ミスなども含め広い意味
⇒セキュリティホール
⇔用語集p.126 （脆弱性、セキュリティホール） 参照
情報セキュリティ読本 – プレゼンテーション資料 -
19
第2章 > 5. 情報システムのセキュリティホール
2） OSの脆弱性
• オペレーティングシステム（OS）＝コンピュータシス
テムを管理する最も基本的なソフトウェア
– Windows, Mac OS, UNIX, Linux など様々なOS
• このオペレーティングシステムに見つかったセキュ
リティ上の欠陥＝OSの脆弱性
• メーカーから提供されているセキュリティパッチ（修
正プログラム）を適用することが重要
⇔用語集p.125 （修正プログラム） 参照
情報セキュリティ読本 – プレゼンテーション資料 -
20
第2章 > 5. 情報システムのセキュリティホール
3） Webブラウザやメールソフトの脆弱性
• インターネットを介してデータをやり取りするので、
脆弱性があると影響を受けやすい
• 例: 不適切なMIMEヘッダが原因で、IEが電子メー
ルの添付ファイルを実行する（MS01-020）
⇔用語集p.127 （添付ファイル）、p.121（MSxx-xxx） 参照
• 脆弱性を悪用するウイルスが増加しているので、
セキュリティパッチを適用することが重要
情報セキュリティ読本 – プレゼンテーション資料 -
21
第2章 > 5. 情報システムのセキュリティホール
4） Webアプリケーションの脆弱性
Webサーバ
aaa
①入力
Xxx xxx xx xxx
xxxxx xxx xx
Webブラウザ
ユーザ
CGI
PHP
・
・
・
③表示
Webアプリ
ケーション
②処理
脆弱性があると
・サーバ上のファイルを盗まれる
・悪意のあるプログラムを実行されるなど
情報セキュリティ読本 – プレゼンテーション資料 -
22
第2章 > 5. 情報システムのセキュリティホール
5） 脆弱性を悪用する攻撃
• バッファオーバーフロー攻撃
• クロスサイトスクリプティング攻撃
• SQLインジェクション攻撃
情報セキュリティ読本 – プレゼンテーション資料 -
23
第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
バッファオーバーフロー攻撃
• 大量のデータを送り込んでバッファをあふれさせ、プログラ
ムの誤作動を招く。
• これにより、不正なコードを実行させたり、権限を不正に取
得する。
情報セキュリティ読本 – プレゼンテーション資料 -
24
第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
クロスサイトスクリプティング攻撃
• スクリプトと呼ばれるプログラムを悪用。 (1)
• 罠が仕掛けられたサイトで、ユーザがリンクをクリックすると
発生。 (2)
• 別サイトに飛ばされて、スクリプトが実行される。 (3,4)
• 個人情報の漏えい、不正な買い物などの被害にあう。 (5)
情報セキュリティ読本 – プレゼンテーション資料 -
25
第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
SQLインジェクション攻撃
①正しい入力
②SQL文でデータ照会
ID
Pass
情報
データベース
Webサーバ
一般利用者
＋
Webアプリケーション
④結果表示
③結果（データ）を返却
WebアプリケーションにSQLインジェクションの脆弱性があると
• データベースに問い合わせをするSQL文に不正なコマンドを
埋め込むことにより、レコードを不正に操作
• 情報の改ざん、消去、漏えいなどの被害
情報セキュリティ読本 – プレゼンテーション資料 -
26
第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃
SQLインジェクション攻撃
Web アプリケーションにSQLインジェクションの脆弱性があると、
SQLインジェクション攻撃を受けることがある
②不正なコマンドが埋
め込まれたSQL文
①不正な入力
データベース
情報
悪意を持つ人
情報の閲覧
（漏えい）
Webサーバ
＋
Webアプリケーション
情報の改ざん、
消去
脆弱性があると｡｡｡｡
SQLインジェクションとは？（用語集より）
データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を
基にデータベースへの命令文を組み立てている。この命令文の組み立て方法に問
題がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。
この問題を悪用した攻撃手法は、一般に「SQL インジェクション」と呼ばれている。
情報セキュリティ読本 – プレゼンテーション資料 -
27
本資料の利用条件
1.
著作権は独立行政法人 情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
情報セキュリティ読本 – プレゼンテーション資料 -
28