1-1[2]. セキュリティの脅威と攻撃

セキュリティの脅威と攻撃

情報の価値が高ければ高いほど、脅威や攻撃の可能性も高くなります。

セキュリティの脅威

• 脅威 とは、システムに損害を与える可能性のあるものを意味します。

脅威の種類

ネットワークの脅威

• ネットワークとは、通信チャネルで接続された機器の集合体で、機器間でデータのやり取りが行われます。
• 攻撃者は通信チャネルに侵入し、交換されている情報を盗む可能性があります。
• 例）
  • サービス拒否攻撃(DoS)
  • パスワードベースの攻撃
  • 漏洩鍵攻撃、ファイアウォールおよび IDS 攻撃
  • DNS および ARP ポイズニング
  • マンインザミドル (MITM) 攻撃
  • スプーフィング
  • セッションハイジャック
  • 情報収集
  • スニッフィング...

ホストの脅威

• システムから情報にアクセスしようとする攻撃
• 例）
  • パスワード攻撃
  • 不正アクセス
  • プロファイリング
  • マルウェア攻撃
  • フットプリンティング
  • サービス拒否攻撃(DoS)
  • 任意のコード実行
  • 特権の昇格
  • バックドア攻撃
  • 物理的セキュリティ 脅威

アプリケーションの脅威

• アプリケーション自体に存在する脆弱性の悪用
  • 誤ったコーディング方法などが原因
  • 急いで作られたプログラムには、入力データの検証が行われていないなどのミスがあります。
• リバースエンジニアリングや試行錯誤によって発見される可能性があります。
• メンテナンスが困難な大規模なコードには、より多くの脆弱性が存在します。
• ほとんどの場合、不適切な入力検証が原因です。
• 例）
  • SQLインジェクション
  • クロスサイトスクリプティング
  • セッションハイジャック
  • IDスプーフィング
  • 不適切な入力検証
  • セキュリティの誤設定
  • 情報漏洩
  • セッション管理の破綻
  • 暗号攻撃
  • バッファオーバーフロー攻撃
  • フィッシング

セキュリティ攻撃（またはサイバー攻撃）

• システムやネットワークへの不正なアクセスを試みること。
• 脅威の顕在化

動機

• 攻撃 = 動機 + 脆弱性 + 方法 (エクスプロイト)
• 全ての動機の核となるのは貴重な情報へのアクセス
• 一般的な動機は
  • 事業活動やプロセスの流れを阻害する
  • 貴重な情報を盗む
  • データ操作
  • 金銭や重要な財務情報の窃盗
  • 復讐
  • 身代金

攻撃の種類

• 攻撃を受けるためには、システムの脆弱性を見つける必要があります。
• 脆弱性がないことは証明できないが、脆弱性があることは証明できます。または、システムが安全であることは証明できないが、安全でないことは証明できます。

オペレーティングシステムの攻撃

• OSが乗っ取られると、アプリケーションを守ることができなくなります。
• 脆弱性とは
  • バグ (大きなコードベースであるため)
  • バッファオーバーフロー
  • 未パッチのOS (ゼロデイ脆弱性などを引き起こす可能性がある)
• 攻撃方法
  • ネットワークプロトコルの実装を利用した攻撃
  • 認証攻撃
  • パスワードのクラッキング
  • ファイルシステムセキュリティの破壊
• 💡 安全なOSとは、できるだけ頻繁に更新、監視、規制されているOSのことです。
• バナースグラビングも参照。

設定ミスによる攻撃

• セキュリティの設定が不十分なシステムに、ハッカーがアクセスすること。
• ワークス、データベース、ウェブサーバなどに影響を与えます。
• 例）
  • デフォルトのアカウント（パスワード）を使用
  • DDoS 攻撃を可能にするプロキシリクエストを許可するために Apache サーバをオンラインにしておく
• 💡 主に自動化されたスキャナーで検知されます。

アプリケーションレベルの攻撃

• OSへの攻撃と似ているが、攻撃範囲が狭いため被害が少ない傾向です。
• 開発者がアプリケーションの開発を急ぐあまり、テストを怠ることが原因となります。
• 例）
  • 機密情報の漏洩
  • バッファオーバーフロー攻撃
  • SQLインジェクション
  • クロスサイトスクリプティング
  • セッションハイジャック
  • サービス拒否
  • 中間者攻撃
  • フィッシング
• 📚 例）Transmission torrent クライアント（macOS)への侵害

- ダウンロードしたストアが侵害された
- トレントのダウンロードリンクを自分たちのアプリケーションに置き換えられた

シュリンクラップコード攻撃

• ソフトウェアが依存しているライブラリやフレームワークへの攻撃。
• ライブラリの脆弱性を見つけることで、同じエクスプロイトを複数のアプリケーションで再利用することができます。
• 古いもの、成熟したもの、保守されているもの、積極的に更新されているもの、実績のあるものを使用します。
• 攻撃される環境例）
  • ライブラリのバグは修正されているが、アプリケーションは古いバージョンを使用している。
  • アプリケーションがデバッグモードやデフォルトの設定でライブラリを使用している。

攻撃ベクトル

• ハッカーがシステムやネットワークにペイロードを送り込むための手段
• クラウドコンピューティングの脅威データの漏洩や消失など。
• IoTの脅威通常、安全でないデバイスやハードウェアの制約(バッテリー、メモリ、CPUなど)が原因となります。
• ランサムウェア。ファイルへのアクセスを制限し、アクセスを許可するために支払いを要求します。
• モバイルの脅威

Advanced Persistent Threats (APT) (アドバンスト・パーシステント・スレット)

• 特定の企業を標的とした継続的な攻撃を行うステルス型の脅威アクター
• APTグループは以下の通り。
  • APT 10 - Red Apollo @中国
  • Equation Group @米国
  • APT 29 - Cozy Bear @ロシア
  • その他多数...
• 高度なもの
  • 特定の組織のために作られた特別なマルウェアを使用します。
  • 通常、ボットネットで使用される一般的なマルウェアを改良したものです。
  • 一般的ではないターゲットに対する高度な技術を使用します。
• 永続的（Persistent）
  • 外部からのコマンド＆コントロールによる長期的なプレゼンス
  • データの抽出
  • 通常は検知されないように、「low-and-slow」です。
  • 例）ビッグデータを送信する代わりに、データをチャンクに分割して、ユーザーがインターネットに接続している時に各チャンクを送信する。
• 脅威
  • 価値の高い組織や情報を狙います
  • 例）
  • 政府や大企業
  • 🤗 例）Sony Pictures hackでは、未公開映画などのSonyの機密データがTorrentで公開されました。
  • 18,000以上の米国企業や政府機関がハッキングされました「2020年米国連邦政府データ流出事件」
• 一般的な手順
  1. スピア・フィッシングなどを利用して情報漏洩を誘発する
  2. 内部システムの脆弱性を利用する
  3. システムまたはそのセグメントの制御
  4. データ流出（＝不正なデータ転送

ウィルスとワーム

• どちらもファイルや文書の中でシステム全体に自己複製することができるものです。
• システムやネットワークに短時間で感染する能力を持っています。
• ウィルス
  • ウイルスが埋め込まれたファイルを実行するなど、起動するためにユーザーの操作を必要とします。
• ワーム
  • ユーザーのアクションなしに独立して拡散することができます。

ボットネット

• 🤩 ハッカーが感染したマシンを制御するために使用されるもので、スマホ、PC、IoTなどがあります。
• ハッカーはボットが動作するマシンから悪意のある活動を行います。
  • 例）DDoS攻撃
• 主な原因は、デバイス上のセキュリティソフトウェアや適切なアップデートの欠如です。
• ボットネット・トロイの木馬やボットネット・サービス拒否も参照ください。

インサイダー攻撃

• 承認されたアクセス権を持つ組織内の人物によって行われる。
  • 例) 不満を持つ従業員、第三者から報酬を得ている従業員など
• リスクの可能性が最も高く、防御が最も困難な攻撃の1つです。
• インサイダー攻撃｜ソーシャルエンジニアリングの種類も参照ください。

インサイダー脅威の種類

• 純粋なインサイダー
  • 通常のアクセス権を持つ内部の従業員
• レベルの高い純粋な内部者
  • 昇格したアクセス権を持つインサイダー
• インサイダー・アソシエイト
  • 限定的なアクセス権を持つ内部関係者
  • 例) 警備員、清掃員など
• インサイダー・アフィリエイト
  • 従業員の配偶者、友人、または顧客で、従業員の資格情報を使用する者
• アウトサイダー・アフィリエイト（Outsider affiliate)
  • 組織外の未知で信頼できない人物
  • 公開されているアクセスチャネルや盗まれた認証情報を使用して、不正なアクセスを行う。

インサイダー攻撃の対策

1. アクセスの制限
2. 誰がどの時点で何にアクセスしたかを知るためのロギング
3. 権限が昇格した従業員を積極的に監視する
4. 不満のある従業員を出さないようにすること
5. 職務の分離
   • 1つのタスクを完了するために複数の人が必要とされる概念
   • 職務分掌｜クラウドコンピューティングも参照。

フィッシング

• ソーシャルエンジニアリングの種類を参照。

ウェブアプリケーションの脅威

• 稚拙なコードや、入出力データの適切な検証が行われていないことを利用します。
• 例) バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティング
• 💡 これらを検知するオンラインスキャンツールが多数存在します。

現代の情報戦

• 情報通信技術を利用して相手より優位に立つこと。
• ウィルス、ワーム、トロイの木馬、論理爆弾、トラップドア、ナノマシンと微生物、電子ジャミング、ペネトレーション・エクスプロイトとツールなどが武器となります。
• 例）
  • 企業はお互いの技術機密や特許を利用するためにスパイ活動を行う
  • 🤗 Industrial espionageとも呼ばれています。
  • 政府は、防衛システムなどの情報を得るために、ハッカーを代理人として使って他国の政府をスパイします。
  • 研究開発に投資せずに製品を作るリバースエンジニアリングによる知的財産権の窃盗
• カテゴリーは以下の通りです。
  • C2（Command and Control）戦争。
  • 司令部を破壊することで、司令部を守ることはできても、機動性に支障をきたす可能性があります。
  • インテリジェンス・ベース・ウォーフェア
  • システムを破壊するセンサーベースの技術
  • 電子戦（エレクトロニック・ウォーフェア
  • 情報の流れを強化、劣化、または妨害する
  • 心理学的戦争(Psychological warfare)
  • 心理戦 「心をつかめば、心も魂もついてくる」。
  • 例) プロパガンダ、テロ
  • ハッカー戦
  • 対象者Aの情報を取得し、対象者Bに販売する。
  • 経済的情報戦
  • 経済的優位性を追求するために情報を流す、遮断する
  • サイバー戦争
  • 仮想人格に対する情報システムの利用
• それぞれのカテゴリーには
  • 攻撃的戦略
  • 相手に対する攻撃
  • 例) Webアプリケーション攻撃、マルウェア攻撃、システムハッキングなど。
  • 防御的戦略
  • 攻撃に対して取るべき行動。
  • 例) 監視、警告、対応、検知、防止システム
• 情報戦サイトもご参照ください。