• ■出る順１位のサイバー攻撃 
• ■サイバー攻撃のポイント
  • ①　Dos攻撃とDDos攻撃の違い
  • ③　セキュリティ対策の用語
  • ④　三種類のトロイの木馬
  • ⑤　ウイルス対策ソフトにおける代表的なウイルス検出方法
  • ⑥　マルウェアへの対策の種類
  • ⑦　標的型攻撃の種類
  • ⑧　標的型攻撃の対策として出口対策が重要視される理由
  • ⑨　ブルートフォース攻撃とリバースブルートフォース攻撃の違いについて
  • ⑩　不正アクセス防止関係の用語
• ■参考書の紹介
• ■ソフトウェア開発の名著の紹介
• ■関連ブログ

 

■出る順１位のサイバー攻撃 

 

応用情報技術者（午後問題）で、情報セキュリティ分野は、唯一の解答必須分野です。

 

『情報処理教科書 出るとこだけ！応用情報技術者［午後］』によると、

「サイバー攻撃」「暗号と認証」「ネットワークセキュリティ」のいったテーマから出題されるが、「サイバー攻撃」のテーマが一番出題率が高い。

 

サイバー攻撃の種類とその対策の基本的な用語の理解が求められるそうです。

 

■サイバー攻撃のポイント

『情報処理教科書 出るとこだけ！応用情報技術者［午後］』

の出る順１位「サイバー攻撃」

 の内容を参考に覚えるべきポイントを以下に記載します。

①　Dos攻撃とDDos攻撃の違い

両者ともサーバーやネットワークを意図的に過負荷にしてサービスを停止させる攻撃である。
DoS攻撃（ドスこうげき）（英：Denial of Service attack）は、
攻撃側が1台で一つのサーバー、ネットワークに対して攻撃するが、
DDoS攻撃（ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack）は攻撃側が複数台で一つのサーバー、ネットワークに対して攻撃する。
ポット（感染した情報機器をネット経由で外部から操作する目的の不正なプログラム）に感染したIoT機器は、踏み台として利用され、大規模なDDos攻撃を行うことがある。踏み台とは、攻撃者が証拠を残さないように攻撃する際に利用する
第三者を中継点である。

DoS攻撃（ドスこうげき）（英：Denial of Service attack）は、情報セキュリティにおける可用性を侵害する攻撃手法のひとつ。
ウェブサービスを稼働しているサーバやネットワークなどのリソース（資源）に意図的に過剰な負荷をかけたり脆弱性をついたりする事でサービスを妨害する。

フラッド型のDoS攻撃には、大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃（ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack）という類型がある。

 

② 　段階ごとのIoT機器へのサイバー攻撃の対策

▼ ネットワークの接続前
　初期設定のパスワードを安全なパスワードに変更する。　
　利用しない機能を無効化する。
　自動アップデート機能などセキュリティ機能を無効化する。
　
▼ ネットワークの接続後
　ソフトウェアのアップデートを行う。
　定期的なアップデートをする。
　使用しないときの電源をオフにする。

IoT機器を廃棄するとき
　設定を初期化する。
　初期化機能がない場合は、物理的に破壊する。

③　セキュリティ対策の用語

▼耐タンパ性
　Tmper(改ざん）に耐える性能。ICカードなどの改ざんに対する耐性です。例えば、耐タンパ性能のあるICカードでは、カード内のICに接触すると記憶内容が破壊されて、外部からの盗み見を防ぐ技術が採用されている。

 

▼セキュアエレメント
　エレメントは素子という意味で、外部からの解析攻撃に耐えるセキュリティ能力を持つ製品の総称である。

 

▼TPM
　セキュリティチップともいい、Trusted Platform Moduleの略である。
　パソコンに内蔵された耐タンパ性のある半導体で、TPMが内蔵されたパソコン内の暗号化されたハードディスクが盗難、紛失されたも、他のパソコンではデータの読み出しが困難になり、不正体側となる。暗号や認証のためにも用いる。
次の機能が搭載されている。

　- RSAによる暗号化と復号、公開鍵・秘密鍵の生成
　- ハッシュ関数による計算　
　- ディジタル署名の生成・検証

 

▼ファジング
　語源はfuzz(問題を引き起こしそうなデータ）を大量に送付するすることに由来する。組込機器（用途が限定された情報機器）やソフトウェアのバグ、脆弱性を検出するためのセキュリティテストで、問題を引き起こしそうな細工を施したデータを検査対象に送り、異常な動作の有無により検査をする。

④　三種類のトロイの木馬

　トロイの木馬とは、必要なプログラムと偽装して、不正動作するプログラムです。トロイの木馬とウィルスの違いとして、一般的なウィルスは感染するためのファイルやプログラムを必要としますが、トロイの木馬はそれ自身がプログラム、またはオフィス系のマクロに潜むスクリプトやコードとなっており、単体で実行可能なマルウェアであることが挙げられます。

　トロイの木馬の種類は、侵入形態によって以下の3つに分けられます。

 

　▼ダウンローダ
　攻撃するためのプログラムを外部からダウンロードするマルウェア（不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総）
　▼ドロッパ
　攻撃するためのプログラムを内部に隠し持つマルウェアで、感染後に、内部にある不正プログラムを取り出し、実行させて攻撃します。

　▼バックドア
　一度、不正アクセスしたコンピュータに対し、再び侵入するために仕掛ける裏口のことです。攻撃者が特殊な裏口を作るために発見が難しい。

⑤　ウイルス対策ソフトにおける代表的なウイルス検出方法

　▼パターンマッチング法
　あらかじめウイルスの特徴（シグネチャーコード）を定義したウイルス定義ファイルを用意して、それに合致するかどうかでウイルスの有無を調べる方法で、ただし、ウイルス定義ファイルに定義されていない未知のウイルスは検出できない。
　シグネチャーコードとはマルウェアであると識別できるプログラムの特徴の一部で、英語ではSignature Codeの意味になる。

 

　▼ビヘイビア法
　プログラムが危険な動作を検出した時点でウイルスに感染したと判断するための方法です。動的解析の一種で、例えば、ファイルの書込、コピー、削除、通信料の異常な増加を危険な行動とみなすことができる。

 

⑥　マルウェアへの対策の種類

　▼　サンドボックス
語源は公園の砂場に由来して、安全な隔離した領域内で、対象のプログラムを動作させて、マルウェアを検出、除去すること。
サンドボックス内では実行可能な機能、接続可能なネット―ワークが制限されている。

例えば、受信メールの添付ファイルをマルウェアでサンドボックスで検査し、マルウェアと判断すれば受信を不可にして、マルウェアでないと判断されればダウンロードして利用する。

　▼　URLフィルタリング
閲覧できるWebサイトを制限するために、指定したURLを許可、拒否する機能です。ブラックリストとホワイトリストという二つの方式がある。

 - ブラックリスト：通過を禁止するリストとなる。
インターネット上では、次々と新しいWebサイトが誕生しており、その都度管理者が閲覧させたくないWebサイトを調べて登録することには非常に手間がかかります。ブラックリスト方式はこのような手間がかかるため、限定的に使用されることが多い方式です。

 - ホワイトリスト：通過を許可するリストとなる。
ホワイトリスト方式では、閲覧を許可するWebサイトをあらかじめリスト化しておき、該当するWebサイト以外をブロックする方式となります。

ブラックリスト方式とは反対の方式であり、ホワイトリストに登録されたWebサイト以外の閲覧ができないため、非常に強力なフィルタリング方式です。しかし、インターネットを通じてさまざまな情報を得られる現在では、業務上必要となる情報の取得まで限定されてしまう可能性があり、上手に運用しないと仕事の生産性が落ちる可能性があります。

ブラックリスト方式と同様に、汎用的な利用には手間がかかるため、限定的に使用されることが多い方式です。

 

　▼　カテゴリフィルタリング方式
　カテゴリフィルタリング方式は、Web（URL）フィルタリングで一般的に利用される方式です。Web（URL）フィルタリングを提供する会社によって、インターネット上のWebサイトをカテゴライズしたデータベースが用意されており、管理者はカテゴリごとに閲覧の許可/不許可を設定します。

　Webサイトごとに「アダルト」「ギャンブル」「SNS」などのカテゴリに分けられており、「アダルト」「ギャンブル」は閲覧不可、「SNS」は閲覧可能、といった形で指定するものです。カテゴリは、Web（URL）フィルタリングを提供する会社によって異なるものであるため、どのようなサイトがどのようなカテゴリに分けられているのかを、しっかりと確認する必要があります。

カテゴリフィルタリング方式だけで対応できないWebサイトを、ブラックリスト方式/ホワイトリスト方式で明示的に不許可/許可することで、細かいフィルタリングを行えます。

　▼　コンテンツフィルタリング
Webサイトの内容を監視し、予め設定された条件に合致したWebサイトを
排除、遮断する機能で、Webサイト内に含まれる業務とは無関係の語句を条件にを遮断などする。。

クライアントにインストールされたソフトウェアで行う場合と、プロキシによって通信経路上で行う場合がある。プロキシによるフィルタリングの場合、暗号化された通信では内容を確認できないなどの制限もある。
URLフィルタリングもコンテンツフィルタリングの一つとされる。

　▼　VDI
Vitual Desktop Infrastructure(仮想デスクトップ基盤)の略で、通常はパソコンなど情報端末で実行する処理を、サーバー上の仮想環境で行い、情報機器にはその画面だけを転送する方式です。

アプリケーション、データがサーバー上にあり、利用者の情報機器にないことのデメリットは次の通りです。

　- 情報機器の管理を個人任せにせず、サーバー上で統括して管理できる。そのため、最新のウイルス定義ファイル、セキュリティパッチを速やかに適用できる。
　- 情報端末の紛失、盗難による情報漏洩の防止できる。

　VDIは仮想環境上で処理を実施し、画面を転送するが、シンクライアントは実機でも処理を行う。

 

⑦　標的型攻撃の種類

　▼　やり取り型攻撃
　過去のメールのやりとりなどで受信者を信頼をさせてマルウェアを添付してメールを送付するなどの方法です。

 

　▼　APT
　語源は、Advanced Persistent Threats:高度で継続的な脅威　に由来する。
標的となる組織の脆弱性を攻撃するために、事前に調査して、複数の攻撃方法を組み合わせて利用されるマルウェアである。
既存の攻撃手法の中から、システムへの侵入後に特定のシステムを標的とする共通攻撃部とシステムへの侵入後に特定のシステムを標的とする個別攻撃部を組み合わせて利用する。

 

　▼水飲み場型攻撃
標的となる組織がよく利用するサイト（水飲み場に例えられる）にマルウェアを埋め込み、その組織が接続したときにマルウェアを侵入させる攻撃方法です。

　- IPアドレスなどの接続元を特定し、標的となる組織から接続されたときだけ、攻撃する。
　- 攻撃対象を、標的となる組織だけ限定することで、攻撃の発覚を減らせ、攻撃の成功率を高める。
といった特徴がある。

⑧　標的型攻撃の対策として出口対策が重要視される理由

外からの侵入を防ぐ入口対策だけではIT技術の進歩により攻撃手法も巧妙化、多様化して、防御するのが難しくなっため、
侵入されることを前提とした対策である出口対策が重要視されている。

　▼　入口対策
　マルウェアによる内部ネットワークへの侵入を防ぐ対策
　▼　内部対策
　不正侵入したマルウェアから機密情報を守る対策
　▼　出口対策
　不正侵入したマルウェアによる外部感染を防ぐ対策

 

従来サイバー攻撃対策の中心は「入口対策」でした。つまり、外からの侵入をいかに防ぐかという点に注力していたわけです。

しかし、IT技術の進歩とともにサイバー攻撃の手口も巧妙化し、公共団体や大企業サイトなど巧妙な侵入が行われるようになり、「出口対策」と「内部対策」が重視されるようになってきました。

これらは、いずれも「侵入されることを前提とした対策」で、侵入後の機密情報流出を未然に防ぐことを目的としています。

出口対策の代表例としては、不審な動きのプログラムを観察するサンドボックス型の標的型攻撃対策やデータ内部まで確認できるWAF（Webアプリケーションファイアウォール）などを設置して情報の持ち出しを見張る対策があります。またこれらのツールはコンサルティングをセットにしたソリューションとして提供されるようになっています

 

⑨　ブルートフォース攻撃とリバースブルートフォース攻撃の違いについて

 

リバースブルートフォースは、アカウントロックの対象とならない点が、ブルートフォースと大きな違いである。
なお、ブルートフォースは、一つのIDに対して、利用可能なパスワードを全て試す方法である。brute force は力づくの攻撃という意味で、総当たり攻撃と呼ばれる。
また、リバースブルートフォース攻撃は一つのパスワードについて、様々なIDを試す方法である。

 

⑩　不正アクセス防止関係の用語

　▼　ソルト
パスワードを検知されないように、パスワードから保存されるハッシュ値を求める際に、パスワードに付加する文字列で、一定の文字数を超える長さや利用者ID毎に異なるランダムな文字列にするのが一般的である。

レインボー攻撃は、予想したパスワードを変換したパスワードとパスワードを変換して保存されたハッシュ値と比較、照合して、パスワードを検出、悪用する方法で、このレインボー攻撃の対策となる。
ハッシュ値は、ハッシュ関数により計算された値で、ハッシュ関数に変換された値から元の値に変換できないという一方向性、不可逆性をもつ。

 

　▼　ストレッチング

　パスワードが検知されるまでの時間、作業を増やすために、
パスワードのハッシュ値に対して、さらに該当のハッシュ値からハッシュ値を求める作業。この作業を複数回繰り返すこともある。
ストレッチングの語源は、streting:引き延ばす　に由来する。

 

　▼　リスクベース認証
　不正アクセスを防ぐ目的で、通常とは異なる利用環境から認証を行った場合に、追加の認証が必要となる仕組みである。
例えば、認証時のIPアドレス、OS、WEBブラウザーが普段と異なる場合に、攻撃者からのなりすましを確認するために、メールで送付された認証コードの入力を求めることによる追加の認証を実施することである。

 

　▼　ディジタルフォレンジックス
　情報セキュリティの犯罪の証拠となるデータを収集、保全することを意味する。例えば、ログや記録媒体の消去や改ざんを防止するために、編集不可にしたり、当時の状態をコピーして、別媒体で保存するなど、その後の捜査や訴訟の証拠としての能力を高める。

 

■参考書の紹介

午後問題を出る順に効果的な試験対策ができる良書かなと思っています。

基本情報技術者試験も、同じシリーズの参考書で勉強して、苦手な午後問題を克服して合格しました。

 

 

■ソフトウェア開発の名著の紹介

 

上記の本については、以下のブログでも紹介していますのでご参考になれば幸いです。

 

 

■関連ブログ

 

chanmabo.hatenablog.com

 

 

chanmabo.hatenablog.com

 

 以上です。