セキュリティ入門とハッキング概説.pdf

Transcript

1. セキュリティ入門と ハッキング概説 2021/07/10 ⼤⽯ 英（powerd by mesosune） 【学んで競う24時間】マーケターの祭典 〜 俺たちのオリムピック

   #1

2. プロフィール ´ 名前 ⼤⽯ 英（おおいし すぐる） ´ 経歴 通販専業事業会社の情報⼦会社でPG/SEを⻑年経験 その後、決済系⼦会社にてプロダクトマネージャーを経験

   ここでPCIDSS導⼊プロジェクトリーダーを務める 直近では⻁ノ⾨にある某CIerにて、インフラエンジニアチームのリーダー ´ 現在の仕事 某Cier（Cloud Integrater） “データ分析セクション” セクションリーダー PCNW（PCとネットワークの管理活⽤を考える会） ＩＴトレンド勉強会 座⻑ 運営コミュニティ ´ PCNW ´ JBUG 関与コミュニティ ´ CMC-Meetup ´ JAWS
3. None

4. 本⽇のアジェンダ ・セキュリティ⼊⾨ ⼀般的な企業のセキュリティについて、 どのように考え、どう対応をしなければならないのか、 ⼤まかな流れを説明します ・ハッキングについて ハッキングとは何か、その代表的な⼿⼝とリスク また基本的な対策について説明します

5. ・セキュリティ⼊⾨ ⼀般的な企業のセキュリティについて、 どのように考え、どう対応をしなければならないのか、 ⼤まかな流れを説明します

6. None
7. None
8. None
9. None
10. None
11. None
12. None
13. None
14. None
15. None
16. None
17. None
18. None
19. None
20. None
21. None
22. None
23. None
24. None
25. None
26. None
27. None
28. None
29. None
30. None
31. None
32. None
33. None
34. None
35. None
36. None
37. None
38. None
39. None
40. None
41. None
42. None
43. None
44. None
45. None

46. ・ハッキングについて ハッキングとは何か、その代表的な⼿⼝とリスク また基本的な対策について説明します

47. ハッキングとは… そもそもは、“機械”に対して⾼い知識を持つ技術者のことを ハッカー、ハッカーが設計や改造を⾏うことをハッキングと 呼ぶような時代がありました。 機械の仕組みや動作を熟知している⼈、というわけです。 その後IT（コンピュータ）の時代になり、ハードウェアや ソフトウェアの設計などを⾏うエンジニアを指す⾔葉に なりました。 ハッカーという⾔葉には善悪の区別はなかったのです。

48. ハッキングの変遷 コンピュータが普及すると、Webサイトの改ざん等のサイバー 犯罪も多発し、こうした犯罪者がハッカーと⾃称したことで、 ハッカーのイメージが悪くなりました。 現在では、サイバー犯罪者組織が⾦銭⽬的で⾏うようになり、 依頼を受けてサイバー攻撃の⼿段としてハッキングを⾏うよう になりました。

49. ハッキングの変遷 元々「ハッカー」や「ハッキング」という⾔葉に悪い意味合い は無いため、IT技術を悪⽤して他⼈のパソコンへ侵⼊したり、 システムを勝⼿に改ざん・破壊するといった犯罪⾏為には 敢えて「クラッキング」という名前がつけられています。 悪事を働くハッカーを「クラッカー」と呼んだり、善意の ハッカーを「ホワイトハッカー」と呼ぶなど、善悪を区別した 呼び⽅も普及しつつあります。

50. ハッカーとハッキング PCに⼊⼒しているパスワードを肩越しに盗み⾒ることを 「ショルダーハック」と呼んだり、⽣活を便利にするための ⼯夫を「ライフハック」と呼んだりするなど、 「常識の盲点を突いた⼿法」という意味合いもあるようです。

51. 代表的なハッキングの⼿⼝と被害 ハッキングには犯罪的な意味合いが強くなっており、 ハッキングされた際には何らかの被害が発⽣しています。 ここからは代表的なハッキングの⼿⼝と被害を紹介します。

52. Webサイト改ざん Webサイトのページ（ホームページ）を書き換えてしまう というもので、全く関係ない画像を貼り付けられたり⽂⾔が 書き換えられることもあれば、⾒た⽬は全然変わらず スクリプト等を追加されてしまうこともあります。 前者の場合は企業などのイメージを⼤きく損ねてしまいますし、 後者の場合はマルウェア感染サイトに⾶ばされるなどの危険性 があります。

53. Webサイト改ざん Webサイト改ざんの⼿⼝は、Webサイトを表⽰するための ファイルにアクセスして書き換えます。 管理⽤のアカウントのパスワードを辞書攻撃により破ったり、 ショルダーハッキングなどによって盗み出したり、あるいは Webサイトの脆弱性を悪⽤してアクセスします。

54. サーバーの停⽌ ハッキングにより、サーバを停⽌されてしまうこともあります。 業務⽤サーバを停⽌させられると業務が⽌まってしまいますし、 Webサーバを停⽌させられると、ショッピングサイト等の場合 は機会損失となり、⼤きな被害を受けることになります。

55. サーバーの停⽌ サーバを停⽌される場合、内部に侵⼊する⽅法と外部から攻撃 を⾏う⽅法があります。 内部に侵⼊する⽅法はWebサイトの改ざんと同様、サーバの 設定を変更することなどにより停⽌させます。 外部からの攻撃では、Webサーバに⼤量のリクエストを送り つけ処理能⼒の限界を超えさせて、停⽌させます。 これはDoS攻撃（サービス拒否攻撃 ）と呼ばれます。 リクエストの種類を⼯夫してパケットを増幅させたり、

    ⼤量のIoT機器をボットに感染させてリクエストを送らせる DDoS攻撃（分散型DoS攻撃）などが使われます。

56. DoS攻撃とDDoS攻撃

57. 別の攻撃への踏み台（マルウェア感染） Webサイトの改ざんでスクリプトを埋め込まれてしまった場合 には、サイトへの訪問者をマルウェア感染サイトに強制的に ⾶ばしてしまいます。

58. 別の攻撃への踏み台（マルウェア感染） サイトを改ざんされた企業などもハッキングの被害者ですが、 同時に訪問者をマルウェアに感染させる加害者にもなって しまいます。

59. 別の攻撃への踏み台 内部に侵⼊され社内サーバーや従業員⽤のPCにボットを仕掛 けられた場合も同様で、ハッカーはボットに指令を送ることで 感染PCを⾃由に遠隔操作できます。 ボット…⼀定の処理を⾃動的に⾏うよう作成されたプログラム

60. 別の攻撃への踏み台 例えばこの遠隔操作されたPCから別のWebサイトにDoS攻撃 が⾏われた場合も、ボットに感染させられた企業などは被害者 であると同時に加害者にもなってしまうわけです。

61. ⼤企業への攻撃の為の踏み台 ⼤企業はセキュリティ対策を⾏っている事が多く、攻撃者と しても直接攻撃をするのにはコストが掛かります。 そのため、⼤企業の取引先の中で、防御の⽢い中⼩企業を ハッキングの対象とし、踏み台として⼤企業への攻撃を⾏う 事例も増えています。

62. 情報漏えい 外部からサーバに侵⼊出来るということは、その奥にある データベースにもアクセスできる可能性があるということです。 データベースには、顧客情報など重要な情報が記録されており、 侵⼊出来るという事は、情報を詐取する事も可能だという事に なります。 Webサーバなどの脆弱性を悪⽤し、データベースにアクセス することも可能な場合があります。 それを可能にするために、ハッカーは権限の⾼いアカウントの 認証情報を⼊⼿しようとするのです。

63. 情報漏えい

64. 情報漏えい（SQLインジェクション） データ詐取の事例として数多い物に“SQLインジェクション” という⼿法があります。 この脆弱性が悪⽤されると、データベース上であらゆる操作を ⾏われてしまいます。 データベースにある情報を盗み出されたり、改ざんされたり、 消去されるといった被害を受ける可能性があります。 脆弱性の中でも悪⽤された際の影響が⼤きい脆弱性です。

65. 代表的なハッキングの⼿⼝と被害

66. ハッキング対策 ハッキング対策には、幾つかの⼿法/⽅向性があります。 それぞれについて、これから説明していきます。

67. 脆弱性対策 ハッキングの多くは、システムの脆弱性を悪⽤し侵⼊します ので、脆弱性対策は有効な対策になります。 特に狙われるシステムには、Webサーバ、サイト構築を⾏う 「WordPress」、マイクロソフトの「Office」や アドビシステムズの「Flash Player」「Adobe Reader」、 Webブラウザのプラグインソフトやアドオンソフトなどが 挙げられます。

    これらのシステムで脆弱性が発⾒されたときには、修正パッチ の適⽤等、なるべく早く対処するようにします。

68. 脆弱性対策 ただし、Webサーバ上で動作しているアプリケーションは、 修正パッチ適⽤やアップデートにより、他のアプリケーション に悪影響を与えてしまうこともあります。 まずはWAF（Web Application Firewall）などで脆弱性を悪⽤ する攻撃を防御しておき、その間に検証を⾏って正式なパッチ 適⽤などのスケジュールを⽴てるといった⽅法があります。

69. 不正侵⼊の検出 ハッカーは不正侵⼊に成功すると、企業などのシステム内で より⾼い権限を持つPCを探します。 こうした不審な通信を検出することで不正アクセスを発⾒する ことができます。 また、ハッカーが重要なファイルにアクセスできたとしても、 盗み出すには企業などのゲートウェイを経由します。 こうした不審な挙動を検出するには、内部システムの通信状況 を可視化できるソリューションが有効です。 これにより、たとえ侵⼊されて重要なファイルにアクセスされ

    ても、外部へ持ち出そうとした時点で⾷い⽌め、被害を未然に 防ぐことができます。

70. 脆弱性対策 WAF等、侵⼊防御（検知）ツールのイメージ

71. パスワード確認 ハッカーは、ルータや無線LANアクセスポイントなどに インターネット経由でアクセスすることもあります。 こうしたネットワーク機器は、初期設定のパスワードのまま 運⽤されていることが多く、ハッキングの標的になりやすいと いえます。 また、インターネット側からアクセス可能なハードディスク やNASなども、ハッカーの侵⼊経路になり得ます。 インターネットに露出しているネットワーク機器などを把握し、 パスワードやファームウェアのバージョンチェックを⾏い、

    パスワードが初期設定のままであれば変更し、ファームウェア のアップデートが提供されていたら適⽤しましょう。

72. パスワードの⼯夫 パスワードによる認証を突破することを「パスワードクラック」 と呼びますが、ハッカーはその為に様々なツールを活⽤します。 たとえば、よく使⽤されるパスワードを集めて辞書を作成し、 その辞書を使ってログイン試⾏をくり返す「辞書ツール」が あります。

73. パスワードの⼯夫 企業などのシステム管理者は多くのシステムを扱うため、 パスワードの管理が煩雑になります。 特に検証⽤のサービスなどでは、安易な⽂字列にしてしまい がちです。 具体的には「admin」「pass」「123456」などで、こうした 情報はレポートなどで公開されています。 多くのパスワードを管理するのは⼤変ですが、安易な パスワードは使⽤しないようにしましょう。

74. 認証機能の強化 システム側の対策としては、複数回のログイン試⾏を防⽌する ために、ログイン失敗の回数を限定する、スマートフォンの SMSやGPSによる位置情報、⽣体認証機能などを活⽤して 多要素認証を導⼊するなど、認証を強化することが有効です。

75. まとめ コンピュータに精通した犯罪者という意味でのハッカーによる ハッキングは、⾮常に対象が広く、また⼿法もデジタルから アナログまで多彩にあります。 現在のハッキングは、⾦銭を⽬的とした組織的なものとなって いますので、企業などの組織はもちろん、個⼈もハッキングを 意識した対策が重要になります。 ハッキングの対象や⼿法を理解して、適切な対策を⾏うように しましょう。

76. まとめ 「うちは⼤丈夫」という根拠のない⾃信は役に⽴ちません。 いつ⾃分が被害者になってもおかしくない、またハッキングの 結果、意図せず⾃分が加害者になってしまう可能性もあること を認識しましょう。

77. 「セキュリティ(運⽤)⼊⾨とハッキング概説」 については以上となります ご静聴ありがとうございました︕