Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティ入門とハッキング概説.pdf
Search
Suguru Ohishi
July 07, 2021
Education
0
240
セキュリティ入門とハッキング概説.pdf
Suguru Ohishi
July 07, 2021
Tweet
Share
More Decks by Suguru Ohishi
See All by Suguru Ohishi
JBUG静岡#2プロジェクト管理勉強会宣伝LT
suguru0719
0
420
おかえり_Tech-in_AWS_20211213_全体公開大石.pdf
suguru0719
1
130
BigData-JAWS大石20211208_AQUA_.pdf
suguru0719
0
750
おかえり!Tech-in AWS 20211213 大石
suguru0719
0
140
指への痕跡
suguru0719
0
74
MT570と出会うまで
suguru0719
0
58
銀河英雄伝説_勉強会_2_イゼルローンフォートレス訪問記20201126_公開版_.pdf
suguru0719
0
470
エリア88_勉強会_1_地上空母の可能性20200516.pdf
suguru0719
0
1.3k
銀河英雄伝説_勉強会_1_艦船認識20200429.pdf
suguru0719
0
790
Other Decks in Education
See All in Education
Comment aborder et contribuer sereinement à un projet open source ? (Masterclass Université Toulouse III)
pylapp
0
3.2k
コンセプトシェアハウス講演資料
uchinomasahiro
0
360
Skynet to Schoolnet
draycottmc
0
160
世界のオープンソースロボットたち #1
shiba_8ro
0
130
2024年度春学期 統計学 第13回 不確かな測定の不確かさを測る ― 不偏分散とt分布 (2024. 7. 4)
akiraasano
PRO
0
160
Repaso electricidade e electrónica
irocho
0
160
SQL初級中級_トレーニング【株式会社ニジボックス】
nbkouhou
0
17k
ACT FAST 20240830
japanstrokeassociation
0
240
Epithelium Flashcards
ndevaul
0
970
Evaluation Methods - Lecture 6 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
670
認知情報科学科_キャリアデザイン_大学院の紹介
yuyakurodou
0
110
Comezando coas redes
irocho
0
330
Featured
See All Featured
Testing 201, or: Great Expectations
jmmastey
38
7k
Automating Front-end Workflow
addyosmani
1365
200k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
1.9k
Git: the NoSQL Database
bkeepers
PRO
425
64k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Designing for humans not robots
tammielis
249
25k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
It's Worth the Effort
3n
183
27k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
YesSQL, Process and Tooling at Scale
rocio
167
14k
Transcript
セキュリティ入門と ハッキング概説 2021/07/10 ⼤⽯ 英(powerd by mesosune) 【学んで競う24時間】マーケターの祭典 〜 俺たちのオリムピック
#1
プロフィール ´ 名前 ⼤⽯ 英(おおいし すぐる) ´ 経歴 通販専業事業会社の情報⼦会社でPG/SEを⻑年経験 その後、決済系⼦会社にてプロダクトマネージャーを経験
ここでPCIDSS導⼊プロジェクトリーダーを務める 直近では⻁ノ⾨にある某CIerにて、インフラエンジニアチームのリーダー ´ 現在の仕事 某Cier(Cloud Integrater) “データ分析セクション” セクションリーダー PCNW(PCとネットワークの管理活⽤を考える会) ITトレンド勉強会 座⻑ 運営コミュニティ ´ PCNW ´ JBUG 関与コミュニティ ´ CMC-Meetup ´ JAWS
None
本⽇のアジェンダ ・セキュリティ⼊⾨ ⼀般的な企業のセキュリティについて、 どのように考え、どう対応をしなければならないのか、 ⼤まかな流れを説明します ・ハッキングについて ハッキングとは何か、その代表的な⼿⼝とリスク また基本的な対策について説明します
・セキュリティ⼊⾨ ⼀般的な企業のセキュリティについて、 どのように考え、どう対応をしなければならないのか、 ⼤まかな流れを説明します
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
None
・ハッキングについて ハッキングとは何か、その代表的な⼿⼝とリスク また基本的な対策について説明します
ハッキングとは… そもそもは、“機械”に対して⾼い知識を持つ技術者のことを ハッカー、ハッカーが設計や改造を⾏うことをハッキングと 呼ぶような時代がありました。 機械の仕組みや動作を熟知している⼈、というわけです。 その後IT(コンピュータ)の時代になり、ハードウェアや ソフトウェアの設計などを⾏うエンジニアを指す⾔葉に なりました。 ハッカーという⾔葉には善悪の区別はなかったのです。
ハッキングの変遷 コンピュータが普及すると、Webサイトの改ざん等のサイバー 犯罪も多発し、こうした犯罪者がハッカーと⾃称したことで、 ハッカーのイメージが悪くなりました。 現在では、サイバー犯罪者組織が⾦銭⽬的で⾏うようになり、 依頼を受けてサイバー攻撃の⼿段としてハッキングを⾏うよう になりました。
ハッキングの変遷 元々「ハッカー」や「ハッキング」という⾔葉に悪い意味合い は無いため、IT技術を悪⽤して他⼈のパソコンへ侵⼊したり、 システムを勝⼿に改ざん・破壊するといった犯罪⾏為には 敢えて「クラッキング」という名前がつけられています。 悪事を働くハッカーを「クラッカー」と呼んだり、善意の ハッカーを「ホワイトハッカー」と呼ぶなど、善悪を区別した 呼び⽅も普及しつつあります。
ハッカーとハッキング PCに⼊⼒しているパスワードを肩越しに盗み⾒ることを 「ショルダーハック」と呼んだり、⽣活を便利にするための ⼯夫を「ライフハック」と呼んだりするなど、 「常識の盲点を突いた⼿法」という意味合いもあるようです。
代表的なハッキングの⼿⼝と被害 ハッキングには犯罪的な意味合いが強くなっており、 ハッキングされた際には何らかの被害が発⽣しています。 ここからは代表的なハッキングの⼿⼝と被害を紹介します。
Webサイト改ざん Webサイトのページ(ホームページ)を書き換えてしまう というもので、全く関係ない画像を貼り付けられたり⽂⾔が 書き換えられることもあれば、⾒た⽬は全然変わらず スクリプト等を追加されてしまうこともあります。 前者の場合は企業などのイメージを⼤きく損ねてしまいますし、 後者の場合はマルウェア感染サイトに⾶ばされるなどの危険性 があります。
Webサイト改ざん Webサイト改ざんの⼿⼝は、Webサイトを表⽰するための ファイルにアクセスして書き換えます。 管理⽤のアカウントのパスワードを辞書攻撃により破ったり、 ショルダーハッキングなどによって盗み出したり、あるいは Webサイトの脆弱性を悪⽤してアクセスします。
サーバーの停⽌ ハッキングにより、サーバを停⽌されてしまうこともあります。 業務⽤サーバを停⽌させられると業務が⽌まってしまいますし、 Webサーバを停⽌させられると、ショッピングサイト等の場合 は機会損失となり、⼤きな被害を受けることになります。
サーバーの停⽌ サーバを停⽌される場合、内部に侵⼊する⽅法と外部から攻撃 を⾏う⽅法があります。 内部に侵⼊する⽅法はWebサイトの改ざんと同様、サーバの 設定を変更することなどにより停⽌させます。 外部からの攻撃では、Webサーバに⼤量のリクエストを送り つけ処理能⼒の限界を超えさせて、停⽌させます。 これはDoS攻撃(サービス拒否攻撃 )と呼ばれます。 リクエストの種類を⼯夫してパケットを増幅させたり、
⼤量のIoT機器をボットに感染させてリクエストを送らせる DDoS攻撃(分散型DoS攻撃)などが使われます。
DoS攻撃とDDoS攻撃
別の攻撃への踏み台(マルウェア感染) Webサイトの改ざんでスクリプトを埋め込まれてしまった場合 には、サイトへの訪問者をマルウェア感染サイトに強制的に ⾶ばしてしまいます。
別の攻撃への踏み台(マルウェア感染) サイトを改ざんされた企業などもハッキングの被害者ですが、 同時に訪問者をマルウェアに感染させる加害者にもなって しまいます。
別の攻撃への踏み台 内部に侵⼊され社内サーバーや従業員⽤のPCにボットを仕掛 けられた場合も同様で、ハッカーはボットに指令を送ることで 感染PCを⾃由に遠隔操作できます。 ボット…⼀定の処理を⾃動的に⾏うよう作成されたプログラム
別の攻撃への踏み台 例えばこの遠隔操作されたPCから別のWebサイトにDoS攻撃 が⾏われた場合も、ボットに感染させられた企業などは被害者 であると同時に加害者にもなってしまうわけです。
⼤企業への攻撃の為の踏み台 ⼤企業はセキュリティ対策を⾏っている事が多く、攻撃者と しても直接攻撃をするのにはコストが掛かります。 そのため、⼤企業の取引先の中で、防御の⽢い中⼩企業を ハッキングの対象とし、踏み台として⼤企業への攻撃を⾏う 事例も増えています。
情報漏えい 外部からサーバに侵⼊出来るということは、その奥にある データベースにもアクセスできる可能性があるということです。 データベースには、顧客情報など重要な情報が記録されており、 侵⼊出来るという事は、情報を詐取する事も可能だという事に なります。 Webサーバなどの脆弱性を悪⽤し、データベースにアクセス することも可能な場合があります。 それを可能にするために、ハッカーは権限の⾼いアカウントの 認証情報を⼊⼿しようとするのです。
情報漏えい
情報漏えい(SQLインジェクション) データ詐取の事例として数多い物に“SQLインジェクション” という⼿法があります。 この脆弱性が悪⽤されると、データベース上であらゆる操作を ⾏われてしまいます。 データベースにある情報を盗み出されたり、改ざんされたり、 消去されるといった被害を受ける可能性があります。 脆弱性の中でも悪⽤された際の影響が⼤きい脆弱性です。
代表的なハッキングの⼿⼝と被害
ハッキング対策 ハッキング対策には、幾つかの⼿法/⽅向性があります。 それぞれについて、これから説明していきます。
脆弱性対策 ハッキングの多くは、システムの脆弱性を悪⽤し侵⼊します ので、脆弱性対策は有効な対策になります。 特に狙われるシステムには、Webサーバ、サイト構築を⾏う 「WordPress」、マイクロソフトの「Office」や アドビシステムズの「Flash Player」「Adobe Reader」、 Webブラウザのプラグインソフトやアドオンソフトなどが 挙げられます。
これらのシステムで脆弱性が発⾒されたときには、修正パッチ の適⽤等、なるべく早く対処するようにします。
脆弱性対策 ただし、Webサーバ上で動作しているアプリケーションは、 修正パッチ適⽤やアップデートにより、他のアプリケーション に悪影響を与えてしまうこともあります。 まずはWAF(Web Application Firewall)などで脆弱性を悪⽤ する攻撃を防御しておき、その間に検証を⾏って正式なパッチ 適⽤などのスケジュールを⽴てるといった⽅法があります。
不正侵⼊の検出 ハッカーは不正侵⼊に成功すると、企業などのシステム内で より⾼い権限を持つPCを探します。 こうした不審な通信を検出することで不正アクセスを発⾒する ことができます。 また、ハッカーが重要なファイルにアクセスできたとしても、 盗み出すには企業などのゲートウェイを経由します。 こうした不審な挙動を検出するには、内部システムの通信状況 を可視化できるソリューションが有効です。 これにより、たとえ侵⼊されて重要なファイルにアクセスされ
ても、外部へ持ち出そうとした時点で⾷い⽌め、被害を未然に 防ぐことができます。
脆弱性対策 WAF等、侵⼊防御(検知)ツールのイメージ
パスワード確認 ハッカーは、ルータや無線LANアクセスポイントなどに インターネット経由でアクセスすることもあります。 こうしたネットワーク機器は、初期設定のパスワードのまま 運⽤されていることが多く、ハッキングの標的になりやすいと いえます。 また、インターネット側からアクセス可能なハードディスク やNASなども、ハッカーの侵⼊経路になり得ます。 インターネットに露出しているネットワーク機器などを把握し、 パスワードやファームウェアのバージョンチェックを⾏い、
パスワードが初期設定のままであれば変更し、ファームウェア のアップデートが提供されていたら適⽤しましょう。
パスワードの⼯夫 パスワードによる認証を突破することを「パスワードクラック」 と呼びますが、ハッカーはその為に様々なツールを活⽤します。 たとえば、よく使⽤されるパスワードを集めて辞書を作成し、 その辞書を使ってログイン試⾏をくり返す「辞書ツール」が あります。
パスワードの⼯夫 企業などのシステム管理者は多くのシステムを扱うため、 パスワードの管理が煩雑になります。 特に検証⽤のサービスなどでは、安易な⽂字列にしてしまい がちです。 具体的には「admin」「pass」「123456」などで、こうした 情報はレポートなどで公開されています。 多くのパスワードを管理するのは⼤変ですが、安易な パスワードは使⽤しないようにしましょう。
認証機能の強化 システム側の対策としては、複数回のログイン試⾏を防⽌する ために、ログイン失敗の回数を限定する、スマートフォンの SMSやGPSによる位置情報、⽣体認証機能などを活⽤して 多要素認証を導⼊するなど、認証を強化することが有効です。
まとめ コンピュータに精通した犯罪者という意味でのハッカーによる ハッキングは、⾮常に対象が広く、また⼿法もデジタルから アナログまで多彩にあります。 現在のハッキングは、⾦銭を⽬的とした組織的なものとなって いますので、企業などの組織はもちろん、個⼈もハッキングを 意識した対策が重要になります。 ハッキングの対象や⼿法を理解して、適切な対策を⾏うように しましょう。
まとめ 「うちは⼤丈夫」という根拠のない⾃信は役に⽴ちません。 いつ⾃分が被害者になってもおかしくない、またハッキングの 結果、意図せず⾃分が加害者になってしまう可能性もあること を認識しましょう。
「セキュリティ(運⽤)⼊⾨とハッキング概説」 については以上となります ご静聴ありがとうございました︕