in

中小製造業へ向けた情報セキュリティ講座_その3_不正アクセスについて

はじめに

第三回は、不正アクセスについてお伝えできればと思います。

不正アクセスとは

不正アクセスとは、IDやパスワードによりアクセス制御機能が付されている情報機器やサービスに対して、本来は利用権限がないのに不正に利用できる状態にする行為をいいます。
該当事例としては、以下が挙げられます。

  • ネットワークを媒介する
  • アクセスコントロールされているシステムへ攻撃する
  • セキュリティホールを突く
  • 不正IDやパスワードの取得・使用など

不正アクセスの攻撃手法

管理者権限の乗っ取り

この部分は、多少ややこしい内容を含むので、適当に流してもらっても良いです。
基本的には、セキュリティホールのあるシステムが攻撃対象となります。

ネットワークスキャン

色々なIPアドレスに対してpingを送り、攻撃対象となるコンピューターを特定します。

ポートスキャン

攻撃対象となるコンピューターを特定したら、TCPの3ウェイハンドシェイクを利用して、すべてのポートに対して接続要求を行い、開放されているポートを特定します。
特定されたポートから、コンピューター内で動作しているアプリケーションを特定します。

バッファオーバーフロー

バッファーオーバーフロー攻撃では、あらかじめ確保してあるバッファのサイズを超えたデータを入れることで、プログラムの誤作動を起こさせます。
管理者権限で動作しているプログラムにマルウェアをリンクさせ、管理者権限を奪取することができます。

■対策

  • システムに、データ受信時のチェック機能を持たせる
  • 脆弱性の存在するサービスを利用しない
  • ソフトウェアのバージョンを隠す
  • セキュリティソフトを最新にする

パスワードの取得

セキュリティホールのないシステムが対象となる場合、管理者のユーザーIDとパスワードを得ることで管理者権限を取得します。

総当たり法

考えられるすべてのパスワードの組合せを試すことで、パスワードを特定する手法です。

■対策

  • 長いパスワードを利用する
  • ログインに複数回失敗した際、アカウントロックをする機能を設ける

辞書攻撃

利用されがちな単語を体系化したデータベースを用いて、パスワードを特定する手法です。
攻撃対象が明確になっている場合、生年月日やペットの名前なども調べ、データベースに登録しておきます。

■対策

  • 辞書に載っているような単語をパスワードに利用しない
  • 大文字・小文字・数字・記号をパスワードに含める

パスワードリスト攻撃

あらかじめ入手したアカウントとパスワードの組み合わせから、不正ログインをする手法です。
同じパスワードを使いまわしていると、複数のサービスで攻撃が成功されてしまいます。

■対策

  • パスワードを使いまわさない

侵入後の行動

不正アクセスに成功後、侵入者が起こし得る行動です。

ログの削除

ログを消去することで、痕跡・証拠を抹消します。

■対策

  • ログファイルの場所をデフォルトから変更する
  • ログファイルを暗号化する

バックドアの作成

同じシステムに再度侵入するために、時間や手間を短縮するためにバックドアと呼ばれる侵入経路を作成します。

■対策

  • パーソナルファイアウォールの導入
  • 受信データ・送信データのチェック

おわりに

前半のバッファオーバーフローについては、システム側の問題ですので、システムを保有している方(企業)以外はあまり気にする必要はないかもしれません。
後半のパスワードの取得については、昨今では誰もが色々なサービスで手軽にアカウントを作成していることもあり、身近な問題といえます。
「複雑なパスワードを使え」「パスワードを使いまわすな」と言われても難しいと思いますが、パスワード管理アプリ(もちろん信頼できるもの!)などを使用するのもいいかもしれません。

Written by Masahide Yasui

What do you think?

小さな製造業のブランディングのはなし(2/2)

製造業は知らなきゃまずい平均とバラツキの話