in

中小製造業へ向けた情報セキュリティ講座_その5_なりすましについて

はじめに

第五回は、なりすましについてお伝えできればと思います。

なりすましとは

なりすましとは、攻撃者が正規のユーザーになりすまして、不当に情報を利用する権限を得ようとする行為です。

なりすましの手法

ユーザーID・パスワードの偽装

何らかの手段によって得たユーザーID・パスワードを使って、他人になりすます手法です。

■対策

  • パスワードの徹底管理(利用規定の整備など)

IPスプーフィング

IPアドレスを用いて認証を行っているシステムに対し、送信するIPパケットのヘッダ情報を偽装する手法です。
不正アクセスが発見されても、ログに残るのは正規のIPアドレスとなるため、追跡が困難となります。

■対策

  • パケットの正当性のチェック(高位の情報、ステートフルインスペクション)

踏み台

一度、第三者のコンピューターをクラックし、そこから攻撃対象のコンピューターに不正アクセスする手法です。
不正アクセスが発見されても、ログに残るのは踏み台のIPアドレスとなるため、追跡が困難となります。
古いバージョンのプロダクトを利用していたり、メンテナンス経路が外部解放されているなど、セキュリティの甘いWebサイトなどが、踏み台として利用されやすくなります。

■対策

  • (攻撃対象の場合)攻撃者を特定する情報を順番に追跡できる体制の整備
  • (踏み台の場合)適切なセキュリティの確保
    • 脆弱性が発覚したプロダクトに関する、速やかなセキュリティパッチの適用
    • ファイアウォールなどによる、必要最低限なインバウンド通信の許可
    • システム管理用リモート接続経路に関する、厳重な認証の実装

ARPスプーフィング

ARPとは、既知のIPアドレスから未知のMACアドレス(ネットワーク機器に一意に割り当てられる物理アドレス)を得るためのプロトコルです。
ARPスプーフィングとは、ARPの応答を偽装することによって、ネットワーク機器のなりすましを行う攻撃手法のことを指します。
ネットワーク機器のなりすましをすることで、大量の通信をことごとく盗聴することが可能となります。

■対策

  • ARPテーブルの監視
  • 防止機能付きネットワーク機器の導入

セッションハイジャック

二者間で行われる通信を則る攻撃手法です。
サーバーに成りすましたり、サーバーとクライアントの通信を中継したりする方法があります。
ユーザーがIDやパスワードを入力してログインするWebサイトでは、ユーザーのログイン状態や行動を管理するためにセッションIDが活用されています。
セッションIDが第三者の手に渡ると、第三者はそのユーザーに成りすましてWebサイトにアクセスしたり、ユーザーのクレジットカード情報や個人情報を簡単に窃取できます。
クラッカーは、セッションIDを取得・推測することで通信に介入しようとします。

■対策

  • 推測されにくいセッションIDの実装
  • 適切なセッションIDの管理

リプレイアタック

リプレイアタックとは、ネットワークの盗聴者がログインシーケンス(IDやパスワードを送る手順)をそのまま記録し、コピーを対象サーバーに投げることです。
コピーを使用するため、パスワードを解読する必要がなくなります。

■対策

  • ワンタイムパスワードの導入

フィッシング

信頼のあるサイトや有名企業になりすまし、個人情報を取得する攻撃手法です。
スパムメールに偽のURLを記入したり、有名サイトと似たURLを用意することで、利用者を偽サイトへと誘導します。
最新のフィッシングの事例は、フィッシング対策協議会のサイトから確認ができます。
宅配便の不在通知や、金融機関・通信機関など、身近にある多くの有名企業がフィッシングに利用されていることがわかります。

■対策

  • 金融機関では口座番号や暗証番号を電子メールで問い合わせないという点への留意
  • 電子メールに記載されているURLを、クリックする前に確認する
  • 電子メールに書いてあるURLをクリックしない

標的型攻撃

ターゲットを特定して行う攻撃を指します。
標的とする企業が使用する書類・メールの書式、社員の名前を把握するなど、周到な準備を行うのが特徴です。
そのため、その他の攻撃手法よりも成功率は高くなります。

また、標的となる企業や利用者が頻繁に使用するWebサイトを調べておき、そのうち侵入できるWebサイトに対して悪意のあるコードを埋め込み、そのWebサイトを訪れた標的を感染させる「水飲み場型攻撃」というものもあります。
巨大なポータルサイトのように不特定多数のユーザーが訪問するサイトに限らず、特定の関心事や組織・業界などのユーザーが訪問するWebサイトも、攻撃対象ユーザーを絞り込むための狩り場として狙われています。

■対策

  • リテラシーの向上
    • 不審なメールや添付ファイルを開かない
    • 業務用コンピューターで、不審なサイトにアクセスしない
  • セキュリティ対策製品の導入

おわりに

一言になりすましといっても、IPやARPなどネットワークに関連技術したなりすましや、フィッシングなどの企業・人になりすます方法があります。
前者は主にシステムやネットワークの管理者が対策を講じる必要がありますが、後者は一般的な利用者が攻撃について理解し、セキュリティ意識を高める必要があります。
興味を持たれた方は、実際にあった攻撃事例などを調べていただき、社内で共有するなどして頂けると、より一層セキュリティに強い企業になれると思います。

Written by Masahide Yasui

What do you think?

中小製造業へ向けた情報セキュリティ講座_その4_盗聴について

日進工具株式会社 後藤社長に聞く、『日本の製造業の今後、日進工具の未来』