情報処理安全確保支援士の勉強脅威について

昨日の勉強の記録

午前2の過去問　10問
教科書　89ページ
午後1の過去問　1問

さすがに2週目は早い。教科書を一気にほぼ90ページ読んでしまった。
毎日このペースだと1週間で読み終わるんだが、休日だったし、読みやすい場所っていうのもあるかもしれない。
まぁ、2週目がどのくらいで読み終わるのか楽しみだ。理解度もどの程度進むか？
あと、とうとう午後1の過去問にようやく手を付けた。実は前に解いたことがある問題なのだが、
教科書でセキュリティの定石を覚えていたので、簡単に解ける問題があった。

教科書では、以下に示す内容について学んだ。
・セッションハイジャック
・DNSサーバに対する攻撃
・Dos攻撃
・Webアプリケーションに対する不正スクリプト
・マルウェアによる攻撃

■セッションハイジャック
・Man-in-the-middle Attack
・セッションフィクセーション

■DNSサーバに対する攻撃
DNSサーバに対する攻撃として、以下の4つがあげられる。

・ゾーン転送要求による登録情報の収集
・DNSキャッシュポイズニング
・不正なリクエストによるサービス不能攻撃を引き起こす
・DNSリフレクション

●対策
・DNSサーバのソフトウェアのバージョンを最新にする
・DNSの送信元ポート番号をランダムにする。
・DNSSECを使用する。
・ゾーン転送をセカンダリサーバのみを許可し、ゾーン転送するデータ範囲を最小限に設定する。
・脆弱性検査を実施する
・DNSキャッシュサーバが不要なクエリを拒否するようにする。

■Dos攻撃
 Dos攻撃の種類には以下のものがあげられる。
・SYN　Flood攻撃
・UDP Flood攻撃
・ICMP　Flood攻撃
・smurf攻撃
・Connection　Flood攻撃
・DDos攻撃
・EDos攻撃

●対策
・ルーターやファイヤーウォールで不要なパケットを遮断する。
・十分な帯域をもつネットワークを用いる
・十分な処理能力をもつサーバやネットワーク機器を用いる
・ルーターやスイッチを用いてプロトコルごとの帯域制限を行う
・疑似的なDos攻撃を行う
・CDNサービスを利用する
・CDNプロバイダ等が提供するDDos攻撃対策サービスを利用する

■Webアプリケーションに対する不正スクリプト
Webアプリケーションに不正なスクリプトや命令を実行させる攻撃は以下のものがある。

・クロスサイトスクリプティング
・SQLインジェクション
・OSコマンドインジェクション
・HTTPヘッダインジェクション
・メールヘッダインジェクション
・ディレクトリトラバーサル

なお、クロスサイトスクリプティングには以下の3種類に分けられる。

・反射型XSS
・格納型XSS
・DOM-base　XSS

■マルウェアによる攻撃
マルウェアには以下の種類がある

・コンピュータウィスル
・ワーム
・トロイの木馬
・悪意のあるモバイルコード
・スパイウェア
・ボット
・ラムサスウェア
・ドロッパ

また、マルウェアのような悪質さはないものの、適切とはいいがたく、
多くのユーザにとって不要なアプリケーションの事をPUAと呼ぶ。
PUAには以下のものがあげられる。

・アドウェア
・リモート管理ツール
・脆弱性検査ツール

マルウェアに対する対策として、大きく分けて通信経路上の対策とエンドポイントでの対策に分けられる。

●通信経路上の対策
・ファイヤウォールで不要なアドレス/ポートへのアクセスを双方で遮断する。
・IPSで不審な通信を双方向で検知し、遮断する。
・メール検査型のアンチウィルス/アンチスパムツールでメールに添付されたマルウェアやスパムメールを遮断する
・URLフィルタリングツールやWeb検査型のAVツールを用いて、
有害/不適切なWebサイトへのアクセスや不審なコード/ファイルなどのダウンロードを防ぐ
・認証機能やアクセス制限機能を備えたプロキシサーバにより、不審なWebアクセスを遮断する。
・Web検査型のサンドボックス製品を用いてマルウェアを検知する。
・仮想ブラウザを導入し、Webアクセスにより感染したマルウェアの被害がPCに及ぶのを防ぐ
・仮想ブラウザを用いて、メール利用環境とWeb利用環境を分離する事で、
メールから感染したマルウェアのコールバックや不正なリンク先へのアクセスを防ぐ。

●エンドポイントでの対策
・全てのPCにAVツールを導入し、ウィルス定義ファイルを最新のものにする
・OSや使用しているソフトウェアを最新バージョンにし、最新のパッチを当てる
・市販のパーソナルファイヤーウォールを導入し、インターネットとの通信を許可するプログラムや、
当該端末が通信可能なアドレス/ポートを制限する
・EDR製品によるマルウェアの活動を検知し、対処する
・業務と無関係なソフトウェアの導入/使用を禁止する

その他の脅威として、以下のものがある。
・標的型攻撃
・ファイルレス攻撃

特に標的型攻撃には、
・やり取り型標的攻撃
・水飲み場型攻撃
・ビジネスメール攻撃
・サプライチェーン攻撃

等がある。