タグ: ①セキュリティ

Wi-Fiと比較して、防御しなければならないという意識が低く、危険である

１．ブルースナーフィング（BlueSnarfing）

　ワイヤレスハッキングの一種
　　　攻撃者が他人の所有するBluetooth対応デバイスに勝手にアクセスする
　　　　　アクセスした後、ユーザーの連絡先やカレンダー、
　　　　　テキストメッセージ、その他の　機密データをダウンロードする

　　　ブルースナーフィングによる攻撃は通常、被害者の約９m以内で始まる
　　　　　攻撃者は範囲内にあるBluetooth対応デバイスをまずスキャンし
　　　　　自らのデバイスと被害者のデバイスのペアリングを試みる

　　　　　被害者の端末がPINコードで保護されていない場合
　　　　　攻撃者は被害者の端末とペアリングし
　　　　　被害者のデータにアクセスできるようにする

　　　　　いったんマルウェアを埋め込まれると、その後も攻撃が続く
　　　　　　　携帯電話の個人情報にアクセスできるだけ

　　　ブルースナーフィングの標的の一つは
　　　　　スマートフォンの電話番号（IMSI）や国際移動体識別番号（IMEI）
　　　　　
　　　　　攻撃者はこれらのデータにアクセスし被害者が知らないうちに
　　　　　着信通話やメッセージを別のデバイスに振り向ける

２．ブルージャッキング（BlueJacking）

　迷惑メッセージを送信する
　　　匿名のメッセージをBluetooth経由でモバイルユーザーに送りつける

　　　Bluetooth機能を持つ携帯電話は、少し手を加えれば
　　　　　送信されるメッセージを受け付ける他の携帯電話を探し出せる

　　　電話を乗っ取ったり情報を盗んだりするわけではない
　　　　　単にスパムメールのようにメッセージを送信するだけ

　　　　　迷惑なメッセージを大量に送りつけて非常に不愉快な思いをさせる
　　　　　　　セキュリティ上のリスクは小さい

３．ブルーバギング（BlueBugging）

　Bluetooth技術を使って携帯電話のコマンドにアクセスする
　　　携帯電話の持ち主に気づかれることも警戒されることもない

　　　攻撃者が携帯電話を制御できるようになる

　　　悪意あるハッカーは下記の事項ができるようになる
　　　　　通話の開始やテキストメッセージの送受信
　　　　　アドレス帳の読み書き
　　　　　電話の会話を盗み聞き
　　　　　インターネットに接続

　　　攻撃対象の携帯電話から１０m以内の範囲にいなければならない

１．共通鍵暗号方式

　DES（Data Encryption Standard）
　　　１９７７年にアメリカ連邦政府標準の暗号方式として採用される
　　　　　暗号方式を指す場合は「DEA」（Data Encryption Algorithm）と呼ぶ

　　　１９９０年代になりコンピュータの処理性能が向上すると
　　　　　56ビットという鍵長では解読が容易になり、
　　　　　現代では安全な暗号方式ではない

　　　１９９９年により安全で高速な暗号標準（ＡＥＳ）が米政府に採用される

　AES（Advanced Encryption Standard）
　　　2000年にアメリカ連邦政府標準の暗号方式として採用される
　　　　　暗号方式を指す場合は「Rijndael」と呼ぶ

　　　共有鍵暗号の標準として全世界で広く普及する
　　　　　無線LAN（Wi-Fi）の通信の暗号化
　　　　　インターネット上の通信を暗号化するSSL/TLS
　　　　　圧縮ファイルの暗号化

　　　平文を一定の長さごとに暗号文に変換するブロック暗号
　　　　　ブロック長は128ビット
　　　　　鍵長は128ビット、192ビット、256ビット

　IDEA（International Data Encryption Algorithm）
　　　１９９１年に開発される

　　　データを64ビット単位に区切って処理するブロック暗号
　　　　　鍵長は128ビット
　　　　　その中から一部分を抜き出して部分鍵を作り、
　　　　　　　平文に対して同じ操作を8回、それぞれ異なる部分鍵で行う

２．公開鍵暗号方式

　DSA（Digital Signature Algorithm）
　　　１９９１年に提唱される
　　　　　離散対数問題の解読の困難さを基に作成された方式
　　　　　米政府標準のデジタル署名方式

　　　署名者は送信メッセージのハッシュ値と秘密鍵を含む計算により
　　　　　デジタル署名を生成してメッセージに添付する
　　　検証者は署名者の公開鍵を取り寄せて検算を行う

　　　攻撃者が正しい署名を偽造するには
　　　　　秘密鍵を割り出さなければならないが、
　　　　　これを効率よく探索する手法は未だ発見されていない

　RSA（Ronald Rivest氏、Adi Shamir氏、Leonard Adleman氏）
　　　１９７７年に発明される
　　　　　非常に大きな数の素因数分解が困難なことを利用した方式
　　　　　開発者の３名の名の頭文字を並べたもの
　　　　　インターネットで広く使われている

　　　従来の暗号方式（共通鍵暗号）とは異なり、
　　　　　暗号化は公開鍵を使って誰でもできるが、
　　　　　復号は秘密鍵を持つ本人だけしかできない

　　　公開鍵・秘密鍵を次のように使用する
　　　　　暗号の場合
　　　　　　　 平文 → 公開鍵（暗号化）→ 暗号文
　　　　　　　暗号文→ 秘密鍵（復号）→ 平文
　　　　　署名の場合
　　　　　　　 文書 → 秘密鍵（署名生成）→ 署名値
　　　　　　　署名値→ 公開鍵（署名検証）→ 文書

第三者がインターネット通信を利用してWebサイトに被害を与えることへの対策

１．システムを最新の状態にアップデートする

　CMSなどのシステムは常に最新の状態にアップデートを行う
　　　古いバージョンのままでシステムを使い続けていると、
　　　新しいサイバー攻撃の手法を受けたときに対応できない

２．パスワードを難解なものにする

　ログインするためのパスワードはなるべく難解な文字列にする
　　　パスワードの使いまわしをしない
　　　推測しやすいパスワードを使わない
　　　無料のパスワード生成ツールを使う

　具体的には
　　　１０〜１２桁の文字列にする
　　　英数字と記号を組み合わせる
　　　意味のある文字列にしない

３．SSLサーバー証明書を取得する

　SSL（Secure Sockets Layer）証明書の取得を行う
　　　インターネット上で行われる通信を暗号化する

　　　サーバー側でSSLの設定を行うことで、
　　　サイバー攻撃を受けたとしても個人情報がサイトから流出しない

　　　SSLを導入していないサイトでは
　　　「保護されていない通信」という表示が出てしまう、
　　　　　SSLを導入することでサイトの信頼性を高めることができる

４．定期的にセキュリティチェックを行う

　サイトのセキュリティレベルを定期的にチェックする
　　　定期的にセキュリティチェックを行うことで常に安全な状態を維持する

　無料セキュリティチェックツール

Observatory by Mozilla	サイトのドメイン名を入力するだけで、セキュリティ対策で重要な10項目について調査を行う 最大スコアは130となっており、スコアごとにA＋〜Fまでの13段階でセキュリティレベルを評価する 手軽にWebサイトのセキュリティチェックが可能	Mozilla （アメリカの非営利団体）
Site Safety Center	安全性を確認したいサイトのURLを入力する 安全・危険・不審・未評価の４段階で評価する 細かい項目をチェックすることはできないが、ざっくりとWebサイトの安全性を確認できる	トレンドマイクロ社
VirusTotal	指定したファイルやURLを数十個のセキュリティソフトデータベースで一斉診断できる セキュリティの危険性が確認された際には赤いマークで知らせてくれるため、複数のツールでスキャンすることなく安全性を確認することが可能 有料版も用意されている	Google社

５．レンタルサーバーを使用する

　セキュリティ機能が導入済みのサーバーを利用する
　　　自宅サーバー等で運用するより、サーバーはレンタルする

　　　個人でサーバーに十分なセキュリティー対策を施し維持するには限界がある
　　　　　費用は掛かるが、運用面での省力化を考え対応するべき

　PPP (Point-to-Point Protocol) とは、
　　　コンピューター同士が１対１の通信を行うための規約（プロトコル）
　　　プロトコルの内容は以下の通り

１．PAP

　Password Authentication Protocol
　　　ユーザーID／パスワードを平文で伝送路に流し認証を行う
　　　最も基本的な認証方法
　　　入力内容は暗号化されずに送信される、セキュリティ上の弱点となる

２．CHAP

　Challenge Handshake Authentication Protocol
　　　サーバー側からクライアント側に接続の度に乱数が送られる
　　　　　クライアントは、受け取った乱数にユーザーID／パスワード組合わせ
　　　　　値を算出し、算出された値をサーバに送り返す
　　　　　サーバーは値を解析し、ユーザーID／パスワードを認証する

　　　セッションの度に異なるデータがやり取りされるので、
　　　　　盗聴が困難であり、安全性の高いユーザー認証となる

３．EAP

　Extensible Authentication Protocol
　　　IEEE802.1Xで規定されるフレームワークにおいて、
　　　　　どの認証方式を用いるかを指定するプロトコル
　　　EAP自体がセキュリティ機能を持っているわけではない

　　　代表的なものとして
　　　　　EAP-MD5
　　　　　　　ユーザーとパスワードをMD5ハッシュで暗号化する
　　　　　EAP-TTLS（Tunneled TLS）
　　　　　　　サーバ側の電子証明書を用いて認証し、
　　　　　　　TLS暗号化通信で認証を行う
　　　　　EAP-PEAP
　　　　　　　サーバ側の電子証明書を用いて認証し、
　　　　　　　TLS暗号化通信とEAP通信を組み合わせて認証を行う
　　　　　EAP-TLS（Transport Layer Security）
　　　　　　　サーバとクライアントの両方に搭載された電子証明書を用いる

４．PEAP

　Protected Extensible Authentication Protocol
　　　EAPの速度とTLSトンネルを組み合わせる
　　　　　クライアントとサーバー間の通信全体をTLSトンネル内で保護する
　　　
　　　PPPに認証機能を追加した拡張プロトコル
　　　　　サーバーとクライアントで相互認証を行うプロトコル

　　　米Microsoft、Cisco Systems、RSA Securityの3社によって開発される

　　　サーバー側は電子証明書の発行、クライアント側はIDとパスワードの使用
　　　　　サーバーとクライアントで相互認証を行う
　　　　　定期的にWEP暗号文の生成・配布が行われることによって
　　　　　　　セキュリティ性の向上が図られている

５．補足

　ＰＰＰはOSI参照モデルの第2層（データリンク層）で動作するプロトコル
　　　電話回線やIATM回線などで利用される

　光回線の時代になると
　　　PPPoE（PPP over Ethernet）
　　　　　従来の通信方式をイーサネットに対応させる
　　　　　ネットワーク終端装置が混雑し通信速度が遅くなる
　　　IPoE（IP over Ethernet）
　　　　　イーサネットの利用が前提、直接インターネットに接続できる
　　　　　ルーターやアダプター等の通信機器をユーザーが用意する必要はない
　　　　　「IPv6」方式のIPアドレスを使用したWebサイトにのみ接続可能

PPPoE（PPP over Ethernet）

IPoE（IP over Ethernet）

１．ＤＡＣ（任意アクセス制御）

Discretionary Access Control
　ファイルなどの所有者が
　　　メンバーの属性ごとに自由にアクセス権限を設定する

　最も一般的な制御方式で自由度が高いのが特徴
　　　UNIXやLinuxが標準で採用しているアクセス制御方式

２．ＭＡＣ（強制アクセス制御）

Mandatory Access Control
　システム管理者によって
　　　定められたセキュリティポリシーによるアクセス許可が強制される

　ファイルなどの所有者でも、定められたレベルの範囲でしかアクセスできない
　　　任意アクセス制御よりもセキュリティが高い

　操作主体と操作対象それぞれにセキュリティ・レベルを段階分けする、
　　　その段階（レベル）を比較することで強制的にアクセス権限を決定する
　　　　　操作主体（サブジェクト）はユーザーやアプリケーション
　　　　　操作対象（オブジェクト）はファイルやディレクトリ

　具体的な例（ルールを設定）
　　　操作主体のレベル ≧ 操作対象のレベル ：読み取りが許可される
　　　操作主体のレベル ≦ 操作対象のレベル ：書き込みが許可される

　　　操作主体のレベルと，操作対象のレベルを比較しアクセス権限を決定する
　　　　　レベル２のユーザーＡは下記ようにアクセス権が設定される

３．ＲＢＡＣ（ロールベースアクセス制御）

Role-Based Access Control
　役割（ロール）に基づいてアクセス権限を付与する

　権限付与は部署ごとに設定される
　　　効率化とセキュリティを両立できる

　メリット
　　　・個人の好みや希望ではなく、個人の役割によって定義される
　　　　　アクセス許可の管理が簡単になる
　　　・アクセス許可はロール（役割）に従う
　　　　　個人ではなくグループ等に役割を与えるため
　　　　　管理者の作業が大幅に軽減される
　　　　　　　職場を異動した場合には所属するグループを変えるだけ

１．ＨＳＭ

　HSM(Hardware Security Module)
　　　鍵を守る金庫の役目をするハードウェア

　　　暗号鍵、電子署名鍵、一般的には128～2048bit程度のバイナリーデータ
　　　　　絶対に他人に見せてはいけないもので、
　　　　　盗まれるなどして万が一鍵が漏えいするようなことがあれば、
　　　　　暗号を解読され機密情報の流出等と大変なことが起きる

　　　暗号文を作成するときや、電子署名を行うとき、
　　　　　鍵を取り出してＰＣ上で暗号処理や署名処理を行う必要がある

　　　　　ＰＣ上に鍵を取り出すと下記の様にして盗み取ることができます
　　　　　　　ＰＣに鍵を取り出すときにデータを盗み見る
　　　　　　　ＰＣのメモリー中にロードされた鍵をメモリーダンプで取り出す

　　　ソフトウェアの工夫だけで鍵を守ろうとしても限界がある
　　　　　鍵を保管するハードウェアとして作られたのがHSM

　　　　　HSMは暗号・電子署名などの演算機能まで本体内に内蔵し、
　　　　　鍵を一切外に取り出さずに暗号、電子署名などの処理を行う

２．ＴＰＭ

　TPM(Trusted Platform Module)
　　　デバイス上でセキュリティ機能を提供するプロセッサー又は
　　　　　規格に準拠したマイクロチップを指す
　　　ハードウェア（製品）でＰＣに内蔵されデータを保護する

　　　暗号キー、パスワード、デジタル証明書をハードウェア内に格納する
　　　　　マルウェアや攻撃者がデータにアクセスし改ざんすることを防ぐ

　TPMには、１.２と２.０が存在する
　　　古いPCの場合、１.２が多く、Windows 11での要件に適していない
　　　Windows 11の要件に適していない理由の多くはTPM非対応が占める

　ファームウェアTPM(fTPM)とは
　　　マザーボード上のファームウェアと組み合わせて利用する仕組みのこと
　　　　　メーカーやモデルによって対応状況が異なるが
　　　　　最近のＰＣではfTPMが一般化しているので、
　　　　　ノートPCやデスクトップPCなど、確認する必要がある

３．ＤＬＰ

　DLP（Data Loss Prevention）
　　　データそのものの情報を守るシステム

　　　データそのものを監視して情報漏えいを防ぐ
　　　　　特定のデータの持ち出しやコピーを検知し、自動的にブロックする
　　　　　機密情報の特徴をDLPに与えることで、判別を自動的に行う

　　　キーワードや正規表現による保護
　　　　　特定のキーワード、正規表現によって指定したキーワード等に
　　　　　該当するデータを判別する

　　　　　昔から利用されていた
　　　　　住所や電話番号・クレジットカード番号などに対して効果てきめん

　　　フィンガープリント（指紋）による保護
　　　　　特定のデータのフィンガープリントを登録することで、
　　　　　関連するデータまでを保護できる

１．「脆弱性診断」とは

　情報システムに存在するセキュリティに関する問題や、
　　　サイバー攻撃に繋がる可能性のある脆弱性を見つける

　自動診断ツールと診断員による手動での診断手法を組み合わせて、
　　　網羅的により多くの脆弱性を見つけるための検査を実施する

２．ペネトレーション（penetration）テストとは

　「侵入テスト」とも呼ばれる
　　　攻撃者としてのゴールを設定した上で、
　　　それが実際に成功するかどうかを検証する

　システムの内部に深く侵入したり、
　　　管理者権限の奪取、クラウドサービスから重要なファイルを探し出す等
　　　あらゆる手法を使って検証を行う

　診断員個人のスキルに依存する面がある
　　　診断員のスキルや熟練度によっては成果は異なる

３．対応例

　・脆弱性診断
　　　網羅的により多くの脆弱性を探すことが目的で、
　　　攻撃をされるリスクを発見する
　　　　　Webアプリケーション診断
　　　　　　　Webアプリケーションを対象とする
　　　　　プラットフォーム診断
　　　　　　　サーバーやファイアウォール等のネットワーク機器を対象とする
　　　　　ネイティブアプリ診断
　　　　　　　スマートフォンなどのモバイル端末を対象とする
　　　　　IoTセキュリティ診断
　　　　　　　IoT機器を対象とする

　・ペネトレーションテスト
　　　実際に攻撃が成功するかどうかで
　　　特定の脆弱性や問題点を発見し攻撃を予防する
　　　　　システムの情報収集、OSINT（Open Source Intelligence）調査
　　　　　　　検索サイトを利用した情報収集によって、
　　　　　　　　　不用意に公開されている情報がないか、
　　　　　　　　　攻撃の糸口となる情報がないかを確認する
　　　　　外部公開サーバに侵入できるかを調査
　　　　　　　プラットフォームやWebアプリケーションについて、
　　　　　　　実際に侵入できる脆弱性があるかを確認する
　　　　　疑似マルウェアを用いて、社員のセキュリティモラルを調査
　　　　　　　標的型メールが届いた場合の対応を確認する
　　　　　疑似感染により、情報持ち出しができるかを調査
　　　　　　　マルウェアに感染した場合のリスクを確認する

１．PKIの説明

　公開鍵暗号基盤（ Public Key Infrastructure）は、
　　　公開鍵と秘密鍵のキーペアからなる「公開鍵暗号方式」という技術を利用し、
　　　インターネット上で安全に情報のやりとりを行うインフラ（基盤）

２．公開鍵暗号方式

　暗号化（復号）するときに「公開鍵」と「秘密鍵」という別々の鍵を使う
　　　「公開鍵」は公開されている誰でも取得できる鍵
　　　「秘密鍵」は 受信側だけが保持している鍵

　「秘密鍵」の管理を厳重に行えば、
　　　万が一第三者が公開鍵を入手したとしても秘密鍵が無い限り解読できない
　　　暗号化された文書の内容が漏れてしまうことはない

　インターネットだと非常に有効性が高い方法
　　　送信者が秘密鍵で暗号化し、受信者が公開鍵で復号すれば
　　　送信者が本人である安全な情報と証明できる

　　　 秘密鍵は一つしかない、且つ本人だけが所有しているから

３．デジタル証明書

　受信者が受け取った鍵の所有者を確認するために
　　　送信者が公開鍵を配送する際に添付する一連のデータセット
　　　認証局（Certificate Authority）と呼ばれる機関が発行する

　送信者は認証局に自らの識別（身元）情報や公開鍵を申請し、
　　　認証局の秘密鍵でデジタル署名されたデジタル証明書を作成してもらい、　　　　
　　　これを受信者に渡す
　受信者は証明書から公開鍵を取り出し署名を検証することで、
　　　認証局がその公開鍵が送信者本人のものであることを確かめる

　ブラウザを使用しhttpsのWebサイトにアクセスする
　　　アドレス欄に鍵のアイコンが表示されるのでアイコンをクリクし
　　　「証明書の表示」を選択すると証明書の内容が表示されます

４．CRLの説明

　証明書失効リスト (Certificate Revocation List) は、
　　　認証局 (CA) 毎に更新・作成する
　　　有効期間内に失効させられたデジタル証明書のシリアル番号が記述されたもの

　デジタル証明書の受信者（アプリケーション）は
　　　証明書とCRLを照合することにより、証明 書が現在も有効であるかどうか確認する

　CRLは、受信者（アプリケーション）に対して公開される