IT

情報処理安全確保支援士試験に役立つキーワード(その4)

これ覚えておけば、情報処理安全確保支援士試験もバッチリ!の第4弾です。

サイバー攻撃手法

サイバー攻撃手法について試験にでるキーワードについて解説します。

ICMP Flood攻撃(Ping FloodまたはSumrf攻撃)

大量のICMPエコーパケットを攻撃対象のサーバに発信することによって、サーバのリソースを枯渇させたり、サーバに至るまでの回線を過負荷にするDDos攻撃です。
対策として、ping応答をしないことがよいです。

ShellShock

直接的または間接的にbashスクリプトを実行しているサーバ上で、意図しないコードが実行される脆弱性のことです。
bashシェルには、環境変数に関数を設定することができます。
例:
function{ echo “echo”}

環境変数の値が(){で始まる場合は、暗黙的にインポートされた関数定義として扱われ、シェルを起動するだけで有効になってしまします。
例:
export function='(){ echo test;}; http://example.jp/script.cgi’
bash
上記コードを実行されると、URL部分をHTTPリクエストヘッダ(User-Agent)に渡されてしまします。

ARPポイズニング

各ネットワーク機器のARPテーブルを意図的に自身の都合のいいように書き換える攻撃手法です。
以下の図で説明します。

1.FWがARPテーブル更新のために同セグメント内へ”192.168.0.l”のARP要求パケットをブロードキャストします。
2.本来はPC1が返答しますが、②’のPC2が自分が”192.168.0.l”だと返答し、FWは先に到着したPC2のMACアドレスを登録します
3.これによって、FWのARPテーブルが本来と想定しないテーブル内容となり、FW→PC1への通信は全てPC2へ届いてしまいます。

そのため、サーバ認証が失敗したら接続しないなどの対策をとるべきです。

DNSキャッシュポイズニング

DNSキャッシュサーバに偽のキャッシュ情報を登録させ、攻撃者の用意した偽のサーバへアクセスさせる攻撃方法です。

手順は以下のようになります。
1.攻撃者は攻撃対象のDNSキャッシュサーバに再帰的な問い合わせをします。
2.DNSキャッシュサーバは権威DNSサーバへ問い合わせをします。
3.権威DNSサーバは再帰的に各上位DNSサーバへ問い合わせをします。
4.攻撃者は権威DNSサーバより早く、偽の問い合わせ結果情報をDNSキャッシュサーバへ回答します。
5.DNSキャッシュサーバはそのキャッシュを登録します。

上記の攻撃が成立するのは以下の条件を満たす必要があります。

・攻撃者の回答したレスポンスの送信元IPアドレスが2の権威DNSサーバのIPアドレスとなっていること
・攻撃者の回答したレスポンスの送信元ポートが2の権威DNSサーバあてのポートとなっていること
・攻撃者の回答したレスポンスのDNSヘッダ内IDが権威DNSサーバへ問い合わせたIDと同じであること

特にDNS問い合わせ時の送信元ポートを53の固定で実装することが多く、DNSヘッダ内のIDを0~65535までの総当たりで試す(カミンスキー攻撃)ことによって効率的にDNSキャッシュポイズニングが行われてしまいます。

そこで、問合せ時の送信元ポート番号をランダム化することによってDNSキャッシュポイズニングを大幅に軽減することが出来ます。

RLO拡張子偽装

RLO(Right-to-Left Overdrive)とは、制御文字の後ろにある文字を左右反転させるUnicode制御文字の事です。
アラビア文字など右から左へ文字を読む言語に適用されています。
このRLOの仕組みを利用した攻撃がRLO拡張子偽装です。

例えば以下のような、アイコンがPDFのファイルがメールに添付されたとします。
“sample.exe.pdf”
しかし、本当のファイル名は”sample.fdp.exe”となっており、実行するとウィルスに感染します。

アンチデバッガ機能

マルウェアがデバッガによる解析を防ぐために、本来の攻撃動作を変更あるいは停止をする仕組みの事です。
例えば以下のような方法があります

1. システムコールを実行する方法
・・・レジストリに格納されている値の一覧を取得する、OSの機能を呼び出します

2. 既知のデバッガのプロセス名を取得する方法
・・・実行中のプロセス一覧から既知のデバッガのプロセス名を取得します

3. 実行時間の計測で処理を中断する方法
・・・マルウェアの実行時間を計測し、ブレークポイントによる中断などを検知します。

有名どころのデバッガツールには「OllyDbg」や「IDA Pro」があります。

パック処理

マルウェアが実行形式を保ったまま圧縮・難読化を施す処理の事です。
具体的には、マルウェアがPCのメモリ上にロードされたタイミングでは、マルウェアの本体が暗号化されているため、ウィルス定義のパターンマッチングによる検知ができません。
そして、マルウェアを実行するタイミングで復号し、動作します。この時、に暗号化の鍵を毎回変えるとより、検知が難しくなります。

セキュリティ対策

ここでは情報処理安全確保支援士試験に出そうなセキュリティ対策について書きます。

DTCP-IP

家庭LANなどにおいて、著作権保護技術(DRM;Digital Rights Management)によって保護されているコンテンツを、他のデジタル機器に配信したり、他のデジタル機器で再生するための技術です。
DLNAとともに用いられ、接続する機器間で相互認証し、コンテンツ保護が行えると認識して初めて録画再生を可能にする方式です。

CPRM(Content Scramble System)

BSデジタル放送や地上デジタル放送に採用され、コピーワンスの番組を録画するときに使われる方式です。

CSS(Content Scramble System)

DVDに採用され、映像コンテンツを暗号化して、複製できないエリアにその暗号化鍵を記録する方式です。

HDCP(High-bandwidth Digital Content Protection)

HDMI端子が搭載されたデジタルAV機器に採用され、HDMI端子から表示機器にデジタル信号を送るときに受信する経路を暗号化する方式です。

WAF(Web Aplication Firewall)

Webアプリケーションの通信に特化したファイアウォールです。
特徴として以下があります。
・プログラムに渡される入力内容を検査し(httpリクエストなど)、アクセス要求を遮断することが可能

WPA2-Enterprise

WPAやWPA2では、無線アクセスポイントに接続する無線機器を認証するために2種類のモードがあります

1.Personalモード
・・・PSK(Pre-Shared Key;事前共有鍵)を使用します。個人や家庭向けの小規模な無線機器向けです。

2.Enterpriseモード
・・・IEEE802.Xを使用します。企業や業務用ネットワークサービスを提供している会社向けに多く、認証サーバや認証プログラムを用意します。

サーバ証明書

サーバとブラウザ間でSSL/TLSを用いて通信を行う際に利用する、公開鍵を含む電子証明書のことです。
サーバ証明書には発行時の審査内容の違いによって、以下の3種類があります。

1.ドメイン認証証明書(DV;Domain Validation)
・・・ドメイン名の使用権を審査します。

2.企業認証証明書(OV;Organization Validation)
・・・組織の法的実在性を審査します。

3.EV-SSL証明書(EV;Extended Validation)
・・・組織の物理的実在性や組織の運営状況などを審査します。

特に新たにWebサーバを立ち上げた際は、ドメイン認証証明書だとサーバの運営者がどこの会社か分からない(あくまでドメイン名の使用権を審査しているだけのため)ため、EV認証証明書を発行するべきです。

団体やフレームワーク

ここでは、情報処理安全確保支援士試験にでる団体やフレームワークについて書きます。

SAMLを用いたシングルサインオン

まず、SAML(Security Assertion Markup Language)とは、OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格のことです。
SAMLは、ユーザの認証情報だけでなく、ユーザにどのクラウドサービスを利用させるかといった認可も実現でき、リソースへのアクセスコントロールが容易になります。

次に、シングルサインオン(SSO)とは、1回の認証で複数のアプリケーションやサービスを利用できる仕組みの事です。
アプリケーションやサービスを使うたびに認証をする必要がないため、手間が省け、利便性が向上します。

SAMLを用いたシングルサインオンの流れを下図で説明します。
※Office365とOneloginは例として使っており、必ずしも下図のような仕組みとは限りません。

1.Webブラウザからoffice365へ接続します。
2.Office365はユーザのWebブラウザを中継し、Oneloginへログイン画面をリダイレクト要求します。
3.oneloginはWebブラウザへログイン画面を表示します。
4.Webブラウザは表示されたログイン画面に必要情報を入力し、認証を要求します。
5.Oneloginは認証サーバへログイン情報を転送し、認証を要求します。
6.認証サーバはoneloginへ認証結果を返します。
7.oneloginはデジタル署名を含んだSAMLレスポンスの送信フォームをWebブラウザに表示します。
8.Webブラウザは表示された送信フォームから情報をOffice365へ送信します。
9.Office365は送られてきたデジタル署名を検証し、問題なければサービスを提供します。

このようにSPはIdPのデジタル署名の真正性を検証するために、事前にIdPのデジタル証明書を入手しておく必要があり、他にも通信方式や連携する属性情報などが記述されたメタデータなども共有しておかなければなりません。

JIS X 25010:2013

正式名称は「システム及びソフトウェア製品の品質要求及び評価(SQuaRE)-システム及びソフトウェア品質モデル」といいます。
本稿では、システムまたはソフトウェア製品の品質特性について記述されており、以下の8つの品質特性と品質副特性があります。

[品質特性]
1.機能適合性(機能完全性、機能正確性、機能適切性)
・・・明示された状況下で使用するとき、明示的ニーズ及び暗黙のニーズを満足させる機能を、製品又はシステムが提供する度合い。

2.性能適合性(時間効率性、資源効率性、容量満足性)
・・・明記された状態(条件)で使用する資源の量に関係する性能の度合い。

3.互換性(共存性、相互運用性)
・・・同じハードウェア環境又はソフトウェア環境を共有する間、製品、システム又は構成要素が他の製品、システム又は構成要素の情報を交換することができる度合い、及び/又はその要求された機能を実行することができる度合い。

4.使用性(適切度認識性、習得性、運用操作性、ユーザエラー防止性、ユーザインターフェイス性、アクセシビリティ)
 ・・・明示された利用状況において、有効性、効率性及び満足性をもって明示された目標を達成するために、明示された利用者が製品又はシステムを利用することができる度合い。

5.信頼性(成熟性、可用性、障害許容性、回復性)
 ・・・明示された時間帯で、明示された条件下に、システム、製品又は構成要素が明示された機能を実行する度合い。

6.セキュリティ(機密性、インテグリティ、否認防止性、責任追跡性、真正性)
 ・・・人間又は他の製品若しくはシステムが、認められた権限の種類及び水準に応じたデータアクセスの度合いをもてるように、製品又はシステムが情報及びデータを保護する度合い。

7.保守性(モジュール性、再利用性、解析性、修正性、試験性)
 ・・・意図した保守者によって、製品又はシステムが修正することができる有効性及び効率性の度合い。

8.移植性(適応性、設置性、置換性)
 一つのハードウェア、ソフトウェア又は他の運用環境若しくは利用環境からその他の環境に、システム、製品又は構成要素を移すことができる有効性及び効率性の度合い。

ITに係る保証業務等の実務指針

公認会計士又・監査法人が実施する監査において、監査基準委員会報告書の要求事項を適切に適用するために適用指針として取りまとめたものです。

本稿には、ITに関わる保証業務の三当事者として以下を挙げています。

1.保証業務の実施者
・・・外部監査人

2.主題に責任を負うもの
・・・経営者

3.保証報告書の想定利用者
・・・現場ユーザなどのステークホルダー

CVSS(共通脆弱性評価システム)

情報システムの脆弱性に対するオープンで汎用的な評価手法のことで、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。以下の3つの基準で脆弱性を評価しています。

1.基本評価基準 (Base Metrics)
・・・脆弱性そのものの特性を評価する基準です。

2.現状評価基準 (Temporal Metrics)
・・・脆弱性の現在の深刻度を評価する基準です。

3.環境評価基準 (Environmental Metrics)
・・・製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です

同一生成元ポリシ

スキーム、ホスト、ポートの組み合わせをオリジンと定め、それらが同じものは同一のオリジンとして取り扱う概念のことです。
例えば、以下は同一のオリジンです。
http://wwww.example.jp:80/test.html
http://wwww.example.jp/bar.html
→スキーム、ホスト、ポートが全て同じであるため、同一のオリジンです。

一方、以下は違います。
http://wwww.example.jp/test.html
https://wwww.example.jp/test.html
→スキームが異なるため、同一のオリジンではありません(クロスオリジン)

オリジンに依存して動作が制約されるものとしては、以下のようなものがあります。
1.XMLHttpRequest
・・・非同期なデータの通信を実現するための API です。
2.Canvas
・・・画像描画のためのHTML要素です。
3.クロスサイトオリジンリクエスト(CORS)
・・・ブラウザがオリジン(HTMLを読み込んだサーバのこと)以外のサーバからデータを取得する仕組みです。

SOAP

他のコンピュータ上にあるデータやサービスを呼び出すために、XML形式のメッセージを交換するためのプロトコルです。
利点として、異なるOS同士のプロセス間でもXMLを利用して通信が可能となる点があります。

XKMS(XML鍵管理サービス)

XML SignatureやXML暗号化を行うために、公開鍵を配布したり登録したりするためのプロトコルです。
Webアプリケーション側で署名や暗号などの処理を外部サービスで処理することにより開発の複雑さを軽減します。

XML Signature

主にXML文書中のエレメントなどに付与されるデジタル署名のことを言います。

ハッシュ関数の衝突発見困難性

ハッシュ関数における衝突発見困難性とは、異なるメッセージM1とM2がハッシュ関数Hに対してH(M1)=H(M2)となるハッシュ値の探索が計算量的に困難であるという性質です。

その他にも、既知のメッセージM1からハッシュ値が一致するM2を計算することが困難であるという、”第二原像計算困難性”やハッシュ値から元のメッセージを計算することが困難であるという、”原像計算困難性”もあります。

JIS Q 27000:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語

情報セキュリティマネジメント(ISMS)の確立、導入、運用、監視、レビュー、維持及び改善するためのモデルの提供をしています。
参照先:
http://kikakurui.com/q/Q27000-2014-01.html

デジタルフォレンジクス

不正アクセスなどのコンピュータに関する犯罪の法的な証拠性を確保できるように、原因究明に必要なデータを収集して保全、分析する活動の事です。
データ保全とは、データの”完全性”が保持されるようにデータを保存することをいいます。
データを保存する順序には
1.揮発性
2.不揮発性のうち、時間の経過に伴って更新される可能性があるもの
を考慮します。

以下のようなデータがあった場合のデータ保存の順序はd→c→a→bとなります・

a)遠隔にあるログサーバに記録された調査対象サーバのアクセスログ
b)調査対象サーバにインストールされていた会計ソフトのインストール用CD
c)調査対象サーバのハードディスク上の表計算ファイル
d)調査対象サーバのルーティングテーブルの状態

システム監査基準

経済産業省が策定した、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行動模範を示したものです。
平成16年度に2回目の改定が行われており、「一般基準」、「実施基準」、「報告基準」という3つの基準がから成り立っています。

PFS(perfect forward secrecy)

PFSとは、サーバの秘密鍵が危たい化しても過去に行われたSSL/TLS通信の内容の機密を確保する考え方です。
具体的には、クライアントとサーバ間で行われる鍵交換に一時的な鍵情報(プリマスタシークレット)を用いて、そのセッションでしか利用できない共通鍵を作成します。
このようなPFSの性質をもつ鍵交換方式はDHE(使い捨てDHアルゴリズム)やECDHE(使い捨て楕円曲線DHアルゴリズム)があります。

参考書籍

過去問を必ず解いて力をつけましょう。