情報処理安全確保支援士 H27秋午前2
25問中19問正解 76%
要チェックメモ
No3
ステートフルインスペクション方式
ダイナミックパケットフィルタ方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォール。
過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断する。
No5
ポリモーフィック型ウイルス
感染するごとにウイルスのコードを異なる鍵で暗号化し,同一のパターンで検知されないようにする。
No11
VLAN(Virtual LAN)は、スイッチに接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークです。VLANにはセグメントの分割を基準により幾つかの方式がある。
・ポートベースVLAN
スイッチの接続ポート単位でグルーピング
・アドレスベースVLAN
MACアドレスやIPアドレスを基準にグルーピング
・ポリシベースVLAN
IP、IPX、AppleTalkなどのネットワークプロトコルごとにグルーピング
・タグVLAN
パケット内の拡張タグに指定された情報によってグルーピング
No19
スパニングツリープロトコル(STP:Spanning Tree Protocol)は、ループ状になっているネットワークにおいてパケットが永久に周回するのを防ぐために使用されるプロトコルで、IEEE802.1dとして規格化されている。
複数のブリッジ間で情報を交換し合い,ループ発生の検出や障害発生時の迂回ルート決定を行う。
No20
TFTP(Trivial File Transfer Protocol)
FTPを簡略化しUDPを用いてファイル転送を行うプロトコル。
情報処理安全確保支援士 H28春午前2
25問中19問正解 76%
要チェックメモ
No3
OCSP(Online Certificate Status Protocol)は、リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコル。
No10
サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )は、公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み。
No24
JIS Q 20000(ISO/IEC 20000)は、組織がサービスマネジメントシステムを計画、確立、導入、運用、監視、レビュー、維持するためのサービス提供者に対する要求事項を規定した規格。
【書籍】徳丸浩のWebセキュリティ教室
Wordsメモ
脆弱性、パスワード、SQLインジェクション、XSS、CSRF、ファイアウォール、、HTTPS、安全なウェブサイトの創り方、JavaScript、IPA、クッキー
tipsメモ
○ウェブサイトの侵入経路は二種類。
・ソフトウェアの脆弱性を悪用
・認証を突破
○2012パソコン遠隔操作事件
→CSRF。2ちゃんねるに投稿したページにJavaScriptを仕込み、犯行予告を掲示板に投稿させた。
・投稿したのは被害者のPC
→捜査当局は投稿元のIPアドレスを過信し誤認逮捕へ。
○XSS
→意図しないJavaScriptが実行される。
・JavaScriptからクッキーにアクセスできる
→クッキーを盗めなくてもウェブページの情報を盗める
→ウェブブラウザからは実行されたJavaScriptがどこに配置されているか判別できない
→HTMLのエスケープ対策等の必要あり
メモ
日経コンピュータのウェブセキュリティ関連の連載をまとめた本。
エンタープライズ向けの実例が多い。
SQLインジェクションが比較的多い。
情報処理安全確保支援士 H28秋午前2
25問中20 問正解 80%
要チェックメモ
No1
AAA。
利用者が情報システムを使用する際に重要となる3つの機能。
「Authentication(認証)」、「Authorization(認可)」、「Accounting(課金)」の頭文字を組み合わせた言葉。
No3
POODLE(Padding Oracle On Downgraded Legacy Encryption)。
SSL 3.0のブロック暗号のCBCモードにおける「パディングの最終1バイト分だけをチェックして正しければメッセージ全体が正しいと判断する」という欠陥を突いて、通信内容の解読を試みる攻撃。
No8
CRYPTREC(Cryptography Research and Evaluation Committees)は、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト。
暗号の安全性に関する情報を提供することを目的として、「共通鍵暗号」「公開鍵暗号」「ハッシュ関数」「擬似乱数生成系」の4種類の暗号技術に対して評価を行い、レポートや推奨可能な暗号のリストを作成する。
No14
EAP-TLS。
EAP(Extensible Authentication Protocol)でサポートされている方式の1つで、サーバおよびクライアント認証にTLSの機構を用いる。
TLSではサーバとクライアントの間でディジタル証明書を用いた相互認証を行う。
IEEE802.1Xで使われる。
Windowd Update
・セキュリティ更新プログラムは、ソフトウェアの脆弱性 (弱点) を修正するソフトウェア プログラム。
・マイクロソフトは米国時間毎月第 2 火曜日 (日本では翌日の水曜日) にセキュリティ更新プログラムを公開。
マイクロソフト セキュリティ アラートの深刻度 | Microsoft Docs
→「緊急」「警告」等のアラーとの深刻度は以下の特徴でで判断。
マイクロソフト製品の脆弱性の悪用
感染方法
新たな感染方法
感染拡大の可能性
一意なデータの破壊
大幅なサービス妨害
→マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明
2019 年 1 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
→1月は深刻度「緊急」が3件。
情報処理安全確保支援士 H29春午前2
25問中14問正解 56%
要チェックメモ
No4
TPM(Trusted Platform Module)。
PCのマザーボード上に直付けされ、RSA暗号の暗号/復号や鍵ペアの生成、ハッシュ値の計算、デジタル署名の生成・検証などの機能を有したセキュリティチップ。
No6
DNS水責め攻撃(Water Torture Attack,ランダムサブドメイン攻撃)
脆弱性のある公開キャッシュサーバ(オープンリゾルバ)や欠陥を持つホームルータに対して、実際には存在しない幾つものサブドメインに対するDNSクエリを発行することで、権威DNSサーバへの問合せを意図的に大量発生させる攻撃。
No11
Man-in-the-Browser攻撃(MITB)。
ユーザPC内でプロキシとして動作するマルウェアによってWebブラウザ~Webサーバ間の送受信をブラウザベースで盗聴および改ざんする攻撃。
インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの攻撃例がある。
同じように送受信を改ざんするMan-in-the-Middle攻撃と異なり、クライアント内で書換えが行われるためWebサーバ側で不正処理を拒否することが難しいという特徴がある。
No13
ウイルス対策ソフトやIDS/IPSにおける誤検知のパターン。
フォールスネガティブ(False Negative)
本来は検知すべき悪意のある活動を、誤って害のないものとして分類すること。検知漏れ。
フォールスポジティブ(False Positive)
本来は通過させるべき害のない活動を、誤って悪意のあるものとして分類すること。過剰検知。
No14
OAuth2.0
異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワーク。
以下の3種類のロール(役)が登場。
リソースオーナ (resource owner)
リソースサーバ内の保護された情報へのアクセスを許可するエンドユーザのこと。利用者。
リソースサーバ(resource server)
保護された情報を保持し、Webサービスを提供するアプリケーションのこと。リソースオーナを認証しクライアントにアクセストークンを発行する認可サーバ(authorization server)の役割を兼ねることが多い。
クライアント(client)
リソースオーナの認可を得てリソースサーバにアクセスするサードパーティアプリケーションのこと。
No17
IEEE 802.1Xの認証システムは3つの要素で構成。
認証を受けるクライアントである「サプリカント(supplicant)」、RADIUSなどの「認証サーバ(authentication server)」、RADIUSクライアントの機能を持ち、認証サーバ間の認証プロセスを相互に中継する認証装置(認証スイッチ)である「オーセンティケータ(authenticator)」
セキュリティ関連技術-DNS
DNSのセキュリティ関連技術まとめ(情報処理安全確保支援士等で頻出)
【前提知識】
「Domain Name System」の略。 インターネットに接続されたコンピュータの情報(ドメイン名とIPアドレスの対応など)を提供する仕組み
DNSによる名前解決より、hostsファイルによる名前解決が優先される。
○DNSキャッシュ
各問い合わせの結果をローカルに保存しておき、後で同じ問い合わせがあった場合にその内容を再利用することで、再度問い合わせを行わずに済むようにする。(ルートへの多量のアクセスを防ぐ)
DNSでは「どのくらいの期間までキャッシュとして利用してよいか」という、TTL(Time To Live)と呼ばれるパラメータが、それぞれのデータ(レコード)に設定されている。
キャッシュサーバが外部ドメイン名の検索を行うのに対し、コンテンツサーバは独自のドメインを管理する。
○BIND
Berkeley Internet Name Domain。
DNSサービスのためのプログラム。
Internet上の多くのDNSサーバで、BINDが使用されている。
○リゾルバ
自分のキャッシュにそのホスト名が存在すれば対応するIPアドレスを返す。
キャッシュにない場合には、権威DNSサーバと呼ばれる、世界中のドメインとIPアドレスの対応表を持つサーバ(実体は1つのサーバではなく複数サーバのツリー構造になっている)に問い合わせる。
○オープンリゾルバ
DNSの名前解決を行うサーバやネットワーク機器などのうち、 不特定のクライアントからのDNS の問い合わせについて、 最終的な答えが得られるまで繰り返し問い合わせを行う再帰的な名前解決を行い、 結果を回答するDNSサーバ。
○DNSレコード
DNSにおいて情報を指定する形式、 または指定された情報を「DNSレコード」と呼ぶ。 DNSレコードには、 A・AAAA・CNAME・MX・NS・PTRなど多くの種類がある。
○MXレコード
MXは「Mail eXchanger」の略。 MXレコードは、 ドメイン名と電子メールの配送先を対応づけるDNSレコード。
【DNSの攻撃】
○DNSキャッシュポイズニング攻撃
キャッシュサーバに偽のDNS情報を送り込むことで、攻撃者のサーバにアクセスさせたり、キャッシュサーバの機能を停止させる。
DNSスプーフィングの代表例がキャッシュポイズニング攻撃。
○カミンスキー攻撃
キャッシュポイズニング攻撃の一種。
キャッシュサーバに対して、ドメインは実在するが、存在しないホスト名で問い合わせることで、キャッシュサーバから権威DNSサーバに強制的に問い合わせをさせるという攻撃。
キャッシュのTTLを長くしても強制的に問い合わせが発生するため、繰り返し攻撃すれば成りすましに成功する確率が高まる。
○DNSリフレクション攻撃
DNSを用いたDoS (Denial of Service)攻撃。
DNSへの問い合わせメッセージ中にある送信元IPアドレスを、 本来の送信元ではなく攻撃対象ホストのIPアドレスに偽装し、 踏み台となる(攻撃対象とは異なる)DNSサーバに問い合わせを送る。
受け取った踏み台サーバは、回答先として攻撃者ではなく、DNSメッセージ中のIPアドレス、 つまり攻撃対象のホストに対して回答を送信する。
こうすることで、攻撃者は自分のホストからではなく、 踏み台を経由して攻撃対象にDNSメッセージを送る。
○DNS増幅(アンプ)攻撃
DNS amplification attack
DNSではプロトコルの性質上、 メッセージのサイズは問い合わせよりも回答の方が大きくなりやすいため、 攻撃者の利用できる帯域よりも大量のトラフィックを、 攻撃対象に対し集中させる。
オープンリゾルバはDNSのDos攻撃の踏み台に使われやすい。
【対策】
○DNSSEC
Domain Name System Security Extensions。
DNSで提供する情報に電子署名を付加し、 DNSを使って得られた情報と発信元にある情報との同一性を保証する。
データの偽装を検知し、DNSキャッシュポイズニングを防ぐ。
○パケットフィルタ等で問い合わせ可能なホストを限定する。
○キャッシュサーバとコンテンツサーバを分散
コンテンツサーバは外部に公開する必要がありるが、キャッシュサーバを外部公開する必要はないため。キャッシュ改ざん等の危険な攻撃に対して有効な対策になる。