読者です 読者をやめる 読者になる 読者になる
無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

XSSの攻撃手法いろいろ

html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行…

結果報告

えー、無事、合格しました。ということで、今日から情報セキュリティエンジニアです!、、といえるほどスキルがついたとは到底思えませんが、まぁ、SQLインジェクションとか、XSSとか、常識として知っておくべきことは確認できたかと。あと、「ブログに勉強し…

いってきました。

試験にいってきました。以下わからなかったところ。 rootkit 聞いたことある!!!・・・けど知らん。「rootkitはファイル/プロセスをどうやって見えなくするか?」という設問だったので、「OSの内部プロセス/ファイルに偽装する」とか妄想してみたけど、やっぱ…

忘れていた用語など

問題集を解くにあたって、忘れてしまっていた用語などをまとめておきます。 スラッシング メモリの大量使用によって仮想メモリへの入出力処理が増大し、CPU負荷が高まること。 (e-Words - スラッシングより) フラグメンテーション 記憶装置の使用領域の断片…

VLAN

ポートやMACアドレスによって論理的にドメインを分割し、1つの物理的なネットワーク上に複数のネットワークを構築する技術。または分割された個別のネットワークのこと。分割されたネットワーク間では、IP層での中継を行わない限り、パケットが転送されない…

VPN

インターネットのような公衆ネットワーク上にプライベートなLANを構築する技術。 インターネットVPN IP-VPN SSL-VPN などの方法がある。 インターネットVPN IPSecの暗号/認証/改ざん検知機能を利用してインターネット回線上にセキュアなトンネルを形成し、そ…

SAML

認証情報/認可情報をやりとりするためのプロトコル。シングルサインオンなサービス間で認証/認可情報をやりとりする時に使われる。SOAPベース。 用語 アサーション(Assertion) 対象とする主体の認証や属性あるいは資源に関する認可権限の証明。 SAMLオーソ…

PPTP/L2TP

物理/データリンク層のパケットをカプセル化して転送するトンネリングプロトコル。拠点-クライアント接続でのVPNで使われる。似たような機能のIPSecは拠点間接続向き(ということは、きっとこっちのほうがクライアントの設定が簡単なんだろうな。)。SSLは同じ…

アクセス制御

データやデバイスのアクセスコントロールを行い、権限のないユーザーからの不正利用を防ぐ。情報漏えい対策の基本。制御対象となるリソースを「オブジェクト」、アクセスする主体を「サブジェクト」と呼ぶ。 制御方式 制御方式として以下がある。 任意アクセ…

Webアプリケーションのセッション管理

アクセスしてきたユーザーごとにセッションIDを発行し、それとユーザー独自のデータを関連付けて管理する。(ユーザー識別情報そのものをやり取りしていると、個人情報の漏洩リスクが高まるため。) セッションIDを盗聴や推測により奪取されると、セッションハ…

ログ

問題発生時の原因調査や分析のため、システムのログを残す。最近はセキュリティ監査等でも利用されるらしい。 ログ収集時の留意事項 時刻の同期 ログを出力する機器の時刻を同期しておくこと。複数のログを結びつけて進入経路を特定とかできるようにするため…

バックアップ

フルバックアップ 差分バックアップ 増分バックアップ がある。 フルバックアップ 完全なコピーを取る ○リストアが容易 ×バックアップに時間がかかる。 差分バックアップ 前回のフルバックアップからの差分のみバックアップする。 リストア時は、以下を行う…

RAID

おなじみの、ディスクの高速アクセス/可用性向上技術。 RAID 0 複数のディスクにデータを分散して書き込む ○データアクセスの高速化が可能 ×データの可用性は向上しない RAID 1 複数のディスクにデータを2重に書き込む ○データの可用性向上 ×データの入出力…

Webアプリケーションファイアウォール

アプリケーション層のデータでフィルタリングが可能なファイアウォール。 CookieやHTTPプロトコル、HTTPヘッダ、ボディの内容をチェックし、SQLインジェクションや、XSSによる攻撃を防ぐことも可能。リバースプロキシとして動作する。ロードバランサやSSLア…

時刻認証

取引や手続きが行われた時刻や文書が作成された時刻を証明する仕組み。 存在証明 タイムスタンプの時刻に電子データが存在していたことの保証。 完全性証明 タイムスタンプ発行後にデータが改変されていないことの保証 が可能。 タイムスタンプの追加 タイム…

侵入検知/防止システム

侵入検知システム(IDS) ネットワーク監視型(NIDS) ホスト監視型(HIDS) 侵入防止システム(IPS) がある。 NIDS (Network Intrusion Detective System) ネットワークを監視する侵入検知装置。NICのプロミスキャスモード(無条件受信モード)を利用して、接続し…

FireWall

コンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェアまたはハードウェア。チェックするパケットに応じて、次の3つに大分される。 パケットフィルタ型 サーキットレベルゲート…

シングルサインオン

1回の認証で複数のサーバーサービスにアクセスできるようにすること。これによりユーザーが複数のアカウント/パスワードを管理する必要がなくなり、利便性の向上が期待できる。 実現方法としては次の2つがある。 エージェント型 リバースプロキシ型 エージェ…

ウイルス対策

ウイルス対策について。 セキュリティパッチの適用、ディスク持込禁止等の基本的対策 ウイルス対策ソフトウェアの導入 検疫ネットワーク がある。 基本の対策 セキュリティパッチの適用 セキュリティパッチを適用することで、セキュリティホールを突いたウイ…

SSL/TLS

トランスポート層、セッション層の間で暗号化を実現するプロトコル。RFC 2246としてIETFで標準化されている。 ○IPSecと比べて設定が容易。 ×アプリケーションごとに対応が必要。 提供される機能は次の通り。 クライアント/サーバー認証 (公開鍵を使った相互…

IPsec

ネットワーク層で暗号化を実現するプロトコル。IPv6では実装必須。IETFが策定。 ○それより上のすべてを透過的にセキュアにできる。 ×専用ソフトのインストールなどが必要で、クライアント/サーバー間通信で使うのは面倒。拠点間接続向き。 機能は次の通り。 …

PKI (Public Key Infrastructure)

鍵と証明書のライフサイクル管理を行なうシステム。信頼できる認証局を介した第3者認証により、公開鍵の正当性を保証する。公開鍵暗号を使った 通信の暗号化 相互認証 否認防止 完全性保証 なんかを実現するための基盤として必要。覚えておくべきキーワード…

デジタル署名

データの作成者の認証(否認防止)とデータの改ざん検知を行う仕組み。公開鍵を使ってさくっと実現できる。手順は次の通り。 送信者が、送信データのハッシュ値を計算 送信者が、ハッシュ値を自身の秘密鍵で暗号化して、送信データに追加。 送信者がデータを送…

ハッシュ関数(メッセージダイジェスト)

任意のデータから、以下の要件を満たすバイト列を生成する関数。 似たデータから似たハッシュ値が生成されない あるデータとハッシュ値が等しい別のデータ(ハッシュ値の衝突(collision))が容易に生成できない ハッシュ値に偏りがない MD4,MD5(128ビットの…

暗号方式x3

暗号方式x3 以下の3つの方式がある。 秘密鍵暗号方式(共通鍵暗号方式,対称鍵暗号方式) 公開鍵暗号(非対称鍵暗号方式) ハイブリット方式 秘密鍵暗号方式(共通鍵暗号方式,対称鍵暗号方式) 暗号化と複合化に同じ鍵を使う。ブロック暗号タイプとストリーム暗号タ…

毎回忘れる-ルーティングプロトコル

知らなくてもいいような気はするけれども。 ダイナミックルーティングとスタティックルーティング ルーティングにはダイナミックルーティングとスタティックルーティングがある。 スタティックルーティング 指定されたルーティング情報に基づきルーティング…

毎回忘れる-稼働率

機器A,Bがあるとして、それぞれの稼働率をa,bとすると、 条件 稼働率 AとBの両方が動いてないとダメ a*b AまたはBのどちらかが動いていればOK 1-(1-a)*(1-b) AND条件はよしとして、OR条件は両方が動いていない率を1から引く感じ。

毎回忘れる-平均サービス待ち時間の計算式

毎回忘れるよね! 平均サービス待ち時間 = 利用率 / (1-利用率) * 平均サービス時間 利用率 リクエストが来たときにサービスが忙しい確立。一時間に3回リクエストがきて、処理に10分かかるとしたら、利用率は「3*10/60=0.5」となる。 平均サービス時間 リクエ…

認証-認証プロトコルいろいろ

RADIUS (Remote Authentication Dial In User Service) 「認証」「認可」「アカウンティング」のサーバーでの一元管理を目的とする認証プロトコル。 認証(Authentication) 利用者が誰であるかを識別すること 認可(Authorization) 認証済みの利用者に対してサ…

認証-ICカード

モノによる認証。盗難等は必然的に起こりうる。 耐タンパ性 ICカードのセキュリティレベルを示す指標。外部からの不正な読み出しや破壊に対する耐性を示す。 ICカードに対する攻撃手法 名称 手段 プロービング 針を刺して信号を読む リバースエンジニアリン…

認証-バイオメトリックス認証

身体的な特徴や行動面での特性など個人に固有の情報を利用して認証を行う。 ○詐称が困難。なりすましが困難。 ○識別情報の管理が容易。暗記不要。盗難等にも強い。 ×事前に特徴の入力が必要 ×特徴が似ている場合、誤認識のおそれがある。 ×特徴が体調や加齢…

認証-ワンタイムパスワード方式による認証3つ

1回だけの使い切りのデータを用いて認証を行う認証方式。 ○1回だけの使い切りなので、盗聴されても安心 ○リプレイアタックも防げる ×クライアント認証で使う場合、サーバー認証の機能はないのでサーバーのなりすましは防げない。 次の3つの方式がある。 チャ…

認証

認証 何かしらの知識をもとに、対象の正当性を確認する行為。(→認証 - Wikipedia) 認証する対象 情報セキュリティで認証する対象として出てくるのはだいたい次の3つ。 人 ユーザー認証。操作を実行する人が正当か確認する。 ハードウェア ハードウェアが正当…

脆弱性と対策-ネットワーク構成

機密性/完全性に関する脆弱性 脆弱性 リスク 対策 セキュリティレベルの違うサーバーが同じセグメント内に混在 公開サーバーが攻撃を受けのっとられた場合、社内サーバーが攻撃を受ける。内部犯罪の誘発。 セキュリティレベルに応じてセグメントを分割する。…

脆弱性と対策-無線LAN

認証 脆弱性 リスク 対策 通信パケットに暗号化されないSSIDが含まれる SSIDでのユーザー認証の無効化 IEEE802.1Xなどによる認証の強化 APからのビーコン信号にSSIDが含まれる SSIDでのユーザー認証の無効化 IEEE802.1Xなどによる認証の強化/ビーコン信号の…

脆弱性と対策-DNS

脆弱性 リスク 対策 不正なDNS情報をキャッシュしてしまう(DNSキャッシュポイズニング) 不正なサーバーへの誘導→ファーミング詐欺 TSIGによるゾーン転送を受け入れるサーバーの認証 ゾーン転送してしまう 内部ネットワーク構成の漏洩 設定により、不要なゾー…

脆弱性と対策-メールプロトコルの脆弱性と対策

メールの送信(SMTP)と受信(POP)プロトコルの脆弱性と対策まとめ。 メール送信プロトコル(SMTP)の脆弱性 脆弱性 リスク 対策 メールの投稿と中継の仕組みが同じ パケットフィルタリングによる第三者中継の抑制が困難 Outbound Port 25 Blocking(外側へのSMTP…

攻撃手法-ウイルス/ワーム類

悪意を持つプログラム。以下の機能を持つ。 潜伏 伝染 発病 種別 説明 ウイルス 寄主(ファイル)を必要とするモノ。OSのブートセクタやexe等のプログラムに感染し、実行時に悪事を働く。また、アプリケーションのマクロを利用しファイルに感染するマクロウイ…

攻撃手法-CSRF(クロスサイトリクエストフォージェリ)

Cookie等に保存された正しい認証情報を使って、正規ユーザーに任意のコマンドを実行させる。 流れ 正規ユーザーが認証→認証情報がクッキーに保存される。 攻撃者がコマンドを実行するURLを正規ユーザーに送る。 正規ユーザーがURLをクリック。→クッキーの認…

攻撃手法-XSS

問題を持つWebサイトを利用し、ターゲットのブラウザで任意のスクリプトを実行させる。 クッキー情報の奪取 Webサイトの改ざん 等が可能。 流れ ユーザが悪意あるWebサイト(悪意のあるスクリプトを含むURLがある)を閲覧 ユーザーがURLのリンクをクリック。→…

攻撃手法-OSコマンドインジェクション

入力値をそのままプログラムとして実行するような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、プログラムを不正に実行する。 対策 危険な関数の利用を避ける。 パラメータのチェック/サニタイズ WAFでの入力値チェック プログラムに…

攻撃手法-SQLインジェクション

入力値をそのままSQL文の一部に組み込むような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、データベースに不正アクセスする。 対策 ストアドプロシージャの利用。 パラメータのサニタイズ WAFでの入力値チェック プログラムに与える…

攻撃手法-バッファオーバーフロー

脆弱性のあるプログラムを悪意のあるパラメータで起動し、任意のコマンドを実行させる。 対策 ソフトウェア利用者 最新のセキュリティパッチを適用する。 スタック領域でのプログラム実行をOSの機能で禁止する。 プログラム実行を禁止するOSの機能を使う。(…

攻撃手法-スプーフィング

パケットの改変によてMACアドレス、IPアドレスなどを詐称し、それによるによるアクセス制御を無効化する。 対策 詐称されうる情報に頼ったアクセス制御を利用しない。

攻撃手法-セッションハイジャック

正規のユーザーにより確立されたTCP(や、より上位の層の)セッションを横取りし、正規ユーザーの権限でシステムに不正アクセスする。 名前 方法 リスク 対策 セッションハイジャック TCPやHTTPのセッションを奪取しなりすます。 奪取したセッションによる不正…

攻撃手法-パスワードクラック

パスワードを不正に入手し、システムにアクセス。情報漏洩やデータの改ざん、システムの破壊などのリスクにつながる。 名前 方法 対策 ブルートフォースアタック プログラムを利用した総当たり攻撃で、ユーザーのパスワードを得る パスワードを長くする。定…

攻撃手法-Dos(サービス不能)攻撃

ソフトウェアの停止やネットワークの負荷をあげ、サービス不能に陥れる。このほか、バッファオーバーフローでサーバープログラム停止→サービス不能とかもできる。(その場合、不正なコマンドを実行されることのほうが問題なのでここにはいれない。)大きく、 …

攻撃手法-情報収集

攻撃対象の情報収集手法のリスト。リスクには直結しないが、脆弱性が発見されることにより次の攻撃につながる。 名前 方法 リスク 対策 フットプリンティング 企業のディスクロージャ情報やWebページ、JPNICデータベース、およびDNSからターゲットとなるホス…

攻撃手法-おおざっぱな分類

主な攻撃手法はだいたいこんな感じ? 情報収集 DoS(サービス不能)攻撃 パスワードクラック セッションハイジャク スプーフィング バッファオーバーフロー OSコマンドインジェクション SQLインジェクション XSS/CSRF ウイルス/ワーム類 なんか足りない気もする…

評価制度

「情報セキュリティマネジメントシステム」と「個人情報の取り扱い」についてそれぞれ認定制度がある。どちらもJIPDECが管轄 ISMS適合性評価制度 企業の情報セキュリティマネジメントシステム(ISMS)が、JIS Q 27001:2006に準拠していることを認定する評価制…