2009年度 IPA情報セキュリティセミナー 技術コース標準編
2009年6月26日(金曜日)
2009年度 IPA情報セキュリティセミナー 技術コース標準編
更新: 2009年6月30日0時20分頃
2009年度 IPA情報セキュリティセミナー (www.ipa.go.jp)開催。本当はマネジメントコースに参加したかったのですが、プレスリリースが出て間もないはずなのに受付終了していて断念、技術コースに出てみました。
※実はこれ、参加無料の上に、タダで情報セキュリティ白書2009 (www.amazon.co.jp)
以下、私が気になったポイントをメモ。あくまで私のメモなので、本筋の部分はあまりメモしていません。
情報セキュリティ10大脅威
DNSキャッシュポイズニング
- カミンスキーのアレ。
- 米国のISPのDNSが実際に攻撃を受けたとか。
- DNS Ampの話 (いや、これ別の話になってますけど……)
標的型攻撃
- 昔はexeやscrなどの実行ファイルが添付されてくるのが常套手段で、頑張って拡張子を偽装したりしていました。最近の攻撃ではdocやpdfなどの文書ファイルが添付されてきて、拡張子も本当にpdfやdoc。そしてリーダー側の脆弱性を突いてくるという。
- IPAからのメールを装った攻撃もあり、文面はIPAのサイトの本物をコピペしたもの。これを機に、「IPAからは添付ファイル付きメールを送らない」というポリシーを定めた (ので、IPAから来たメールに添付ファイルが突いていたら偽物と判断して良い)。
- 防ぐのはなかなか難しい。標的型攻撃に関する情報収集と周知徹底が重要。
情報漏洩
- 今年に入っても相変わらずWinny、Shareからの漏洩は多い。恥ずかしながら、IPAからもWinny経由で情報漏洩した人が出てしまった。
- 漏洩させないためのルールづくりが重要。IPAはそういうルールを持っていて、それ故、例の漏洩事件でもIPAの重要情報は漏れていなかった (漏洩したのは前職での情報)。
- 端末操作の履歴、USBメモリの無断使用禁止、等を定める。ルールが守られないこともあり得るが、それで事故が起きた場合はその個人の責任となる。
- 大企業では、会社支給の携帯電話を紛失したら懲戒処分となる場合がある。懲戒処分なので社報にも載る。罰を与えるというよりも、管理の重要性を周知するという意味合いが強い。
- 情報持ち出し時には暗号化を行う。たとえば、必要に応じて暗号化機能付きUSBメモリを貸し出すなど。
ウィルス・ボットの感染経路
- USBウィルス、と言われるがSDカードでも観戦。店頭のDP端末も感染した。不特定多数が使うPCは危険。
- 最近のボットは指令サーバが冗長化されている。ホットスタンバイで立ち上がってくる。
- 最近のPCはパワフルなので、ボットが動作していても動作が遅くなるなどの症状が出にくく、気付かない。
- exeではない感染経路。PDF, MS Officeの脆弱性を悪用。「ウィルスはexe」の常識が覆る(一昔前はアイコン偽装、拡張子偽装)。見分ける方法は、出所を見るしかない。
- USBメモリ経由の感染。「ネットに繋いでいないから安全」が覆る。オフライン、隔離ネットワークへの感染。
- ボット感染の罠を仕込まれたサイト増加。SQLインジェクションで正規サイトに罠が埋め込まれている。
脆弱な無線LAN
- WEPはすぐに解読できる
- 無線LAN APただ乗り、不正メール送信に利用。ある日突然警察が……。
- 自分の家のAPをわざと脆弱にしてとぼけた、などという事例も。
- WEPはだめ、WPA2+AES。
- そもそも無線LANを使う必要があるのか?
- パスワード/ネットワークキーに注意。IEEE802.1xでは最低20文字以上とされている。
※2009-06-30 追記: ここは私のメモの間違いで、「IEEE802.11 では、WPA2で“パスフレーズ”を設定する場合は最低でも20文字にする」が正解とのことです。コメント参照。
- WPS、AOSSなどの自動設定を使用するのも有効(ただし勝手に使われる事故も……知らないうちに子どもがDSを接続)。
スパムメール
- エラーメールに注意。偽装された送信元に大量のエラーメールを返すと、それがDoS攻撃になることも。
- 第三者中継を許すサーバは最近ほとんど見ないが、便利なアプライアンス(UTM)を入れたら、不正中継をするようになってしまったという事例も。チェックはすべき。
ユーザIDとパスワードの使い回し
- 攻撃者は、マイナーサイトで盗み取ったIDとPASSをYahoo!で試す。
- 覚えられないが……「信頼できる」パスワード管理ソフトを使うのも手。
正規サイトを経由した攻撃
- 難読化されたスクリプトの埋め込みが多発。GENO→中国サイトに飛ばされて感染。
- 難読化の意味……解読を困難にし、遷移先の分析を困難にする。改竄されたサイトの一覧をGoogleで取得することが難しくなる。訳の分からない文字列が大量にあったら危ないと思って良い。
- GENOウィルスの感染例路は調査中だがなかなか分からない。SQLインジェクションで広まるわけではない、FTPのアカウントが盗まれているが、それがすべてでもない。FTP用の端末が感染し、PC内のHTMLにことごとく不正コード埋め込まれたり。
- 様々なサイトをリダイレクトして最終的にウィルスサイトにたどり着く「ナインボール」型。
誘導型攻撃
- 誘導の手段
- ネットサーフィン中に誘導される
- スパムメールに記載のURL
- 添付ファイルクリックで
- 悪意あるバナー広告
- 謎のSEOで検索上位に出現
- 利用される脆弱性
- XSS
- 脆弱なソフトウェア
組み込み製品
- 組み込み製品のCSRFなど。
- 機器の設定画面をタブブラウザの複数タブで開かない。作業が終了したらブラウザを閉じる。
脆弱性関連情報の届出状況
- 今週も「ウィルス対策ソフトがあればWindows Updateはしなくても良いのですよね?」って言われた。
- 届出情報が多すぎで担当者が死にそう。
※SQLインジェクションのサンプルが微妙かも。本来、攻撃者は 'john' を知る必要がないはずなので。XSSの説明も分かりにくいかも。検索サイトでCookieが盗まれて何が起きるのかと。
不正アクセスの届出状況
- インターネット定点観測「TALOT2」: 10箇所で監視。サービスは特に動いていない状態で、ただ繋いで放置しておく。
- 一日あたり119箇所から372件のアクセス。
- 届出件数は減っている。が、被害は減っていない様子。届出を控える傾向にある?
- 統計では、SQLインジェクションは「侵入」に含めている。「その他」は不正プログラム埋め込み、なりすまし(他人のID・パスワードを利用)など。MMORPGの不正アクセスが増加している。
- 「2009年度 IPA情報セキュリティセミナー 技術コース標準編」へのコメント (4件)
- 前(古い): マクドでDS
- 次(新しい): 2009年度 IPA情報セキュリティセミナー 技術コース専門編
