HOME > 学問・資格 > 【情報処理安全確保支援士】午後試験対策の知識まとめ

【情報処理安全確保支援士】午後試験対策の知識まとめ


情報処理安全確保支援士の午後試験対策.jpg


情報セキュリティスペシャリスト試験の内容は情報処理安全確保支援士試験の内容とほぼ同じだそうなので、私が学生時代に制作した、午後試験対策の知識のまとめをそのまま記事にすることにしました。
なるべくコンパクトに、最低限必要になると思われる知識をまとめました。文字ばかりで箇条書きですが、この内容を全て理解できれば合格はよりいっそう近づくでしょう。





1.攻撃手法


  • ログをオーバーフロー(溢れもしくはDOS攻撃)させることによるログ情報の消失とログ記録をさせない。
  • ログの記録にUDPを使用するとログの取りこぼしが発生する。(パケットが欠落しても再送されないので)
  • バリアセグメントとはファイアウォールの設置されていない、DMZのことである
  • 侵入者が権限昇格をする理由は、自分が侵入した証拠を消すため
  • ワームに感染したPCを調べるにはFWのログから特定のポート番号あての通信を繰り返しているPCのIPアドレスを調べる。
  • セキュリティソフトは定期的ではなく常時更新する
  • HTMLメールは表示にWebブラウザを使用するので、脆弱性がある場合メールからも攻撃される。
  • ウイルス対策ソフトはパスワード付きの圧縮ファイルなどの暗号化されているものは中身まで検査できない
  • 127.0.0.1は端末自身を指す特別なIPアドレスのことである。ブラウザで見てもなにも表示されない
  • hostsファイルとはホスト名のデータベースのことでIPアドレスとホスト名の対応を記述したテキストファイルである。
  • つまり、悪意のあるサイトのドメイン名(ホスト名)をhostsファイルに127.0.0.1で対応付けて登録しておくとそのサイトにアクセスできなくなる。
  • 逆にセキュリティソフトの更新ファイルをダウンロードするドメイン名(ホスト名)を登録しておくと、更新ファイルがダウンロードできなくなる。
  • パスワードのポリシを厳しくするとパスワードを書いた紙をログインに使うパソコンの近くに置かれる可能性がある。
  • DNSのゾーン転送にはTCPを使用しているが名前解決にはUDPを使用しているため、応答するDNSのIPアドレスを詐称し毒入れすることができる
  • キャッシュの汚染対策には、回答されたIPアドレスに対しDNSリバースルックアップ(逆引き)を行う
  • SYN Flood対策としてハーフコネクション(3ウェイハンドシェイクにおいてSYN/ACKで終わったまま放置)が多いIPアドレスからの一時接続拒否をするかハーフコネクション用のバッファを大きくする応答時間監視タイマのタイムアウト時間を短くする。
  • スパイウェアをいきなり削除すると他のアプリケーションなどに影響を及ぼす可能性があるので、一旦隔離して様子を見る。
  • スパイウェアやワームなどによる外部への情報漏洩を防ぐためにはパーソナルファイアウォールを設置する。
  • ボットはインターネット上のIRCサーバに、TCPポート番号6667番を使用し通信することが多い
  • ボットは自分自身をアップデートし、ウイルス対策ソフトなどに見つかりにくくさせる。
  • ボットを検出するにはnetstatコマンドを使用し、見知らぬ接続先とTCPポート6667番による通信が確立されているかどうか確認する。その後psコマンドを使用し通信プロセスを終了させる

2. PKI


  • ディジタル署名を付加することにより「なりすまし」「改ざん」「事後否認」を防止する。
  • メールの受信者が受信したメールの改ざんを検知するには、ディジタル署名を送信者の公開鍵で復号してハッシュ値を取り出し、元のメッセージに対するハッシュ値と比較する。
  • 送信者の否認を防止するには、メッセージの改ざんの有無の確認と本人が送信したものであることを確認する事が必要
  • コードサイニングとは、配布するプログラムにディジタル署名を施すことによって、配布元の認証(コード署名証明書)と第三者による改ざんの検出(コード署名)を行う技術である。
  • タイムスタンプは発行時の存在証明それ以降に改ざんされていないことを保証する。
  • コード署名はプログラムの改ざんの有無を検出するものであり、プログラムがマルウェアであるかどうかを保証するものではない。コード署名があっても、作成者がマルウェアを組み込む可能性がある。
  • 電子証明書に有効期限があるのは、暗号技術や鍵の強度が永久に確保されるものではないから。PCの性能向上により暗号が危殆化するから。
  • 証明書の有効性を確認するには有効期限、CRL、署名値の照合(ハッシュ値の照合)、認証パスを確認する。
  • SSL証明書が信頼する会社から発行されていない、もしくは、証明書の名前が無効であるか、サイト名と一致しないと警告された場合、そのサイトは偽サイトである可能性が高い。
  • 小規模なWebサイトで自己発行したSSL証明書を使う場合、信頼する会社から発行されていないと警告が出る。そこでルート証明書を利用者のブラウザにインポートすることで警告が出なくなる。
  • ルート証明書をインポートすることは利用者にとって危険な行為であり、ルート証明書が改ざんされたり、偽物にすり替えられたりしないよう、安全に配布する必要がある。
  • フィンガープリントとはディジタル署名が改ざんされていないことを証明するデータ(ハッシュ値)のことである。

3.OSセキュリティ


  • 強制アクセス制御の下では管理者権限であってもアクセス制限の制約から逃れることは出来ない。変更可能なのはセキュリティ管理者のみである。
  • rootでのログインを禁止する理由としてあげられるのが、ログイン時によるバックドアの作動を防ぐためと、平文でネットワークにrootパスワードが流れるのを防ぐためなどがある。
  • setuid/setgid属性とは、セットしたプログラムの実行者が一時的に所有者あるいは所有グループ権限で動作することができる。
  • setuid/setgidを付加するには任意のファイルのパーミッションに4000/2000を付加する。例えば711の場合setgidを付加するには2711にすればよく、所有グループの利用者が実行すると読み書きができる。
  • SSHではログイン時のパスワードは暗号化されるので安全に見えるが、総当たり攻撃にはtelnetと同様弱い。そこでSSHログイン認証には公開鍵認証やワンタイムパスワード認証を使用したほうが安全である。

4.セキュリティ応用システム

  • 内部から外部に行くパケット(アウトバウンドパケット)を限定していない場合、よく使われるプロトコル(HTTP、SMTPなど)からワームがインターネット上に感染していく。
  • UTM(統合脅威管理)とはFW機能、VPN機能、コンテンツセキュリティ(アンチウイルス、アンチスパム)などの複数のセキュリティ機能が統合された機器である。
  • UTMには守り(FWやアンチウイルスなど)が統合されている都合上、UTMが故障すると、UTMにより管理しているネットワーク全体が危機にさらされる。
  • UTMはゲートウェイ装置であるため、SSLなどの暗号化された通信や大きなファイルに仕組まれているウイルス、UTMを介さない通信(USB接続など)には防御できない。

5.ネットワークセキュリティ


  • VPNの技術にはネットワーク層のIPsec、データリンク層のPPTP、L2TPがある
  • PPTP(point to point tunneling protocol)はPPPフレーム(PPPデータ部とPPPヘッダ部)にGREヘッダを取り付けカプセル化する、データリンク層のトンネルングプロトコル。MPPE(Microsoft point to point Encryption)というプロトコルを使用してPPPデータ部を暗号化する。
  • L2TP(Layer 2 tunneling protocol)はWindowsが標準でサポートしているデータリンク層のトンネリングプロトコルである。暗号化機能は無いためIPsecを利用して暗号化する。
  • IPsecの鍵管理プロトコルとしてIKEがある。IKEとはIPsecで暗号化される前に鍵を交換するために利用されるプロトコル。暗号化アルゴリズムを決めたりする。UDPのポート番号500番を使用する。
  • IKEの相互認証としてよく利用されるのがPSK(プレシェアードキー、事前共有鍵)である。他に公開鍵認証方式、ディジタル証明認証方式がある。
  • IKEによる認証は機器認証にすぎない。IKEを拡張して利用者名とワンタイムパスワードによる利用者認証を実現したのがXAUTHである。
  • IPsecで、通信をはじめる前に暗号化方式や暗号鍵などの情報を交換・共有し、安全な通信路を確立することをSA(Security Association)、SAを通過させるIPパケットのアクセス規制をセレクタという。
  • ESPは暗号化とメッセージダイジェストにより、完全性と機密性が保証される。AHは認証データとメッセージダイジェストにより、メッセージ認証と完全性が保証される。
  • トンネリングとはパケットをカプセル化、デカプセル化するための処理のことである。トンネリング処理では暗号化はされない。トンネリングによりプライベートアドレスが使用できるが衝突する危険がある。
  • IPsecのトンネルモードはIPパケットを暗号化した後、トンネリング(新たにIPヘッダを付加する)を行う。セキュリティレベルが高いことから一般的なインターネットVPNではトンネルモードが使用されている。
  • IPsecのトランスポートモードではIPパケットのペイロード部のみを暗号化し、トンネリングは行わない。プライベートIPアドレスが使用できないので、インターネット接続をするにはNATあるいはNAPTを経由して通信をする必要がある。
  • FW の内側にVPN(IPsec)装置があると、パケットが暗号化されたりカプセル化されたりすることにより、フィルタリング処理を行うことが出来ない上にIPsecを通すための設定が複雑になる。もちろんパケットが暗号化されているのでログにも残らない。
  • FWの外側にVPN(IPsec)装置があると正しくフィルタリング処理を行うことができるが、VPNが外部の攻撃にさらされることになり、FWを通過できるアプリケーションしか利用できない。
  • そこで、IPsec機能付きFWを使う。双方の問題点が全て解決するが、ファイアウォールの処理能力不足によりスループットが低下するおそれがある。
  • リモートアクセスにおいてはIPsec-VPNよりSSL-VPNのほうが有利。SSL-VPNは、ソフトウェアを必要とせず(ブラウザのみでいい)ポート番号も443(https)のみ許可すればよく、ユーザ認証を可能としている。
  • SSLでは公開鍵暗号方式と共通鍵暗号方式の両方を使用したハイブリット暗号方式を使用している。これは公開鍵暗号の復号に時間がかかること、共通鍵の安全性の両方を解決した暗号化方式である。
  • 無線LANのESSIDの脆弱性対策としてESSIDステルス機能を有効にする。ANYアクセスを拒否し、ESSIDをブロードキャストしない(ビーコン信号を出さない)ようになる。
  • PPPのユーザ認証プロトコルにはPAPとCHAPがあるが、PAPはIDとパスワードが暗号化されない、CHAPはチャレンジレスポンスによりハッシュ化する。
  • PPPでユーザ認証を行うとき、アクセスサーバはLDAPかRADIUSプロトコルを使用する。
  • 検疫ネットワークの認証スイッチ方式とは、IEEE802.1x認証機能を持ったLANスイッチ(認証スイッチ)を使い認証スイッチのポートなどを変更して接続先を振り分ける方法。PCのセキュリティだけでなく利用者の認証も行う。1ポートに1PCしか認証できない。
  • 検疫ネットワークのDHCP方式とは、ネットワークに接続する際、検査に合格したPCのみIPアドレスを割り当てる方式である。導入が用意で、エージェントも不要。
  • 検疫ネットワークのゲートウェイ方式とは、ルータやFW、VPNゲートウェイなどのゲートウェイ装置がアクセス制御リスト(ACL)によってパケットの接続先を振り分ける方法である。ACLを使用するのできめ細かいアクセス制御ができる。
  • 検疫ネットワークのパーソナルファイアウォール(PFW)方式とはPC上にインストールされたパーソナルファイアウォールのフィルタリングルールによって接続先を切り替える方法である。ネットワークの構成を変更する必要がない
  • DHCP方式やPFW方式では利用者が設定を変更することで検閲を回避することができる。固定IP使用やPFWを無効にするなど。

6.電子メールのセキュリティ


  • POP before SMTPとはSMTPサーバへメールを送信する前にPOP認証を行い、認証が成功したクライアントのIPアドレスに対して一定時間だけメールの送信を許可する方式。プロキシサーバなどを経由すると本人以外が不正に使用することが出来てしまう。
  • SMTP-AUTHとはメール送信前にSMTPサーバがパスワードによりユーザを認証する方式。AUTHコマンドが使用される。暗号化はされない方式とMD5でハッシュ化する方式がある。MD5にはハッシュの衝突を意図的に起こしやすいという脆弱性がある。
  • POPサーバにアクセスする際、USER/PASSコマンドを送りユーザ名やパスワードで認証するが、暗号化されずに平文で流れてしまう。そのため、APOPコマンドを送りチャレンジレスポンス認証を行う。ただし、ハッシュ化に使用するのはMD5であり、ハッシュ衝突を起こす脆弱性がある。
  • APOPやSMTP-AUTHではMD5によりパスワードが漏れるので、POP over SSL ,SMTP over SSLを使用することにより解決する。
  • OP25Bの対象が動的IPアドレスに限定されるのは、スパム業者は動的IPアドレスを使用して送信するためである。ISPと固定IPアドレスで契約している組織は身元がわかっているので制限する必要がない。
  • 受信ISP側の迷惑メール対策として、他のISP内の動的IPアドレスから直送されてくるメールを拒否することをIP25Bという。
  • OP25Bでは、実施しているISP以外の外部のメールサーバを利用してメールを送信することができなくなるという欠点がある。これを解消するために、ユーザはメールサーバ宛に送信専用の587番ポートを使用してメールを送信する(SMTPで587番ポート宛にメールを送信する)。もしくはSMTP over SSLを使用する(ポート番号465番なのでブロックされない)。
  • 迷惑メール対策のフィルタリングのうち、グレイリスト方式とはホワイトリストとブラックリストの両方に載っていない未知のメールサーバからは一旦受信を拒否して、一定時間後再度メールが送信されれば、正規のメールサーバであるとみなし、受信する。スパムは一度拒否されると再度送り直すことはないことからこの方式が有効である。
  • IPアドレスベースのブラックリスト方式は、スパムメール送信者が送信元IPアドレスを偽装したりするとほとんど効果が無い。
  • ベイジアンフィルタは単語の出現頻度と、過去の迷惑メールの確率から迷惑メールかどうかを判定する。
  • 送信ドメイン認証とはDNSサーバに登録された、正規のメールサーバから送信されたメールであることを確認する技術のこと。
  • 送信ドメイン認証のSPF(sender policy framework)とSenderIDはIPアドレスベースである。
  • 送信ドメイン認証のDomainKeysとDKIMは電子署名ベースである。
  • 送信ドメイン認証は迷惑メール業者でも使用できるので、レピュテーションを使用する。過去にどれだけスパムを配信したかという統計を元にメールサーバを評価するサービスである。
  • 送信者認証はスパムよりフィッシング対策に有効である。フィッシングは送信元を偽る必要が有るためである。

7.Webアプリケーションセキュリティ


  • ベーシック認証とは、ユーザ名とパスワードをBase64でエンコードして送信する、HTTP認証である。実質平文なので盗聴に弱い。クロスサイトトレーシング攻撃の脆弱性がある。セッション管理可能。暗号化されないので、サイトの通信は全てSSLで暗号化する必要がある。
  • ダイジェスト認証とはハッシュ関数を使用したチャレンジレスポンス方式により認証を行う。
  • フォーム認証ではユーザ名とパスワードにより認証を行う。暗号化はされない。暗号化にSSLを使用した場合、ログイン後にSSLが使用されていないページがあると、セッションクッキーを盗聴される(セッションハイジャック)。チャレンジレスポンス認証によりハッシュ暗号化することもできるが、中間者攻撃によりハッシュ値を盗聴され、セッションハイジャックされることがある。
  • クロスサイトスクリプティング(XSS)の手順。ユーザにメールなどを通して悪意のあるサイトに誘導する。アクセスすると、次に脆弱性のある標的サイトにスクリプトを持たせて遷移させる。標的サイトでスクリプトが実行される事により被害が出る(クッキーやパスワード漏れ、ファイル破壊など)
  • XSS対策として、特殊文字に対してエスケープ処理を施すようにする。SSLでは通信経路外では暗号化されないのでXSS対策にはならない。
  • クロスサイトリクエストフォージェリ(CSRF)の手順。ユーザが標的サイトにログインする。ユーザをCSRFの仕掛けがある罠サイトに誘導させる。標的サイトにHTTPリクエストを持たせてリダイレクトさせる。標的サイトでHTTPリクエストが発動され被害が出る。クロスサイト(サイト横断型)リクエストフォージェリ(偽造リクエスト)。ぼくはまちちゃん事件。
  • CSRFは、標的サイトにログインした状態で罠サイトにアクセスすること、セッション管理や利用者認証をクッキー情報だけで行っていたことに起因する。
  • 対策として、確認画面を追加したり、HTTPリクエストヘッダのReferer情報を元に正規サイトから呼び出されたHTTPリクエストかどうかを判断したり、CAPTTHAを使用する方法がある。確認画面がリダイレクトされたり、ユーザがRefererを送出しなかったり、偽サイトでCAPTCHAを入力されたりすると効果が無い。
  • RefererとはあるWebページのリンクをクリックして別のページに移動した時のリンク元のページのこと。Refererによりどのようなページからアクセスしてきたのかわかってしまう。
  • セッションIDが長時間有効になっていると、セッションハイジャックなどによりなりすましをされる可能性がある。なので、セッションIDの有効時間を短く設定する。
  • セッション固定攻撃とは、攻撃者が標的サイトの「ログイン前セッションID」を取得し、罠サイトにアクセスしてきた正規ユーザにその「ログイン前のセッションID」を使わせてログインさせる。それにより、セッションIDは正規ユーザによりログインしたことになる。「ログイン済みのセッションID」を使用して攻撃者は簡単に正規ユーザになりすますことができる
  • セッション固定攻撃への対策として、ログイン前にセッションIDを発行しないか、ログイン成功時にセッションIDを再発行すること。
  • 別のユーザが操作しないように、ログアウト後は直ちにセッションIDを破棄して再利用しないこと。
  • URLクエリストリングとはブラウザがWebサーバに送信するデータをURLの末尾の?以降に表記したもの。
  • クッキーを使用せず、URLのクエリストリングに頼ったセッション管理では問題がある。サイトのログイン状態から罠サイトに遷移した際、罠サイトがRefererを収集すれば攻撃者はなりすますことができる。対策としてセッションIDをURLのクエリストリングに格納せず、クッキーに格納する。
  • クッキーやhiddenフィールド、refererは簡単に改ざんできる。

8.オンライン詐欺


  • フィッシングサイトを作らせないために、Web設計者が画面設計において守るべき3つ。ポップアップウィンドウを使わない(アドレスバーが隠れるため)。アドレスバーやステータスバーを隠さない(URLから偽サイトかどうか判断できなくなる)。フレーム分割を使わない(サブフレームで別のサイトを開くことが出来てしまうから)。
  • フィッシングメールかどうか見分けるには、メールヘッダのフィールド名fromとReceivedを調べる。fromは改ざんできるが、Receivedは送信者のホスト名とIPアドレス、メールを中継したメールサーバのドメイン名が載っている。
  • ワンタイムパスワードなど多要素認証を用いてもフィッシングの被害を防ぐことは出来ない。例えば、偽サイトが正規サイトのログイン画面をなりすまし、正規サイトとユーザを中継する中間者攻撃がある。
  • ログイン後にSSLが使われていても、ログイン前にパケットのヘッダ部の送信先をhttpsからhttpに改ざんすると、パスが盗聴できてしまう。
  • 正しいURLを入力したにも関わらず、偽サイトに誘導される主な原因は、DNSに偽サイトのIPアドレスがキャッシュされたか、hostsファイルが改ざんされたか(正規サイトのドメインに偽サイトのIPアドレスを対応付ける)等がある。

9.データベースセキュリティ


  • ストアドプロシージャの改ざんを防ぐためにストアドプロシージャを格納するデータベースのアクセス権を適切にする、データを暗号化するなどの対策を施す。

10.情報漏えい対策


  • ノートPCの指紋認証システムは、本人の指紋がPCに付着しており、それを採取することで、なりすますことができる。
  • IEEE802.11i 無線LANの認証システムのホームモードはPSKを認証情報として用い、エンタープライズモードではIEEE802.1x EAP RADIUSサーバを使用する。
  • CSRF対策として、ワンタイムクッキーを使用する。攻撃者は事前にワンタイムクッキーを知ることが出来ないためである。
  • ブラウザ終了時にクッキーを削除させるにはexpire属性(有効期限)をとmax-age属性(保存時間)を指定しなければいい。
  • S/MIMEにはメールの暗号化だけでなく署名機能もある。
  • DNSキャッシュサーバでキャッシュする時間はコンテンツサーバで指定したTTL値の間保存する。この値が極端に短いと、頻繁にコンテンツサーバを参照しないといけないため、毒入れされやすくなる。
  • 毒入れの際は、コンテンツサーバのIPアドレス、ポート番号、ヘッダのIDが一致していても、コンテンツサーバよりも速く応答パケットをキャッシュサーバに提出しなければ、破棄されてしまい毒入れに失敗する。
  • キャッシュサーバが偽装したDNS応答パケットを受け取ってしまうのは、コンテンツサーバからのものであるかわからないからである。そこで、DNSSECを使用して、DNS応答パケットにディジタル署名を付加し、正当性と完全性を確認する。
  • DNSクエリ(キャッシュサーバからコンテンツサーバへ送られる要求)の送信元ポート番号がランダムだと、FWもそれに対応する必要がある
  • EAPとはIEEE802.1xで使用される、利用者認証プロトコルである。
  • VLANとはスイッチングハブだけでLANを分割する機能である。スイッチングハブに搭載されている機能の一部。
  • 異なるVLAN間での通信を行うには上位のネットワーク層のルーティング機能を利用する必要がある。
  • IP-VPNとはプロバイダ(ISP)の提供する閉域なIPネットワーク上に構築するVPNである。インターネットを利用せず、ISPのIPネットワークだけを利用するので安全性が高い。
  • インターネットVPNはインターネット上に構築するVPNである。ネットワーク層のIPsec-VPN、トランスポート層とアプリケーション層の間にあるSSL-VPNがある。
  • IPsec-VPNではESP(暗号化+認証)、AH(認証)、IKE(鍵交換)といったプロトコルがある。
  • IPsecでは通信当事者間でVPNトンネルを必要とする。SA(Security Association)という仮想トンネルを作成する。トンネルは、「制御用」と「通信上り」と「通信下り」の三種類からなる。制御用はISAKMP SAで通信用はIPsec SA。
  • IPsecでは通信相手ごとに異なるトンネルを作成する必要がある。同じ通信相手でも暗号化や認証などが異なれば別のトンネルを作る必要があり、管理が複雑になる。そのため、トンネルを識別するIDの役割を果たすのがSPI(Security Parameter Index)である。
  • ISAKMP SAとは鍵交換のための情報をやりとりするための制御用トンネル(上の三種類の中の制御用トンネル)である
  • IKE(鍵交換プロトコル)の通信ではフェーズ1で鍵交換用のISAKMP SAを確立し、フェーズ2でデータ通信用のIPsec SAが確立される
  • フェーズ1ではDiffie-Hellmanという鍵共有アルゴリズムを用いる。
  • SSLは暗号化のみである。TLSはSSLにディジタル署名を付加することにより、SSLの改ざん防御機能を強化することができる。
  • リモートアクセスはSSL-VPN、サイト間のVPN通信ではIPsec-VPNがおすすめ。


関連記事

関連記事

シェアボタン

スポンサーリンク


関連記事