Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ入門とハッキング概説.pdf

 セキュリティ入門とハッキング概説.pdf

Suguru Ohishi

July 07, 2021
Tweet

More Decks by Suguru Ohishi

Other Decks in Education

Transcript

  1. セキュリティ入門と
    ハッキング概説
    2021/07/10
    ⼤⽯ 英(powerd by mesosune)
    【学んで競う24時間】マーケターの祭典
    〜 俺たちのオリムピック #1

    View full-size slide

  2. プロフィール
    ´ 名前
    ⼤⽯ 英(おおいし すぐる)
    ´ 経歴
    通販専業事業会社の情報⼦会社でPG/SEを⻑年経験
    その後、決済系⼦会社にてプロダクトマネージャーを経験
    ここでPCIDSS導⼊プロジェクトリーダーを務める
    直近では⻁ノ⾨にある某CIerにて、インフラエンジニアチームのリーダー
    ´ 現在の仕事
    某Cier(Cloud Integrater)
    “データ分析セクション” セクションリーダー
    PCNW(PCとネットワークの管理活⽤を考える会)
    ITトレンド勉強会 座⻑
    運営コミュニティ
    ´ PCNW
    ´ JBUG
    関与コミュニティ
    ´ CMC-Meetup
    ´ JAWS

    View full-size slide

  3. 本⽇のアジェンダ
    ・セキュリティ⼊⾨
    ⼀般的な企業のセキュリティについて、
    どのように考え、どう対応をしなければならないのか、
    ⼤まかな流れを説明します
    ・ハッキングについて
    ハッキングとは何か、その代表的な⼿⼝とリスク
    また基本的な対策について説明します

    View full-size slide

  4. ・セキュリティ⼊⾨
    ⼀般的な企業のセキュリティについて、
    どのように考え、どう対応をしなければならないのか、
    ⼤まかな流れを説明します

    View full-size slide

  5. ・ハッキングについて
    ハッキングとは何か、その代表的な⼿⼝とリスク
    また基本的な対策について説明します

    View full-size slide

  6. ハッキングとは…
    そもそもは、“機械”に対して⾼い知識を持つ技術者のことを
    ハッカー、ハッカーが設計や改造を⾏うことをハッキングと
    呼ぶような時代がありました。
    機械の仕組みや動作を熟知している⼈、というわけです。
    その後IT(コンピュータ)の時代になり、ハードウェアや
    ソフトウェアの設計などを⾏うエンジニアを指す⾔葉に
    なりました。
    ハッカーという⾔葉には善悪の区別はなかったのです。

    View full-size slide

  7. ハッキングの変遷
    コンピュータが普及すると、Webサイトの改ざん等のサイバー
    犯罪も多発し、こうした犯罪者がハッカーと⾃称したことで、
    ハッカーのイメージが悪くなりました。
    現在では、サイバー犯罪者組織が⾦銭⽬的で⾏うようになり、
    依頼を受けてサイバー攻撃の⼿段としてハッキングを⾏うよう
    になりました。

    View full-size slide

  8. ハッキングの変遷
    元々「ハッカー」や「ハッキング」という⾔葉に悪い意味合い
    は無いため、IT技術を悪⽤して他⼈のパソコンへ侵⼊したり、
    システムを勝⼿に改ざん・破壊するといった犯罪⾏為には
    敢えて「クラッキング」という名前がつけられています。
    悪事を働くハッカーを「クラッカー」と呼んだり、善意の
    ハッカーを「ホワイトハッカー」と呼ぶなど、善悪を区別した
    呼び⽅も普及しつつあります。

    View full-size slide

  9. ハッカーとハッキング
    PCに⼊⼒しているパスワードを肩越しに盗み⾒ることを
    「ショルダーハック」と呼んだり、⽣活を便利にするための
    ⼯夫を「ライフハック」と呼んだりするなど、
    「常識の盲点を突いた⼿法」という意味合いもあるようです。

    View full-size slide

  10. 代表的なハッキングの⼿⼝と被害
    ハッキングには犯罪的な意味合いが強くなっており、
    ハッキングされた際には何らかの被害が発⽣しています。
    ここからは代表的なハッキングの⼿⼝と被害を紹介します。

    View full-size slide

  11. Webサイト改ざん
    Webサイトのページ(ホームページ)を書き換えてしまう
    というもので、全く関係ない画像を貼り付けられたり⽂⾔が
    書き換えられることもあれば、⾒た⽬は全然変わらず
    スクリプト等を追加されてしまうこともあります。
    前者の場合は企業などのイメージを⼤きく損ねてしまいますし、
    後者の場合はマルウェア感染サイトに⾶ばされるなどの危険性
    があります。

    View full-size slide

  12. Webサイト改ざん
    Webサイト改ざんの⼿⼝は、Webサイトを表⽰するための
    ファイルにアクセスして書き換えます。
    管理⽤のアカウントのパスワードを辞書攻撃により破ったり、
    ショルダーハッキングなどによって盗み出したり、あるいは
    Webサイトの脆弱性を悪⽤してアクセスします。

    View full-size slide

  13. サーバーの停⽌
    ハッキングにより、サーバを停⽌されてしまうこともあります。
    業務⽤サーバを停⽌させられると業務が⽌まってしまいますし、
    Webサーバを停⽌させられると、ショッピングサイト等の場合
    は機会損失となり、⼤きな被害を受けることになります。

    View full-size slide

  14. サーバーの停⽌
    サーバを停⽌される場合、内部に侵⼊する⽅法と外部から攻撃
    を⾏う⽅法があります。
    内部に侵⼊する⽅法はWebサイトの改ざんと同様、サーバの
    設定を変更することなどにより停⽌させます。
    外部からの攻撃では、Webサーバに⼤量のリクエストを送り
    つけ処理能⼒の限界を超えさせて、停⽌させます。
    これはDoS攻撃(サービス拒否攻撃 )と呼ばれます。
    リクエストの種類を⼯夫してパケットを増幅させたり、
    ⼤量のIoT機器をボットに感染させてリクエストを送らせる
    DDoS攻撃(分散型DoS攻撃)などが使われます。

    View full-size slide

  15. DoS攻撃とDDoS攻撃

    View full-size slide

  16. 別の攻撃への踏み台(マルウェア感染)
    Webサイトの改ざんでスクリプトを埋め込まれてしまった場合
    には、サイトへの訪問者をマルウェア感染サイトに強制的に
    ⾶ばしてしまいます。

    View full-size slide

  17. 別の攻撃への踏み台(マルウェア感染)
    サイトを改ざんされた企業などもハッキングの被害者ですが、
    同時に訪問者をマルウェアに感染させる加害者にもなって
    しまいます。

    View full-size slide

  18. 別の攻撃への踏み台
    内部に侵⼊され社内サーバーや従業員⽤のPCにボットを仕掛
    けられた場合も同様で、ハッカーはボットに指令を送ることで
    感染PCを⾃由に遠隔操作できます。
    ボット…⼀定の処理を⾃動的に⾏うよう作成されたプログラム

    View full-size slide

  19. 別の攻撃への踏み台
    例えばこの遠隔操作されたPCから別のWebサイトにDoS攻撃
    が⾏われた場合も、ボットに感染させられた企業などは被害者
    であると同時に加害者にもなってしまうわけです。

    View full-size slide

  20. ⼤企業への攻撃の為の踏み台
    ⼤企業はセキュリティ対策を⾏っている事が多く、攻撃者と
    しても直接攻撃をするのにはコストが掛かります。
    そのため、⼤企業の取引先の中で、防御の⽢い中⼩企業を
    ハッキングの対象とし、踏み台として⼤企業への攻撃を⾏う
    事例も増えています。

    View full-size slide

  21. 情報漏えい
    外部からサーバに侵⼊出来るということは、その奥にある
    データベースにもアクセスできる可能性があるということです。
    データベースには、顧客情報など重要な情報が記録されており、
    侵⼊出来るという事は、情報を詐取する事も可能だという事に
    なります。
    Webサーバなどの脆弱性を悪⽤し、データベースにアクセス
    することも可能な場合があります。
    それを可能にするために、ハッカーは権限の⾼いアカウントの
    認証情報を⼊⼿しようとするのです。

    View full-size slide

  22. 情報漏えい

    View full-size slide

  23. 情報漏えい(SQLインジェクション)
    データ詐取の事例として数多い物に“SQLインジェクション”
    という⼿法があります。
    この脆弱性が悪⽤されると、データベース上であらゆる操作を
    ⾏われてしまいます。
    データベースにある情報を盗み出されたり、改ざんされたり、
    消去されるといった被害を受ける可能性があります。
    脆弱性の中でも悪⽤された際の影響が⼤きい脆弱性です。

    View full-size slide

  24. 代表的なハッキングの⼿⼝と被害

    View full-size slide

  25. ハッキング対策
    ハッキング対策には、幾つかの⼿法/⽅向性があります。
    それぞれについて、これから説明していきます。

    View full-size slide

  26. 脆弱性対策
    ハッキングの多くは、システムの脆弱性を悪⽤し侵⼊します
    ので、脆弱性対策は有効な対策になります。
    特に狙われるシステムには、Webサーバ、サイト構築を⾏う
    「WordPress」、マイクロソフトの「Office」や
    アドビシステムズの「Flash Player」「Adobe Reader」、
    Webブラウザのプラグインソフトやアドオンソフトなどが
    挙げられます。
    これらのシステムで脆弱性が発⾒されたときには、修正パッチ
    の適⽤等、なるべく早く対処するようにします。

    View full-size slide

  27. 脆弱性対策
    ただし、Webサーバ上で動作しているアプリケーションは、
    修正パッチ適⽤やアップデートにより、他のアプリケーション
    に悪影響を与えてしまうこともあります。
    まずはWAF(Web Application Firewall)などで脆弱性を悪⽤
    する攻撃を防御しておき、その間に検証を⾏って正式なパッチ
    適⽤などのスケジュールを⽴てるといった⽅法があります。

    View full-size slide

  28. 不正侵⼊の検出
    ハッカーは不正侵⼊に成功すると、企業などのシステム内で
    より⾼い権限を持つPCを探します。
    こうした不審な通信を検出することで不正アクセスを発⾒する
    ことができます。
    また、ハッカーが重要なファイルにアクセスできたとしても、
    盗み出すには企業などのゲートウェイを経由します。
    こうした不審な挙動を検出するには、内部システムの通信状況
    を可視化できるソリューションが有効です。
    これにより、たとえ侵⼊されて重要なファイルにアクセスされ
    ても、外部へ持ち出そうとした時点で⾷い⽌め、被害を未然に
    防ぐことができます。

    View full-size slide

  29. 脆弱性対策
    WAF等、侵⼊防御(検知)ツールのイメージ

    View full-size slide

  30. パスワード確認
    ハッカーは、ルータや無線LANアクセスポイントなどに
    インターネット経由でアクセスすることもあります。
    こうしたネットワーク機器は、初期設定のパスワードのまま
    運⽤されていることが多く、ハッキングの標的になりやすいと
    いえます。
    また、インターネット側からアクセス可能なハードディスク
    やNASなども、ハッカーの侵⼊経路になり得ます。
    インターネットに露出しているネットワーク機器などを把握し、
    パスワードやファームウェアのバージョンチェックを⾏い、
    パスワードが初期設定のままであれば変更し、ファームウェア
    のアップデートが提供されていたら適⽤しましょう。

    View full-size slide

  31. パスワードの⼯夫
    パスワードによる認証を突破することを「パスワードクラック」
    と呼びますが、ハッカーはその為に様々なツールを活⽤します。
    たとえば、よく使⽤されるパスワードを集めて辞書を作成し、
    その辞書を使ってログイン試⾏をくり返す「辞書ツール」が
    あります。

    View full-size slide

  32. パスワードの⼯夫
    企業などのシステム管理者は多くのシステムを扱うため、
    パスワードの管理が煩雑になります。
    特に検証⽤のサービスなどでは、安易な⽂字列にしてしまい
    がちです。
    具体的には「admin」「pass」「123456」などで、こうした
    情報はレポートなどで公開されています。
    多くのパスワードを管理するのは⼤変ですが、安易な
    パスワードは使⽤しないようにしましょう。

    View full-size slide

  33. 認証機能の強化
    システム側の対策としては、複数回のログイン試⾏を防⽌する
    ために、ログイン失敗の回数を限定する、スマートフォンの
    SMSやGPSによる位置情報、⽣体認証機能などを活⽤して
    多要素認証を導⼊するなど、認証を強化することが有効です。

    View full-size slide

  34. まとめ
    コンピュータに精通した犯罪者という意味でのハッカーによる
    ハッキングは、⾮常に対象が広く、また⼿法もデジタルから
    アナログまで多彩にあります。
    現在のハッキングは、⾦銭を⽬的とした組織的なものとなって
    いますので、企業などの組織はもちろん、個⼈もハッキングを
    意識した対策が重要になります。
    ハッキングの対象や⼿法を理解して、適切な対策を⾏うように
    しましょう。

    View full-size slide

  35. まとめ
    「うちは⼤丈夫」という根拠のない⾃信は役に⽴ちません。
    いつ⾃分が被害者になってもおかしくない、またハッキングの
    結果、意図せず⾃分が加害者になってしまう可能性もあること
    を認識しましょう。

    View full-size slide

  36. 「セキュリティ(運⽤)⼊⾨とハッキング概説」
    については以上となります
    ご静聴ありがとうございました︕

    View full-size slide