ProactiveDefense セキュリティ用語解説 tag:column.proactivedefense.jp,2008-02-15:/words//2 2008-06-23T09:53:52Z Movable Type 5.0 コンピュータウィルスにおける亜種とは tag:column.proactivedefense.jp,2008:/words//2.105 2008-06-23T09:50:00Z 2008-06-23T09:53:52Z コンピュータウィルスにおける亜種は、生物学上における亜種とは違う意味になります。... fukui コンピュータウィルスにおける亜種は、生物学上における亜種とは違う意味になります。 ]]>
ところが、コンピュータウィルスにおける亜種とは、あるウィルスを基にその被害や動作・挙動が「似ているもの」や「変化したもの」を亜種としています。

例としては以下のような場合のB~Dは全てAの亜種になります。

  • A・・・「ユーザPC内の情報を盗む」ウィルス
  • B・・・Aを基に「ユーザPC内の情報を盗み、その盗んだ情報をある掲示板にアップロードする」ウィルス
  • C・・・Aを基に「ユーザPC内の情報を盗み、元々あった情報を別の情報に書き換える」ウィルス
  • D・・・Bを基に「ユーザPC内の情報を盗み、その盗んだ情報をある掲示板にアップロードして、掲示板関係者にメールで添付して送信する」ウィルス

そのため、プログラムコードやバイナリレベルでウィルスを見たときに、全く別のものでも亜種として分類されます。

対策や対処に関しても異なるのが一般的で、既に明らかになっているウィルスを基に対策を行っても、日々現れる新しいウィルスに対しては、対策が不十分になってしまうのが現実です。

しかし、「ウィルス対策ソフトのウィルス定義ファイル」や「アプリケーションのセキュリティアップデート」を最新の状態にしておくことで、新たなウィルスに感染する可能性は低くすることができます。



参考文献:
「亜種とは?」(Lenovo)
]]> キーロガー(Key Logger) tag:column.proactivedefense.jp,2008:/words//2.104 2008-06-23T07:25:00Z 2008-06-23T09:55:06Z キーロガーとはユーザのPCの「キーボードを使って入力した文字列」や「マウスの座標... fukui そのまま記録するソフトウェアのことで、常駐型ソフトとしてユーザからは見えないように隠れて動作するものです。 ]]>
しかし、記録する対象がユーザのPCに入力される情報であるため、「ユーザIDやパスワードなどの機密情報」をやり取りする可能性を含んでいます。

そのため、攻撃者による情報搾取を目的とした不正利用に使われることが多く、キーロガーはマルウェアと呼ばれる不正プログラムの「スパイウェア」に分類されることがほとんどです。

悪意のあるキーロガーへの対策としては、ウィルス対策ソフトのウィルス定義ファイルを最新にすることスパイウェア対策ソフトの導入が有効です。]]> OSコマンドインジェクション tag:column.proactivedefense.jp,2008:/words//2.99 2008-06-16T08:20:22Z 2008-06-23T09:56:57Z Webアプリケーションからの入力により、サーバ上のOSコマンドを実行できてしまう... fukui Webアプリケーションからの入力により、サーバ上のOSコマンドを実行できてしまう脆弱性です。 概要
    「Webページからメールの本文を入力し、その内容をメールで送信するプログラム」や「Webページからサーバにあるファイルを開く」場合などに起こる可能性があります。

以下のような例1、例2のような場合を例として説明します。

例1)
     Webページからメールの宛先を入力し、メールマガジンの登録を行い、登録完了メールを送るページがあった場合を考えます。
     「登録する」ボタンを押すと、入力したメールアドレスに登録完了メールが送信されます。

command02.jpg
 ここでは、以下のようなPerlのプログラムが動作するとします。

        1. open(MAIL,"| /usr/sbin/sendmail $to");

    • |/usr/sbin/sendmail
       「usr」ディレクトリにある「sbin」ディレクトリの中にある「sendmail」コマンドを実行します。
       「sendmail」は「$to」で指定された宛先に、メールを送信する「OSのコマンド」です。
    • $to
       ここでは入力された「test@example.com」が入ります。
    つまり「| /usr/sbin/sendmail test@example.com」というコマンドが実行されます。
    「test@example.com」に指定された内容のメールを送信します。

 ところが、このように入力された値をそのまま「sendmail」コマンドに引き渡してしまうと、例2のような入力があったときに大変なことになります。


例2)command03.jpg    先ほどと同じPerlのプログラムが動作するとします。

        2. open(MAIL,"| /usr/sbin/sendmail $to");

    • |/usr/sbin/sendmail
       「usr」ディレクトリにある「sbin」ディレクトリの中にある「sendmail」コマンドを実行します。
       「sendmail」は「$to」で指定された宛先に、メールを送信する「OSのコマンド」です。
    • $to
      ここでは入力された「test@example.com;rm -rf /」が入ります。
      「test@example.com」は先ほどと同じです。
      続いて入力されている「;」ですが、これはOSコマンド区切るコマンドになります。つまり「;」までの入力で1.と
      同じプログラムが動作      します。
    • rm -rf /
      次に入力されている「rm」はディレクトリやファイルを削除するコマンドになります。
      「rm」コマンドは「rm -x y」のようにオプションを指定し、「-x」という条件で「y」にあるディレクトリやファイルを削除するというコマンドです。
      ここで入力されている「-rf」は「警告メッセージを表示せずに、ディレクトリ内を再帰的に削除する」という条件で、
      「/」はサーバにある全てのファイルを指定することになります。
    つまり、「|/usr/sbin/sendmail test@example.com;」コマンドでメールを送信してから、「rm -rf /」コマンドを実行して、
    サーバにある全てのファイルを削除されてしまいます。


 この脆弱性を悪用すると、ディレクトリやファイルを削除されるだけでなく、パスワードの盗聴なども行うことができてしまいます。
 例に挙げたのはPerlのプログラムでしたが、JAVAPHPにもOSコマンドを実行する関数はありますが、それを用いる際には十分注意が必要です。


対策:
    対策としては次のものが挙げられます。
  • OSコマンドにユーザからの入力を極力含めないこと。
    • ユーザからの入力に対して、OSコマンドで実行しても大丈夫な形にエスケープ処理を行う。
    • Webサーバのユーザ権限を限定し、実行できるコマンドを制限する。


参考文献:
「ウェブアプリケーションセキュリティ」金床 著 / 発行所:株式会社データハウス」2007年8月20日発行
「知っていますか?脆弱性/5. OS コマンド・インジェクション」(情報処理推進機構:セキュリティセンター)
Webアプリケーションに潜むセキュリティホール 「第13回 OSコマンドインジェクションを防ぐルールを作成する」(中村隆之 著)

関連する用語:
SQLインジェクション
サニタイジング
]]> ARPスプーフィング(ARP Spoofing) tag:column.proactivedefense.jp,2008:/words//2.80 2008-06-03T09:00:05Z 2008-06-05T10:15:14Z LANで用いるARPの応答を偽装し、他の機器に送られた情報を傍受する技術です。 ... fukui LANで用いるARPの応答を偽装し、他の機器に送られた情報を傍受する技術です。
ARPスプーフィング01.jpg
通常通信を行う場合、BがCにパケットを送信するときは、宛先MACアドレスにCのMACアドレス「CC.CC」を設定し、
Cにパケットを送信します。

ARPスプーフィングはこのMACアドレスを用いて通信する仕組みを利用し、傍受します。

まず、Aが以下のようにBとCに偽のARP応答を送信し、それぞれのARPテーブルを偽装します。
  • Bに対して : IPアドレス「192.168.1.3」のMACアドレスは「AA.AA」です。
  • Cに対して : IPアドレス「192.168.1.2」のMACアドレスは「AA.AA」です。

ARPスプーフィング02.jpgすると、BとCはARP要求を出していなくてもARP応答を受け付け、その応答に対してARPテーブルを書き換えてしまい、
その結果ARPテーブルは図のようになります。

ARPスプーフィング03.jpgそうなると、BがCにパケットを送信するとき、宛先MACアドレスに書き換えられたCのMACアドレス「AA.AA」のところへ
パケットを送信してしまい、Aに届くことになります。
同じく、CからBにパケットを送信するときも、Aにパケットが届いてしまうので、AはBとCの通信をいつでも見ることができます。

また、これを悪用すると、通信を傍受するだけでなく、任意のページや改竄したホームページを開かせることも可能になり、
ネットワークを混乱させることもできてしまいます。


関連する用語    : ARP(IT用語辞典e-Words)
参考文献    : ARPスプーフィングで通信傍受!(The Weekly Herald)
]]> PGP(Pretty Good Privacy) tag:column.proactivedefense.jp,2008:/words//2.66 2008-05-07T08:45:31Z 2008-05-09T10:12:20Z Philip Zimmermannによって作成された暗号ソフトで、主に公開鍵暗号... fukui
]]> -PGPの動作原理-
 暗号化と署名について、動作原理を簡単に紹介します。
 PGPでは暗号化のために関係者に渡す「公開鍵」と、復号に使う自分だけが持つ「秘密鍵」の2つの鍵をペアで使います。
 公開鍵で暗号化されたものは、その「公開鍵の所有者の秘密鍵」でしか復号することができません。

・暗号化について
例) 自分がAさんだけに見せたい文書を送るとします。
  1. まず、平文を「Aさんの公開鍵」で暗号化します。
  2. Aさんに暗号文を送ります。
  3. Aさんは「Aさんの秘密鍵」で復号して、文書を読むことができます。
 「Aさんの秘密鍵」はAさんしか知りませんので、復号できるのはAさんだけということになります。

・署名について
例)AさんがBさんに自分の文書が正しいことを証明したいとします。
  1. まず、Aさんが「Aさんの秘密鍵」で平文に署名をします。
  2. それをBさんに送ります。
  3. Bさんはその文書を「Aさんの公開鍵」で署名の認証テストを行います。
  4. この認証テストを通れば、その文章は「Aさんが書いたものに間違いない」ということになります。
 文書を暗号化していないので、誰でも読むことはできます。
 しかし、認証テストが通らなければ、文章が改竄されているとわかります。

 -歴史-
 PGPの歴史について簡単に紹介します。
 公表は1991年、PGP1.0がインターネットに流れましたが、開発当初アメリカは暗号を武器とみなし、
「武器などの輸出規制法」で輸出を禁止していました。
 しかし、マサチューセッツ工科大(MIT)がPGPの合法化(非商用使用)に協力し、1994年2.6を公表しました。
 また、ソースコードを書籍として出版、海外に輸出し有志によって改良がなされ国際版 (PGPi) が公開されました。
「武器などの輸出規制法」に関してPhilip Zimmermannは連邦政府の取調べを受けましたが、このことが問題に
なることはありませんでした。
 MITがサポートする「アメリカ、カナダ版」と「国際版(ヨーロッパ版)」の2種類があり、ややこしいことになってしまいましたが、
1999年12月13日にアメリカからのPGPの輸出が一部の国を除いて認められたため、アメリカ国外でも合法的に
アメリカ、カナダ版PGPを使用できるようになり、国際版の開発は終了しました。

参考文献:
PGPとは
PGP
アメリカの輸出規制法について
]]> Google ハッキング(Google Hacking) tag:column.proactivedefense.jp,2008:/words//2.49 2008-04-01T07:09:40Z 2012-04-24T04:40:51Z Googleの検索機能によって想定していない情報が漏洩してしまう脆弱性です。... kondo ]]> また、不正パラメータでエラーメッセージを表示してしまう場合、そのエラーメッセージがGoogleに登録され、脆弱性のあるサイトを探すのに役立ってしまう場合もあります。
これらは、サイト内をGoogleに検索させない方法で対処できますが、SEOの観点からはお奨めできません。正当に脆弱性の対策(情報漏洩の元ネタをなくすこと)を実施することをお奨めします。


これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> ディレクトリ・トラバーサル (Directory Traversal) tag:column.proactivedefense.jp,2008:/words//2.38 2008-03-30T10:09:47Z 2012-04-24T04:27:42Z Web のドキュメントルートの外に存在すると思われるファイルやディレクトリ、コマ... kondo ]]>
【脆弱性が存在することによって被る被害】
サーバ内の予期しない情報が漏えいする可能性があります。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> クロス・サイト・トレーシング(Cross Site Tracing) tag:column.proactivedefense.jp,2008:/words//2.18 2008-03-29T09:48:05Z 2012-04-24T04:04:46Z HTTPのTRACEメソッドを悪用して、クライアントのクッキーと認証を傍受するこ... kondo ]]> クロスサイト・スクリプティング(Cross Site Scripting (XSS))」と組み合わせて「Basic 認証」のIDやパスワードを読み取られる可能性があります。

【脆弱性が存在することによって被る被害】
Webのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> セッションの盗難(Session Hijack) tag:column.proactivedefense.jp,2008:/words//2.17 2008-03-28T09:47:34Z 2012-04-24T04:03:35Z ログイン後の画面などで、セッション管理をしている場合、セッション情報が盗まれてし... kondo ]]>
【脆弱性が存在することによって被る被害】
攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> 機能の悪用(Abuse of Functionality) tag:column.proactivedefense.jp,2008:/words//2.25 2008-03-27T10:08:46Z 2012-04-24T04:12:57Z Web サイト自体が持つ特徴や機能を利用して攻撃することができる脆弱性です。 ... kondo Web サイト自体が持つ特徴や機能を利用して攻撃することができる脆弱性です。 また、サイト内の公開目的ではない情報をサイト内検索ツールを利用して検索できる場合もこれに該当します。

【脆弱性が存在することによって被る被害】
Webサーバ、Webアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM(メールを大量配信すること)の中継地点に使われるなど、悪用されてしまいます。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> サニタイジング(sanitizing) tag:column.proactivedefense.jp,2008:/words//2.51 2008-03-27T02:29:51Z 2008-03-27T02:38:50Z サニタイジングとは、Webアプリの入力フォームなどから入力されたデータから危険な... kondo サニタイジングとは、Webアプリの入力フォームなどから入力されたデータから危険な文字を検出し、無害化する処理です。
]]> サニタイジングを施したデータはブラウザに表示しても危険な動作は行わなくなる。
対象のサイトによってサニタイジングが可能な範囲が変動するので、リスクと実現したい機能(利便性など)のバランスを考え、適切なサニタイジングが実施されることが望まれる。
]]> 自動化の停止が不適切(Insufficient Anti-automation) tag:column.proactivedefense.jp,2008:/words//2.26 2008-03-26T10:11:57Z 2012-04-24T04:14:02Z ロボットなどによるWebサーバーへの連続攻撃を行い、Webサーバに負荷をかけたり... kondo ]]> CAPTCHA(キャプチャ、Completely Automated Public Turing test to tell Computers and Humans Apart)による対処も可能ですが、最近ではCAPTCHAに対抗できる自動化ツールも出現していますので、複数の対処方法を組み合わせるのが効果的です。

【脆弱性が存在することによって被る被害】
Webサーバのサービスの停止やIDやパスワードを探られたりします。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> フィッシング詐欺 tag:column.proactivedefense.jp,2008:/words//2.48 2008-03-25T14:05:41Z 2008-03-25T14:14:58Z サイトを偽装して、あたかも正規のサイトであるように見せかけ、ID・パスワードなど... kondo
偽メールで正規のサイトからのメールに成りすましてURLを送りつけ、「XSS」や「スクリプトの実行」など、サイトの改ざんができる脆弱性を利用してフィッシング詐欺サイトへ誘導するケースが主流。
その他多種多様な形態のフィッシング詐欺の方法があるので、利用者は十分に注意してサイトへのパスワード入力を行う必要がある。特にお金の絡むサイトで、不自然な動きやいつもと違う表示がある際には十分に注意が必要。
Webサイト管理者は、自身のサイトで「フィッシング詐欺」が行われないように脆弱性を対策しておくことが必要となる。]]> セッションの固定(Session Fixation) tag:column.proactivedefense.jp,2008:/words//2.16 2008-03-25T09:46:52Z 2012-04-24T03:05:14Z ログイン後の画面などで、セッション管理をしている場合、攻撃者が任意のセッション情... kondo ]]>
【脆弱性が存在することによって被る被害】
攻撃者が管理者やユーザに成りすますことができます。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]> バッファ・オーバ・フロー(Buffer Overflow) tag:column.proactivedefense.jp,2008:/words//2.27 2008-03-24T10:16:42Z 2012-04-24T04:16:04Z アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられる脆... kondo ]]> ウェブサーバ・アプリケーションの特定(Fingerprinting)」の脆弱性によりに種類やバージョンが特定され、その情報を元に、「バッファ・オーバ・フロー」の脆弱性があれば攻撃する方法で狙われます。

【脆弱性が存在することによって被る被害】
ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。

これらの脆弱性は、KDLのWebセキュリティ診断サービス(Proactive Defense)にて
発見でき、脆弱性の対策方法までご提案します。只今、無料リスク診断実施中!


]]>