見出し画像
Photo by tatami_graffiti

情報セキュリティの脅威~暗号技術の基本(2024.06.05)

寿司 | ソフトウェア開発者

参考書

情報セキュリティの脅威

情報セキュリティ

  • 情報資産を守ること

  • 脅威
    情報セキュリティを脅かすリスク要因のこと

  • 情報セキュリティに関する脅威は、大きく次の3つに分類できる

    1. 人的脅威

    2. 技術的脅威

    3. 物理的脅威

人的脅威

  • 人によって引き起こされる脅威

  • 例1)社員が誤操作でデータを消してしまうこと

  • 例2)コンピュータに不正アクセスすること

ソーシャルエンジニアリング

  • 特別なツールや技術は使わず、人間の心理的な隙を利用して、機密情報を手に入れること

  • 例1)システム管理者などを装い、利用者に問い合わせてパスワードを取得する

  • 例2)緊急事態を装って、組織内部の人間からパスワードや機密情報を入手する

不正のトライアングル

  • 人が不正を働くのは、「機会」、「動機」、「正当化」の3つの条件が揃ったときであるという理論

  • 機会
    不正行為ができる環境

  • 動機
    不正行為をしたい理由

  • 正当化
    不正行為も仕方ないと考える事情

  • 基本情報では、不正解の選択肢として、「情報」という偽の条件が紛れ込むことがある

技術的脅威

  • 技術的な手段によって引き起こされる脅威

  • 人的脅威との違いは「最終的な手段が人によるものか、技術によるものか」

攻撃の準備に関連する脅威

  • ポートスキャン

    • Port Scan

    • サーバー上で動いているサービス(アプリケーションソフトウェア)を調査するための技術

    • 目的は、サーバーが持つポート番号に、順番にアクセスし、攻撃できそうなサービスがあるかどうかの事前調査をすること

  • セキュリティホール

    • Security Hole

    • 不正アクセスなどに利用される、システムに存在する欠陥のこと

    • 脆弱性とも呼ばれる

パスワードを割り出す攻撃

  • ユーザー認証に必要なIDやパスワードなどを割り出す攻撃

  • ブルートフォース攻撃

    • Brute Forse Attack(Brute Forseは、「力づくの」という意味)

    • 別名:総当たり攻撃

    • パスワードとして考えられる文字列のすべての組合せを実行することで、パスワードを割り出す攻撃

  • 辞書攻撃

    • Dictionary Attack

    • 辞書や人名録などに載っているすべての単語を使って、ユーザー認証のパスワードを割り出す攻撃

  • パスワードリスト攻撃

    • List Based Attack

    • 他のサービスから不正に入手したIDとパスワードの一覧を使って、ユーザー認証を試みる攻撃

マルウェアによる攻撃

  • Malware(Melicious「悪意ある」と Software「ソフトウェア」をつなげた造語

  • 悪意のあるソフトウェアの総称

  • コンピュータウィルスもマルウェアの一種

  • ボット

    • Bot(Robotの略称。感染させたコンピュータをロボットのように操ることからこう呼ばれる)

    • 攻撃者から遠隔で指令を受けて動作するプログラム

    • 通常、攻撃者は、ボットを感染させたPCを遠隔から操作する

  • スパイウェア

    • Spyware(Spy「諜報員」とSoftwareをつなげた造語)

    • 利用者に気づかれないように個人情報などを収集するプログラム

  • ランサムウェア

    • Ransomware(Ransom「身代金」とSoftwareをつなげた造語)

    • PCやファイルを使用不能にしたうえで、回復のための金銭身代金)を要求するプログラム

    • ランサムウェアに感染すると、勝手にファイルやデータが暗号化され、正常にアクセスできなくなる

  • キーロガー

    • Keylogger(「キーボード」のKeyとLog「利用記録」をつなげた造語

    • キーボード入力を記録するプログラム

  • バックドア

    • Backdoor(裏口という意味)

    • システムに不正アクセスするための裏口

    • 例)悪意のある人が、ユーザー認証が必要なサイトにバックドアとなるURLを設置したとする。そうすると、ユーザー認証をせずに、このURLから不正アクセスできてしまう

Webサイトに仕掛けられる攻撃

  • フィッシング

    • Phishing(Phreaking「電話回線の不正利用」とFishing「釣り」をつなげた造語)

    • 利用者を偽サイトに誘導し、個人情報を入力させて、それらを不正に取得すること

    • 例)
      銀行を装った偽のWebサイトを開設し、そのサイトへのリンクがついた電子メールを利用者に送る。利用者はリンク先が本物の銀行のWebサイトだと信じ込み、暗証番号やクレジットカード番号を入力してしまう。こうすることで、個人情報を盗み取ることができる。

  • ドライブバイダウンロード

    • Drive-by Download(Drive-byは車で立ち寄ることを意味する)

    • 利用者が悪意のあるWebサイトを閲覧するだけで、マルウェアがダウンロードされる攻撃

  • SEOポイズニング

    • Serch Engine Optimization Poisoning(Poisoningは毒を盛るという意味。検索サイトの検索結果に毒を盛るということ)

    • 悪意のあるサイトを検索サイトの検索結果の上位に表示させ、より多くの利用者に閲覧させること

    • SEOを不正な手法で行うこと

  • DNSキャッシュポイズニング

    • Domain Name System Cache Poisoning(Poisoningは毒を盛るという意味。DNSサーバに毒を盛るということ)

    • DNSサーバーにキャッシュされているドメイン名とIPアドレスの対応を書き換える手法

    • ユーザーを偽サイトに誘導することができる

  • SQLインジェクション

    • Structured Query Language Injection(SQLの中に不正なSQLが「注入」(Injection)されることから)

    • Webアプリケーション上で、不正なSQL文を実行することで、データベースを改ざんしたり、不正にデータを取得したりする攻撃

    • この攻撃によって、データベースに保存されているクレジットカードなどの情報が盗まれてしまうことがある。

  • クロスサイトスクリプティング

    • Cross Site Scripting(サイトを横断した「Cross Site」、スクリプト処理「Scripting」という意味の造語)

    • Webページにユーザーの入力データをそのまま表示するフォームがあるときに、第三者が悪意のあるスクリプトをそのフォームに埋め込むことで、Cookieなどのデータを盗み出す攻撃

その他の攻撃

  • スパム

    • Spam

    • 受信側の承諾なしに無差別に送付される電子メールのこと

  • Dos攻撃

    • Denial of Service Attack(Denial of Serviceはサービス妨害という意味)

    • 電子メールやWebサーバへの要求(Webリクエスト)などを大量に送り付けてネットワーク上のサービスを提供不能にすること

  • DDos攻撃

    • Distributed Denial of Service Attack:分散Dos攻撃

    • ボットネットと呼ばれる、多数の感染したボットを使って攻撃を行う

    • ボットはC&Cサーバと呼ばれる中央サーバからの指示を受けて、ターゲットを一斉に攻撃する

    • C&Cサーバの役割は「どの対象をいつ攻撃するか」といった具体的な命令をボットに送ること

  • ディレクトリトラバーサル攻撃

    • Directory Traversal Attack(ディレクトリ「Directory」を横断する「Traversal」という意味)

    • 攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する手法

    • 親ディレクトリを表す「..」などをつけてパスを指定することで、本来公開されていないディレクトリへのアクセスを試みる

物理的脅威

  • ネットワークなどを使わない、直接的な手段によって引き起こされる脅威

  • 例)水害、落雷、地震、大気汚染、爆発、火災、侵入、盗難など

暗号技術の基本

暗号技術

  • 文章を読めなくする技術

  • 暗号化するまえの、誰でも読める文章のことを「平文」という

  • 暗号化
    平文を暗号文にすること

  • 復号
    暗号文を平文に戻すこと

共通鍵暗号方式

  • 暗号化と復号で同じ鍵を使う暗号化方式

  • 家の玄関の鍵と同じ鍵方式

共通鍵暗号方式の欠点

  • 相手に確実・安全に共通鍵を送る方法がない

  • そもそも、共通鍵を安全に送ることができるのであれば、わざわざ文章を暗号化する必要もない

公開鍵暗号方式

  • 公開鍵秘密鍵の2つの鍵を使う暗号化方式

  • 公開鍵
    誰でも入手できる鍵。また、いくつでも複製できる

  • 秘密鍵
    自分以外の誰にも知られてはいけない鍵。1つしかない

  • 特徴は、共通鍵方式では、必死に隠していた「鍵」を公開してしまう点にある。

公開鍵暗号方式の仕組み

  • 公開鍵を使って、平文を暗号化

  • 秘密鍵を使って、暗号文を復号する

  • 公開鍵で暗号化した文章は、その公開鍵とペアになっている秘密鍵でしか復号できない

  • 暗号化は誰でもできるが、復号は特定の人しかできないというのが、最も重要な仕組み

公開鍵暗号方式の欠点

  • 誰でも暗号化できる」ことによるなりすまし

  • 共通鍵暗号方式に比べ、暗号化と復号に時間がかかること

  • ちなみになりすましを防ぐための技術がデジタル署名

ハイブリット暗号方式

  • 共通鍵暗号方式のほうが、公開鍵暗号方式より処理が高速なので、現在でも広く使われている。

  • 特にデータ量の大きい平文の暗号化・復号では高速な共通鍵暗号方式を使うことで処理にかかる時間を短縮することができる

  • 仕組み

    1. 共通鍵で平文を暗号化

    2. 公開鍵で共通鍵を暗号化

    3. 秘密鍵で共通鍵を復号

    4. 共通鍵で暗号文を復号

  • 共通鍵を公開鍵暗号方式で暗号化して相手に送り、データの暗号化・復号を共通鍵暗号方式で行う

暗号化アルゴリズム

  • 暗号化に使われるアルゴリズム(解法)のこと

  • 一口に「共通鍵暗号方式」といった場合でも、それを実現しているアルゴリズムは複数種類ある

  • 基本情報に出題されるのは「AES」と「RSA

AES

  • Advanced Encryption Standard

  • アメリカで規格化された、現在主流の共通鍵暗号方式の暗号化アルゴリズム

  • AES以前に使われていたDESに安全性の問題があったので、それに代わる暗号化アルゴリズムとして誕生した

RSA

  • Rivest Shamir Adleman(発明者3人、リベストRivest、シャミアShamir、エーデルマンAdlemanの頭文字を取っている)

  • 現在主流の公開鍵暗号方式の暗号化アルゴリズムの1つ

  • 巨大な数の素因数分解が難しいことを利用した暗号化アルゴリズム

進捗

72 / 97 (74%)


この記事が気に入ったらサポートをしてみませんか?