【情報処理安全確保支援士】午後対策 個人的まとめ

カテゴリ

  1. 電子メールのセキュリティ対策
  2. 社内システム運用
  3. セキュリティインシデント対応におけるサイバーセキュリティ情報の活用
  4. 標的型攻撃への対応
  5. セキュアプログラミング

要点まとめ

電子メールのセキュリティ対策

  • 迷惑メールの多くは送信元を詐称するUBE(Unsolicited Commercial Email)で、第三者のメールサーバを経由して配信される
  • SMTPの欠陥(ドメイン制限なし、ポートの固定、ユーザ認証不可、送信元認証不可)への対策が必要
  • MTAのVRFY、EXPNコマンドなどのよって、アカウント情報が漏洩する可能性
    • VRFYやEXPNなどは、使わないならMTAで無効化が推奨される
  • SPFは、受信したメールの、「送信元DNSサーバ」に問い合わせ、エンベロープの「MAIL FROM」アドレスのドメイン正当性を検証する
    • ポイント:SPFレコードの記述例
      • 【ドメイン】IN TXT 【SPFのバージョン】【メールを送信するホスト(IP、ネットワーク)】
      • example.jp IN TXT “v=spf1 +ip4:192.168.100.0/24 ~all”
  • DKIMは、送信メールに秘密鍵で作った署名、送信側DNSに公開鍵を設置し、受信側はDNSの公開鍵を取得してメールの署名を検証する
    • ポイント:DKIMレコードの記述例
      • example.jp IN TXT “v=DKIM1; k=rsa; p=公開鍵”;
  • メールの暗号化、SMTP over TLS(SMTP通信の暗号化)、S/MINEやPGP(アプリケーション層)
  • 送信ドメイン認証技術に対応したメールサーバからのなりすましメール(送信元が詐称されていない)は、ドメイン認証を突破してくる

社内システム運用

  • DNSのTXTレコードは向きとSNF対策の記法がポイントっぽい
  • オープンリゾルバ(再帰的なDNS問い合わせ)防止機能は、内部LANからインターネットに対しての問い合わせを許可しない
  • HTTP CONNECTはTCP通信をトンネリングできるので、プロキシのCONNECTを悪用してスパムメールを配信する攻撃が起きうる

セキュリティインシデント対応におけるサイバーセキュリティ情報の活用

  • マルウェアは、プロキシ認証を窃取してC2を実現することがある
    • プロキシ認証窃取の方法は、ブラウザの情報取得、キーロガー、BF、Basic詐称、ネットワーク盗聴など
  • 攻撃用ドメインの「権威DNSサーバ」をC&Cとして、外部DNSサーバに対し攻撃用ドメインへの「再帰的クエリ」を送信すると、外部DNSサーバは攻撃DNSサーバに「非再帰的クエリ」を送信することでC2が成立する
    • DNSクエリを利用したC2が発生すると、「ホスト名が長いDNSクエリ」「特定のドメインへの多数の問い合わせ」などの痕跡が残る

標的型攻撃への対応

  • 端末がC&C通信前にネットワークから隔離されていると、FWのログからはマルウェア感染の有無を判断できない

メモ

  • メールサーバが踏み台にされる弊害は、自分のメールサーバがRBL.jpに登録されて、相手に受信拒否されてしまう可能性がある点
  • NDRメールを利用した攻撃も存在する
  • トランザクション署名(Transaction Signature,TSIG)は、マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法
    • 増加するMITBの被害を防止するために効果的
  • Point-to-Point Tunneling Protocolの略。第2層のPPPパケットをIPパケットでトンネリングする方式で、暗号化機能や独自の利用者認証機能を持つ
  • SQLの参照制約とは、関係データベースにおける整合性制約の一つで「ある表で参照しようとしている値が、参照先の表で候補キーとして存在しなければならない」というもの
    • 参照制約では、行の追加と削除の際に注意が必要
    • 外部キーを持つ行を追加する場合に、その外部キーの値は参照先の表で主キーの値として存在する必要がある
  • CSMA/CAでは、各端末が互いに送信フレームを受信できることが前提で、2つの端末間の遮蔽物や位置関係によっては送信フレームを受信できない
    • このとき、互いに他方の端末の送信を検知できないことになるため、同時送信による衝突が起こりやすくなることを「隠れ端末問題」という
  • 特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式をサーキットレベルゲートウェイ方式という
  • CRL(証明書失効リスト)には公開鍵証明書の「シリアル番号」と、その証明書が失効した日時が登録され、短い間隔(通常は24時間以内)で随時更新
  • 関連平文攻撃
    • 攻撃者が任意に選択した平文とその平文に対応した暗号文から数学的手法を用いて暗号鍵を推測し,同じ暗号鍵を用いて作成された暗号文を解読する攻撃
  • クリプトジャッキング
    • コインマイニング的な?
  • VLAN
    • ポートベースVLAN:スイッチの接続ポート単位でグルーピング
    • アドレスベースVLAN:MACアドレスやIPアドレスを基準にグルーピング
    • ポリシベースVLAN:IP、IPX、AppleTalkなどのネットワークプロトコルごとにグルーピング
    • タグVLAN:パケット内の拡張タグに指定された情報によってグルーピング
    • DNSキャッシュポイズニング攻撃は、DNSキャッシュサーバに対してキャッシュに存在しないドメイン名の名前解決要求を行い、正規の応答が返ってくる前に偽の名前解決情報を送り付けることで、DNSキャッシュサーバのキャッシュに偽の情報を登録させる攻撃手法
      • DNSヘッダ内のIDを固定せずランダムに変更する対策が有効
    • OP25Bでは、「ISP管理下の動的IPアドレスからISPのメールサーバを経由せずに外向き(インターネット方向)に発信されるSMTP通信(ポート25番)を遮断する」ことでスパムメールの投稿制限を行う
  • ハッシュ関数には解読攻撃への耐性を得るための次の特性が必須
    • 衝突発見困難性(強衝突耐性)
      • ハッシュ値が一致する、すなわち、hash(M1)=hash(M2)となるようなメッセージM1とM2を探索することが困難であること
    • 第二原像計算困難性(弱衝突耐性)
      • 既知のメッセージM1に対するハッシュ値が与えられた時に、ハッシュ値が一致する、すなわち、hash(M1)=hash(M2)となるようなメッセージM2を探索することが困難であること
    • 原像計算困難性
      • ハッシュ値から元の入力値を探すことが困難であること、すなわち、hash(M)から元のメッセージMを探索することが困難であること
  • SAML(Security Assertion Markup Language)は、シングルサインオンの機能を実現するために標準化団体OASISによって策定された、認証情報、属性情報、およびアクセス制御情報を表現するXMLベースの仕様
  • XML Signature(XML署名)は、XML文書にディジタル署名を埋め込むための標準化仕様
  • 監査調書は、監査手続の実施内容や発見した問題点、収集した情報およびそれらの分析結果、監査人の結論などをまとめた文書
  • CSRF被害を回避するには、不正なリクエストを退ける次のような手順を処理確定前に組み込む
    • 秘密情報(ページトークン)による認証
    • パスワードの再入力
    • 参照元情報(Referrer:リファラ)の検証
  • Smurf攻撃(スマーフアタック)は、ネットワークの疎通確認に使用される”ICMP echo request(ping)”の仕組みを悪用して、相手のコンピュータやネットワークに大量のパケットを送りつける反射型のDoS攻撃
  • RADIUS(Remote Authentication Dial In User Service)は、認証および利用ログの記録を単一のサーバに一元化することを目的としたプロトコルで、暗号化通信の機能はない
  • WPA2にはパーソナルモードとエンタープライズモードが規定されており、WPA2-Enterpriseは、認証にIEEE802.1Xを用いる
    • IEEE802.1Xでは、クライアント-アクセスポイント-認証サーバの3者間で認証情報がやり取りされる

参考リスト

Web

【情報処理安全確保支援士】午後対策 個人的まとめ

https://alumi-mic.github.io/security_kb/2020/09/Qualification/2020_09_23_sc_2019/

Author

Kashiwaba Yuki

Posted on

2020-09-23

Updated on

2020-09-29

Licensed under