悪意を持ったソフトウェア

コンピュータウイルス ワーム BOT トロイの木馬 スパイウェア ランサムウェア

故意に障害を起こすプログラム

ネットワークを介して他のコンピュータに 自分自身を複製して伝染する、不正プログラム

遠隔操作型ウイルス

C&Cサーバとゾンビコンピュータからなる ネットワークのこと

攻撃を支持するサーバ

BOTに感染して遠隔操作できるコンピュータ

正規プログラムに見せかけて入り込み 潜伏後に破壊活動を行う

標的となるコンピュータに潜り込み リモート操作で破壊行為を行う。

システム内に潜伏 個人情報/メールなどを特定サイトへ勝手に送信

システムやデータをロックし 身代金を要求

会社の許可を得て 私的なデバイスやクラウドサービスを 業務に使用したりする。

無許可でのBOYDのこと

被害者に分からないように 少額ずつ詐取する方法

取引先/自社経営者/弁護士などになりすまし 入金を促す偽メールを使った詐欺

本来の目的以外の使い方によって 不正行為が可能になる

キーロガー バックドア

キーボードのタイピング情報を記録 ID/パスワードを盗み出す行為

不正アクセス用に設けた裏口 他コンピュータを攻撃する踏み台として使われることも

偽の対策ソフトの購入を促す

攻撃者が不正侵入した後に利用する 侵入隠蔽/再侵入する際に必要となるツール群

政府機関やインフラ事業者のシステムを狙った攻撃

特殊なブラウザでのみアクセス可能な闇サイト

対象とした標的に対し 事前調査/侵入/盗み出しまで 攻撃段階ごとに対策を取ること。

動機 機会 正当化

犯行を難しくする 捕まるリスク向上 犯行の見返り減少 犯行の挑発減少 犯行容認の言い訳を許さない

パスワードとハッシュ値の組み合わせをテーブル化 手当たり次第に突き合わせ

社会での反応などを楽しむ

金品を奪ったり、損害を与える

パスワードを不正入手すること

辞書攻撃 ブルートフォース攻撃 パスワードリスト攻撃

辞書などに乗っている言葉を 自動的に片っ端から試す

利用者IDに対応するパスワードを手あたり次第入力して割り出す

パスワードを固定し逆に利用者を割り出す

別システムから流出したパスワードを用いて不正ログインを試みる

クロスサイトスクリプティング(XSS) クロスサイトリクエストフォージェリ(CSRF) キャッシュポイズニング/SEOポイズニング

書き込み欄のあるアプリの脆弱性を突き スクリプトを埋め込むことで偽ページ表示

SNSなどのログイン中に細工されたリンクをクリック リンク中に仕掛けられた悪意ある要求を実行

偽DNS応答をサーバに記憶 利用者を有害サイトに誘導

上位の検索結果に悪意あるサイトを表示

Webサイトを閲覧した際に 利用者の意図にかかわらず不正プログラムをダウンロードさせる行為

視覚的にだまして正常に見えるWebページ上のコンテンツをクリックさせ 個人情報などを不正取得する

無関係の組織のメールサーバを踏み台に SPAMメールなどを大量発信したりすること

偽の送信元IPアドレスを持ったパケットを作成して送信する

SQLインジェクション ディレクトリトラバーサル

Webアプリケーションの脆弱性を利用 悪意あるSQL文を入力

相対パス記法を悪用し、管理者の意図しないファイルへアクセスする手法。

セッションハイジャック 中間者攻撃 MITB

通信におけるセッション(一連のやり取り)を乗っ取る

マルウェアを用いてやり取りしている2者の間に入り込む

サーバとWebブラウザ間に入り込む

Dos攻撃 DDos攻撃 EDos攻撃

大量のデータを送り付ける攻撃手法 システム機能低下/ダウンが目的

ウイルスなどで第三者のマシンを踏み台にし 多数のマシンから標的に太陽のパケットを同時送信

経済的損失を目的としたDos攻撃

標的型攻撃 やり取り型攻撃

添付ファイルを開かせるなどでウイルスに感染させ、情報を盗む

問い合わせなどを装う 信用させた後にウイルスファイルを添付

フィッシング/ワンクリック詐欺 ゼロデイ攻撃 サイドチャンネル攻撃

金融機関などの偽サイトで詐取

URL/ボタンをクリックしただけで高額な架空請求

発見されたセキュリティホールが修正されるまでの間を狙って行われる攻撃

表示メッセージ/ICカードの放射電磁波・電流変化などを用いて 推測することで暗号解読の手掛かりを得る

共通鍵(秘密鍵)暗号方式 公開鍵暗号方式

当事者間で共通鍵を用いて 暗号化/複合を行う

受信側が秘密鍵と公開鍵を持つ 送信者側が公開鍵で暗号化し 受信者側が秘密鍵で復号する

米国商務省標準局が制定した共通鍵暗号方式のひとつ

政府機関が電子調達を行う際に用いるべき 強度と実用性のある暗号方式のリスト

最初に公開鍵暗号方式で共通鍵を送り 以降は共通鍵で暗号化/復号処理を行う

メッセージから得られるハッシュ値のこと

業界標準の公開鍵暗号方式 大きな数の素因数分解が必要

離散対数問題の難解さを利用 RASに比べ短い鍵長で同レベルの安全性

メッセージが本物であること(完全性)を証明

共通鍵暗号方式。 固定長のブロック単位で暗号化

共通鍵暗号方式 ビット/バイト単位で暗号化

公開鍵暗号方式を用いて メールやファイルを暗号化するソフトウェア

デジタル署名に利用

共通鍵受け渡し用として使われる。 なりすましに弱い

公開鍵暗号方式を使うことで なりすましの有無と開山の検知を行う

秘密鍵→署名鍵 公開鍵→検証鍵

認証局が作成 公開鍵所有者の正当性を証明

文書がある時刻において 存在していること、改ざんされていないことを 証明するもの

電子商取引などに使われるXML文書に添付するデジタル署名

公開鍵暗号技術を利用した 情報セキュリティを実現するための基盤

証明書失効リスト

証明書利用者がオンラインで失効情報を確認するプロトコル

政府認証基盤。 国民と行政を安全に繋ぐ仕組み

複数CA間で相互認証する場合の中継地

クライアント証明書 サーバ証明書 ルート証明書

企業/個人を証明

正当な運営組織であることを証明

認証局自体の信頼性を証明

暗号化機能やデジタル認証機能など セキュリティ対策を取り入れたMIMEの拡張規格

HTTPなど上位のプロトコルに セキュリティ機能を提供するプロトコル TCP層とアプリケーション層の中間に位置

システム資源にアクセスできるようにするための パスワードとして使われる番号

人間とマシンを判別するチューリングテスト

利用者からの接続要求に対し 一旦切断しシステム側から改めてかけ直すこと

性質の異なる複数の認証を組み合わせる