1 標的型攻撃

標的型攻撃：特定の個人や組織を狙って機密情報を盗み取ることを目的にした攻撃。
標的型攻撃は情報収集から始まる：
1 攻撃対象の情報収集を行う
2 攻撃者は、収集した情報を利用して攻撃を仕掛ける

標的型攻撃メール：標的型攻撃の代表的な攻撃手法。事前に収集した情報を使ってターゲット用にカスタマイズしてメールを送ることで攻撃の成功率を高める

標的型攻撃には出口対策が大切：汎用的な対策はないので、攻撃される前提で出口対策をすることが大切である。例えば、機密情報が外部に流出しないように、内部から外部への通信を監視したり、データを暗号化することが大切である

高度で執拗なAPT攻撃：特定の標的に対して高度かつ執拗に行われる攻撃。国家などの支援を受けて、特定の個人や団体を執拗に攻撃し続ける。どんなにセキュリティ対策をしても脆弱性をなくすことはできないため、APT攻撃を防ぐことは非常に困難である

2 マルウェアと攻撃ツール

マルウェア：悪意のあるソフトウェアやコードの総称

代表的なマルウェア：
・コンピュータウイルス：意図的に何らかの被害を及ぼすように作られたプログラムのことで、実行ファイルやデータファイルに寄生する
・ワーム：宿主を必要とせず単独で存在するプログラムで自らを増殖し、感染を広げる
・トロイの木馬：正常なプログラムを装って存在するプログラムで、特定のタイミングや外部からの指示で攻撃を仕掛ける
・ボット：攻撃者が不正にコンピュータを操作するためのプログラム
・ランサムウェア：感染したPCの外部記録装置を暗号化したり、コンピュータ自体をロックしたりすることでユーザが利用できない状態にして、暗号化解除、ロック解除するための金銭を要求するプログラム

攻撃ツールの３つの種類：
・バックドア：攻撃者がターゲットに不正侵入するためのプログラム
・ルートキット：さまざまなツールをまとめたもので、ログの改ざんなど不正アクセスの証拠を削除するために利用されることが多い
・キーロガー：PCで入力したキーボードの内容を記録するソフトウェアやハードウェアで、利用者の入力情報を取得して機密情報を盗み出す

3 ウイルス対策ソフトの機能と検出方法

ウイルス対策ソフトの３つの機能：
・ウイルススキャン機能：対象のファイルがウイルスでないかを検査する
・隔離機能：ウイルに感染したファイルをコンピュータに影響しない範囲に移動させる
・駆除機能：ウイルスに感染したファイルからウイルスを除去する

ウイルスを検索する２つの方法：
・パターンマッチング方式：定義ファイルと呼ばれる既知のマルウェアの特徴を記録したファイルと比較することでマルウェアを検出する方法
・ヒューリスティックスキャン方式：マルウェアによる異常な動作を検出する方式で、普段と異なる異常な動作を検出するため、未知のマルウェアであっても検出できる可能性がある。
　　・静的方法：対象ファイルを動かさずにマルウェアと疑われるコードが存在するかを確認する
　　・動的方法（ビヘイビア法）：コンピュータに影響のない範囲で動作させてマルウェアかどうかを判断する

圧縮データはウイルスを検出できない場合がある：
ファイル解凍後に、マルウェアに感染する可能性がある

4 検疫ネットワーク

検疫ネットワーク：端末を社内LANに接続する際にセキュリティ上問題ないかを確認するためのネットワーク。検査、隔離、治療を行う
・検査：社内のセキュリティポリシーを満たしているかを検査する機能
・隔離：検査に合格できなかった場合は、社内LANと通信できないネットワークに隔離され、治療を行う
・治療：感染していたマルウェアの除去や、セキュリティパッチを適用することによってセキュリティポリシーを満たしている状態にする

DHCP方式：社内LANの接続時に検疫ネットワーク用のIPアドレスをDHCPサーバから払い出すことで検疫ネットワークに接続させる。
クライアントPCが手動で社内LANのIPアドレスを設定した場合、検疫ネットワークに接続されず、社内LANに接続できる。手動でIPアドレスを設定した場合は、社内LANに接続できないように、DHCPの通信を監視するDHCPすヌーピングなどを使って対策する必要がある

認証スイッチ方式：認証スイッチのポートに検疫ネットワーク用のVLANを割り当てることで、検疫ネットワークに接続させる。検査に合格すると社内LANに接続できるVLANに変更され、社内LANに接続できる

5 Dos攻撃

Dos攻撃（Denial of Service attack／サービス拒否攻撃）：サーバに過剰な負荷を翔ことで、サービス提供を妨害する攻撃。過剰な負荷をかけようとする悪意を持ったアクセスと通常のアクセスは区別しずらく、対応は困難である

複数の端末から同時に要求するDDos攻撃：分散型のDos攻撃で、踏み台としてボットネットなどを利用して複数の端末からターゲットに対して要求を送ることで、サービスを妨害する

ターゲットのIPアドレスになりすますDRDoS攻撃：DDos攻撃の応用で、ターゲットのIPアドレスになりすまし、要求より応答の通信が大きくなるプロトコル（DNSやNTP）を利用して攻撃を行う。DDoS攻撃と違い、踏み台となるコンピュータを用意しなくても攻撃できる

金銭的負担を狙ったEDoS攻撃：ターゲットが従量課金製のリソースを利用している場合に、不必要な要求を過剰に行うことで金銭的な負担をかけ、サービスを妨害する攻撃

6 Smurf攻撃

Smurf攻撃：ICMP echo reauest（Ping）の仕組みを悪用して、相手のコンピュータやネットワークに大量のパケットを送りつけるDos攻撃の一種

・攻撃者は、送信元IPアドレスをターゲットのIPアドレスに偽装する。
・宛先IPアドレスはブロードキャストアドレスを偽装して、ICMP echo recuest（Ping）を実行する
・ターゲットは身に覚えのないエコー応答が大量に届くことになり、リソースを消費させられる

Smurf攻撃への対策：各機器でブロードキャストアドレス宛のICMP echo requestを破棄することである。最近のクライアント端末はデフォルトの設定として、ICMPエコー要求を破棄する設定になっていることが多い。
ルータやファイアウォールでICMP通信を通さないようにフィルタするという対策もあるが、正規の用途としてICMPを利用できなくなるため、セキュリティポリシに応じてICMPwoフィルタするか判断する必要がある

7 中間者攻撃

中間者攻撃（Man-in-the-Middle Attack／MITM攻撃）：攻撃者がユーザとサーバの間に入り込んで盗聴や改ざんを行う攻撃

MITB攻撃（Man-in-the-Browser）：WEBブラウザを乗っ取ることで通信内容を盗聴、改ざんする攻撃。一般にマルウェアによって感染する

中間者攻撃への対策：デジタル証明書の利用、検証を行い、接続先が正規の接続先であることを確認する。そのため、接続先を検証するためのルート証明書の取り扱いには注意が必要である。不正なルート証明書をインストールすると、不正な接続先を正規の接続先であると判断する危険性がある

MITB攻撃への対策：WEBブラウザを使ったアクセスと別の方法で取引情報の確認をするトランザクション認証が有効である。例えば、WEBブラウザを操作して処理完了する前に、スマートフォンなどに処理内容の通知を行い、取引の内容を確認し、実行する

SSL復号機能：SSL復号機能は中間者攻撃と同様の仕組みが利用されている。プロキシサーバやファイアウォールでSSL復号機能を利用することでSSLの通信を監視することができる

8 サイドチャネル攻撃

サイドチャネル攻撃：ハードウェアの動作状況を物理的に観測することで暗号鍵などの情報を盗み見る攻撃。ハードウェアの消費電力、電磁波、エラー発生時のふるまいなどの情報を取得、解析することで暗号鍵などの情報も推測する。PCなどの機械のほか、ICカードなども攻撃対象となる

サイドチャネル攻撃の代表的な方法：
・タイミング攻撃：処理時間によって暗号内容や機密情報を推測する
・電力解析攻撃：消費電力を計測し、処理内容に対する消費電力から機密情報を推測する
・故障利用攻撃：意図的にエラーを発生させることでエラー時の動作から機密情報を推測する
これらの攻撃は処理に対する時間や挙動のばらつきをなくすことが対策になる

テンペスト攻撃：ディスプレイ、PC、ケーブルからの電磁波を取得することで、ディスプレイに表示されている画面や処理内容を解析する攻撃。PCやケーブルから発生する電磁波を遮断することが対策になる

9 DNSアンプ攻撃とDNS水責め攻撃

DNSアンプ攻撃（DNSリフレクタ攻撃）：送信元のIPアドレスをターゲットに偽装してDNSサーバに要求を送り、応答をターゲットに送りつける攻撃。DNSの通信は要求に対して応答のデータが大きくなる特性があり、攻撃者は効率的にターゲットに負荷をかけることができる

DNS水責め攻撃（ランダムサブドメイン攻撃）：標的のコンテンツDNSサーバに、存在しないサブドメイン名を問い合わせることで負荷をかける攻撃。ランダムなサブドメインという不必要な問い合わせを膨大に送りつけることで、攻撃対象のコンテンツDNSサーバの負荷を高める

DNSを利用する攻撃への対策：キャッシュDNSサーバがオープンリゾルバ（外部からのDNS問い合わせを受け付ける状態）になっていると、攻撃に悪用されてしまう可能性がある。管理しているキャッシュDNSサーバがオープンリゾルバになっていないか確認することが大切である

10 ソーシャルエンジニアリング

ソーシャルエンジニアリング：人間の心理的なスキや行動を狙った攻撃

ソーシャルエンジニアリングの代表的な５つの手法：
・ショルダーハック：攻撃者がユーザの背後からIDやパスワードの情報を盗み見る手法
・スキャベンジング：ゴミ箱から機密情報を取得する方法。
・電話を利用する手法：上司やシステム管理者、または警察などを装って電話をかけて機密情報を聞き出すなど
・警告詐欺：偽の警告画面を表示して不安をあおり、攻撃者が用意したサポートセンターへの入電を促したり、偽のセキュリティ対策サイトに誘導する手法
・盗み聞き：公共の場所で会話を盗み聞きする手法。攻撃者は会話を盗み聞きして、機密情報を取得する

ソーシャルエンジニアリングによる情報収集：標的型攻撃を行うには情報収集が必要であり、攻撃者はソーシャルエンジニアリングによって情報収集を行い、標的型攻撃に利用する。ソーシャルエンジニアリングへの対策は、標的型攻撃の対策にもなる

11 フィッシングとスミッシング

フィッシング：メールでなりすましサイトに誘導して機密情報を盗み取る手法。フィッシング対策としては、メールに記載されているリンクを利用せず信頼できるWEBブラウザを使って検索を行い、目的のWEBサイトを利用する方法などがある。また、ブラウザやセキュリティ対策ソフトには、フィッシングサイトを検知すると警告画面を表示するものがある

スミッシング：SMSでフィッシングサイトに誘導して機密情報を盗み取る手法。

12 ARPポイズニング

ARP：IPアドレスからMACアドレスを調べるプロトコルで、要求に対して最も早く届いた応答をARPテーブルに登録する仕様になっている

ARPポイズニング（ARPキャッシュポイズニング、ARPスプーフィング）：この仕様を悪用することで、攻撃者は正規の応答よりも早く不正な応答を届けてARPテーブルを不正に作り上げ（汚染）、不正な通信先に誘導する

ARPポイズニングの攻撃の流れ：
1 攻撃者はターゲットPCのARPが届く範囲でARPの発生を待ち受ける
2 ターゲットPCからサーバに対するARP要求が発生した際、攻撃者の端末は自身がサーバであると偽ってARP応答を返答する
3 サーバには自身がターゲットPCであると偽ってARP応答を送る
4 この攻撃が成功すると、ターゲットPCとサーバの両者でARPテーブルが不正に書き換えられ、ターゲットPCとサーバ間の通信は攻撃者を経由して行われることになり、攻撃者は通信の中間に入り込むことでデータの盗聴、改ざんなどができるようになる

ARPポイズニングへの対策：DAI（Dynamic ARP Inspection）という機能がある。DAIを利用することで、ARPメッセージの正当性を検証し、不正なARP通信を遮断する。また、認証機能などを利用して攻撃者をネットワークに参加させない仕組みをつくることも対策になる

13 クロスサイトスクリプティング

クロスサイトスクリプティング（XSS）：脆弱性のあるWEBサイトを使って、ユーザのブラウザで悪意のあるスクリプトを実行させる攻撃。
攻撃者は掲示板サイトに罠リンクを仕掛けたり、罠リンクを含むメールをターゲットに送信することで、脆弱性のあるWEBサイトに誘導する。罠リンクには不正なスクリプトが含まれており、罠リンクをクリックしたターゲットは脆弱性のあるWebサイトに移動すると同時に不正なスクリプトを実行する。その結果、ターゲットには偽の情報が表示されたり、スクリプトによってターゲットのCookieの情報が流出する危険性がある

XSS対策：WEBサーバ側で意図しないスクリプトを実行しないようにエスケープ処理を行う方法がある
・エスケープ処理：HTMLで特別な意味を持つ記号を、特別な意味を持たないように変換すること。特別な意味を持たない文字に変更することで、無害化（サニタイジング）できる

14 クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ（CSRF）：罠リンクを利用するなどして、WEBサイトにログインしている状態の利用者に意図しないリクエストを強制させる攻撃。
攻撃者は、特定のWEBサイトに意図しないリクエストを送ってしまう罠リンクを掲示板サイトなどに投稿する。特定のWEBサイトの利用者がログインした状態で、罠リンクをクリックすると、意図しないリクエストが実行される

CSRFに有効な対策：WEBサイト終了時にログアウトを行なってログイン状態を維持しないことや、退会や設定変更などの重要な処理においては攻撃者が予測できない認証情報を用いて認証する方法が有効である。また、WAFの利用もCSRF対策になる。CSRFによりパスワードの変更が成功した場合などは、不正ログインされる可能性が高まり、被害が拡大するおそれがある

CSRF対策としてのCAPTCHA：重要な処理を行う前に認証を行うことがCSRF対策になる。CAPTCHAを利用して認証すれば、攻撃者が事前に認証情報を予測できない。

15 ディレクトリトラバーサル

ディレクトリトラバーサル：ファイル参照の仕組みを悪用して、管理者の意図しない処理をウェブアプリケーションに行わせる攻撃。機密情報のファイル閲覧、設定ファイルの変更などが行われる可能性がある

ディレクトリトラバーサルの流れ：
1 管理者が/public/fileを公開フォルダとして運用している場合、クライアントからAというファイル名をダウンロード対象として指定されると、ウェブアプリケーションは/public/file/に対してAという情報を付加して/public/file/Aというファイルパスを生成してダウンロードを行い、ユーザにファイルを送る
2 ディレクトリトラバーサルを利用する攻撃者は未公開のファイルにアクセスするために、例えば../../etc/passwdというファイル名を指定する
3 この要求を受け取ったウェブアプリケーションは/public/file/../../etc/passwdというファイルパスを生成する
4 ../は1つ上の階層に遡るという意味をもっているため、2つ上の階層に遡り、/etc/passwdのファイルをダウンロードして、非公開のpasswdファイルをユーザに送ってしまう

ディレクトリトラバーサル対策：ファイル名を直接指定する実装を避けることが根本的対策になる。また、ファイルに対するアクセス権を適切に設定することも対策になる

16 パスワードクラッキング

パスワードクラッキング：パスワード情報を不正に調べる攻撃。攻撃者はパスワードクラッキングを利用してパスワードの取得を試みる。オンライン攻撃とオフライン攻撃がある

オンライン攻撃：実際に稼働しているサーバに接続し、ユーザIDやパスワードを調べる攻撃。
・ブルースフォース攻撃：パスワードのすべての組み合わせを試す
・リバースブルートフォース攻撃：パスワードを固定してユーザIDを変化させる
・辞書攻撃：辞書に記載されている単語からパスワードを推測する
・パスワードリスト攻撃：他のサイトで流出したIDとパスワードの組み合わせを試す

ファイルからパスワードを解析するオフライン攻撃：事前に取得したパスワードファイルなどを基に解析を行い、パスワードを調べる攻撃。多くの場合パスワードファイルなどは流出に備えてパスワードの情報はハッシュ値に加工して保存しているため、解析してパスワードを調べる必要がある。攻撃者はハッシュ値をあらかじめリスト化するなどして、効率よくパスワードを調べようとする

17 ソルトとストレッチング

ソルト：パスワードなどをハッシュ値へ変換するときに、パスワードに付与するランダムな文字列のこと。ソルトを含めてハッシュ処理すると、同じパスワードでも、ソルトが異なれば別のハッシュ値として算出されるため、パスワードの推測が困難になる

ストレッチング：ハッシュ処理を何度も繰り返すことでセキュリティ強度を高める方法

ソルトやストレッチングを利用して、ハッシュ値のバリエーションを増やして管理を行い、パスワードの解析を困難にする