Home / 記事 / 情報セキュリティ / ネットワークセキュリティ / 侵入テストの解説 - 攻撃ベクトル (2/4)

e知識「e-chishiki.com」では、インドでの著名なIT著者、IT教育者、eセキュリティーの大家により作成された様々な種類のプログラミング言語に関する技術的なコンテンツを知識情報データーベースとして提供します。

ITセキュリティシリーズ(侵入テスト)

侵入テストの解説 - 攻撃ベクトル (2/4)

Santosh Satam

2008年05月20日

すべての記事を印刷

Santosh Satam
Santosh Satam

侵入テストとは、脆弱性を見つけ出すことを目的に、コンピュータ システムやネットワークへの “外部” からの侵入を管理された形で試みるテストです。侵入テストでは、本物の攻撃で使用されるのと同じ、またはよく似たテクニックが使用されます。この記事は、 侵入テストの効率と集中したパフォーマンスを確保し促進するための構造化された侵入テスト アプローチについて説明します。また、この記事は、侵入テストの実行を計画する公的または私的な団体における選択基準を意思決定者に提供するようにも設計 してあります。

攻撃ベクトル

1. ネットワーク攻撃

ほとんどのハッカーにとっては、インターネットに面しているホストを通じてネットワークに侵入するための手段を明確にすることが自然な出発点となります。採用される手法は、実に幅広くあります。以下にいくつか例を挙げます。

  • 既知の脆弱性のスキャン
  • パスワードをクラックするためのブルート フォース (総当たり) 攻撃
  • アクセス制御リストを回避する試み
  • ネットワーク盗聴
  • トロイの木馬攻撃
  • バッファ オーバーフローの悪用

2. Web アプリケーション攻撃

Web アプリケーションは、多くの会社の IT インフラストラクチャへの "開かれた窓" になることが多いというのは、ますます認識されつつある事実です。これは、セキュリティを念頭に入れて開発された Web アプリケーションがほとんどなく、Web アプリケーションのセキュリティ テクニックを理解している開発者もほぼ皆無であることが原因です。このため、ハッカーは、このようなアプリケーションに対してそれ自体を標的として攻撃をしかけたり (たとえば、セキュリティの不完全な金融サービス アプリケーションを介して詐欺を働くなど)、Web アプリケーションを他の内部システムへのソフトウェアによる侵入ポイントとして利用することを模索したりします。

Web アプリケーション攻撃には、一般に、1 つ以上の以下のような行為が関与します。

  • SQL 投入
  • クロス サイト スクリプティング攻撃
  • 認証、アクセス制御、および承認の問題の悪用
  • セッション管理の問題の悪用
  • Web サーバー構成の問題の悪用

3. ワイヤレス攻撃

従来からある有線インフラストラクチャでのセキュリティを確立することには熱心だった企業の大多数が、ワイヤレス ネットワークを展開した途端、突然無防備な行動を取ります。あなたの会社がワイヤレス テクノロジを使用していることをハッカーに知られたら、ハッカーはほぼ間違いなく、以下のようなテクニックを使用してワイヤレス ネットワークを介してセキュリティを破ろうと試みてきます。

  • 不正なワイヤレス アクセス ポイントの設置
  • 盗聴とネットワーク暗号化の弱点の悪用
  • ネットワーク アクセス制御の弱点の悪用

4. ソーシャル エンジニアリング

ハッカーは、パスワードや攻撃に役立つその他の情報をこっそりと担当者から引き出そうとする中で、さまざまなソーシャル エンジニアリング テクニックを使用します。

使用される手法は多岐に渡りますが、多くの場合、経験の浅い社員に電話をかけ、IT 部門の担当者である振りをして、何らかのリモート診断テストを実行するために必要だなどと説明して、その人物が使用している ID とパスワードを要求します。

5. 物理的なセキュリティ攻撃

ほとんどの企業は論理的なセキュリティ インフラストラクチャに重点的に投資を行っており、多くの場合、その分物理的なセキュリティへの投資が弱体化していますが、ハッカーはこのことを十分認識しています。このため、ハッカーはしばしば、さまざまなテクニックを通じてサイトの物理的なセキュリティを破ろうと試みます。これに利用されるテクニックには、以下のようなものがあります。

  • ラップトップの盗難
  • 以下のことを目的とした、偽装による建物への不法侵入 (保守担当者の振りをするなど)
    ・ 機密データの入った資産を盗む。
    ・ 不当なワイヤレス アクセス ポイントをこっそり設置する。
    ・ 紙に記されたパスワードとユーザー名を見つけて盗み出す。
  • 建物アクセス制御装置の弱点を悪用した勤務時間外の侵入や、データ センターへの侵入

6. 電話システムへの攻撃

最近では、電話の通信システムとコンピュータ システムは高度に統合されており、多くの企業では、実際に両者の区別がつきません。当然のことながら、ハッカーは、電話システムの弱点を利用して社内ネットワークに入り込んできます。ハッカーが使うテクニックには、以下のようなものがあります。

  • ウォー ダイヤリング (リモート アクセス ポイントを見つけ出すための)
  • リモート アクセス ポートの脆弱性の攻撃
  • ブルート フォース攻撃 (リモート アクセス ポートへのアクセス権を得るための)
  • PABX 攻撃 (PABX 設定を変更して通話の経路を変更する)

セキュリティ侵害 :

実際のハッカーは (彼らが成し遂げようと企んでいる内容によっては) こういった攻撃のすべてでも試してくると思われるため、理想をいえば、侵入テストにこういった攻撃のすべてが含まれていることが望ましいです。しかし、現実の世界では、侵入テストのコストがそれを阻みます。侵入テストの範囲を決定する際には、現実的な妥協点を見出さなければなりません。これについては、後ろの「コスト面」で詳しく議論します。

この段階で理解しておいてほしいのは、侵入テストで会社のセキュリティを高めることができるのは、悪意を持つハッカーがその会社に対して使用する可能性があるのと同じテクニックをテスト担当者が使用した場合だけだということです。

コメント

コメントするにはログイン、もしくはユーザ登録を行ってください。

LET US C (上)

発売中

LET US C(上)
インド人ITエンジニアのCプログラミングのバイブル。通算100万冊以上売れています。
― 2,520円 ―

Y. Kanetkar

Intro to OOP & C++

発売中

Introduction to Object Oriented Programming & C++
C++を例に、多彩なサンプルコードと簡潔な説明でOOPプログラミングの実際が理解できる。
2,940

Y. Kanetkar

Microsoft .NET Web アプリケーションセキュリティ

発売中

Microsoft .NET Web Application Security
APプログラムの作り方で不正侵入の防御率を向上させる手法を解説。今までにないセキュリティーの手法を紹介します。
3,990円

Vijay Mukhi

Quest C++

2008年の11月発売予定

Quest C++ ビジュアルラーニングコース
これがあれば、見て聞くだけで楽しみながらプログラミングテクニックが身につきます。
― 9,975円 ―

Y. Kanetkar Asang Dani

Webアタック防止手法 Webアプリケーションセキュリティ

2008年の11月発売予定

Programmer's Guide to Web Application Security
Web System への侵入方法と原理を解説する事により、防止方法を理解することが出来る。
3,990

Vijay Mukhi

フォーラムの最新ポスト