2007年04月28日

上級シスアド−不正侵入

1)インターネットの脅威と対策
 脅威         対策
 盗聴         データの暗号化
 なりすまし(送信否認) 相手認証、ディジタル署名
 データ改ざん     メッセージ認証
 不正利用(侵入、破壊) アクセス制御

2)不正侵入の種類
a)パスワード運用
 パスワードの運用制度には「設定方法、基準」がある。 又、「パスワードの定期的変更」「異動、退職の確実な更新」がポイント。 尚、ある回数以上パスワード入力ミス時のロックアウトの対策も必要となる。

b)スキャビンジング(Scavenging)
 コンピュータシステム内やその周辺に残されたままの情報を窃取する手口。 最も簡単な方法ではその会社のごみ箱をあさって廃棄された用紙を探すなど。

c)ソーシャルエンジニアリング
 利用者になりすましてパスワードを聞き出したり、ごみ箱をあさり有用な情報を得る(スキャビンジング)など。

d)DDoS攻撃(分散型DoS:Distributed DoS)
 大規模なインターネットサーバを攻撃する手法。数多くのセキュリティの弱いサイトを探し、踏み台として利用。狙ったサイトに対して同時に集中してDoS攻撃

e)DoS攻撃(Denial of Service)
 サイトに対し、サーバ資源やネットワークを過負荷状態にする。セキュリティホールを攻撃し、異常終了、サービス不能にする。 大量の不正アクセスやメールを集中送信するなど。

f)ポートスキャン
 TCP/UDPポートがオープンしているか調べる行為。ポートスキャン事態は違法行為でない。不正アクセスの準備行為として行われる事が多い。

g)スプーフィング攻撃
 許可されたユーザやプログラムになりすましてネットワークに接続された機器にアクセスを試みる攻撃。盗聴したIDを利用して不正にアクセスしたり、ルータになりすましてルーティング情報を変更する等。

h)SQLインジェクション
 入力フォームの値をSQLコマンドの一部として取り込むアプリケーションの脆弱性。
 入力フォームに ' or user = 'suzuki' or user = ' などと入力し、SQL文を意図的に変更させる。 パスワード入力項目だとパスワード無しにしてしまうことも可能。
 シングルクォーテーションを入力不可にして対応する。

i)クロスサイトスクリプティング
 i-1)悪意のあるWebサイトにアクセスしてしまう。
 i-2)スクリプトが埋め込まれHTMLをダウンロードする。
 i-3)このスクリプトにより標的となるサイトへリンク、スクリプトをリダイレクト。
 i-4)そしてサイトにスクリプトを挿入する。
 i-5)その標的となったサイトからスクリプト付きHTMLをダウンロードする。
 i-6)スクリプトを実行される。
これにより悪意のあるサイトは、標的サイトのCookieを取得し、不正アクセスする。

j)バッファオーバフロー
  j-1)予定しているバッファ領域以上にデータを入力し、データ領域を破壊する。
  j-2)スタック領域の次に実行する番地を書き換えバッファ領域内の不正プログラムを実行する。

k)辞書攻撃
 パスワード破りの方法の一つ。パスワードに使用されやすい単語辞書を用い、パスワードと同じ暗号方式を用いて暗号化し比較。パスワードを解析。

l)バックドア
 一度侵入したコンピュータに再度侵入しやすく細工。侵入された場合はバックドアを仕掛けられている可能性がある。OSの再インストールが必要。

m)サラミ法(Salami Technique)
 金利計算処理で端数を特定口座に振り込む。

n)踏み台
 セキュリティ対策の不備をついて不正侵入し、他サイトを攻撃するための「中継サイト」として利用。スパムメールを行う場合に第三者中継する事もある。

システム管理者を目指すなら ←←←お奨め:★★★★★
上級システムアドミニストレータを目指すならこれ!

               最新記事へ     トップページ
タグ:用語辞書
posted by ミニミニ管理者 at 15:43 | Comment(0) | TrackBack(1) | 用語辞書



ブログランキング挑戦中!
ナレコム 学び&おけいこ 人気ブログランキング【ナレコム】ランキング
↑↑IT資格ブログランキング↑↑

ブログランキング

資格ブログランク


システム管理者を目指すなら
ミニミニ診断士の頑張れ!中小企業診断士
システム管理者にとって業務知識は必須です!
AX
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。