なりすまし
なりすましとは
なりすましは攻撃者が正規のユーザになりすまして、不当に情報資源を利用する権限を得ようとする行為である。実社会でも、変装や社員証の偽造といった手法がとられるが、対面で本人確認を行わない情報システムではこれがより容易になる。なりすましの対策として使われる技術が、デジタル署名である。
なりすましの種類
単純な手段からネットワークを介した技術の必要なものまでさまざまな方法がある。
パスワードリスト攻撃
不正な手段や他のサイトからの流出によって入手したIDやパスワードを利用して、他人になりすます方法である。パスワードの使い回しをやめ、定期的に変更することでリスクを低減できる。
IPスプーフィング
IPパケットのヘッダ情報を偽装することによって、他のマシンになりすまし、本来アクセスを許可されていないシステムにアクセスする方法である。ステートフルインスペクションやIDS/IPSの導入などにより、リスクを低減できる。
踏み台
第三者のコンピュータを踏み台にすることで、踏み台にしたコンピュータからアクセスしているように見せかける技術である。アクセスログの検査などでも、踏み台のIPアドレスが残り犯罪を隠蔽できる。脆弱性のあるマ シンや公開プロキシなどが踏み台に利用される。公開しているサーバのセキュリティ水準を上げることで、踏み台にされにくくし、またIDSやIPSなどで踏み台攻撃を識別する。
ARP スプーフィング
ARPはIPアドレスからMACアドレスを知るためのプロトコルだが、ARP要求に対する偽の返答を攻撃者が用意することで、不正なマシンに通信を誘導する技術です。ARPテーブルの監視などで対応する。
セッションハイジャック
二者間で行われる通信を攻撃者が乗っ取る方法である。サーバになりすまして個人情報やパスワードを入手したり、サーバとクライアントの間に割って入って通信を中継(中間者攻撃)したりする。通信内容がすべて攻撃者に筒抜けになる。セッションを管理しているセッションIDや通信用のポート番号をランダムにするなどして、攻撃者に攻撃の手がかりを与えないようにする。
リプレイ攻撃
ネットワークに送信されるログイン情報を取得して、そのコピーを使って不正にログインする。ワンタイムパスワードなどで対策する。
MITB
マン・イン・ザ・ブラウザ (Man in the Browser) の略称である。MITBはマルウェアがブラウザとサーバの間に介入することによって、ブラウザの通信を乗っ取る攻撃で、利用者は正規のサーバと通信しているつもりだが、不正なサーバなどに情報を送信してしまっている。スマホを使ったトランザクション認証によって対応する。似た名前の用語として、MITM (マン・イン・ザ・ミドルアタック) がある。 MITMは 「中間者攻撃」の意で、通信を行っている二者間に割り込んで、通信の中継を行う。割り込まれている二者は中継されていることに気づかず、すべての通信内容を盗聴されてしまう。PKIを用いて、認証局が発行したデジタル証明書を使うことなどで攻撃を回避できる。
フィッシング
URLと判別しにくいURLをスパムメールで送ったり、本物のURLと打ち間違えやすいURLで、間違えて訪れる利用者を待ったりする。判別しにくい短縮URLも利用される。リンクは利用せず、検索エンジンを使って目的サイトに到達するなどの対策する。
標的型攻擊
十分な準備を行って、特定の組織や人を攻撃する方法である。標的企業の正規の書類フォーマットや組織図、人間関係を把握して行われるので、見破りにくいのが特徴である。顧客のふりをして取引をしながら攻撃することもある。高度な技術を用いて執拗な攻撃が行われる場合を、特にAPTと呼ぶ。
また、標的企業がよく利用するサイトを改ざんして、そこからマルウェアを感染させるような攻撃方法を水飲み場攻撃という。社員の情報セキュリティリテラシを向上させるなどして対策する。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント