CONTENTS 特集1 6つのポイントを徹底図解脆弱性解体新書・・・・・ 6 脆弱性がセキュリティ上の問題であることはよく知られている。だが、「脆弱性があると、どのような危険性があるのか」「脆弱性はどのようにして悪用されるのか」など、疑問は尽きない。ITインフラ技術者にとって、脆弱性に関する正しい知識は不可欠。多くの人が抱いている疑問に答えよう。 PART1 どのような被害に遭うのか・・・・・・・・・・脆弱性の種類で変わる被害のシナリオ PART2 代表的な手口を完全図解・・・・・・・・・・・バッファーオーバーフローや SQLインジェクションなどを悪用 PART3 脆弱性を生じさせない体制・・・・・・・・・ベンダーなどが実施している脆弱性対策の最新状況 8 10 18 PART4 どうやって脆弱性を見つけるのか・・・・・・・ファジングやリバースエンジニアリングで調査 PART5 パッチや定義ファイルを迅速に・・・・・・・ウイルス対策ソフトや業界連携で被害を最小化 PART6 脆弱性があっても被害を防ぐ 20 22 ・・・・・・・ 24 ・・・・・・・ 28 「DEP」や「ASLR」などの防御機能を装備特集2 6つの設問でみるみる理解 SSLはもう古い TLSがおもしろい・・・・・・・・・・・・・・・ 26 ▽SSLはもう古い。安全な通信プロトコルの代名詞が、「SSL」から後継の「TLS」に変わりつつある。致命的な脆弱性が見つかったからだ。 ▽TLSがおもしろい。多くの人がSSLだと思っている通信のほとんどはTLSだ。通信高速化とセキュリティ強化を背景に、通信のほとんどでTLSを使う時代が早晩来る。 ▽ITインフラ技術者なら今後、TLSの知識が不可欠になる。本特集ではTLSにまつわるあらゆる疑問を解いていく。 Q1 SSLはなぜ「もう古い」なの？ Q2 TLSが必要なのは大事な通信だけ？ Q3 なぜTLSで安全が守れるの？ Q4 TLS通信のステップを教えて！・・・・・・・・ 36 Q5 TLSの安全性はどう決まる？・・・・・・・・・・ 39 Q6 サーバー証明書は本当に安全？ Q7 TLSはWeb専用なの？ Q8 Q9 ・・ 32 ・・・・・・・・・・ 34 ・・・・・・・・ 42 ・・・・・・・・・・・・・・・・・ 44 SSLを使えなくしたい・・・・・・・・・・・・・・・・・・ 44 暗号と数学の関係は？・・・・・・・・・・・・・・・・・・ 45 IT インフラマガジン徹底理解セキュリティ 003-005_ITinfra15a_HND_03.indd 3 3 2015/08/31 13:44 解説1 解説2 正規プログラムに挿入、感染したら隠れる遠隔操作ウイルスの動作 46 ・・・最近話題の遠隔操作ウイルスとはどんなものなのか。代表的な「BKDR_POISON」を実際に感染させて、感染後のウイルスはどんな動きをするのかを詳細に調べた。特集3 青天井のセキュリティ・・・・・・・・ 50 セキュリティ被害の規模が100億円を超える時代がやってきた。企業やWebサイトはどこまで対策を打てばいいのか――。本特集では、セキュリティ対策が青天井となることへの回避策として、脅威の実態把握、最新対策とそのコスト、適切な判断のための方法を提示する。セキュリティ対策の最前線・・・・・・・・・・容赦ない攻撃、尽きない脆弱性それでもシステムを守り切る PART2 対策の常識が変わる巧妙化する攻撃手口・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・標的型攻撃で重要資産が狙われる Webサイト改竄で図らずも加害者に PART4 ・・・・・・・・・・・・ 72 多くの開発・運用現場で「セキュリティ職人」が圧倒的に不足している。社内でのセキュリティ職人の育成方法と、高度な技術を持つ社外の人材の力を借りる方法を解説する。 52 サイバー攻撃が仕様の弱点を突く狙われるDNS ・・・・・・・・・・・・・・・・・・・・・・ 78 2014年初頭から、DNSの仕様上の弱点を狙うサイバー攻撃が相次いでいる。ソフトウエアのバグなどに起因する脆弱性と違って、プロトコルの仕様に原因がある場合は、簡単には修正できない。本特集では、DNSの仕様上の弱点を整理するとともに、DNSの弱点を狙う2つの攻撃手法の詳細を紹介する。 PART1 概要・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・相次ぐ攻撃でプロトコルの弱点があらわに攻撃は変異、従来対策は不十分多層が常識、コストは青天井に PART3 ひっぱりだこの「セキュリティ職人」特集4 どこまで対策すればいいのか？ PART1 社内で育成するか、外部の力を借りるか 56 58 PART2 弱点・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・悪用される5つの弱点管理権限の偽称も可能 PART3 攻撃手法・・・・・・・・・・・・・・・・・・・・・・・・・・・・・仕様の弱点を突く2種類の攻撃手法と対抗策を詳しく解説 78 80 86 拡大するセキュリティ対策と費用 62 ・・事故後の対策が重要視される CSIRTやログ分析の現場適用が進む PART5 セキュリティ要件の決め方・・・・・・・・・セキュリティフレームワークを活用「どこまでやるか」や「いつやるか」も検討 67 4 003-005_ITinfra15a_HND_03.indd 4 2015/08/31 13:44 特集5 100 50 25 25 50 セキュリティ攻撃狙われた現場 100 第4回・・・・・・・・・・・・・・・・・・・・・・・・ 95 セキュリティ攻撃の手口が巧妙化し、あらゆるシステムがいつ外部から狙われてもおかしくない状況になっている。どのような対策を講じ、どんな備えをすべきか。実際に攻撃に遭った現場の証言を基に、考えてほしい。 PART1 攻撃に遭うと現場はこうなる・・・・・・担当者は動揺し対処遅れるすぐにシステム復旧できない PART2 96 ユーザーに聞く、注目製品の導入効果 103 迅速に攻撃を検知侵入ウイルス封じ込める PART3 標的型攻撃への対処法・・・・・・・・・・・・・バックドア通信を遮断しウイルスの活動抑え込む 108 特集6 6つの攻撃手法と対策セキュリティを強化せよ 115 ・・・セキュリティ攻撃対策のためには、その手口を知るのが何よりも重要だ。不正アクセスに関するセキュリティ事件で実際に使われた6つの代表的な攻撃の手口や防御策について解説する。第1回アカウントハッキング・・・・・・・・・・・・・振り込み被害が続発認証強化策を検討しよう第2回クロスサイトスクリプティング・・・ 122 ・・・・・・・・・・・・・・・・・・・・・・・・・・ 128 なりすまし被害が発生入出力値を制限して防御する第3回標的型攻撃 116 ウイルス付きメールが発端社内ネットが支配されるスマートフォンを狙った攻撃・・・・・・ 134 ・・・・・・・・・・・・・ 140 外出中に紛失事故が発生講じた対策が機能しない第5回 SQLインジェクションサイトから機密情報が漏洩入力値チェックでは守れない第6回 DDoS 146 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・アクセス急増でサイト停止 ISPと連携して対処する特集7 鴨志田昭輝のセキュリティ事件簿 152 本特集では、セキュリティの専門家である鴨志田昭輝氏が毎月1つのセキュリティ事件を取り上げて解説した連載記事2年分（2013年3月∼2015年3月）を一気に収録した。被害を未然に防ぐために、過去のセキュリティ事件を教訓として生かそう。 2013年・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・「アカウントリスト攻撃事件」など 2014年・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・「Shellshock事件」など 2015年・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・「個人情報漏洩事件」など 153 163 175 本書は「日経NETWORK」および「日経SYSTEMS」に掲載した記事を抜粋して再編集し、加筆・修正したものです。記事内容は掲載当時のものであり、現時点では変わっている可能性があります。会社名や製品名、取材協力者や執筆者の社名や肩書きについても、掲載当時のものを掲載しています。ご了承ください。 IT インフラマガジン徹底理解セキュリティ 003-005_ITinfra15a_HND_F1.indd 5 5 2015/09/02 10:41