3.2.2 脆弱性の洗い出し

本モデルには、次のような脆弱性が考えられる。

1) アクティブ(Active)攻撃に関する脆弱性

アクティブ攻撃とは、悪意のある者(攻撃者)が、ターゲットとなるサーバーへ直接的に被害を与える行為である。この攻撃には、大きく2つに分類することができる。

ア) 侵入攻撃

侵入攻撃とは、悪意ある者がターゲットサーバーのアクセス権を不正に取得することを目的とした攻撃である。侵入攻撃には、以下のような方法がある。

• なりすましによる侵入

  許可されていない者がアカウント名とパスワードを推測し、利用許可者のアクセス権を不正に入手し侵入する方法やWebのクライアント認証用のセッションIDを推測し侵入する方法などがある。

• バグを突いた侵入

  OSやソフトウェアに潜んでいるバグ(プログラムミス)を利用して、不正にアクセス権限を取得し侵入する方法。代表的な手法には、バッファオーバーフロー攻撃やフォーマットストリングバグ攻撃などがある。

• 設定ミスを利用した侵入

  OSやソフトウェアの設定ミス(デフォルト設定を含む)や、デフォルトアカウントを利用されて侵入されたり、アクセス制御の設定ミスから侵入を許してしまうものである。

• 仕様上の問題を利用した侵入

  OSやソフトウェアの仕様に問題があるために、侵入を許してしまうものである。

• 不要なファイルを利用した侵入

  システム運用上、不必要なファイル(サンプルファイルやバックアップファイル)に潜む脆弱性から侵入を許してしまうものである。

• バックドアからの侵入

  バックドアとは、サーバーへ再び侵入するために、サーバー管理者に見つからないように仕掛けた裏口のことである。バックドアが仕掛けられたサーバーは、バックドアを仕掛けた侵入者以外にも、不特定多数の攻撃者からの侵入を許してしまう危険性がある。

イ）サービス使用妨害攻撃

サービス妨害(DoS：Denial of Service)攻撃とは、何らかの方法により、ターゲットとなるサーバーやネットワークが提供するサービスを妨害する行為である。DoS攻撃には、以下のような方法がある。

• バグを利用する方法

  サーバーで提供されているOSやソフトウェアなどが抱える問題点を利用し、サービスの妨害を行う。例えば、パケットの処理に問題がある場合に、その問題を発生させるような奇形パケットをターゲットに送信することで、サービスが正常に提供できない状態に陥らせてしまうものなどがある。過負荷を与えるDoS攻撃と異なり、少量の奇形パケットで発生してしまう場合もある。

• 対象サーバーやネットワークに過負荷を与える方法

  正常なパケットを多量に発生させることでサービスを妨害する攻撃である。例えば、ネットワーク帯域に過剰なトラフィックを発生させることで、そのネットワークやネットワーク上のサーバーの正常なトラフィックを妨害したり、特定サービスに過剰接続を行い、リソースの枯渇を発生させ、サービスの正常提供を妨害したりするものがある。

2) トロイの木馬による待ち伏せ攻撃に関する脆弱性

トロイの木馬による待ち伏せ攻撃とは、悪意のある者(攻撃者)が直接被害者に攻撃を行うのではなく、攻撃者が周到に用意したトラップ(罠)に被害者が引っ掛かることによって被害を受けるものである。この攻撃は、大きく2つに分類することができる。

ア）クロスサイトスクリプティング(CSS：Cross-Site Scripting)攻撃

これは、あるサイト(Webサーバー)にあるスクリプトが、別サイトへとまたがって（クロス）実行されることからクロスサイトスクリプティング(CSS：Cross-Site Scripting)と呼ばれている。この脆弱性は、Webアプリケーションのプログラムのミスが原因で発生するものが大多数を占める。

CSS攻撃の例としては、攻撃者が動的コンテンツの生成を提供しているWebサーバーへ悪意あるスクリプトコード(悪意あるサイトから不正プログラムをダウンロードするようなコード)を埋め込み、ユーザがこのWebページを参照すると、悪意あるスクリプトを実行し、不正プログラムをダウンロードしてしまうものがある。CSS攻撃には、以下のような方法がある。

• プログラムのバグを利用する方法

  攻撃者が、ターゲットサーバー上の動的コンテンツに存在するバグを利用して、悪意のあるスクリプトを含んだWebページ(CSS攻撃を成立させるページ)を生成する。

　　参考資料
　　　情報処理振興事業協会 セキュリティセンター(IPA/ISEC)
　　　「Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報」：
　　　　　http://www.ipa.go.jp/security/ciadr/20011023css.html

イ）盗聴

盗聴とは、ターゲットとなるサーバーまたはネットワークの情報を盗み取るものである。盗聴により入手した情報を基に、侵入攻撃など行うことが可能になる。盗聴には、以下のような方法がある。

• サーバー内での盗聴

  これは、何らかの侵入攻撃によりサーバーに侵入後、侵入者が盗聴プログラムと呼ばれるプログラムを侵入したサーバーに仕掛け、情報を入手する方法である。例えば、suコマンド実行とそれに伴うパスワード入力の情報のみを盗聴するようなものがある。

• ネットワーク盗聴

  この盗聴は、サーバーに侵入せずに行える盗聴で、スニフィングまたはパケットキャプチャリングとも呼ばれている。これはサーバーとクライアント間の通信情報をキャプチャする行為である。専用のネットワーク盗聴ツールだけでなく、tcpdumpやsnoopと言ったネットワーク監視ツールを利用することでも盗聴を実施することができる。

Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.