金融工学ガイダンス

Similar documents
金融工学ガイダンス

金融工学ガイダンス

金融工学ガイダンス

金融工学ガイダンス

WEBシステムのセキュリティ技術

SQL インジェクションの脆弱性

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

Microsoft Word - sp224_2d.doc

— intra-martで運用する場合のセキュリティの考え方    

McAfee Application Control ご紹介

マイナンバー対策マニュアル(技術的安全管理措置)

SQLインジェクション・ワームに関する現状と推奨する対策案

1. SQL インジェクションの問題と脅威 2

Template Word Document

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

Microsoft Word - Gmail-mailsoft_ docx

Microsoft Word - シャットダウンスクリプトWin7.doc

Microsoft PowerPoint - SciCafe4Privacy配布.pptx

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

これだけは知ってほしいVoIPセキュリティの基礎

PowerPoint プレゼンテーション

人類の誕生と進化

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

OSI(Open Systems Interconnection)参照モデル

Microsoft Word _RMT3セッテイ_0809.doc

サインズホスティングサービス  簡易ユーザーマニュアル 「管理者編」

Web のしくみと応用 ('15) 回テーマ 1 身近なWeb 2 Webの基礎 3 ハイパーメディアとHTML 4 HTMLとCSS 5 HTTP (1) 6 HTTP (2) 7 動的なWebサイト 8 クライアントサイドの技術 回 テーマ 9 リレーショナルデータベース 10 SQL とデータ

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

マルウェアレポート 2018年2月度版

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

スライド 1

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

PowerPoint プレゼンテーション

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

【EW】かんたんスタートマニュアル

メールソフトの設定 設定に必要な情報について... P2 迷惑メール対策 OP25B について... P3 Outlook 2016 の設定... P5 Outlook 2013 の設定... P8 Windows 10 メールアプリの設定... P11 Mail 10.0 の設定... P15 i

QualitySoft SecureStorage クイックスタートガイド

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

PowerPoint プレゼンテーション

FutureWeb3サーバー移管マニュアル

大阪大学キャンパスメールサービスの利用開始方法

Microsoft Word JA_revH.doc

機能性表示食品制度届出データベース届出マニュアル ( 食品関連事業者向け ) 4-6. パスワードを変更する 画面の遷移 処理メニューより パスワード変更 を選択すると パスワード変更 画面が表示されます パスワード変更 画面において パスワード変更 をクリックすると パスワード変更詳細 画面が表示

1.indd

メール設定

SolvNet のご案内平成 25 年 5 月日本シノプシスサポートセンター 1. SolvNet とは米国 Synopsys 本社が提供するインターネットを利用した各種サービスのことです 具体的なサービス内容を以下に列記します Synopsys 製品に関するFAQの検索 製品リリース アップデート

1. メールソフトの設定 Windows 10 Microsoft Windows 10 の メール アプリで POP メールの設定を行う方法をご案内いたします 設定を始める前に あらかじめ メールアドレスの登録を行ってください 重要事項 Windows10 のメールアプリで CCNet のメールを

新環境への移行手順書

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

PowerPoint プレゼンテーション

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

Microsoft PowerPoint - IW2009H1_nri_sakurai.pptx

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

v6

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

セキュリティを高めるための各種設定_表紙

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

シート2_p1

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

1. Office365 ProPlus アプリケーションから利用する方法 (Windows / Mac) この方法では Office365 ProPlus アプリケーションで ファイルの保管先として OneDrive を指定することができます Office365 ProPlus アプリケーションで

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

メール設定 Outlook Express 6 の場合 (Windows 98 ~ XP) Outlook Express 6 の場合 (Windows 98 ~ XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案

Microsoft Word - Gmail-mailsoft設定2016_ docx

プレゼンテーション

/ 11

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

ログインおよび設定

平成30年度 パソコン・ネットワークの設定について

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

スライド 1

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

正誤表(FPT0417)

FutureWeb3 サーバー移管マニュアル Vol.004

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

1. POP3S および SMTP 認証 1 メールアイコン ( ) をクリックしてメールを起動します 2 一度もメールアカウントを作成したことがない場合は 3 へ進んでください メールアカウントの追加を行う場合は メール メニューから アカウントを追 加 をクリックします 3 メールアカウントのプ

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

Outlook Express 6 の場合 (Windows XP) Outlook Express 6 の場合 (Windows XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案内します 1 スタート をクリッ

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

SiteLock操作マニュアル


_mokuji_2nd.indd

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

第5回 マインクラフト・プログラミング入門

マルウェアレポート 2018年1月度版

2019/7/25 更新 2.2. メーラー設定 (IMAP 設定 ) この項目ではメールソフトで IMAP にて受信ができるように設定をする手順を説明します 事前にマニュアル 1.4 POP/IMAP 許可設定 1.5 メーラー (Outlook 等 ) を使う場合の設定 を行っている必要がありま

中小企業向け サイバーセキュリティ対策の極意

マルウェアレポート 2017年12月度版

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

サイバー空間をめぐる 脅威の情勢について

5. モデムや ONU CTU の電源を入れます 無線親機の電源はまだ入れないでください 6. モデムや ONU CTU が完全に起動し ランプが正常点灯した後に無線親機の電源を入れます 7. 無線親機が完全に起動し ランプが正常点灯することを確認します 8. ブラウザを開いてインターネットに接続で

PowerPoint プレゼンテーション

Transcription:

セキュリティ脅威 1( 不正アクセス ) 2014 年 10 月 15 日 後保範 1

情報セキュリティ脅威の種類 破壊 ( データの破壊 消去 ) 漏洩 ( 機密情報漏洩 個人情報漏洩 ) 改ざん (HPやデータベースの不正な書き換え) 盗難 ( ノートパソコンや書類 USBメモリ等の盗難 ) 不正利用 ( 通信回線 サーバー等の不正利用 ) サービス停止 ( 大量アクセス等で利用不能に ) 踏み台 ( 他のサイトを攻撃する拠点に利用される ) ウイルス感染 ( データの破壊や他への感染 ) 2

不正アクセスとは インターネットを通して忍び込む侵入者 知らない間にパソコンの情報がのぞかれるウイルスなどに感染し パソコンの情報が壊される 不正アクセスによる被害 メールが勝手に見られる個人情報が盗まれ その情報が売買されるホームページの情報が勝手に改ざんされるオンラインショップ等で勝手に買い物される 3

不正アクセス事例 (10 日間 ) 2014/09/25 警察庁 bash の脆弱性を狙うアクセスを観測 2014/09/22 指宿市のサイトが不正アクセスで改ざん - 情報漏洩は否定 2014/09/19 パロアルトのウェブサイトが改ざん - 閲覧でマルウェア感染のおそれ 2014/09/18 勝手に他人のメルアドでサービス登録する不正行為に注意を 2014/09/16 不正アクセス受けた My JR-EAST がサービスを再開 2014/09/16 約 1 万件の リクルート ID で不正ログイン被害 - 約 3 分の 1 でログイン成功 2014/09/16 My JR-EAST に不正ログイン - 現在も停止中 http://www.security-next.com/category/cat191/cat27 より 4

不正アクセスの手順 不正アクセス 窃盗による住居侵入 事前調査 住居の下見 権限取得 住居侵入 不正実行 金品の窃盗 後処理 証拠隠滅 5

ネットワークのスキャン アドレススキャン HP の周辺の接続可能 IP アドレスを ping で探す ポートスキャン TCP/IP の仕組みを利用し 利用可能なポートを探す バナーチェック 接続テストの応答情報から接続情報を探す セキュリティスキャナ 上記からサイトの脆弱性の調査を統合して行う 6

ポート番号とは インターネット通信において IP アドレス ( 電子住所 ) の下に設けられた補助アドレス 補助アドレスとして 0~65535 のポート番号 IP アドレスとポート番号を組み合わせたネットワークアドレスを ソケット と呼ぶ 実際のデータの送受信はソケット単位 20,21(FTP), 22(ssh), 23(telnet), 25(SMTP), 80(http) 等は決ったポート番号を使用 7

ポートスキャン ポートスキャンはポートに順番にアクセスし 動作している OS やアプリケーションを調べ 侵入口となる脆弱ポートがないか調べる ポートスキャンの結果 セキュリティホールが発見されると侵入用のプログラムを使用し 不正侵入を試みる ポートスキャンコマンド Windows: nmap, netstat Unix: nmap, netstat 8

ポートスキャン例 1 nmap F 192.168.1.22 nmap コマンド 日経 BP 社の HP から 9

ポートスキャン例 2 nmap O sv -F 192.168.1.22 nmap コマンド 日経 BP 社の HP から

パスワード クラック OS やアプリケーション リモートアクセスに設定されたパスワードを解読する攻撃 オンライン攻撃 ターゲットに対しアクセスしながら行う攻撃 パスワードの誤入力が 3 回連続なら認証停止 オフライン攻撃 侵入により一度パスワードが保存されたファイル ( 通常 暗号化されている ) を入手して解読する 11

パスワードの不正入手 パスワードは普及した本人確認の手段 これが盗まれると大きな被害の可能性大 パスワード解読の攻撃方法 総当り攻撃 ( ブルートフォースアタック ) 辞書攻撃 ( ありそうな組合せ ) 盗聴( スニフィング ) 不正入手後のクラッカーの行動 ログの消去 ( 証拠隠滅 ) バックドア ( 正規手順以外のアクセス経路 ) の作成 12

パスワード奪取の方法 方法内容 総当り攻撃 辞書攻撃 考えられるすべてのパスワードの組み合わせを試すいつかはパスワードにたどり着く時間がかかる よくやりそうなパスワードから試すふつうの辞書や人名 場所等の辞書パスワード向き言葉を集めた辞書個人情報を収集し辞書にする 13

パスワード奪取への対策 方法内容 総当り攻撃 辞書攻撃 パスワードを長くする使う文字数を増やす英小文字と数字 4 文字 : 36 4 = 百万英大小と数字 9 文字 : 62 9 = 京定期的に変更する 簡単に推測できる言葉にしない辞書にのる有意味語にしない生年月日等の個人情報にしない大文字や特殊記号を途中にいれる 14

セキュリティホールとは システムのプログラムミスなどにより生じた セキュリティ上の弱点 外部ユーザが本来実行できない操作が可能になり 情報が改ざんされたり 個人情報が漏洩したり 踏み台にされたりする OS Web ブラウザ メール クライアント http サーバや DNS サーバなどに欠陥があると それを悪用されて不正実行される 15

セキュリティホールの利用 セキュリティホールを利用した主な攻撃方法を下記に示す (1) バッファーオーバフロー (2) SQL インジェクション (3) クロスサイト スクリプティング (4) クロスサイト リクエスト フォージェリ 16

バッファーオーバーフロー バッファーオーバーフローとはアプリケーションのバグ ( バッファーサイズのチェックが不十分 ) を利用した攻撃 バッファーオーバーフローの原理入力バッファーサイズのチェックが不十分なプログラムに対し 不正に長いデータを入力し バッファー領域の先 ( 戻りアドレス ) を不正に書き換える 書き換えた戻りアドレスの位置 ( 入力バッファー内 ) に不正な機械語プログラムを送り込む 17

バッファーオーバーフロー 日経 BP 社の HP から 18

SQL インジェクション ホームページの入力フィールドの SQL コマンドを不正に入力し データベースの内容を不正に操作すること 原因は入力に対する値のチェックが不十分 新聞等で ハッカーによる不正アクセスで個人情報が漏洩 の多くはこの手法 データベースの内容が改ざんでき ネットバンキングの口座情報が書き換えられる可能性 19

SQL インジェクション 日経 BP 社の HP から 20

SQL 言語 SQL はデータベースを操作する専門言語 データベース マネージメントシステム (DBMS) に命令を送るのが仕事 その文法は一つの文で完結して意味を持つ 条件分岐や繰り返しは制御は持たない 具体例 SELECT * FROM 顧客テーブル WHERE 顧客 ID=1 OR 顧客 ID=3 21

クロスサイト スクリプティング ユーザーの Web ブラウザにスクリプトを送り込み それを実行させる攻撃手法 セッション ID を盗むのに使われることが多い セッション ID を盗むほかの手口は Web サイトとブラウザの間の通信暗号化で防げるが 本方法では暗号化しても防げない 盗んだ Cookie を使えば どのパソコンからでも正規ユーザーになりすまして狙った Web サイトに不正アクセスできる 22

クロスサイト スクリプティング 日経 BP 社の HP から 23

スクリプ言語 機械語への変換作業を省略して簡単に実行できるようにした簡易プログラム作成言語 スクリプト言語で作られたプログラムをスプリクトと呼ぶ Perl や VBScript JavaScript などがある 小規模なプログラムを簡単に作成できる Web ページに動きを加えたり Web サーバ上で動的にページを生成するのに使用 24

Cookie Web サイトでは Cookie を使用してユーザーごとに表示内容を変えたり Web サイトの使用状況に関する情報を収集したりします Cookie を使用して サイトにユーザーの個人設定を記憶させたり サイトにアクセスする際のサインインを省略可能にしたりして 利便性を向上させる Cookie はユーザ領域 (C: users... など ) に保存 25

クロスサイト リクエスト フォージェリ クラッカが正規ユーザーの意図に反して Web アプリを勝手に操作する攻撃 Web アプリにアクセスするスクリプトを ログイン中のエンドユーザーのパソコンに送り込んで不正に起動させる 悪意のあるスクリプト付きの Web ページをエンドユーザーにダウンロードさせる 有名掲示板サイトに気を引く言葉とともに罠を仕掛けたリンクを書き込んでクリックさせる 26

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック