金融工学ガイダンス

Similar documents
金融工学ガイダンス

金融工学ガイダンス

金融工学ガイダンス

金融工学ガイダンス

WEBシステムのセキュリティ技術

SQL インジェクションの脆弱性

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

Microsoft Word - sp224_2d.doc

マイナンバー対策マニュアル(技術的安全管理措置)

McAfee Application Control ご紹介

Template Word Document

Microsoft Word - シャットダウンスクリプトWin7.doc

— intra-martで運用する場合のセキュリティの考え方    

人類の誕生と進化

これだけは知ってほしいVoIPセキュリティの基礎

Microsoft Word - Gmail-mailsoft_ docx

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

1. SQL インジェクションの問題と脅威 2

Microsoft PowerPoint - SciCafe4Privacy配布.pptx

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

サインズホスティングサービス  簡易ユーザーマニュアル 「管理者編」

OSI(Open Systems Interconnection)参照モデル

SQLインジェクション・ワームに関する現状と推奨する対策案

PowerPoint プレゼンテーション

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

PowerPoint プレゼンテーション

【EW】かんたんスタートマニュアル

メールソフトの設定 設定に必要な情報について... P2 迷惑メール対策 OP25B について... P3 Outlook 2016 の設定... P5 Outlook 2013 の設定... P8 Windows 10 メールアプリの設定... P11 Mail 10.0 の設定... P15 i

1. Office365 ProPlus アプリケーションから利用する方法 (Windows / Mac) この方法では Office365 ProPlus アプリケーションで ファイルの保管先として OneDrive を指定することができます Office365 ProPlus アプリケーションで

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

PowerPoint プレゼンテーション

Web のしくみと応用 ('15) 回テーマ 1 身近なWeb 2 Webの基礎 3 ハイパーメディアとHTML 4 HTMLとCSS 5 HTTP (1) 6 HTTP (2) 7 動的なWebサイト 8 クライアントサイドの技術 回 テーマ 9 リレーショナルデータベース 10 SQL とデータ

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

Microsoft Word JA_revH.doc

Microsoft Word _RMT3セッテイ_0809.doc

大阪大学キャンパスメールサービスの利用開始方法

FutureWeb3サーバー移管マニュアル

メール設定

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

機能性表示食品制度届出データベース届出マニュアル ( 食品関連事業者向け ) 4-6. パスワードを変更する 画面の遷移 処理メニューより パスワード変更 を選択すると パスワード変更 画面が表示されます パスワード変更 画面において パスワード変更 をクリックすると パスワード変更詳細 画面が表示

v6

1. メールソフトの設定 Windows 10 Microsoft Windows 10 の メール アプリで POP メールの設定を行う方法をご案内いたします 設定を始める前に あらかじめ メールアドレスの登録を行ってください 重要事項 Windows10 のメールアプリで CCNet のメールを

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

SolvNet のご案内平成 25 年 5 月日本シノプシスサポートセンター 1. SolvNet とは米国 Synopsys 本社が提供するインターネットを利用した各種サービスのことです 具体的なサービス内容を以下に列記します Synopsys 製品に関するFAQの検索 製品リリース アップデート

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

新環境への移行手順書

QualitySoft SecureStorage クイックスタートガイド

1. POP3S および SMTP 認証 1 メールアイコン ( ) をクリックしてメールを起動します 2 一度もメールアカウントを作成したことがない場合は 3 へ進んでください メールアカウントの追加を行う場合は メール メニューから アカウントを追 加 をクリックします 3 メールアカウントのプ

2019/7/25 更新 2.2. メーラー設定 (IMAP 設定 ) この項目ではメールソフトで IMAP にて受信ができるように設定をする手順を説明します 事前にマニュアル 1.4 POP/IMAP 許可設定 1.5 メーラー (Outlook 等 ) を使う場合の設定 を行っている必要がありま

スライド 1

/ 11

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

メール設定 Outlook Express 6 の場合 (Windows 98 ~ XP) Outlook Express 6 の場合 (Windows 98 ~ XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案

1.indd

FutureWeb3 サーバー移管マニュアル Vol.004

PowerPoint プレゼンテーション

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

Microsoft Word - Gmail-mailsoft設定2016_ docx


プレゼンテーション

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

Proselfの利用方法

ログインおよび設定

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

スライド 1

f-secure 2006 インストールガイド

マルウェアレポート 2018年2月度版

中小企業向け サイバーセキュリティ対策の極意

Outlook Express 6 の場合 (Windows XP) Outlook Express 6 の場合 (Windows XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案内します 1 スタート をクリッ

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

セキュリティを高めるための各種設定_表紙

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

スライド 1

シート2_p1

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

<4D F736F F D B9689C291D282BF817A30332D E B838B90DD92E8837D836A B B

第5回 マインクラフト・プログラミング入門

PowerPoint プレゼンテーション

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

クラウドメール移行に伴うメーラーの設定方法設定変更の内容 :SMTP 及び POP 受信ポートの変更 & 送信セキュリティの暗号化接続 Live メールの設定方法 1. 画面上部の アカウント を選択後 直下に表示される プロパティ を選択すると 以下の画面 ( 図 1) が表示されます 図 1 2

大阪大学キャンパスメールサービスの利用開始方法

平成30年度 パソコン・ネットワークの設定について

Microsoft PowerPoint - IW2009H1_nri_sakurai.pptx

Webセキュリティサービス

LINE WORKS 管理者トレーニング 4. セキュリティ管理 Ver 年 6 月版

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

正誤表(FPT0417)

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

ESET Mobile Security V4.1 リリースノート (Build )

Transcription:

セキュリティ脅威 1( 不正アクセス ) 2013 年 10 月 8 日 後保範 1

情報セキュリティ脅威の種類 破壊 ( データの破壊 消去 ) 漏洩 ( 機密情報漏洩 個人情報漏洩 ) 改ざん (HPやデータベースの不正な書き換え) 盗難 ( ノートパソコンや書類 USBメモリ等の盗難 ) 不正利用 ( 通信回線 サーバー等の不正利用 ) サービス停止 ( 大量アクセス等で利用不能に ) 踏み台 ( 他のサイトを攻撃する拠点に利用される ) ウイルス感染 ( データの破壊や他への感染 ) 2

不正アクセスとは インターネットを通して忍び込む侵入者 知らない間にパソコンの情報がのぞかれるウイルスなどに感染し パソコンの情報が壊される 不正アクセスによる被害 メールが勝手に見られる個人情報が盗まれ その情報が売買されるホームページの情報が勝手に改ざんされるオンラインショップ等で勝手に買い物される 3

不正アクセス事例 (1 週間 ) 2013/08/08: GREE で 3 万 9590 件の不正ログインが発生 - 関連アカウントのサービスを一時停止 2013/08/08: じゃらん net で 2 万 7620 件の不正ログイン被害が判明 - 2 月と 6 月に発生 2013/08/07: IP-PBX への不正アクセスに注意 身に覚へのない国際電話料金が発生するおそれ 2013/08/06: サイトの一部が改ざん 閲覧者にウイルス感染のおそれ - ホクト 2013/08/02: メールニュース読者に誤ってマルウェアをメール配信 - 都産技研 2013/08/02:LINE が NAVER の不正アクセス犯を海外警察と連携して特定 - 立会いのもとデータを削除した http://www.security-next.com/category/cat191/cat27 より 4

不正アクセスの手順 不正アクセス 窃盗による住居侵入 事前調査 住居の下見 権限取得 住居侵入 不正実行 金品の窃盗 後処理 証拠隠滅 5

ネットワークのスキャン アドレススキャン HP の周辺の接続可能 IP アドレスを ping で探す ポートスキャン TCP/IP の仕組みを利用し 利用可能なポートを探す バナーチェック 接続テストの応答情報から接続情報を探す セキュリティスキャナ 上記からサイトの脆弱性の調査を統合して行う 6

ポート番号とは インターネット通信において IP アドレス ( 電子住所 ) の下に設けられた補助アドレス 補助アドレスとして 0~65535 のポート番号 IP アドレスとポート番号を組み合わせたネットワークアドレスを ソケット と呼ぶ 実際のデータの送受信はソケット単位 20,21(FTP), 22(ssh), 23(telnet), 25(SMTP), 80(http) 等は決ったポート番号を使用 7

ポートスキャン ポートスキャンはポートに順番にアクセスし 動作している OS やアプリケーションを調べ 侵入口となる脆弱ポートがないか調べる ポートスキャンの結果 セキュリティホールが発見されると侵入用のプログラムを使用し 不正侵入を試みる ポートスキャンコマンド Windows: nmap, netstat Unix: nmap, netstat 8

ポートスキャン例 1 nmap F 192.168.1.22 nmap コマンド 日経 BP 社の HP から 9

ポートスキャン例 2 nmap O sv -F 192.168.1.22 nmap コマンド 日経 BP 社の HP から

パスワード クラック OS やアプリケーション リモートアクセスに設定されたパスワードを解読する攻撃 オンライン攻撃 ターゲットに対しアクセスしながら行う攻撃 パスワードの誤入力が 3 回連続なら認証停止 オフライン攻撃 侵入により一度パスワードが保存されたファイル ( 通常 暗号化されている ) を入手して解読する 11

パスワードの不正入手 パスワードは普及した本人確認の手段 これが盗まれると大きな被害の可能性大 パスワード解読の攻撃方法 総当り攻撃 ( ブルートフォースアタック ) 辞書攻撃 ( ありそうな組合せ ) 盗聴( スニフィング ) 不正入手後のクラッカーの行動 ログの消去 ( 証拠隠滅 ) バックドア ( 正規手順以外のアクセス経路 ) の作成 12

パスワード奪取の方法 方法内容 総当り攻撃 辞書攻撃 考えられるすべてのパスワードの組み合わせを試すいつかはパスワードにたどり着く時間がかかる よくやりそうなパスワードから試すふつうの辞書や人名 場所等の辞書パスワード向き言葉を集めた辞書個人情報を収集し辞書にする 13

パスワード奪取への対策 方法内容 総当り攻撃 辞書攻撃 パスワードを長くする使う文字数を増やす英小文字と数字 4 文字 : 36 4 = 百万英大小と数字 9 文字 : 62 9 = 京定期的に変更する 簡単に推測できる言葉にしない辞書にのる有意味語にしない生年月日等の個人情報にしない大文字や特殊記号を途中にいれる 14

セキュリティホールとは システムのプログラムミスなどにより生じた セキュリティ上の弱点 外部ユーザが本来実行できない操作が可能になり 情報が改ざんされたり 個人情報が漏洩したり 踏み台にされたりする OS Web ブラウザ メール クライアント http サーバや DNS サーバなどに欠陥があると それを悪用されて不正実行される 15

セキュリティホールの利用 セキュリティホールを利用した主な攻撃方法を下記に示す (1) バッファーオーバフロー (2) SQL インジェクション (3) クロスサイト スクリプティング (4) クロスサイト リクエスト フォージェリ 16

バッファーオーバーフロー バッファーオーバーフローとはアプリケーションのバグ ( バッファーサイズのチェックが不十分 ) を利用した攻撃 バッファーオーバーフローの原理入力バッファーサイズのチェックが不十分なプログラムに対し 不正に長いデータを入力し バッファー領域の先 ( 戻りアドレス ) を不正に書き換える 書き換えた戻りアドレスの位置 ( 入力バッファー内 ) に不正な機械語プログラムを送り込む 17

バッファーオーバーフロー 日経 BP 社の HP から 18

SQL インジェクション ホームページの入力フィールドの SQL コマンドを不正に入力し データベースの内容を不正に操作すること 原因は入力に対する値のチェックが不十分 新聞等で ハッカーによる不正アクセスで個人情報が漏洩 の多くはこの手法 データベースの内容が改ざんでき ネットバンキングの口座情報が書き換えられる可能性 19

SQL インジェクション 日経 BP 社の HP から 20

SQL 言語 SQL はデータベースを操作する専門言語 データベース マネージメントシステム (DBMS) に命令を送るのが仕事 その文法は一つの文で完結して意味を持つ 条件分岐や繰り返しは制御は持たない 具体例 SELECT * FROM 顧客テーブル WHERE 顧客 ID=1 OR 顧客 ID=3 21

クロスサイト スクリプティング ユーザーの Web ブラウザにスクリプトを送り込み それを実行させる攻撃手法 セッション ID を盗むのに使われることが多い セッション ID を盗むほかの手口は Web サイトとブラウザの間の通信暗号化で防げるが 本方法では暗号化しても防げない 盗んだ Cookie を使えば どのパソコンからでも正規ユーザーになりすまして狙った Web サイトに不正アクセスできる 22

クロスサイト スクリプティング 日経 BP 社の HP から 23

スクリプ言語 機械語への変換作業を省略して簡単に実行できるようにした簡易プログラム作成言語 スクリプト言語で作られたプログラムをスプリクトと呼ぶ Perl や VBScript JavaScript などがある 小規模なプログラムを簡単に作成できる Web ページに動きを加えたり Web サーバ上で動的にページを生成するのに使用 24

Cookie Web サイトでは Cookie を使用してユーザーごとに表示内容を変えたり Web サイトの使用状況に関する情報を収集したりします Cookie を使用して サイトにユーザーの個人設定を記憶させたり サイトにアクセスする際のサインインを省略可能にしたりして 利便性を向上させる Cookie はユーザ領域 (C: users... など ) に保存 25

クロスサイト リクエスト フォージェリ クラッカが正規ユーザーの意図に反して Web アプリを勝手に操作する攻撃 Web アプリにアクセスするスクリプトを ログイン中のエンドユーザーのパソコンに送り込んで不正に起動させる 悪意のあるスクリプト付きの Web ページをエンドユーザーにダウンロードさせる 有名掲示板サイトに気を引く言葉とともに罠を仕掛けたリンクを書き込んでクリックさせる 26

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック