金融工学ガイダンス

Similar documents
金融工学ガイダンス

金融工学ガイダンス

金融工学ガイダンス

金融工学ガイダンス

WEBシステムのセキュリティ技術

SQL インジェクションの脆弱性

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

Microsoft Word - sp224_2d.doc

— intra-martで運用する場合のセキュリティの考え方    

McAfee Application Control ご紹介

マイナンバー対策マニュアル(技術的安全管理措置)

SQLインジェクション・ワームに関する現状と推奨する対策案

1. SQL インジェクションの問題と脅威 2

Template Word Document

PowerPoint プレゼンテーション

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

Microsoft Word - Gmail-mailsoft_ docx

Microsoft PowerPoint - SciCafe4Privacy配布.pptx

Microsoft Word - シャットダウンスクリプトWin7.doc

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

これだけは知ってほしいVoIPセキュリティの基礎

OSI(Open Systems Interconnection)参照モデル

PowerPoint プレゼンテーション

人類の誕生と進化

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

スライド 1

Microsoft Word _RMT3セッテイ_0809.doc

サインズホスティングサービス  簡易ユーザーマニュアル 「管理者編」

Web のしくみと応用 ('15) 回テーマ 1 身近なWeb 2 Webの基礎 3 ハイパーメディアとHTML 4 HTMLとCSS 5 HTTP (1) 6 HTTP (2) 7 動的なWebサイト 8 クライアントサイドの技術 回 テーマ 9 リレーショナルデータベース 10 SQL とデータ

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

マルウェアレポート 2018年2月度版

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

PowerPoint プレゼンテーション

目次 1. エグゼクティブサマリー 総合評価 総評 内在するリスク 情報漏洩 サービス妨害 対策指針 早急の対策 恒久的な対

【EW】かんたんスタートマニュアル

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

メールソフトの設定 設定に必要な情報について... P2 迷惑メール対策 OP25B について... P3 Outlook 2016 の設定... P5 Outlook 2013 の設定... P8 Windows 10 メールアプリの設定... P11 Mail 10.0 の設定... P15 i

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

プレゼンテーション

QualitySoft SecureStorage クイックスタートガイド

PowerPoint プレゼンテーション

FutureWeb3サーバー移管マニュアル

Microsoft Word JA_revH.doc

大阪大学キャンパスメールサービスの利用開始方法

機能性表示食品制度届出データベース届出マニュアル ( 食品関連事業者向け ) 4-6. パスワードを変更する 画面の遷移 処理メニューより パスワード変更 を選択すると パスワード変更 画面が表示されます パスワード変更 画面において パスワード変更 をクリックすると パスワード変更詳細 画面が表示

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

1.indd

v6

メール設定

SolvNet のご案内平成 25 年 5 月日本シノプシスサポートセンター 1. SolvNet とは米国 Synopsys 本社が提供するインターネットを利用した各種サービスのことです 具体的なサービス内容を以下に列記します Synopsys 製品に関するFAQの検索 製品リリース アップデート

1. メールソフトの設定 Windows 10 Microsoft Windows 10 の メール アプリで POP メールの設定を行う方法をご案内いたします 設定を始める前に あらかじめ メールアドレスの登録を行ってください 重要事項 Windows10 のメールアプリで CCNet のメールを

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

新環境への移行手順書

PowerPoint プレゼンテーション

Microsoft PowerPoint - IW2009H1_nri_sakurai.pptx

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

セキュリティを高めるための各種設定_表紙

サイバー空間をめぐる 脅威の情勢について

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

シート2_p1

UCSセキュリティ資料_Ver3.5

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

1. Office365 ProPlus アプリケーションから利用する方法 (Windows / Mac) この方法では Office365 ProPlus アプリケーションで ファイルの保管先として OneDrive を指定することができます Office365 ProPlus アプリケーションで

_mokuji_2nd.indd

OSI(Open Systems Interconnection)参照モデル

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2


Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

メール設定 Outlook Express 6 の場合 (Windows 98 ~ XP) Outlook Express 6 の場合 (Windows 98 ~ XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案

Microsoft Word - Gmail-mailsoft設定2016_ docx

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

/ 11

ログインおよび設定

平成30年度 パソコン・ネットワークの設定について

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

f-secure 2006 インストールガイド

スライド 1

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

SOCKET 契約社 ( 管理者 ) 用取扱説明書 ver 管理者設定 作業員が SOCKET サーバー (Windows マシン上 ) と NAS の導入ならびに導通テストを行った後に 作業員と一緒に SOCKET サーバー上で管理者設定を行ってください 1 管理者情報 と その他

正誤表(FPT0417)

FutureWeb3 サーバー移管マニュアル Vol.004

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

1. POP3S および SMTP 認証 1 メールアイコン ( ) をクリックしてメールを起動します 2 一度もメールアカウントを作成したことがない場合は 3 へ進んでください メールアカウントの追加を行う場合は メール メニューから アカウントを追 加 をクリックします 3 メールアカウントのプ

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

Outlook Express 6 の場合 (Windows XP) Outlook Express 6 の場合 (Windows XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案内します 1 スタート をクリッ

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

SiteLock操作マニュアル

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

第5回 マインクラフト・プログラミング入門

マルウェアレポート 2018年1月度版

2019/7/25 更新 2.2. メーラー設定 (IMAP 設定 ) この項目ではメールソフトで IMAP にて受信ができるように設定をする手順を説明します 事前にマニュアル 1.4 POP/IMAP 許可設定 1.5 メーラー (Outlook 等 ) を使う場合の設定 を行っている必要がありま

Transcription:

情報セキュリティ脅威の種類 セキュリティ脅威 1( 不正アクセス ) 2014 年 10 月 15 日 後保範 破壊 ( データの破壊 消去 ) 漏洩 ( 機密情報漏洩 個人情報漏洩 ) 改ざん (HP やデータベースの不正な書き換え ) 盗難 ( ノートパソコンや書類 USB メモリ等の盗難 ) 不正利用 ( 通信回線 サーバー等の不正利用 ) サービス停止 ( 大量アクセス等で利用不能に ) 踏み台 ( 他のサイトを攻撃する拠点に利用される ) ウイルス感染 ( データの破壊や他への感染 ) 1 2 不正アクセスとは 不正アクセス事例 (10 日間 ) インターネットを通して忍び込む侵入者 知らない間にパソコンの情報がのぞかれる ウイルスなどに感染し パソコンの情報が壊される 不正アクセスによる被害 メールが勝手に見られる個人情報が盗まれ その情報が売買されるホームページの情報が勝手に改ざんされるオンラインショップ等で勝手に買い物される 2014/09/25 警察庁 bash の脆弱性を狙うアクセスを観測 2014/09/22 指宿市のサイトが不正アクセスで改ざん - 情報漏洩は否定 2014/09/19 パロアルトのウェブサイトが改ざん - 閲覧でマルウェア感染のおそれ 2014/09/18 勝手に他人のメルアドでサービス登録する不正行為に注意を 2014/09/16 不正アクセス受けた My JR-EAST がサービスを再開 2014/09/16 約 1 万件の リクルート ID で不正ログイン被害 - 約 3 分の 1 でログイン成功 2014/09/16 My JR-EAST に不正ログイン - 現在も停止中 3 http://www.security-next.com/category/cat191/cat27 より 4 不正アクセスの手順 ネットワークのスキャン 不正アクセス事前調査権限取得不正実行後処理 窃盗による住居侵入住居の下見住居侵入金品の窃盗証拠隠滅 アドレススキャン HP の周辺の接続可能 IP アドレスを ping で探す ポートスキャン TCP/IP の仕組みを利用し 利用可能なポートを探す バナーチェック 接続テストの応答情報から接続情報を探す セキュリティスキャナ 上記からサイトの脆弱性の調査を統合して行う 5 6 1

ポート番号とは ポートスキャン インターネット通信において IP アドレス ( 電子住所 ) の下に設けられた補助アドレス 補助アドレスとして 0~65535 のポート番号 IP アドレスとポート番号を組み合わせたネットワークアドレスを ソケット と呼ぶ 実際のデータの送受信はソケット単位 20,21(FTP), 22(ssh), 23(telnet), 25(SMTP), 80(http) 等は決ったポート番号を使用 ポートスキャンはポートに順番にアクセスし 動作している OS やアプリケーションを調べ 侵入口となる脆弱ポートがないか調べる ポートスキャンの結果 セキュリティホールが発見されると侵入用のプログラムを使用し 不正侵入を試みる ポートスキャンコマンド Windows: nmap, netstat Unix: nmap, netstat 7 8 ポートスキャン例 1 ポートスキャン例 2 nmap F 192.168.1.22 nmap コマンド nmap O sv -F 192.168.1.22 nmap コマンド 9 パスワード クラック パスワードの不正入手 OS やアプリケーション リモートアクセスに設定されたパスワードを解読する攻撃 オンライン攻撃 ターゲットに対しアクセスしながら行う攻撃 パスワードの誤入力が 3 回連続なら認証停止 オフライン攻撃 侵入により一度パスワードが保存されたファイル ( 通常 暗号化されている ) を入手して解読する パスワードは普及した本人確認の手段 これが盗まれると大きな被害の可能性大 パスワード解読の攻撃方法総当り攻撃 ( ブルートフォースアタック ) 辞書攻撃 ( ありそうな組合せ ) 盗聴 ( スニフィング ) 不正入手後のクラッカーの行動ログの消去 ( 証拠隠滅 ) バックドア ( 正規手順以外のアクセス経路 ) の作成 11 12 2

パスワード奪取の方法 方法内容 総当り攻撃 辞書攻撃 考えられるすべてのパスワードの組み合わせを試すいつかはパスワードにたどり着く時間がかかる よくやりそうなパスワードから試すふつうの辞書や人名 場所等の辞書パスワード向き言葉を集めた辞書個人情報を収集し辞書にする パスワード奪取への対策 方法内容 総当り攻撃 辞書攻撃 パスワードを長くする使う文字数を増やす英小文字と数字 4 文字 : 36 4 = 百万英大小と数字 9 文字 : 62 9 = 京定期的に変更する 簡単に推測できる言葉にしない辞書にのる有意味語にしない生年月日等の個人情報にしない大文字や特殊記号を途中にいれる 13 14 セキュリティホールとは セキュリティホールの利用 システムのプログラムミスなどにより生じた セキュリティ上の弱点 外部ユーザが本来実行できない操作が可能になり 情報が改ざんされたり 個人情報が漏洩したり 踏み台にされたりする OS Web ブラウザ メール クライアント http サーバや DNS サーバなどに欠陥があると それを悪用されて不正実行される セキュリティホールを利用した主な攻撃方法を下記に示す (1) バッファーオーバフロー (2) SQL インジェクション (3) クロスサイト スクリプティング (4) クロスサイト リクエスト フォージェリ 15 16 バッファーオーバーフロー バッファーオーバーフロー バッファーオーバーフローとはアプリケーションのバグ ( バッファーサイズのチェックが不十分 ) を利用した攻撃 バッファーオーバーフローの原理入力バッファーサイズのチェックが不十分なプログラムに対し 不正に長いデータを入力し バッファー領域の先 ( 戻りアドレス ) を不正に書き換える 書き換えた戻りアドレスの位置 ( 入力バッファー内 ) に不正な機械語プログラムを送り込む 17 18 3

SQL インジェクション SQL インジェクション ホームページの入力フィールドの SQL コマンドを不正に入力し データベースの内容を不正に操作すること 原因は入力に対する値のチェックが不十分 新聞等で ハッカーによる不正アクセスで個人情報が漏洩 の多くはこの手法 データベースの内容が改ざんでき ネットバンキングの口座情報が書き換えられる可能性 19 20 SQL 言語 クロスサイト スクリプティング SQL はデータベースを操作する専門言語 データベース マネージメントシステム (DBMS) に命令を送るのが仕事 その文法は一つの文で完結して意味を持つ 条件分岐や繰り返しは制御は持たない 具体例 SELECT * FROM 顧客テーブル WHERE 顧客 ID=1 OR 顧客 ID=3 ユーザーの Web ブラウザにスクリプトを送り込み それを実行させる攻撃手法 セッション ID を盗むのに使われることが多い セッション ID を盗むほかの手口は Web サイトとブラウザの間の通信暗号化で防げるが 本方法では暗号化しても防げない 盗んだ Cookie を使えば どのパソコンからでも正規ユーザーになりすまして狙った Web サイトに不正アクセスできる 21 22 クロスサイト スクリプティング スクリプ言語 機械語への変換作業を省略して簡単に実行できるようにした簡易プログラム作成言語 スクリプト言語で作られたプログラムをスプリクトと呼ぶ Perl や VBScript JavaScript などがある 小規模なプログラムを簡単に作成できる Web ページに動きを加えたり Web サーバ上で動的にページを生成するのに使用 23 24 4

Cookie クロスサイト リクエスト フォージェリ Web サイトでは Cookie を使用してユーザーごとに表示内容を変えたり Web サイトの使用状況に関する情報を収集したりします Cookie を使用して サイトにユーザーの個人設定を記憶させたり サイトにアクセスする際のサインインを省略可能にしたりして 利便性を向上させる Cookie はユーザ領域 (C: users... など ) に保存 25 クラッカが正規ユーザーの意図に反して Web アプリを勝手に操作する攻撃 Web アプリにアクセスするスクリプトを ログイン中のエンドユーザーのパソコンに送り込んで不正に起動させる 悪意のあるスクリプト付きの Web ページをエンドユーザーにダウンロードさせる 有名掲示板サイトに気を引く言葉とともに罠を仕掛けたリンクを書き込んでクリックさせる 26 5

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック