| 出題者 | カテゴリ | 作成日 |
|---|---|---|
 Mr.SEQ |
ITセキュリティ&リスクマネージメント担当 | 2014-04-30 13:04:51 |
| 問題 | ヒント | 回答数 |
|---|---|---|
| ■もしクラッカーならどんな手法でどんな情報を取得する?
クラッカー達はシステムを攻略する時、あらゆる手段で情報収集を行います。 これにはパスワードをパソコンの後ろから覗くなどのアナログな手法も考えられます。 これらは総称してソーシャルエンジニアリングと言われています。 では、皆さんがクラッカーだとしたら、「どのような手法で」「どんな情報を取得」しますか? また、守る側で気を付けるポイントを挙げて下さい。 |
▼ソーシャルエンジニアリングとは?
http://e-words.jp/w/E382BDE383BCE382B7E383A3E383ABE382A8E383B3E382B8E3838BE382A2E383AAE383B3E382B0.html 最終的にシステムを攻略するための情報なので、様々な情報が有効に使われます。技術的に細かいところでいうと、社内でプライベートドメイン(自社で独自につけたドメイン名)で運用している時、それが外部にばれた場合は、外部による成りすましも可能となるかも知れません。そういった観点で内部リスクも考えてみましょう。 |
7 |
メンバーの回答一覧 お疲れ様でした!
※講師コメント詳細は冊子に掲載されています。
| なるほど 票数 |
回答 | 講師コメント |
|---|---|---|
| 1 | gabber1090■もしクラッカーならどんな手法でどんな情報を取得する?
⇒当社では良く社内外でのデータのやり取りにUSBメモリースティックを使用します。 例えばそれを逆手に取ってショールーム等に悪意のあるプログラムなどを入れたUSBメモリを 社員が手に取る様わざと放置するなどが考えられます。 また、単純に業者になりすまして社員食堂に潜り込み、社内同士の話(インサイダー情報)を立ち聞きするなどもあるかもしれません。 ⇒守る方法は社員教育を徹底する事や、入室管理などを厳重にするなどです。 |
銅 (Mr.SEQ) そうですね、トイレや廊下にマルウェア(悪意のあるソフトウェア)を仕込んだUSBをおいて、ターゲットが自分のPCで開くのをじっと待つ、というのは実際にあった手口のひとつです。業者になりすまして企業内を調査する、というのは物理セキュリティが弱い企業に対しては大変有効です。 |
| 1 | kamino皆さんがクラッカーだとしたら、「どのような手法で」「どんな情報を取得」しますか?
手法 プログラムで攻撃? サイトに負荷をかけるようなことをする 情報 顧客情報(住所、氏名、クレジットカード番号) 守る側で気を付けるポイントを挙げて下さい。 ・本人確認のルールを決め、スタッフ間で共有 ・ゴミはシュレッダーにかける ・セキュリティを勉強する ・ウイルスソフトをいれる |
なし (Mr.SEQ) サイトに負荷をかける、というのは「サービス妨害」の手口で使われることが多いのですが、負荷をかけてサーバの処理を遅くしたり、ダウンさせたりする場合ですね、守る側のポイントは幅広く書いていただいていますが、個人情報保護法が施行されるまで本人確認のルールというのが大変甘かったのです。 |
| 1 | りきまる規模が小さい内容しか考えられなかったのですが、タッチパネルを行なうモノ限定ですが、、、
「どのような手法で」 →画面を触った後の指紋の位置で判断します。歪な円状であれば2回などある程度判断出来るかと。 「どんな情報を取得」 →ログインパス、セキュリティバス、クレジットカードなど? 守る側で気を付けるポイント →使用後の指紋を消す、または不要な位置にも指紋を残す |
なし (Mr.SEQ) なるほど、タブレットからログインの為の情報を取得する方法ですね、意外と有効な手法です。 これらを防ぐために生体認証(指紋等)が有効とされています。 ATMで操作している相手の後ろから肩越しに暗証番号を盗み見ることをショルダーハックといいます。 |
| 0 | SUGIMOTO1、パソコンの操作を教えてもらうふりして、パソコンのログイン情報を盗み見る。
■気をつけるポイント すべて異なるID、パスワードを使う。がいいですが、なかなか難しいですよね。 自分が記憶できる範囲で、英数字(小文字・大文字)使ったパスワードを設定し、定期的に変えることかなと思います。 |
なし (Mr.SEQ) これも内部犯行の例として、実際にありました。管理者権限を持つターゲットに近づき、教えを請うふりをして入力されたときの指の位置からパスワードを読み取る手法です。対処の追加としては、2要素認証といって、ID、パスワードに加えて、USBキーなど別の認証を組み合わせる方法があります。 |
| 0 | 丸田手法
・会社のシステムに出入りする権限をもった人をターゲットにする ・セキュリティ会社を装ったDMを送り、そのメールをクリックすると、ウィルスやキーロガーが仕込まれたサイトに誘導する。 守る際のポイント ・知らないメールは開封せず、システム管理者に報告する ・ウィルス対策ソフトは常に最新の状態に保つ ・あやしげなサイトの閲覧をブロックする仕組みを導入する |
銅 (Mr.SEQ) 銀行サイトを模したDMが良く来ますが、実際はクリックして口座番号等を入力してしまうのは極僅かです。 では企業向け、個人向け問わず、より引き込みやすいDMの内容やポイントとして何があるのか、是非とも考えていただきたいです。 |
| 0 | YN[クラッカー側]
昨今頻繁に耳にする、ネットバンキングユーザーをターゲットにした、なりすましメールや偽造ログインページを使ったクラッキングの手法は巧妙だと思います。 自分がクラッカーだとしたら、このような手段を用いて、特定のサイトの重要情報を盗み取ると思います。 まずDMを装ったウィルスメールを配信します。DMの内容は、受信者の属する業界の最新情報を装い、遠隔操作を可能にするウィルスソフトが仕込まれたリンクをクリックするよう巧みに誘導します。ウィルスソフトがインストールされたら、遠隔操作でサーバやCMSのディレクトリと、ログインIDやPasswordを取得します。取得したIDとPasswordを使ってサーバにアクセスしてプログラムを改ざんしたり個人情報やその他の重要情報を取得します。 [守る側] ・身に覚えのないDMはむやみに開封しません。 ・ウェブサーバやCMSへのアクセス権限を、特定のIPからのアクセスのみに制限します。それにより、IDとPasswordを取得した第三者が外部からサーバへアクセスするのを回避します。(ただし、PCの遠隔操作には対応できないかもしれません) ・Passwordを頻繁に変更します。また、Passwordは意味のない文字や数字の組み合わせとし、容易に推測できないものにします。 ・関係者にPasswordの変更通知をする際、電子媒体を使わず、極力口頭などで伝えるようにします。また、ネットワーク内にIDとPasswordを保管しておかないようにします。 ・やむを得ずEメールやLANなどを使ってPasswordの案内をしなくてはならない時は、Passwordを記したファイルにさらにパスワードでセキュリティ設定をして送付するようにします。 |
金 (Mr.SEQ) すばらしいです。 ここ数年、企業を攻撃している「標的型攻撃」と呼ばれる手法です。最近は企業から廃棄される書類等から顧客情報を入手し、顧客を装いDMを投げることで、ほぼ100%の人がメールを開き、30%の人がリンクをクリックします。 守る側の対応もよく考えられています、パスワードの変更頻度はどの程度が適当なのか、という運用側の観点も合わせて考えるとより現実的な回答が出てくると思われます。 |
| 0 | yukko■もしクラッカーならどんな手法でどんな情報を取得する?
手法:顧客になりすまして電話やメールで管理者にIDやパスワードの変更を促す。 情報:顧客情報、クレジットカード情報 守る側が気をつけること:個人確認を徹底する、社内での機密情報に関する管理ルールを徹底する |
なし (Mr.SEQ) そうですね、では顧客になりすますための顧客の情報はどのように手に入れるのか、管理者から情報を引き出すためにどのように訴えるのかが鍵となります。 ソーシャルエンジニアリングは相手の心理の隙を突くことが重要となるので、この点を攻撃側、守る側それぞれで考えてみると良いかもしれませんね。 |