叡智の三猿

三猿 × 情報セキュリティ × はてな で発信します。

情報セキュリティーは攻撃優位

攻撃と防御

f:id:slowtrain2013:20200908164738j:plain:w500
いまさらですが、サッカー⚽️は、お互いのチームでボールを蹴り合い、ボールを相手のゴールに入れたら1点が入るスポーツです。

ひいきしているチームが点を取ったら喜び、取られたら悔しがります。面倒なルールがわからなくても楽しめるのがサッカーの魅力だと思ってます。

しかし、サッカーのルールをたとえばこんな風に改訂してみます。

  • 片方のチーム(攻撃チーム)は一方的に相手のゴールにボールを入れる攻撃を行う。
  • もう片方のチーム(防御チーム)は自らのゴールにボールを入れられない防御を行う。
  • 点が入れば攻撃チームの勝ち、0点に抑えれば防御チームの勝ち。

もし、このルールにしたら、攻撃側が圧倒的に優位ですよね⁉️

90分間、抜かりなく防御しつづけるのは、肉体的・精神的な負担が大きすぎます。本来、面白いはずのサッカーが、こんなルールに改訂されたら、見てもちっとも面白くないスポーツに感じるでしょう。

攻撃者の行動

サッカーを(強引に😅)情報セキュリティの話に置き換えます。

会社(組織)の情報セキュリティ対策は、ひたすら攻撃を仕掛ける悪い側と、ひたすら防御する会社(組織)側に分かれます。

サッカーの改訂ルールで書いたように、情報セキュリティは、攻撃側が圧倒的に有利な戦いなのです‼️

どんな攻撃にも耐えられる万能なセキュリティ対策は残念ながら存在しません。

防御する組織側は内部に多数存在する情報資産の重要性・機密性を考慮しながら、ある程度のインシデントを受け入れます。サッカーでいう失点は覚悟です。その被害を最小化する対策が現実的な戦術です。

攻撃者にとっては組織の複雑なシステムのなかから一点の脆弱性を見つければ、そこを侵入口として組織の情報資産を盗むきっかけを作ることが出来ます。

攻撃者の一般的な流れは、ターゲットする組織の事前調査→権原取得→不正実行→後処理の4段階で行われます。

f:id:slowtrain2013:20200908165743p:plain
攻撃者の一般的な流れ

ポートスキャンで事前調査

事前調査にあたり、組織が通信に使っているポートの状態を調査し、解放されているポートを足がかりにするのが常套手段です。これをポートスキャンと呼びます。

ポートスキャン自体は攻撃用ツールではありません。システム管理者がサーバーの運用業務を行うために使ったり、組織が定期的に行う脆弱性診断でも使います。

ポートスキャンによる攻撃の代表的な方法として、TCP SYNスキャン(ステルススキャン)があります。これは対象となるポートに対してTCPコネクション要求のSYNパケット送信します。その応答により次の判定をします。

  • SYN/ACKが応答される:対象ポートが開いているので接続可能。
  • RST/ACKが応答される:対象ポートが閉じているので接続不可。

TCPのコネクションは3ウェイハンドシェイクが使われます。しかし、TCP SYNスキャンでは攻撃を隠蔽するため、SYN/ACKが応答されても、確認応答であるACKをを返さず、RSTを返すことでコネクションを確立しません。

f:id:slowtrain2013:20200908180705p:plain
3ウェイハンドシェイク

ポートはインターネットで特定のサービスへの通信をさせる入り口です。そのプロセスを識別するコードをポート番号と呼びます。

よく知られるポート番号として以下があります。

ポート番号 プロトコル
20 FTP-data
21 FTP-control
22 SSH
23 TELNET
25 SMTP
50 ESP
53 DNS
80 HTTP
110 POP3
123 NTP
135 RPC
137 NetBIOS
143 IMAP
443 HTTPS
445 SMB
500 IKE

2017年に流行したウイルス(ランサムウエア)WannaCryはSMBという445番のポート番号から侵入しました。SMBはファイル共有に利用されるサービスです。

(WannaCryについては、こちらにも書いてます)
www.three-wise-monkeys.com
ポートは開いたり、閉じたり出来ます。ですので、業務で使わないポートは閉じておくことがセキュリティ対策の基本です。