昨今、話題となっているセキュリティ脅威と対策をレイヤごとにまとめてみます。
******アプリケーションレイヤ******************
●ユーザー情報搾取を目的とする攻撃(ユーザー側)
ユーザーのパソコンからの情報搾取、およびフィッシングサイト等に誘導し、ユーザー情報を入力させ情報搾取する。搾取した情報で不正送金などを行い金銭奪取を行う。
対策は主に、Webサイトの真正性の証明や認証の複雑化、不正IPアドレスからのアクセス遮断等が挙げられる。
[攻撃例]
・ウイルス感染
・フィッシングサイト
・パスワード推測
・中間者攻撃(MITB、MITM)
[セキュリティ対策]
・ワンタイムパスワード
・二要素認証(トークン、スマホ認証など)
・二経路認証(OTPメールを携帯で受信)
・マルウェア検知ソフト(セキュリティ対策ソフト、PhishWallなど)
・フィッシングサイト検知・閉鎖サービス
・SSLサーバ証明書
・リスクベース認証
・クライアント証明書
・ブラックリストIPアドレスからのアクセス遮断
●ユーザー情報搾取を目的とする攻撃(Webサイト側)
Webサイト側からユーザー情報を搾取する攻撃。搾取した情報で不正送金などを行い金銭奪取を行う。対策は主にアカウントロックやWAFでのアクセス遮断等になる。
[攻撃例]
・リスト型アカウントハッキング
・ブルートフォースアタック
[セキュリティ対策]
・ブラックリストIPアドレスからのアクセス遮断
・アカウントロック
・WAFでのアクセスブロック
●Webアプリケーションの脆弱性・設定不備を狙った攻撃
Webサイトの脆弱性、設定不備を突き、機密情報搾取やWebサイト改ざん・乗っ取りを行う攻撃。
[攻撃例]
・クロスサイトスクリプティング
・バッファオーバーフロー
・SQLインジェクション
・OSコマンドインジェクション
・ディレクトリトラバーサル
・コンテンツ改ざん
[セキュリティ対策]
・セキュアコーディング
・ファイル改ざん検知
・WAFでのアクセスブロック
******サーバーレイヤ******************
●OS・サーバープロダクトの脆弱性・設定不備を狙った攻撃
サーバーOSやプロダクトのの脆弱性、設定不備を突き、機密情報搾取やWebサイト改ざん・乗っ取りを行う攻撃。Apacheなどのよく使用されているプロダクトで発覚した脆弱性の場合、影響Webサイトが広範囲に及ぶ。
[攻撃例]
・OpenSSL脆弱性への攻撃
・Apache Struts脆弱性への攻撃
・GNU bash脆弱性への攻撃
[セキュリティ対策]
・パッチ適用
・WAFでのカスタムシグネチャでの攻撃検知・遮断
******ネットワークレイヤ******************
●NWの脆弱性・設定不備を狙った攻撃
NWの設定不備を突き、リモート管理サービスへの侵入やIPアドレス偽装パケットによる情報搾取やサービス不能攻撃、調査行為を行う。
[攻撃例]
・リモート管理用サービス侵入
・IPアドレス偽装
・パケット改ざん
・ポートスキャン
[セキュリティ対策]
・不要なポートの閉塞
・不必要なサービスの停止
・IPSでの攻撃検知・遮断
●DoS/DDoS攻撃
大量の攻撃元ホストからパケットを送り込み、攻撃対象のWebサイトのネットワーク帯域やサーバリソースを枯渇させ、サービス不能にさせる攻撃。特定の主義・主張によりWebサイトをダウンさせるものが主だが、一部では攻撃中止の条件にビットコインを要求してくる身代金型のDDoS攻撃も発生している。
[攻撃例]
・synフラッド
・icmpフラッド
・udpフラッド
・F5アタック
・DNSアンプ攻撃
・NTPアンプ攻撃
[セキュリティ対策]
・DDoS対策装置導入
・IPS導入
・FWによる不要ポート遮断
・プロバイダルータによる不要ポート遮断