トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・攻撃ベクトルの研究 のバックアップの現在との差分(No.5)


  • 追加された行はこの色です。
  • 削除された行はこの色です。
#author("2020-08-20T14:54:31+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
[[サイバー攻撃の実態>情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)#ra8ee63d]]~
#freeze
#author("2021-01-13T13:24:28+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[サイバー攻撃の実態>情報システム開発契約のセキュリティ仕様作成のためのガイドライン#ra8ee63d]]~
~
攻撃は、初期侵入から、実行、認証情報の収集、水平展開と幅広い手法の積み重ねで構成されているため、一部の手法の実施を阻止できれば、大規模な拡散や情報漏洩の被害を防ぐことが可能となります。~
最も有効な防御策として、ローカルの管理者権限をユーザーに与えない、ドメインユーザーをローカル管理者に登録しないなどがあげられます。これは、企業システムの管理者の負担の増加(苦情や不満)を意味しますが、それを上回るセキュリティ上のメリットがあり、強力にシステムを防衛します。~
-[[・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃]]
-[[・ランサムウェア Emotet の攻撃ベクトル]]
*サイバーキルチェーンとセキュリティ対策 [#xa502c38]

攻撃は、初期侵入から、実行、認証情報の収集、水平展開と幅広い手法の積み重ねで構成されているため、一部の手法の実施を阻止できれば、大規模な拡散や情報漏洩などの被害をある程度防ぐことが可能となります。~
以下の図にもあるように、攻撃にはSQLインジェクションなどのコーディングの不備や、構成の不備などの脆弱性を利用するものと、PC、サーバーのOSやアプリケーションなどの設定の不備を利用するものがあります。~
&br;
#ref(https://www.softwareisac.jp/ipa/image/data/killchain65.png);
&br;

また、攻撃ベクトルの初期で侵入を断ち切らないと、検知以外に攻撃を知る方法がなくなり、検知に成功するまでは、情報漏洩が発生したかすら把握できなくなる可能性がでてきます。本ガイドラインを、ユーザーとベンダーのリスクコミュニケーションのツールとして利用する際は、以下のように切り分けて使うと効果的です。
-コーディングや構成の不備  → [[ASVS>OWASP ASVS 4.0]] を開発仕様、開発標準として活用し、受入テストの基準作りに利用する
-OSやアプリケーションの不備→ [[詳細な緩和策>情報システム開発契約のセキュリティ仕様作成のためのガイドライン#v48c59a0]] を構成仕様として活用し、受入テストでチェックする





*[[・CVE-2017-11882 Officeの数式エディタの脆弱性を使った攻撃]] [#pd5ed394]
ソフトウェアの脆弱性を利用してマルウェアを侵入させた例です。
*[[・Emotet の攻撃ベクトル]] [#yf6fd848]
電子メールに悪意のあるファイルを添付し、ユーザーがそれを開くことでマルウェアを侵入させた例です。