ハッカーの手口

 以下にハッカーの手口・手法の幾つかを上げた。 これが,システム防衛の参考になれば幸いである。
 ハニーネット・プロジェクトの報告では,多くの攻撃で使われるコマンドは4つまでである。 この報告からすると,簡単に進入できるサイトを選んで攻撃することが多いようである。 また,攻撃を仕掛ける相手を,追跡し捕まえることは難しく,最も注目を浴びたいくつかの攻撃は未解決のままである。



ハッカーの手口と攻撃経路

 ハッカーはデーター更新,システム制御に端末からサーバーにアクセスする作業などを盗み見したり, 作業の痕跡を解析したりして,不正侵入の手がかりを得ることもある。

 ハッカーが目標のサーバーを攻撃する場合,そこに直接接続すると簡単に突き止められてしまう。 頭のいいハッカーは,サービス拒否を含め,いかなる攻撃も,自分自身のシステムからは仕掛けたがらないと言われ, 複数のサーバーを経由して攻撃をかける。 そのうちの一台でも,通信記録が消去されれば,ハッカーの同定が不可能になるからである。 また,店のデモマシンや,インターネットカフェのマシンを利用されると,ハッカーの同定は不可能に近い。


ハッカーの侵入

 インターネットのサイトのサーバーは24時間稼動し,内容が更新され続けている,この更新されるときがチャンスらしい。 また簡単に推理できるパスワードも進入の手がかりとなる。 ファイアーウォールがシステムチェックなどでダウンすると,その再起動時も危険なタイミングとなる。 ハッカーは自分のコンピューターに目標を24時間監視させ,上記の一瞬の隙を衝いて進入をもくろむ。 また,サーバーの設定時に誤ってウェブサーバーにインストールされたプロキシサービスがあると,それがセキュリティ上の弱点になるらしい。 ハッカーはプロキシサーバーへアクセスした後,アクセス権限を拡大, 新しいアカウントを作成する能力を獲得するなどして,そのマシンを支配してゆく。
 トップページの画像がエッチなものに置き換えらる,スパム業者が配信したメールのエラーが何万通も返送される,ドメイン名の管理者名義を書き換えらるなどは稀な事例らしい。 一方,ウェブサーバからの個人情報漏洩は比較的起きる確率が高いらしい。
 対応には,犯人の特定や警察への通報,告発(およびその元になる証拠保全),顧客や取引先への説明までも含まれる。 万一侵入を受けた場合,決して停止できないシステムを安全に切り離し,運用を継続することができるかについても考える必要がある。 そのため FAX など何らかの代替手段も含めて検討すべきである。



ハッカーの捜査

 FBI は,すでに『張り込み』や『おとり捜査』といった行為を行っている。 ネット上で不正侵入などの違法行為を起こしかねない人物をリストアップし, 捜査員がハッカー仲間になりすまして,電子メールの交換などにより観察しているらしい。


exploit 攻撃コード,エクスプロイト

 脆弱性を狙って不正を働く単純なコードやスクリプト。 脆弱性が見つかってから exploit ツールが公開されるまでの期間が短くなってきている。 一方,脆弱性を発見したセキュリティ企業などは,exploit を作り,脆弱性が発見されたソフトの製造元やアンチウイルスベンダーなどに送付する。
 2004年4月,Microsoft 社は Windows や IE の脆弱性を悪用して攻撃する exploit コードが,インターネット上などで多数発見されていると警告。
 2007年9月12日,US-CERT は Mozilla の Firefox ブラウザと Apple のメディア再生ソフト QuickTime をインストールしたユーザーを標的として,エクスプロイトコードが公開されたと発表。 リモートの認証を受けないユーザーが,影響を受けるシステム上で任意のコマンドを実行できてしまう。 この脆弱性を悪用されれば Web ブラウザが完全に制御され,OS の制御にもつながる可能性がある。
 2008年4月,SANS Internet Storm Center は大学の研究報告を引用して,Microsoft が公開している月例パッチを逆用して,エクスプロイトを自動的に作成できるツールが攻撃者の間で使われていると警告。 リバースエンジニアリングの工程を自動化するツールを使い,パッチ公開後から1日足らずで攻撃コードを作成している。


  • Metasploit
  • MPACK


    evasive 攻撃 イベイシブ攻撃
     攻撃者は不正なコードの露出を極力避けるために,特定の Web サイトや Web ページへのビジターの IP アドレスを追跡し,その情報を利用して,各IPアドレスから不正なコードへのアクセスを1回に限定する方法。 同じ IP アドレスから不正なページに2回目のアクセスを試みると,無害なページが表示される。 不正なコードの露出を抑えることで検出される可能性を低くできる。 また,URL フィルタリングやネット評判監視サービス,検索エンジンが使っている Web クローラーの IP アドレスを特定して,これらのエンジンに合法的なコンテンツを返し,誤って正規のサイトに分類される可能性を高めることができる。


    Evil Maid 攻撃
     ホテルの部屋などに置かれた宿泊客のノート PC に,その部屋に侵入した人物が,攻撃コードを仕込んだ USB メモリを使って宿泊客の PC を起動する方法。 ホテルの客室係などが実行できる可能性が高いことから,この名前になった。


    アフィリエーション型攻撃
     専用サーバに不正なコードを置き,Web サイトオーナーは自分のサイトからその不正なコードを参照するもの。 サイトオーナーは,自サイトにアクセスして感染したビジターの数に応じて報酬を受け取る。


    Advanced Persistent Threat(APT)攻撃
     経済的または政治的な利益を目的に,テロ組織,活動家団体,犯罪者組織などによって持続的に実行されるサーバー攻撃。 ターゲットは,主流メディア,政府,軍事企業,学術機関などの組織や,需要が多く機密性の高い情報を管理する権限を持つ個人など幅広い。 サービスまたはアプリケーションの脆弱性を利用,メモリーまたはディスクにペイロードを作成して実行,制圧完了と,攻撃が3段階に分けられる。 これをすべての段階において防ぐためには,ホワイトリスティング技術が不可欠。 まず,メモリー保護により,攻撃者が脆弱性を利用できないようにする。 もし,攻撃者が脆弱性の利用に成功しても,ペイロードがホワイトリストに記載されていないため,ディスクやメモリーから実行されない。


    Shady RAT
     カリフォルニア州サンタクララに本拠を置くセキュリティ企業 McAfee によって発見された標的型攻撃。 少なくとも5年にわたり,国家機密,ソフトウェアのソースコード,Eメールのアーカイブ,ドキュメントの保管場所,利用価値の高いあらゆる種類の知的財産などを盗み出す目的で,攻撃対象となった組織のコンピュータを狙う組織的な攻撃が実施されたらしい。 これにより71の組織が被害を受けたことを突き止めただけでなく,さらに多くの数の組織が不正侵入されているらしい。


  • ソーシャル・エンジニアリング


    ショルダーハック

     肩越しにキータッチを見て,パスワードを盗むこと。


    バッファー・オーバー・フロー攻撃

     1980年頃から,知られている古典的な攻撃方法。 大量のデーターを送り込まれたサーバーは, バッファーがあふれたときに,予想(想定)外の処理をすることがある。 このときにセキュリティが破れることがあるのをねらった攻撃方法。


    ブルートフォースアタック,パスワード推測攻撃,辞書攻撃

     良く知られている古典的な攻撃方法。 目的とするサーバーに辞書の単語をパスワードとして,接続されるか,辞書が尽きるまで,無差別に接続を試みる方法(力技攻撃)。 『ボット』と呼ばれる自動プログラムを使い,一般的なパスワードのリストや単語辞典を利用して,ユーザー ID からパスワードを突き止める。 パスワードに用いられる事が多い単語を集めた『辞書』も存在する。 従って,一般的な辞書に載っている単語をそのままパスワードにするのは非常に危険である。



    ロックアウト・システム

     辞書攻撃の防止法で,何度か誤ったパスワードが入力されたらアカウントをロックするもの。 サイトは,ロックされた利用者に電話で連絡してもらい,本人でなければ分からないような情報を確認して,アクセス権を再発行する。 ただし,顧客がすぐにロックを解除できるよう,24時間体制で電話で対応するカスタマーサポートを置く必要がある。

     Windows NT 4.0 では,スタート → プログラム → 管理ツール → ドメインユーザーマネージャー → 原則 → アカウントの項目にある。 また,そこの監査の原則でセキュリティに関するイベントを記録できる。



    スパイウェアを使ったハッキングの例

     無邪気なメッセージを装った電子メールを送付,従業員はそのメッセージに従いあるサイトのウェブページを開く。 ページに埋め込まれた Java スクリプトがスパイソフトをインストールし,極秘のログオンデータを入手する。


    AirSnort エアスノート

     2001年8月に公開された,ワイヤレスデータの伝送をハッカーが傍受できるツール。


    Trinoo

     攻撃用のソフトの名前らしい。 2000年12月に発表された,バージョンはサービス拒否攻撃専用に作られ,ウィルスと同じように無害に見える電子メールの添付ファイルの形で侵入,ツール自身を広めることもできる。


    内部的攻撃

     アプリケーションやサービスが攻撃を受け,そのプロセスを足がかりとして他のアプリケーションやサービスを攻撃するテクニック。


    標的型攻撃メール

     2011年10月3日,情報処理推進機構(IPA)はこの特徴と対策を紹介した技術レポートを公開。 メール受信者をだますテクニックとして,1)Web などで公表されている情報を加工して,メール本文や添付ファイルを作成,2)組織内の業務連絡メールを加工して,メール本文や添付ファイルを作成,3)添付ファイルを付けずに,不正なサイトへのリンクをメール本文に記載,4)日常会話的なメールを数回繰り返して,メール受信者の警戒心を和らげた手口,を上げている。
     2012年4月9日,トレンドマイクロは文書ファイルを巧妙に悪用する標的型攻撃を確認したと発表。 手口は複数あり,一つはパスワードで暗号化した『doc』形式の文書ファイルをメールに添付し,そのパスワードを別のメールで送付するというもの。 これとは別に,不正プログラムを2つのコンポーネントに分けて zip 形式で圧縮して送付する攻撃も見つかった。 zip ファイルを解凍すると,『doc』形式の文書ファイルと『dll』ファイルが表示される。 文書ファイルを実行することで2つのファイルが連携し,外部から端末を操作するための不正なコードが実行される。


  • トロイの木馬
  • denial of service(DoS) サービス拒否攻撃
  • degradation of service サービス劣化攻撃

    戻る 英語『H』最初のメニュー