akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

セキュリティの仕事をしている私がフィッシングメールに引っかかった話

 

1. はじめに

セキュリティ関係の仕事をしている私が恥ずかしながら、年始早々にフィッシングメールに引っかかってしまいました。
「セキュリティ専門の自分でもこうなるのか。。。」という恥ずかしさがありましたが、この体験が少しでも多くの人への警鐘になればと考え、あえて書き残すこととしました

 

2. どういうメールだったか

※この記事で紹介するURLや件名等は実際のものではなく、説明のための架空のものであることをご了承ください。

 

ある日、普段利用している銀行のサービスからメールが届きました。件名は「重要なお知らせ:ご確認ください」といった内容で、たまにある定期的な通知のように見えました。


メール本文には、以下のようなURLが記載されていました(実際のURLは伏せ、仮のものに置き換えています)。

hxxps[:]//www.mybank-service.co.jp/notify/account/verification

 

見た目は正規のURLです。ドメインもmybank-service.co.jpで、普段使っているサービスのものでした。
メール本文はざっくり、「貯まっているポイントがあるので移行してください」という内容でした。

 

3. なぜ引っかかってしまったか

今振り返ると、いくつかの要因が重なってURLをクリックしてしまいました。


1. 使い慣れたサービスであり、メール送信元を見逃していた

まず、このサービスは日常的に使っているもので通常の受信ボックスに届いていたこともあり、「あ、なんかポイントが貯まってるんだな」という軽い気持ちでメールを開いてしましました。

そしてメールの送信元を見ることなく、なぜかメール本文のURLにだけ注意を向けたのでした。(結局リンクを踏んでしまったわけですが。。。)

 

2. メール本文のURLが正規のものだった

メール本文に表示されているURLを見る限り正規のドメインでした。

hxxps[:]//www.mybank-service.co.jp/notify/account/verification

HTMLメールではリンクテキストと実際のリンク先が異なることがあるのは把握していましたが、あまり深く考えず「クリップボードにコピーしてURL確認してみるか」くらいの気持ちでいました。

 

3. コピーして確認しても同じように見えた

念のため、リンクを右クリックして「リンクのアドレスをコピー」し、テキストエディタに貼り付けて確認しました。
そこに表示されたのは下記のようなURLでした。

hxxps[:]//www.mybank-service.co.jp∕notify∕[ランダムな文字列]@malicious-site.com/

 

メール本文に表示されていたURLとは異なるものでしたが、URLの最初のドメイン部分"www.mybank-service.co.jp"に目が行ってしまい、その後に続く不自然な長い文字列や@記号、そして最後のmalicious-site.comを見落としてしまいました。

 

4. @を含むURLの仕組みを理解していなかった

これが最も恥ずかしい部分であり、かつ学びになった部分ですが、URLにおいて@記号の前が認証情報、後が実際のアクセス先になるという仕様を把握できていませんでした。

hxxps[:]//ユーザー情報@実際のアクセス先/

  • @の前:www.mybank-service.co.jp∕notify∕... は認証情報として扱われる(そして実際には無視される)
  • @の後:malicious-site.com が実際のアクセス先

アットマークを含むURLでは上記のような構成になります。このURLにアクセスするとwww.mybank-service.co.jpではなく、malicious-site.comにアクセスさせられるということになります。

 

この@記号を含むURLの形式は、Basic認証で使用される認証のための仕組みのようです。ブラウザは@の前の部分を認証情報として解釈し、@の後ろのホスト名に対してHTTPリクエストを送信する際に、Authorizationヘッダーに変換して送信します。

hxxps[:]//ユーザー名:パスワード@ホスト名/パス

 

※加えてこのURLでは、通常のスラッシュ/ではなく、Unicode文字の∕(division slash)もURL内で使われていました。

 

上記要因でメール内のURLをクリックしてしまうこととなりました。セキュリティの仕事をしていながら、この仕組みを把握しておらず、リンクをクリックしてしまったのは本当に恥ずかしい限りです。。。

 

4. 引っかかってしまった後の対処

サイトにアクセスすると、変なサイトであることにすぐに気づいたので即座にページを閉じました。

認証情報等の機微な情報は入力していませんでしたが、メールのリンクからアクセスしたことで私がリンクを踏んだことは攻撃者側にはバレていると予想できます。(先ほどの@記号の前のランダムな文字列からトラッキングされている可能性があるため)

 

そのため、即座に以下対応を行いました。

・認証情報の変更(アカウント・パスワードの両方)

・多要素認証が有効になっていることの確認

・不審なログインや取引の履歴がないか確認

・受信メールを迷惑メールとして報告

 

なお当時は、フィッシングページにアクセスするとブラウザ警告が出ることなくアクセスできていましたが、本記事執筆時点ではブラウザ警告が表示されるようになっていました。

 

5. 終わりに

大変恥ずかしながら、セキュリティの仕事をしている私がフィッシングに引っかかったというお話でした。
今回の経験から学んだことは、「自分は大丈夫」という過信が最大の脆弱性、ということでした。

さらに、URLの仕組みに関する知識が欠けていたことも今回引っかかった要因でもあります。今回使われたURLの仕組みは今後決して忘れることはないでしょう。

 

今回の体験が、一人でも多くの方の被害防止につながれば幸いです。

 

独学2ヶ月半でCISSPに合格した話

CISSPテキスト・問題集

無事ICS2のセキュリティ資格「CISSP」に合格したので受験体験記を残そうと思います。先達の方々の合格体験記が大変参考になったこともあり、自分も少しでも何か役に立つ情報を残せれば、という動機で書いています。

 

勉強期間と時間

2024年12月中旬から勉強(情報収集含む)を開始し、2025年2月上旬に受験だったので、2ヶ月半くらいの勉強期間でした。平日は約2時間、土日祝は4~6時間くらいの勉強時間を確保していました。幸いにも正月は休日が続いてたので、休み返上でペースを上げて学習に取り組むことができました。おおまかには以下のようなペース配分です。

▼2024年12月中旬〜2025年1月上旬

 ・問題集1~8章公式ガイドブックの章末問題1~8章の1周目完了

▼1月上旬〜1月中旬

 ・問題集1~8章と公式ガイドブックの章末問題1~8章の2周目完了

▼1月中旬〜1月下旬

 ・問題集/公式ガイド章末問題で1,2周目どちらも間違えた問題だけ

3周目実施

 ・問題集の模擬試験1~4の1周目と2周目を完了

▼1月下旬〜2月上旬(試験日まで)

 ・問題集の模擬試験で1,2周目どちらも間違えた問題だけ3周目実施

 ・公式ドメインガイドブックの練習問題

 ・CISSP公式アプリで練習問題

 ・YoutubeCISSP講座視聴

学習時間と進捗を記録するために変な表も作った

 

勉強方法

学習の進め方は主に下記記事を大いに参考にさせていただきました。

yawaraka-sec.com

 

shinobe179.hatenablog.com

 

また、以下の勉強ノートは公式ガイドブック以上に参考にさせていただきました。

tex2e.github.io

 

私の場合、アクセス可能な教材はフル活用する、というスタンスで学習を進めていました。以下は利用した教材です。(:よく使った、:そこそこ使った、:少し使った)

公式問題集
公式ガイドブック
公式アプリ(無料版)
公式ドメインガイド練習問題
YoutubeCISSP動画
自作の単語暗記ブック
ChatGPT

 

先達の方々が受験記で書かれているように、学習の柱は公式問題集をひたすら繰り返す、というものでした。解いていく中で分からない用語や問題があれば、都度調べて知識を深掘りしていきました。問題集がなければCISSP学習が始まらないといってもいいくらいでしょう。

 

問題集を繰り返す以外に、個人的に工夫した部分としては以下が挙げられます。

  • 公式ガイドブックの章末問題
  • 公式ドメインガイド練習問題
  • 生成AIのフル活用

 

公式ガイドブックの章末問題

鈍器とも見える極厚の公式ガイドブックは「辞書的」に使う点で多少役に立ちましたが、それ以上に章末問題の練習が知識の深掘りをする観点で役立ったと思います。

章末問題は1~8章で合計200問あり、基本的にはテキストに沿った内容で出題されています。公式問題集と違う角度から出題される問題もあったので、問題集で積み上げた知識の土台をさらに補強できるという点で、ガイドブックの章末問題は役立ちました。

 

公式ドメインガイドページの練習問題

公式が公開している「CISSP 8ドメインガイドブック」のページには練習問題なるものが掲載されています。現行のガイドブックには10問が掲載されています。さらに過去のガイドブックと思われる資料もweb archiveに残っており、こちらは40問あります。

これらの問題は新たに知識を得るというよりも、学習期間終盤で知識が定着しているかを確認するために活用しました。現行の10問は解答と解説が掲載されているので素直に答え合わせができますが、旧版のガイドブックにある40問は解答も解説もないです。そのため、後述する生成AIをフル活用しながら、知識の補強やCISSPの考え方の理解に役立てました。

 

生成AIのフル活用

こいつがいるか否かで学習効率は大きく変わっていたことでしょう。。笑

ChatGPT(たまにGemini)は以下の点で多大なサポートをしてくれました。

 ・用語の意味、似た用語の違いの解説

 ・公式問題集やガイドブック章末問題で解説が足りない時や納得がいかない時の追加解説

 ・旧ドメインガイドブック練習問題の解説

 ・YoutubeCISSP解説動画(英語)をWordのディクテーション機能で文字起こしをして、日本語で要約してもらう

 

正直、生成AIも正解率100%ではないので、出力そのものを鵜呑みにしないよう注意が必要です。しかし7~8割は正解している感覚なので、納得・理解できずに消化できないよりは、おおよそ正解っぽい考え方を教えてもらって「なるほど、そういう考え方ね」と消化できた方がベターかなと思いました。

自作の用語リストも暗記に役立った

 

受験当日

試験時間や問題数は新旧の情報が錯綜しているように思いますが、最新のCISSP試験は3時間のCAT形式です(問題の後戻りは不可)。問題数は100~150問となります。
(実は私の場合、過去の試験情報ばかり見ていたため、試験の1ヶ月前まで試験は6時間200問あると思い込んでいました。。)

試験時間が3時間になったためか、早朝に到着する必要は無くなり、12時半からの枠で受けることができました。試験1時間前にタリーズでゆっくり復習していたら、芸能人がふつうにコーヒー飲んでてびっくりw これは何か良いことあるかもな、と思えましたね。

 

試験に関しては、よく言われているように練習問題とかなり違います。単純に単語や答えを暗記するだけでは太刀打ちできず、CISSP的考え方を適用しながら問題を解く必要があると感じました。

そして試験を終えて結果発表の紙が渡される瞬間、正直本当に落ちたと思いました。試験会場で感情を出すのが恥ずかしかったので、ちゃんと会場を出てから結果を確認してしっかり外で喜びました!

 

個人的に思う「試験時の心構え」と「CISSP的考え方」

自分が学習・情報収集をしてきた中で、試験時の心構えとCISSP的考え方は以下のように集約されました。

試験を受ける時の心得

1. 問題文と選択肢をしっかり読むこと。悩ましくても、よく読めば解ける問題もある。

2. 二択で迷う場合は、より適合している方を選ぶこと。 CISSP的考え方、問題の意図、選択肢の違いを基に判断する。

3. 不正解の選択がなぜ間違いなのかを考える。何がどうなっていたら正解なのかを考えれば正しい解答を絞れる。

4. 前の問題に戻れないので、ミスったとしても引きずらない。

CISSP的考え方

1. 経営者目線を持つリスクアドバイザーとして考える。

2. 人命最優先。そのためには物理セキュリティが第一。

3. 対策費用が資産価値や予想被害額を上回らないこと。

4. 全ての判断はリスク管理から。リスク管理は資産評価から。

 

まとめ

年度末までにCISSPを取得する目標が達成できて満足しています。学習した内容も、実務に大変役立つ内容だったので改めて受験を決意してよかったなと思っています。会社の先輩でCISSPホルダーの方にも勉強方法などアドバイスをいただき感謝感謝です。

 

冒頭にも書いたように、過去受験してきた人たちの受験記が大変参考になりました。最新のCISSPでは受験方式がアップデートされていたりするので、最新の情報を提供できればと思い、この記事を残したいと思いました。参考になりましたら幸いです。

 

参考記事

受験記ブログ

Youtube

(CISSP勉強用) ドメイン2 - データ管理の役割

 

※参考文献は以下です。

 

データオーナー (Data Owner)

システムのセキュリティに関して以下の責任を負う。データ保護に関する説明責任を負う。
• データ使用・保護のためのルール確立
• セキュリティ要件・管理策に関してシステムオーナーと協力する
• 情報へのアクセス権と権限の種類を決定する
• 情報の特定とそれに対するセキュリティ管理策の評価を支援
 

システムオーナー (システム管理責任者 / System Owner)

システムのセキュリティに関して以下の責任を負う。
• 計画作成
• 計画運用
• セキュリティ教育
• セキュリティ計画の更新
• セキュリティ管理策の特定・実装・評価
 

データ管理者 (Data Custodian)

基本的にはデータオーナーの指示に従って、以下をはじめとする日常的な業務を実施する。
ガイドラインの遵守
• データのCIAを保護するための適切なセキュリティ管理策を実装する
• データセットのメンテナンス(バックアップ、監視)
• システムパッチ適用やウイルス対策ソフトの構成
 

管理者 (Administrator)

データへのアクセス権限の割り当てる。システムオーナーから権限を委譲されている。
※システム管理者が"管理者(Administrator)"と表記されている可能性があるので注意すること(システム管理責任者とは異なる)
 

その他の役割

• データサブジェクト:データによって識別される個人。データが参照する個人
• データコントローラ:個人データの処理や保護を目的とする方法を決める人。保護責任者代理。
• データプロセッサー:データコントローラに変わってデータを処理する人やプロセス。処理実行者
• データスチュワード:データの内容、前後関係、関連業務ルールについて責任を負う人。データ使用の監視者
• ビジネスオーナー(ビジネス責任者/ミッションオーナー):セキュリティ確保と事業継続のバランスを取る。
EUの規制下において、データを共有する組織と第三者データプロセッサーはどちらも、個人情報のプライバシーとセキュリティを維持する責任を等しく負う。
 
※参考書籍

 

(CISSP勉強用) 事業継続計画(BCP) / 災害復旧計画(DRP)

 

※参考文献は以下です。

 

事業継続計画 (BCP, Business Continuity Plan)

  • 事業を継続するための計画 (ITシステムに限らない)
  • 組織の全ての機能を継続するための計画であり、すべての機能が含まれる必要がある。
  • 災害復旧計画や事業復旧計画といった、複数の計画から成る
  • プライマリサイトで何らかのインシデントが起きた際に、以下を実施する計画
  • レーニン:基本的な意識啓発トレーニングを全社員が受ける必要がある。第一対応者や経営陣など、特定の役割を担う人は役割に特化したトレーニングを受ける(最低でも二人、バックアップのため)。
  • 更新時期:演習の後や、本番環境やシステム環境に等に何らかの変更が発生した後に変更する必要がある。
 

BCPの4ステップ

・プロジェクトのスコープと計画
・BIA (事業影響分析)
・継続計画
・承認と実装
 

事業継続計画における4つの活動

1. 組織の構造化分析
2. BCPチームの結成
3. 利用可能なリソースの評価
4. 法規制状況の分析
 

ビジネス影響分析 (BIA / Business Impact Analysis)

• 組織が保有する資産の価値、資産を失う潜在的なリスク、組織に影響を及ぼす可能性の高い脅威、脅威が現実となる可能性を判断する取り組み
• 事業を継続する上でどこにリスクがあり、「何ができないのか」を発見する。組織に対する中断の影響を定める。
• 以下ステップで実施:
 1. 情報を収集する  (組織内の事業部門を特定する、など)
 2. 脆弱性評価を実施する
 3. 情報を分析する
 4. 結果を文書化し、推奨事項を提示する
 

災害復旧計画 (DRP / Disaster Recovery Plan)

• 事業継続計画の1つであり、災害時にITシステム(技術環境)を速やかに復旧するための計画。
• 緊急対応計画で対応できない時に、事業継続のためバックアップサイトに移動する
• 復旧計画ではクリティカル機能の再開に焦点を置くべき。一方で、災害復旧プロセスの最終目標は、主要施設(プライマリーサイト)での通常業務運営を復元させること。
 

BCP/DRPに関連する目標時間等

• 最大許容停止時間 (MAD; Maximum Allowable Downtime):損害を与えることなく停止できる最長時間 (MTD (Maximum Tolerable Downtime) とも呼ばれる)
• 復旧時間目標 (RTO; Recovery Time Objective) : 障害発生後から運用に戻すまでの時間。ビジネス影響評価によって決まる
• 復旧時点目標 (RPO; Recovery Place Objective) : 復旧作業中に失われる可能性のあるデータの最大量を時間で表す
• 事業継続計画プロセスの目標は、復旧時間目標(RTO)が最大許容停止時間(MAD)よりも短くすること (RTO<MTD)
• 平均修復時間 (MTTR:Mean Time To Repair): 故障が発生した際にシステムが復旧するまでの平均時間。短いほどダウンタイムが短い
• 平均故障時間 (MTTR:Mean Time To Failure): 修理不可のシステムが故障するまでの平均時間。長いほど長寿命。
 

DRPの考慮費用

• 取得原価:資産を購入するために要した原価
減価償却費:設備投資などの費用を一定期間に配分する会計処理。
• 再調達原価:価格時点において土地や建物をもう一度調達することを仮定した場合、どのくらいの額が必要とされるのかを割り出した、適正な原価の総額
機会費用:ある選択をすることで失った(選択しなかった)ものの価値、それから得られたはずの利益
 

復旧用の代替施設(サイト)

ホットサイト:顧客の要求を全て満たしたハードウェア、ソフトウェアが完全配備されている
ウォームサイト:ホットサイトと似ているが、高価な装置は用意されていない
コールドサイト:空調、電気、通信回線、二重床など、環境面でのサポートのみ提供され、技術的な装置やリソースは配置されてない
ミラーサイト(複数処理サイト):施設は整っており、本拠点と並行してトランザクション処理をしているため、直ちに利用可能
モバイルサイト:コンピュータを装備したトレーラ。そのため運転して目的地に設置可能。
相互扶助協定(MAA, Mutual Assistance Agreement): 施設などを共有することで災害発生時にお互いを支援する約束。
 

訓練プログラムの例

デスクチェック : 各自で運用文書を確認する(チェックリストレビューなど)。机上訓練や他のテストに比べて時間がかからない。
ウォークスルー : マニュアルに沿ってそれぞれの役割と活動を説明する
机上演習 : 会議室で、災害シナリオに沿ってその対応を議論する
シミュレーション : 災害イベントをシミュレーションする
並行(パラレル): 本番環境と並行して、災害をシミュレーションして災害復旧サイトを稼働させる。実際に動員するなどしてBCPに定義された手順を展開できるかを判断する。
フルカットオーバー(完全停止テスト) : 最も包括的なタイプのテスト。本番環境に影響を与える
 
※参考書籍

 

(CISSP勉強用) ドメイン4 - 802.1X (ユーザ認証規格)

 

※参考文献は以下です。

 

IEEE802.1X

  • ポートベース認証を提供
  • サプリカント、認証装置、認証サーバの3つが必要
  • PAP(Password Authentication Protocol):IDとパスワードを平文で流す
  • CHAP(Challenge Handshake Authentication Protocol):メッセージダイジェストを使うので、パスワードが暗号化して流れる。

 

PPP

  • モデム通信やシリアル接続で一般的に使用されるプロトコル
  • 複数のプロトコルや認証機能をサポートしているため、レガシーサービスのサポートに最適

 

EAP

 

 

LEAP(Lightweight Extensible Authentication Protocol)

  • TKIPに関する問題を扱うために設計されたCisco Systems社独自のプロトコル
  • WEPで使用される。保護機能に脆弱性あがあり危険
  • WPA2とPEAPまたはEAP-TLSなどの技術をサポートするべきである。

EAP-TLS

  • 拡張認証プロトコルEAP)の一種
  • TLSを使用して、クライアントとサーバーの間で相互認証を行う認証プロトコル
  • クライアントとサーバーの両方が持つ証明書を使用して、お互いの正当性を確認、通信の安全性と信頼性が高まる

EAP-FAST

Cisco独自のプロトコルであり、LEAPの後継

 

PEAP (Protected Extensible Authentication Protocol)

EAP-TLSに類似している保護された拡張認証プロトコル

RADUIS

  • 認証と認可を提供するAAAプロトコル
  • モデム、無線ネットワーク、ネットワークデバイスに使用されることが多い
  • ダイアルアップの利用者を認証する方法として開発され、リモートアクセスのサポートに利用されてきた
  • デフォルトでUDPを利用する。TLSモードに変えることも可能
  • デフォルトでパスワードのみを暗号化する。TLS over TCP に変えることも可能。UDP over TLS はサポートされていない

 

※参考書籍

 

(CISSP勉強用) ドメイン4 - 無線ネットワーク関連

 

※参考文献は以下です。

 

端末間の通信

アドホックモード:各端末の無線LANアダプタが、1対1で互いに直接通信する

インフラストラクチャモード:アクセスポイントを介して端末間通信を行う

 

WiFi

 

WEP

単一の事前に定義された静的な共有鍵に依存する,きわめて弱いセキュリティモデル

 

TKIP (Temporal Key Integrity Protocol)

 

無線の探索手法

・サイトサーベイ

  • 無線ネットワークの範囲、信号強度、アクセス可能な場所を詳細に調査する方法
  • 意図せずアクセスできてしまうエリアを特定する目的に最も適した手法
  • 無線ネットワークがどの範囲まで届いているのか、または意図しない場所に信号が漏れていないかを精密に確認できる

 

・ウォーウォーキング

  • 歩きながら無線ネットワークを調査すること
  • ただし、これはあくまで簡易的なスキャンであり、サイトサーベイほどの精度を持ってない

 

ウォードライビング

  • 車で移動しながら無線ネットワークを調査する方法
  • これも簡易的な調査方法で、特定のエリアでネットワークが利用可能かどうかを確認するために使われますが、サイトサーベイのように細かい分析は行われない

 

セルラーホットスポット

・携帯のデザリングのこと

・PCをホットスポットと会社用のネットワークのどちらにも接続した場合、PCがインターネットからローカルネットワークへのブリッジとして機能する可能性がある

 

Bluetoothのセキュリティ

  • Bluetoothは強力な暗号化機能を備えていないため、機密性が低い作業にのみ使用すべき
  • Bluetooth PINは4桁のコードで,デフォルト値は0000であることが多い
  • Bluetoothをオフにしてデバイスが検出モードでないことを確認することで、攻撃を防ぐのに役立つ。
  • ブルースナーフィング攻撃 (bluesnarfing attack)
    • Bluetooth対応デバイスのデータまたは情報を標的とする
    • ブルージャッキング(Bluejacking)は,攻撃者がBluetooth経由で迷惑メッセージを送信した場合に発生する。

 

※参考書籍

 

(CISSP勉強用) ドメイン4 - 用語整理

 

※参考文献は以下です。

 

マルチレイヤプロトコル (MLP)

  • プロトコルの組み合わせによって、TCP/IPがアプリケーションに必要なサービス品質を提供できなくなる
  • 例:TLSを採用しないとデータの機密性と真正性を保護できない
  • 懸念事項
    • 隠れチャネルが隠蔽されること(上位層で暗号化することで下位層での検知を回避)
    • 隠蔽されたトラフィックがフィルタをバイパスできること
    • ネットワークセグメントに設定した論理的な教会を一定の条件下でバイパスできること

 

フレームリレー

  • 複数のPVC(恒久仮想回線)をサポート
  • サービスプロバイダーが顧客に提供する最低帯域幅を保証する認定情報速度(CIR)を備えたパケット交換技術
  • フレームリレーは各接続点でDTEとDCEのペアを必要とする。DTEはフレームリレー網へのアクセスを提供し、DCEはプロバイダーから供給され。データをネットワークへ送信する.

 

スペクトラム拡散技術

  • データを送信する際に複数の周波数を同時または順次利用する技術
  • 通信をより安全にし、干渉を減らすためにデータを広い周波数帯に分散して送信
  • FHSS(Frequency Hopping Spread Spectrum)
    • 信号を短時間で異なる周波数に切り替えて送信する技術。
    • 干渉に強く、セキュリティが向上する。
  • DSSS(Direct Sequence Spread Spectrum)
    • 信号を広い周波数帯に拡散して送信する技術。
    • ノイズ耐性が強化され、信号が目立ちにくくなる。

 

~層ファイアウォール

保護するゾーン数で数字が変わる

例:ファイアウォールが保護するゾーンが3つ(DMZ, データベース、プライベートネットワーク)に分かれている場合は、3層ファイアウォールとなる

 

 

 

iSCSI(Internet Small Computer Systems Interface)

 

FCoE(Fibre Channel over Ethernet

スクリーンスクレーピング

  • 画面に表示されている内容をキャプチャ・コピーし、そのデータを他のシステムに送信する技術
  • リモートアクセスツールの一部は、この技術を利用して画面内容を取得し、リモートコンピュータにコピーする仕組みを実現する

 

Teardrop Attack

  • サービス拒否(DoS)攻撃の一種
  • 攻撃者はターゲット サーバに断片化されたパケットを送信し、そのサーバにTCP/IP脆弱性があると、サーバがパケットを再構築できず、過負荷になる
  • 古いOS(例: Windows 95, NTなど)が影響を受けることが多い

 

仮想環境

  • VM間の通信は物理ネットワークを通らず、ハイパーバイザーの内部で処理されるため、IDSが監視する物理ネットワークでは検知できない。ミラーポートに送信されるのは、仮想環境の外側に送信されるトラフィックのみ。
  • 仮想マシン間でカット・アンド・ペーストが許可されると、通常のネットワークセキュリティメカニズムを迂回してデータが転送される「隠れチャネル」が生じる可能性がある。これにより、不正なデータの転送や情報漏洩が発生するリスクがある。
  • VMエスケープ攻撃
    • 仮想マシンからハイパーバイザーを通じて他の仮想マシンやホストシステムに不正アクセスする攻撃
    • リスクを軽減するには、重要なタスクやデータを含む仮想マシンを異なる物理ハードウェアに分離して配置することが有効。このアプローチは「物理分離」とも呼ばれ、セキュリティの確保に効果的。

 

VPNで使うプロトコル

  • PPTP(Point-to-Point Tunneling Protocol)
    • Microsoftが開発した初期のVPNプロトコル
    • PPP(Point-to-Point Protocol)のトンネル化を提供。
    • セキュリティが脆弱で、現代ではほとんど使用されません。
  • L2TP(Layer 2 Tunneling Protocol)
    • CiscoMicrosoftが共同開発。
    • トンネリング機能を提供しますが、暗号化はサポートしていません。
    • IPSec(Internet Protocol Security)と組み合わせることで強力なセキュリティを実現します。
    • IPプロトコルの処理も可能
  • L2F(Layer 2 Forwarding)
    • Ciscoが開発したプロトコル
    • トンネルを使用してリモートアクセスを提供しますが、セキュリティ機能は限定的です。
    • L2TPが登場したことでほぼ廃止されました。
  • IPSec
    • VPNにおける暗号化と認証を提供するプロトコル
    • L2TPと組み合わせることで高いセキュリティを実現。

 

非IPプロトコル

・IPX/SPX,NetBEUI,およびAppleTalkなど

ファイアウォールでフィルタリングできない可能性がある

 

※参考書籍