情報セキュリティ試験直前対策メモ２００６＝サーバセキュリティ編＝

２００６年４月に情報処理技術者試験テクニカルエンジニア（情報セキュリティ）試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。第７回目は、『サーバセキュリティ』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

第１回　無線ＬＡＮ編
第２回　ＶＰＮ編
第３回　暗号化編
（≪補足≫　暗号・復号の基本フロー）
第４回　認証編
第５回　ＰＫＩ編
第６回　セキュリティプロトコル編
第７回　サーバセキュリティ編
第８回　脅威の実態編
第９回　アクセス監視編
最終回　規格編

情報セキュリティ・キーワード 2016

サーバのセキュリティ対策

１：サーバの要塞化の必要性

・不正アクセスによる情報漏えい、データ改ざんを防止する

２：サーバの要塞化手順

・ＯＳ、アプリケーションのバグの修正

　→パッチの実施

・アカウント管理の強化

　→不要なユーザアカウントは削除し、使用するユーザアカウントには必要な権限のみを与える

・サーバアプリケーションの選定と設定強化

　→不必要なサービスを停止または削除する。不要な機能やコマンドは、機能を停止するか削除する

・提供するサービスへのアクセス制御の実施

・ログの設定

３：セキュリティ強化されたＯＳ

・ Trusted OS

　→ SELinux (Security-Enhanced Linux)：正式には Trusted OS ではないが、セキュリティ強化されている OS。

　→ PitBull：Solaris、AIX、Linux などに対応した、既存 OS 環境を Trusted OS 化する製品。権限設定などが複雑で難しい。

４：Web サーバに対する脅威

・公開情報の阻害

　→ホームページの改ざん、ニセ Web サーバの公開

・保護情報の漏えい

　→個人の認証情報

・ Web サービスそのものが阻害される

　→ネットワークの高トラフィック、高 CPU 負荷などによる、サービス停止。DoS 攻撃。

５：メールサーバに対する脅威

・メールサーバアプリケーションの脆弱性をついた乗っ取り攻撃

・迷惑メール（スパムメール）

　→ RBL (Realtime Black List) による接続拒否。正規の通信も拒絶する可能性。IP アドレス詐称によるくぐりぬけ。

・第三者中継によるスパムメールの手伝い

　→第三者中継の制限：SMTP-Auth、POP before SMTP

・ウィルスの媒介

・ユーザ情報の漏えい

プロセス／アプリケーション層のセキュリティ

１：TCP Wrappers

・ UNIX / Linux 上で、inetd を介して起動されるデーモンの通信を監視し、制御し、アクセスログを残す

２： DNS (Domain Name System)

・ IP アドレスと、FQDN (Full Qualified Domain Name) 名を変換する

・ DNS ポイゾニング (DNS poisoning)：ゾーンファイルを改ざんして、IP アドレスを変更することで、ニセの Web サイトへ利用者を誘導する

・ DNS サーバ間のゾーンファイルの転送（ゾーン転送）の盗聴、ニセのゾーン転送要求を防止するため、DNS サーバには、指定したホスト以外へのゾーン転送を禁止したり、ゾーン転送自体を暗号化するなどのセキュリティ対策を実施する

３：SMTP (Simple Mail Transfer Protocol)

・メールヘッダーは置き換えが可能なため、攻撃者は身元を隠すために偽造してメールを送信できる

・メール爆弾： SMTP サーバへ大量のメールを送信

・ Spam メール発信の踏み台としての利用

・デマメール（ソーシャルエンジニアリング攻撃の一種）

４：POP3、APOP、IMAP4

・ POP3 は、認証のときのパスワードをクリアテキストでサーバに送信する（110 番ポート）

・ APOP (Authentication POP)は、POP3 を使用するメールの受信時にパスワードを暗号化する。サーバ側とクライアント側で設定を行う必要がある。

・ IMAP4 (Internet Message Access Protocol version4revl) は、POP3 と異なり、メールサーバ上でメール検索、ヘッダの読み出しなどの操作が可能（143 番ポート）

５：FTP (File Transfer Protocol)

・ユーザ認証において、ユーザアカウントとパスワードは、クリアテキストで送信される

・不正なアップロードにより、ディスクスペースを満杯にされる危険性

・長いユーザ名、長いパスワード、長いコマンドを入力することで、FTP 異常修了させる攻撃がある（パッチを適用）

６：HTTP (Hyper Text Transfer Protocol)

・ Cookie の危険性

　→セッションハイジャック

・ CGI

　→セキュリティホールの提供

・ブラウザクラッシャー

　→悪意ある HTML タグ、Java スクリプトで、Web ブラウザのぜい弱性を攻撃する

７：SNMP

・攻撃者がコミュニティ名を知ると、SNMP マネージャになりすまして、SNMP エージェントから情報を得ることができる

８：telnet

・認証時、ユーザ名とパスワードはクリアテキストで送信される

９：NAT / NAPT

・ NAPT は、上位プロトコルのポート番号を書き換えてしまうので、IPSec のパケットは NAPT を介して通信できない。IPSec はポートの書き換えをパケットの改ざんと判断する。

１０：インスタントメッセージ（IM）

・メッセージの内容はクリアテキストで送信される