情報セキュリティマネジメント試験を受けてきた(本番編〜その3)

クロスサイトスクリプティングについて

不正なスクリプトを実行させる攻撃のことを指す。

入力項目に入れる値を工夫して、DBに命令をうまいこと送る攻撃はSQLインジェクションだし、 大量のパケットを送り付けてネットワークトラフィックを高める攻撃はDos攻撃のコネクションフロッド攻撃。 メモリの上限を超えさせて不正なコードを実行させる攻撃はバッファオーバーフロー攻撃です。

クリックジャッキング攻撃について

とあるWebサイトAに薄皮Bを被せて、あたかもAを操作しているように思わせながらも実はBを走査させているという攻撃をクリックジャッキングという。

ディジタル署名で実現可能なことについて

文章ファイルとそのファイルのディジタル署名を同時におくることで、受け取った側は改ざんされていないことと、送信者が正しいことを確認できる。

受信者はディジタル署名を送信者の公開鍵で開けることで、元の文章ファイルのハッシュ値を手に入れることが出来ます。 それを、受信した文章ファイルをハッシュ化したものと比べます。

等しければ、送信者の公開鍵で正しくディジタル署名が開けたことになるので、このディジタル署名は送信者の秘密鍵で署名されたことが証明でき、 送信者が正しいことが確認できます。 また、ハッシュ値が正しいので途中でファイルが改ざんされていないことも確認できます。

CAの役割について

CAは認証局であり、ディジタル署名を発行する役割を持ちます。 署名の管理やパスワード管理を行う機関はありませんし、CAが秘密鍵を受け取ることもありません。

ドライブバイダウンロードについて

感染者の端末上で、勝手に変なファイルをダウンロードしてくるウイルスをドライブバイダウンロード型といいます。 勝手にPCを暗号化して、解凍のためにパスワードの購入を促してくるウイルスはランサムウェアと呼ばれ、最近流行っています。

パスワードリスト攻撃について

どっかのサイトで得られたパスワードとIDのリストをもとに、別のサイトでのログインを試みる攻撃のこと。 AサービスとBサービスでパスワードを使いまわしている際に、AサービスでIDパスワードが漏れ、それを使ってBサービスに侵入されてしまう攻撃です。 だから、パスワードは使いまわしてはいけないわけですね。

ちなみに、辞書に基づいた攻撃を辞書攻撃、総当たりをブルートフォース攻撃といいます。 パスワード側の総当たりをパスワードブルートフォースとも言ったりします。

バックドアについて

バックドアとは、一度侵入に成功した攻撃者が、再度侵入するために経路を確保しておくことです。

IPSecアルゴリズム

IPSecは共通鍵を用いてIPパケット単位で秘匿したり改ざん防止したりする。

ポートスキャンの目的

攻撃できる脆弱性がないかを攻撃者が探す行為がポートスキャン。 攻撃のための下ごしらえみたいなこと。

公開鍵暗号

公開鍵暗号化のアルゴリズムの理解は試験に合格するために必須だと思います。 簡単に言うと、公開鍵と秘密鍵という2つセットになった鍵を使い分けて暗号化する方式です。

公開鍵はその名の公開される鍵で全ての人が全ての人の公開鍵を見ることが出来ます。 対して秘密鍵は絶対に他人には見せない鍵で、自分しか知らない鍵です。

内緒にしたい事柄を、受信者が公開している公開鍵で暗号化して、暗号化した内容を誰でも見ることができる場所に置いておきます。 だれでも暗号化された内容を見ることはできますが、そこから暗号を解除するためには、暗号化する公開鍵と対になる秘密鍵を使って解除する必要があります。 受信者の公開鍵で暗号化したので、受信者の秘密鍵でのみ解除することが出来るわけです。

そのため、暗号化したデータをみんなが見れる場所に置いてあっても、解除できる人は受信者のみなので、セキュアな通信が出来るわけです。