脆弱性についての初歩的な概説書であるが、コーディングから入っているので全くの素人には難しそうだ。しかし、本書は情報の多い本であり、全体像をつかむには良い本と思う。また、いろいろな言葉を理解できるのは嬉しい。
○以下、本書に登場する言葉
脆弱性情報DB いくつかある Common Vulnerbilties and Exposures (CVE)*** MITRE社が管理している
共通脆弱性評価システム CVSS 2005年~ 現在はCVSS3
CVE-2016-1645 Google ChromeでPDFを開く脆弱性
CWE 共通脆弱性タイプ
ゼロディ期間:攻撃に対して無防備な期間、この間の攻撃をゼロディ攻撃
脆弱性のブランド化
バッファオーバーフローの脆弱性の原理:戻りアドレスを書き換えて、例えばシェルコードを実行する。
文字列整形機能による脆弱性への悪用:printfなど
脆弱性緩和技術
クロスサイトスクリプティング XSS Web脆弱性の60%弱を占める。
セッションIDをクッキーで管理するとき、セッションIDを乗っ取る。
SQLインジェクションの脆弱性:データベースの不正操作、情報漏洩に結び付く
Webアプリケーションの脆弱性診断:自己診断用ツール、脆弱性診断士資格化の動きあり。
WAF:Web Application Firewall。シグネチャ=過去の攻撃のログを解析して抽出したパターン を利用する
CSP:Content Security Policy
OWASP:Open Web Application Security Project
OWASP Japan
脆弱性と社会
・金銭目的のサイバー犯罪が増えている 投資が少なく、リスクが小さい⇒利益率が高い
Exploit Kit:サイバー攻撃のツールキット
バンキングマルウェア
ランサムウェア(身代金要求)
Exploit as a Service :EaaS
ビジネスモデル:
a. 事前に構築したExploit Kitを時間単位で貸して、使用料を徴収する。
b. サイバー犯罪代理業。マルウェアを預かり、感染させた数に応じて成功報酬を得る。
バウンティハンター(賞金稼ぎ)=脆弱性報奨金制度
日本ではサイボウズ
バグハンター
脆弱性の売買
脆弱性発見コンテスト
DDos攻撃:2008年に勃発したロシアとグルジアの紛争時のDDos攻撃は有名
サイバー兵器「Stuxnet」イランの核施設を攻撃。USB経由で感染した? コンピュータに入り込み、シーメンスの制御ソフトに入り、データを取り出し、最終的にはシーメンスのPLCを不正操作。ウランの濃縮を行う遠心分離機8400台の機能を停止。
サイバー空間は第5の戦場である。
タリンマニュアル
ワッセナー・アレンジメントへの侵入ソフトの追加(案)
Cyber Grand Challenge Contest DARPA主催、2013~2016年に開催