前提
CTFやってるうちにセキュリティを面白がりたい気持ちが出てきました。
防御策考えるより攻撃者の目線に立ったほうが面白いと考えていたところそんな動画×6があったので気になったところメモ取ります。
- ハッカーの視点で防御力を高めよう!ホワイトハッカーとセキュリティを学ぶ新番組「攻撃者の目」#1
- ハッカーの獲物の探し方”OSINT”をホワイトハッカーが解説【攻撃者の目】#2
- PCを覗き放題?! “ポートスキャン”を解説【攻撃者の目】#3
- 全てのサイトに弱点がある!SQLインジェクションの恐怖 攻撃者の目#4
- フィッシング×生成AI 進化する攻撃への対処法をホワイトハッカーに聞きました(攻撃者の目5)
- ランサムウェアはどんな攻撃なのか? 攻撃者視点解説(攻撃者の目#6)
メモ
#1
セキュリティの観点では攻撃者と防御者では圧倒的に攻撃者が有利→責めるセキュリティホールが一つでもあればよいから
ホワイトハッカーになりたければIT全般の知識が必要→点よりも面で学習せよ
セキュリティはとにかくハンズオン!!!!→CTFとかTryHackMeがおすすめ
#2
攻撃者の視点に立つ第一歩は情報収集のOSINTについて学ぶ→実際はOSINTより踏み込んだことをする(非公開情報をフィッシングしたり)
OSINTを悪用した攻撃例→企業のリクルート部門に求職者を装いメールを送ってメール内リンク先のGoogleドライブにマルウエアを仕込む
→リクルート部門がある企業についてOSINTを働いた
対策:情報公開は必要最小限にする
攻撃者の標的の選定基準→セキュリティ的に狙いやすそう or お金を払いそう
セキュリティ的に狙いやすそう→外部から該当企業のサーバにアクセスしたときにソフト情報やバージョンが見れるとか
求人サイトで何々のツールに習熟していることなどで社内で使用しているITツールが分かったりする→ツールから攻撃手法を考えたりできる
OSINTで攻撃者が使用するツールはペンテストで使っているようなツール
昨今の攻撃者は組織化が進み、初期侵入まで担当する組織がその情報をブラックマーケットに売るようなこともある
#3
ポートスキャンはシステムの脆弱性(バージョン情報とか)を見つけるための事前工作(オープンしていないポートの脆弱性は見つけられない)
認証突破の手法→①認証情報を窃取して突破②脆弱性を利用して認証を回避
#4
SQLインジェクションはDBからデータを取る、データの改ざん以外にも認証回避やWebサイトの改ざんなどを意図に利用され、攻撃の起点になりやすい
脆弱性があればお問い合わせフォームとかプラットフォーム上のどっかに入力する
対策はソースコードレベルの修正やWAF
Webサイトのセキュリティは設計時点で考慮するべきでその基準というのはIPAの「安全なWebサイトの作り方」が有名
#5
フィッシングはコードをユーザ自身で実行させる手法が出たりと画期的な手法(clickfix)も最近ある
フィッシングは古典的だが強力。手法は次の二つ→①不安をあおる②欲望をあおる
攻撃者にとっても昨今のAI革命は影響を与えている→フィッシングメールが生成AIで日本語の壁がなくなっていたり
CAPTCHA認証のボタンが起点になるフィッシングがあったり、巧妙な手法も多い
#6
攻撃者がシステム侵入後何をしているのか
①VPNなどの外部接続装置の脆弱性を突いて内部に侵入
②内部で侵入できる端末やサーバを探してそこにマルウエアを配置(外部と通信するようなRATを配置などで遠隔操作が可能に)
③より強い権限を入手するため権限昇格という手法を用いてユーザ権限を管理者権限にするよう試みる
攻撃者にとって要点だと考えるステップは攻撃の糸口を見つけるところ
一旦侵入しても長期間潜伏して攻撃するケースが多い→長期間の潜伏はリスクだがマルウエアを横展開することで見つかったときに根絶されないような対策もしている
攻撃者にとって昨今のEDRやセキュリティソフトは脅威なのでプロセスを終了させてしまうような行為をすることも主流
マルウエア対策として、インシデント時に上がったアラートを一か所に情報が集約されるようなセキュリティ組織の構築が必須
体制と窓口を作るのは勿論だが、平時の対策として窓口に来た情報をどう扱うか決めておく必要がある(教育と訓練と他部署の協力など)
雑感
勉強になったが時間で考えたら本読んだらよかったかも