『サイバー攻撃 ネット世界の裏側で起きていること』(中島明日香) [読書(サイエンス)]
――――
Cyber Grand Challengeを通じて、プログラムが自動的に脆弱性の発見から攻撃までをおこなえることが、大々的に実証されました。つまりこれは、今まで技術者がおこなってきた武器(攻撃コード)づくりを、完全に自動化できるようになったということです。もっと言えば、武器を自動的に大量生産することが可能になったのです。これは、セキュリティの歴史的転換点となる出来事だと言えます。
――――
新書版p.233
あらゆるものがインターネットでつながる現在、サイバー攻撃による損害はますます深刻化している。金銭目的のマルウェア攻撃から国家間のサイバー戦争まで、サイバー攻撃の基礎知識とサイバー犯罪市場の現状を一般向けに分かりやすく解説してくれる一冊。新書版(講談社)出版は2018年1月、Kindle版配信は2018年1月です。
――――
現在、ありとあらゆる機器に情報技術が組み込まれ、かつインターネットにつながるようになり、私たちの暮らしは便利に、そして豊かになりました。しかしその反面、あらゆるものがサイバー攻撃の対象となっています。今や人間の命にも密接に関係する、自動車、電気・水道なとの社会インフラも攻撃の対象です。本書中では過去の実例を出して、いかに現代社会がサイバー攻撃の脅威にさらされているかを紹介しました。
――――
新書版p.243
――――
金銭目的のサイバー犯罪はせいぜいコンピュータとインターネット環境、そして銀行口座があれば始められます。また、インターネットを利用すれば、世界中のどこからでも、国境を越えた犯罪活動が可能で、匿名性も簡単に確保できます。また、犯罪の証拠や痕跡を隠すことも容易です。取り締まる側にとっては非常にやりにくい相手と言えます。一説によると、サイバー犯罪者が逮捕される割合は5%程度と言われています。
このように、サイバー犯罪は犯罪者にとって“おいしい”ビジネスなのです。
――――
新書版p.195
攻撃プログラムのソースコード例を使った技術的解説から、サイバー犯罪ビジネスの競争とイノベーション、そしてサイバー戦争。全体は7つの章から構成されています。
「第1章 サイバー攻撃で悪用される「脆弱性」とは何か」
「第2章 サイバー攻撃は防げるか 脆弱性の発見・管理・修正」
――――
脆弱性データベースができた1999年当時は、脆弱性の報告数は年間1000件以下でした。しかし、2005年以降は年間4000件以上の報告がなされています。脆弱性情報の報告のペースが、6年で4倍以上に伸びたということです。2014年にいたっては1年間で8000件近い脆弱性が報告されており、これはなんと1日に平均約22件報告された計算になります。
このデータから、脆弱性がいかに日常的に発見・報告されているかがわかります。さらに言えば、これらはあくまでも報告された脆弱性の数であり、報告されずに開発者が人知れず修正した脆弱性は含まれません。そのため、実際にはもっと大量に見つかっているものと考えられます。
――――
新書版p.53
サイバー攻撃の現状から始まって、ソフトウェアの「脆弱性」に関する基礎知識を解説します。
「第3章 プログラムの制御はいかにして乗っ取られるか バッファオーバーフローの脆弱性」
「第4章 文字列の整形機能はいかにして攻撃に悪用されるか 書式指定文字列の脆弱性」
――――
本節では、ソフトウェア(実行ファイル形式)の実装の不備によってできる各種の脆弱性を紹介します。本節では7種類の脆弱性を取り上げますが、これまでのおさらいも兼ねて、バッファオーバーフローと書式指定文字列の脆弱性も再度簡単に説明します。
――――
新書版p.129
ソフトウェア脆弱性の例として「バッファオーバーフロー」と「書式指定文字列の脆弱性」を取り上げ、攻撃の仕組みを解説します。さらに、代表的な脆弱性として以下の7つを紹介します。また、防御技術として「脆弱性緩和技術」「サンドボックス技術」を解説します。
・バッファオーバーフロー (Buffer Overflow)
・整数オーバーフロー (Integer Overflow)
・書式指定文字列の脆弱性 (Format String Bug)
・解放済みメモリ使用 (Use-After-Free)
・二重解放 (Double Free)
・ヌルポインタ参照 (Null Pointer Dereference)
・競合状態 (Race Condition)
「第5章 いかにしてWebサイトに悪意あるコードが埋め込まれるか クロスサイト・スクリプティングの脆弱性」
――――
Web関連の脆弱性は多様ですが、とくに大きな割合を占めるのが、クロスサイト・スクリプティングという攻撃が可能な脆弱性です。過去に日本の脆弱性報告窓口(IPA)に報告されたWebの脆弱性のうち、なんと半数以上がクロスサイト・スクリプティングの脆弱性だった、という報告もあります。(中略)クロスサイト・スクリプティングの手法は、大きく3種類に分けられます。すなわち、「反射型XSS」と「持続型XSS」と「DOM Based XSS」です。本節では、これら3種類のXSSを説明していきます。
――――
新書版p.156、159
Webページに対する攻撃の例として「クロスサイト・スクリプティング (XSS) 」を取り上げ、その仕組みを解説します。
「第6章 機密情報はいかにして盗まれるか SQLインジェクションの脆弱性」
――――
「サイバー攻撃によって、X社から個人情報がXX万件流出しました」という報道を目にしたことがあると思います。このような事件の裏では、SQLインジェクションがおこなわれています。
本章では、最初にデータベースの基礎を説明した後、SQLインジェクションの脆弱性の原理と具体的な攻撃手法を紹介します。
――――
新書版p.172
データベースに対する攻撃の例として「SQLインジェクション」を取り上げ、その仕組みを解説します。
「第7章 脆弱性と社会 脆弱性市場からサイバー戦争まで」
――――
現在のサイバー犯罪市場では、高度な技術をもたない攻撃者でも使える、サイバー攻撃のためのツールキット「Exploit Kit」が流通しているのです。これを使えば、特定のソフトウェアの一般ユーザに対して、金銭の窃取を目的としたマルウェアを巧妙に感染させられます。
(中略)
Exploit Kitは値段も手頃で、執筆時点では、日本円にして数万~数十万円で購入できるようです。これを「高い」と感じる方もいるかもしれませんが、将来的に何十万~何百万円も稼げると思えば、「安上がり」と言っていいでしょう。
(中略)
サイバー犯罪ビジネスにおいて、SaaSのExploit Kit版ともいうべきビジネスモデル、Exploit as a Service (EaaS) が現れました。これは、構築済みの悪性Webサイトを貸し出すサービスです。
――――
新書版p.196、200、202
いまや大規模ビジネスとして発展しているサイバー犯罪市場の現状を解説します。サイバー犯罪市場における苛烈なビジネス競争、新しいビジネスモデルの台頭などのイノベーション。さらには、それにビジネスの手法を応用して対抗する「脆弱性報奨金制度」「バグハンター」などの話題も紹介します。
Cyber Grand Challengeを通じて、プログラムが自動的に脆弱性の発見から攻撃までをおこなえることが、大々的に実証されました。つまりこれは、今まで技術者がおこなってきた武器(攻撃コード)づくりを、完全に自動化できるようになったということです。もっと言えば、武器を自動的に大量生産することが可能になったのです。これは、セキュリティの歴史的転換点となる出来事だと言えます。
――――
新書版p.233
あらゆるものがインターネットでつながる現在、サイバー攻撃による損害はますます深刻化している。金銭目的のマルウェア攻撃から国家間のサイバー戦争まで、サイバー攻撃の基礎知識とサイバー犯罪市場の現状を一般向けに分かりやすく解説してくれる一冊。新書版(講談社)出版は2018年1月、Kindle版配信は2018年1月です。
――――
現在、ありとあらゆる機器に情報技術が組み込まれ、かつインターネットにつながるようになり、私たちの暮らしは便利に、そして豊かになりました。しかしその反面、あらゆるものがサイバー攻撃の対象となっています。今や人間の命にも密接に関係する、自動車、電気・水道なとの社会インフラも攻撃の対象です。本書中では過去の実例を出して、いかに現代社会がサイバー攻撃の脅威にさらされているかを紹介しました。
――――
新書版p.243
――――
金銭目的のサイバー犯罪はせいぜいコンピュータとインターネット環境、そして銀行口座があれば始められます。また、インターネットを利用すれば、世界中のどこからでも、国境を越えた犯罪活動が可能で、匿名性も簡単に確保できます。また、犯罪の証拠や痕跡を隠すことも容易です。取り締まる側にとっては非常にやりにくい相手と言えます。一説によると、サイバー犯罪者が逮捕される割合は5%程度と言われています。
このように、サイバー犯罪は犯罪者にとって“おいしい”ビジネスなのです。
――――
新書版p.195
攻撃プログラムのソースコード例を使った技術的解説から、サイバー犯罪ビジネスの競争とイノベーション、そしてサイバー戦争。全体は7つの章から構成されています。
「第1章 サイバー攻撃で悪用される「脆弱性」とは何か」
「第2章 サイバー攻撃は防げるか 脆弱性の発見・管理・修正」
――――
脆弱性データベースができた1999年当時は、脆弱性の報告数は年間1000件以下でした。しかし、2005年以降は年間4000件以上の報告がなされています。脆弱性情報の報告のペースが、6年で4倍以上に伸びたということです。2014年にいたっては1年間で8000件近い脆弱性が報告されており、これはなんと1日に平均約22件報告された計算になります。
このデータから、脆弱性がいかに日常的に発見・報告されているかがわかります。さらに言えば、これらはあくまでも報告された脆弱性の数であり、報告されずに開発者が人知れず修正した脆弱性は含まれません。そのため、実際にはもっと大量に見つかっているものと考えられます。
――――
新書版p.53
サイバー攻撃の現状から始まって、ソフトウェアの「脆弱性」に関する基礎知識を解説します。
「第3章 プログラムの制御はいかにして乗っ取られるか バッファオーバーフローの脆弱性」
「第4章 文字列の整形機能はいかにして攻撃に悪用されるか 書式指定文字列の脆弱性」
――――
本節では、ソフトウェア(実行ファイル形式)の実装の不備によってできる各種の脆弱性を紹介します。本節では7種類の脆弱性を取り上げますが、これまでのおさらいも兼ねて、バッファオーバーフローと書式指定文字列の脆弱性も再度簡単に説明します。
――――
新書版p.129
ソフトウェア脆弱性の例として「バッファオーバーフロー」と「書式指定文字列の脆弱性」を取り上げ、攻撃の仕組みを解説します。さらに、代表的な脆弱性として以下の7つを紹介します。また、防御技術として「脆弱性緩和技術」「サンドボックス技術」を解説します。
・バッファオーバーフロー (Buffer Overflow)
・整数オーバーフロー (Integer Overflow)
・書式指定文字列の脆弱性 (Format String Bug)
・解放済みメモリ使用 (Use-After-Free)
・二重解放 (Double Free)
・ヌルポインタ参照 (Null Pointer Dereference)
・競合状態 (Race Condition)
「第5章 いかにしてWebサイトに悪意あるコードが埋め込まれるか クロスサイト・スクリプティングの脆弱性」
――――
Web関連の脆弱性は多様ですが、とくに大きな割合を占めるのが、クロスサイト・スクリプティングという攻撃が可能な脆弱性です。過去に日本の脆弱性報告窓口(IPA)に報告されたWebの脆弱性のうち、なんと半数以上がクロスサイト・スクリプティングの脆弱性だった、という報告もあります。(中略)クロスサイト・スクリプティングの手法は、大きく3種類に分けられます。すなわち、「反射型XSS」と「持続型XSS」と「DOM Based XSS」です。本節では、これら3種類のXSSを説明していきます。
――――
新書版p.156、159
Webページに対する攻撃の例として「クロスサイト・スクリプティング (XSS) 」を取り上げ、その仕組みを解説します。
「第6章 機密情報はいかにして盗まれるか SQLインジェクションの脆弱性」
――――
「サイバー攻撃によって、X社から個人情報がXX万件流出しました」という報道を目にしたことがあると思います。このような事件の裏では、SQLインジェクションがおこなわれています。
本章では、最初にデータベースの基礎を説明した後、SQLインジェクションの脆弱性の原理と具体的な攻撃手法を紹介します。
――――
新書版p.172
データベースに対する攻撃の例として「SQLインジェクション」を取り上げ、その仕組みを解説します。
「第7章 脆弱性と社会 脆弱性市場からサイバー戦争まで」
――――
現在のサイバー犯罪市場では、高度な技術をもたない攻撃者でも使える、サイバー攻撃のためのツールキット「Exploit Kit」が流通しているのです。これを使えば、特定のソフトウェアの一般ユーザに対して、金銭の窃取を目的としたマルウェアを巧妙に感染させられます。
(中略)
Exploit Kitは値段も手頃で、執筆時点では、日本円にして数万~数十万円で購入できるようです。これを「高い」と感じる方もいるかもしれませんが、将来的に何十万~何百万円も稼げると思えば、「安上がり」と言っていいでしょう。
(中略)
サイバー犯罪ビジネスにおいて、SaaSのExploit Kit版ともいうべきビジネスモデル、Exploit as a Service (EaaS) が現れました。これは、構築済みの悪性Webサイトを貸し出すサービスです。
――――
新書版p.196、200、202
いまや大規模ビジネスとして発展しているサイバー犯罪市場の現状を解説します。サイバー犯罪市場における苛烈なビジネス競争、新しいビジネスモデルの台頭などのイノベーション。さらには、それにビジネスの手法を応用して対抗する「脆弱性報奨金制度」「バグハンター」などの話題も紹介します。
タグ:その他(サイエンス)