現場で使えるセキュリティ事故対応 実践CSIRT

　本書を読んだからといって即戦力とはならないかもしれないが、サイバー攻撃がどのように行なわれているか、また、その対策についても述べられていて、教科書でしか学んだことのない自分にとっては勉強になった。 ・見抜きにくくなったリスト型攻撃 　防御側が攻撃を検知・遮断する仕組みを導入したため、攻撃側はこうした対策を回避するように攻撃を改善してきました。結果として2016年のリスト型攻撃は正規のログインと不正なログインがほとんど見分けられない状況です。 　例えば、現状のリスト型攻撃は複数のIPアドレスからゆっくりと時間をかけてログインを試行してきます。 ・四つの対策で攻撃リスクを最小化 　まずは、「ログインアラートとログイン履歴の導入」です。正しいログインかどうかは、利用者自身に判断してもらうのも良策です。… 　併せてログイン履歴を利用者に確認させる機能も提供するとよいでしょう。身に覚えのない不審なログインを利用者自身が気づけるようにするために、ログインの時間やIPアドレス、国、端末、Webブラウザなど、ログイン時の様々な情報を利用者が確認できるようにします。 　二つ目の対策は、「ワンタイムパスワードの導入」です。… 　三つ目の対策は、「トランザクション認証の導入」です。トランザクション認証とは、上述した「重要な操作」を実行する際、操作の実行自体を利用者に通知して承認を求める認証機能です。承認しなければ処理が完了しませんので、攻撃者の操作が完了するのを防ぎ、未然に被害を防止できます。 　トランザクション認証は既にいくつかの金融機関が導入しています。この他、ヤフーがログイン専用IDを導入するなど、Webサービス事業者もリスト型攻撃への対策を強化しています。 　最後の対策はパスワードリストの漏洩を防ぐ基本的対策である「サーバーの堅牢化」です。サーバーに存在していた脆弱性を悪用されて攻撃者に侵入されても、「生のパスワード」を盗まれないように、パスワードは常にハッシュ化して保存するようにしましょう。 　その際に大切なのは生のパスワードを推測できなくするために「ソルト」と「ストレッチ」を実施することです。… 　併せてWebアプリケーションの防御に特化したWAFの導入を検討しましょう。WAFは全てのリスト型攻撃を防げませんが、短時間の集中アクセスや不正なユーザーエージェントの利用など、いくつかのリスト型攻撃を検知できる可能性があります。 ・多層でDDoS攻撃を防ぐ 　対策１：不要なポートの封鎖、パッチの適用などでDDoS攻撃に強いサーバーを構築 　対策２：第7層(アプリケーション層)のDDoS攻撃を自組織に導入する専用対策製品で防御 　対策３：数十ギガビット/秒数の大容量DDoS攻撃を事業者のサービスで防御