はじめまして。
NVS(ネットビジョンシステムズ) の風間です。

政府や民間企業の中で活躍するホワイトハッカーは今や情報化社会に必要不可欠な存在です。
今回も引き続き、現場でエンジニアとして従事している私が受講した、ITキャリア推進協会が主催しているホワイトハッカー講座をご紹介します。

第一回をまだご覧でない方はぜひ第一回の内容も見ていただけると幸いです。

◤　前回のレポートはこちら！
【講師は日本屈指のホワイトハッカー‼】ホワイトハッカー講座　1日目レポート

パスワードクラッキング

パスワードクラッキングとはシステムやサービスのへのログインに利用者認証するためのパスワードを割り出し、不正にログインする攻撃を指します。

ホワイトハッカー講座で行われる実習ではTHC Hydraというツールを使ってブルートフォース攻撃を行いました。テキストファイルに攻撃で使用する文字列を生成します。例えば誕生日や名前、愛犬の名前やパスワードでよく用いられる語句など。
そちらのファイルを読み込み自動的にユーザIDとパスワードを入力して試してくれるスクリプトになります。人が行うと何時間もかかる作業を自動化して少ない時間で膨大なパターンの認証アクセスを試してくれます。

ちなみにパスワードの組み合わせパターンとその試行時間は、使用する文字が英字(大文字、小文字)数字、記号の場合は4文字で約8分、6文字で約1ヵ月半、8文字で約1千年と言われています。

上記のようなブルートフォースアタック攻撃の解決策としてロックアウトという手法があります。
ロックアウトはiPhoneなどでも搭載されている機能で
パスワードの回数に上限を設けることで総当たりを防ぐというものです。

ただ、パスワードスプレー攻撃には気を付けなければなりません。パスワードスプレー攻撃とはパスワードをある文字列で固定してユーザIDを様々な方法で試すものです。
この方法だと先程述べたロックアウトが効きません。
簡単なパスワードを設定しているアカウント程狙われやすい攻撃手法になります。

このように悪意のある第三者に不正アクセスされると金銭的な被害や個人情報の流出、またあなたになりすまして悪さをされる恐れもあります。

パスワードクラッキングを防ぐためにも適切なパスワード設定やロックアウトの有効、多要素認証などを取り入れることをお勧めします。

バックドアの作成

バックドアとは正規の手続きを踏まずにサーバの内部に侵入することを可能にさせる侵入口です。
バックドアには大きく4種類あります。
・設計開発段階で組み込まれたバックドア
・開発者が勝手に作ったバックドア
・政府の諜報活動によるバックドア
・攻撃者によって仕込まれたバックドア

印象深かった話として何かしらのサービス開発者が開発段階にバックドアを仕込みサービス稼働した際に悪さをできるようにしたという事件が事例としてあったみたいです。銀行系やショッピング系のものでしたら非常に恐ろしいですね。

また政府の諜報活動によるバックドアに関しても非常に興味深いお話がありました。

CALEA(Communication Assistance for Law Enforcement Act)という法律がアメリカにはあります。これは簡単に説明すると、何か事件事故があった場合は証拠を集めるために政府が全て確認できるように情報を開示するためにバックドアを作らなければいけないという法律みたいです。海外ベンダー製品の電子機器を買う際はその国の法律をチェックしておくとバックドアの有無が分かるかもしれません。

IoT利用数が増えている現在、ご自宅、会社のIoT機器が不正にアクセスされるなどサイバー攻撃の標的にならないようにバックドアが仕込まれていないかチェックしたり、バックドアに加え不要なポートが開いたままになっていないか、脆弱性を含んだOSの利用をしていないかなどセキュリティ意識を高め事前にサイバー攻撃から守る対策を練ることが重要ですね。

痕跡の削除

ログなどの痕跡を削除されると犯人を特定するのが非常に困難です。
技術力が高い攻撃者は自身の侵入ログや行動のログを必ず削除し完全犯罪を試みます。

そのため、どのログを消さなければいけないかをしっかり理解していないといけません。
またログが消せない場合はログを相手に読ませたくないので
意図的に大量の情報を書き込みログを汚し、解析を困難にするという手法があります。
このようにログの特定を複雑にした理解析を困難にさせること
を「カモフラージュ」と呼びます。

実際に演習ではLinuxのサーバにて/var/logディレクトリ配下にあるファイルを確認しsedコマンドを使用して特定のIPアドレスが含まれたレコードを削除する方法を試してみました。また、loggerコマンドを使いログを増やしログファイルを汚してカモフラージュを行いました。

攻撃者がどのようにログを消しているか、
またカモフラージュを行っているかが分かれば被疑箇所を特定できるかもしれません。

受講してみての感想

2日目の演習ではKali Linuxというハッキングに特化したLinuxサーバを使い、仮想環境のサーバに対してTHC Hydraというツールを用いてターゲットが設定しているであろう パスワードを特定し、ターゲットのサーバに侵入しました。

侵入に成功した後も今後パスワード変更などされても入れるように権限昇格しバックドアを仕込み、侵入したことがばれないように痕跡を消す方法など実際に攻撃者がどのようにハッキングを行っているかが分かりました。

実際に行ってみて改めて簡易的なパスワードがいかに破られやすいかが分かり、私もこの講習後使っているアカウントのパスワードを見直しました。

皆さんも破られそうなパスワードにしていないか確認してみてください。
(自分誕生日や愛犬の名前、趣味嗜好などをもとに作られていたらまずいかもしれません...)

受講するうえで多少のネットワーク知識やサーバの知識やLinux系のコマンドが打てるといいかもしれません。改めてホワイトハッカーが重宝されるIT人材と称えられる理由がこの講座を通して非常に強く感じました。

セキュリティに興味がある、悪い人たちから情報資産を守りたいなど、ぜひホワイトハッカーに少しでも興味がある方や人材育成で課題を感じている方がいらっしゃいましたらぜひお問い合わせいただければ幸いです。

次回<3回目>がホワイトハッカー講座ブログの最後になりますが
Web アプリケーションのハッキング、SQLインジェクションについて
まとめていきたいと思いますのでぜひご覧ください。

問い合わせについて

現在一般社団法人ITキャリア推進協会の主催にて
ハイブリッド講座（LIVEハンズオン＆ウェビナー）が開講しております。

ご自宅からウェビナーにて阿部ひろき氏の講義・ハンズオンの演習がご受講可能です。
日本を代表するホワイトハッカー阿部ひろき氏に直接ご質問できるまたとないチャンスです。
ぜひご検討宜しくお願い致します。

下記詳細となります。ご興味ございましたら弊社<お問い合わせフォーム>にて
お問い合わせいただければ幸いです。

■ ITキャリア主催 ホワイトハッカー講座 詳細
■■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■実施予定日（全３回）
第1回 2021年08月28日（土）10:00~18:00 <終了>
第2回 2021年09月25日（土）10:00~18:00 <終了>
第3回 2021年10月30日（土）10:00~18:00
※各LIVEハンズオン実習あり
※1、2回目は終了しておりますが、3回目の参加は可能です
※詳しくはお問合せ下さい

■講座内容
<第1回>
・情報セキュリティとホワイトハッカー
・ハッキングの基礎
・情報収集

<第2回>
・サーバーのハッキング
・Webアプリケーションのハッキング
・診断業務におけるハッキングの応用と安全性の確保
・アクセス権の維持と痕跡の消去

<第3回>
・アクセス権の維持と痕跡の消去
・ソーシャルエンジニアリング
・新しい技術と攻撃の進化

■費用
詳細につきましては、弊社<お問い合わせフォーム>よりお問い合わせ下さい。

❚ 最後までありがとうございました！

以上が、ホワイトハッカー講座のご紹介でした。

風間さん、ご紹介ありがとうございました！
様々な脅威に対してどんな手法があるのか、どんな対策があるのかを「知る」ことは大切ですね。OSやパスワードを見直すなど自ら対策のできることもあるので、しっかりとセキュリティ対策をしていきます。(まずはパスワードの定期的な見直しを…)

◤弊社に興味を持っていただけましたら、ぜひHPやSNSも覗いてみてください！
ネットビジョンシステムズ株式会社　ホームページ
【Twitter】ネットビジョンシステムズ【公式】


最後までお付き合いくださり、ありがとうございました！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
現在、IT業界は人材不足の課題を抱えています。
第４インフラのネットワークを支えるネットワークエンジニアを育て輩出し続けることが
NVSのビジョンです！

NVSには業界未経験で入社し、エンジニアとして活躍する社員が多く在籍しております。
研修の講師もエンジニアなので、技術面のサポートにも力を入れております。

未経験からでも学習欲があれば活躍できるのがネットワークエンジニアだと思っています。
NVSで一緒にネットワークエンジニアとして成長しませんか？

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

今後もNVSのことや、業界のことを色々発信していく予定ですので、
引き続きよろしくお願いいたします。

この記事を読んでくださった 皆様に
NVSやネットワークエンジニアへの興味をもっていただければ、幸いです。

【アンケートのお願い】
★記事リクエストアンケート★
※アンケートは匿名でご回答いただけます※

ぜひ皆さまの「知りたい」「興味のある」ことについて教えていただけると幸いです！
記事リクエストお待ちしております！