質問編集履歴
1
質問の範囲が広すぎたため、範囲を狭めた内容に修正しました。
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -8,23 +8,11 @@
|
|
|
8
8
|
|
|
9
9
|
|
|
10
10
|
|
|
11
|
-
Apacheのhttpd.confにてアクセスを許可したいPCのIPを指定する方式を想定した。
|
|
11
|
+
Apacheのhttpd.confにてアクセスを許可したいPCのIPのみを指定する方式を想定した。
|
|
12
12
|
|
|
13
13
|
|
|
14
14
|
|
|
15
|
-
この方式で想定される
|
|
15
|
+
この方式で想定される漏洩経路・手段はどのようなものがありますでしょうか?
|
|
16
|
-
|
|
17
|
-
また、ほかの良い方法などありませんでしょうか?
|
|
18
|
-
|
|
19
|
-
|
|
20
|
-
|
|
21
|
-
※私が考えた攻撃手段、漏洩経路としては、
|
|
22
|
-
|
|
23
|
-
・プライベートネットワーク内のPC(サーバーではない)を乗っ取る等してサーバーへのアクセスを試みる方法
|
|
24
|
-
|
|
25
|
-
・プライベートネットワーク内の実線のLANに接続してアクセスする方法
|
|
26
|
-
|
|
27
|
-
を想定しました。
|
|
28
16
|
|
|
29
17
|
|
|
30
18
|
|
|
@@ -35,6 +23,44 @@
|
|
|
35
23
|
|
|
36
24
|
|
|
37
25
|
お忙しいところ恐縮ですがご教授いただけたら幸いです。
|
|
26
|
+
|
|
27
|
+
|
|
28
|
+
|
|
29
|
+
### 前提条件
|
|
30
|
+
|
|
31
|
+
作成する「電話の応対システム(PHP+MySQLにて作成する範囲)」には「セキュリティ上の不備はない」こととします
|
|
32
|
+
|
|
33
|
+
|
|
34
|
+
|
|
35
|
+
下記については今回の質問内容について考慮しません
|
|
36
|
+
|
|
37
|
+
・サーバーPCのOSの未知のバグ
|
|
38
|
+
|
|
39
|
+
・サーバーPCのOSの未知のセキュリティの脆弱性
|
|
40
|
+
|
|
41
|
+
・Apacheの未知のバグ
|
|
42
|
+
|
|
43
|
+
・Apacheの未知のセキュリティの脆弱性
|
|
44
|
+
|
|
45
|
+
・ネットワーク盗聴による漏洩
|
|
46
|
+
|
|
47
|
+
・悪意を持ってリアル側でサーバー用PCを直接操作して情報を漏洩させること。(スパイウェアの設置、改ざん、データの不正送信、USBなどのデバイスへのコピーして持ち出しによるデータ流出)
|
|
48
|
+
|
|
49
|
+
・悪意を持ってリアル側で正規のプライベートネットワーク内のPCを使用して故意に情報を漏洩させること。(スパイウェアの設置、改ざん、データの不正送信、USBなどのデバイスへのコピーして持ち出しによるデータ流出)
|
|
50
|
+
|
|
51
|
+
・サーバー用PCを全部または一部物理的に盗難されることによる漏洩
|
|
52
|
+
|
|
53
|
+
・作業用データメディアの紛失による流出
|
|
54
|
+
|
|
55
|
+
・バックアップメディアの紛失による流出
|
|
56
|
+
|
|
57
|
+
・正規のプライベートネットワーク内のPCにスパイウェアが入っていた場合、そのスパイウェアからの漏洩
|
|
58
|
+
|
|
59
|
+
・正規のプライベートネットワーク内のPCを使用している善意のユーザーが、偽サイトに入力してしまった場合の漏洩(クリックジャッキング、フィッシングサイト等)
|
|
60
|
+
|
|
61
|
+
・プライベートネットワーク内の実線LANに物理接続して不正アクセスをすること
|
|
62
|
+
|
|
63
|
+
|
|
38
64
|
|
|
39
65
|
|
|
40
66
|
|
|
@@ -70,6 +96,8 @@
|
|
|
70
96
|
|
|
71
97
|
PHP:8.0.7
|
|
72
98
|
|
|
99
|
+
MariaDB:10.4.19
|
|
100
|
+
|
|
73
101
|
|
|
74
102
|
|
|
75
103
|
電話の応対システムのサーバー役PCはインターネットへ接続が可能な状態
|
|
@@ -83,3 +111,29 @@
|
|
|
83
111
|
電話の応対システムへアクセスしたいPCは固定IP設定済
|
|
84
112
|
|
|
85
113
|
電話の応対システムへアクセスしたいPCは全て有線接続
|
|
114
|
+
|
|
115
|
+
|
|
116
|
+
|
|
117
|
+
|
|
118
|
+
|
|
119
|
+
「攻撃による情報の流出」を含むために表現しておりましたが、
|
|
120
|
+
|
|
121
|
+
・「情報漏洩」以外のいたずら・データ改ざん・業務妨害等の様々な要素が多い
|
|
122
|
+
|
|
123
|
+
・ご回答いただける方の想定する範囲が広すぎてしまうこと
|
|
124
|
+
|
|
125
|
+
・今回の質問の意図が、「想定される情報漏洩経路の特定」からズレてしまっていること
|
|
126
|
+
|
|
127
|
+
・すでに記載してある「漏洩経路・手段」の内容に「攻撃による情報の流出」が含まれること
|
|
128
|
+
|
|
129
|
+
により「攻撃手段」を削除し、「漏洩経路・手段」一本化した。(2021/06/22)
|
|
130
|
+
|
|
131
|
+
|
|
132
|
+
|
|
133
|
+
前提条件を追加しました。(2021/06/22)
|
|
134
|
+
|
|
135
|
+
質問内容に「想定される攻撃手段」を記載しておりましたが、主たる目的が「漏洩経路・手段」の特定であるため「攻撃手段」を削除しました。(2021/06/22)
|
|
136
|
+
|
|
137
|
+
「また、ほかの良い方法などありませんでしょうか?」を削除しました。(2021/06/22)
|
|
138
|
+
|
|
139
|
+
DBの種類とバージョンを追加しました。(2021/06/22)
|