情報セキュリティ関連研修 メモ

目次

動画

どのようなセキュリティ対策が必要か?

なぜ、総務省は定期的なパスワード変更を推奨しないとしたのか?

なぜ、ハッシングだけでは不十分なのか?(英語)

なぜ、デジタル改革担当大臣もパスワード付きZipファイルのメール送信が無意味であるとしたのか?

なぜ、Free Wi-Fiにつなぐのが恐ろしいのか?

なぜ、記憶媒体は破壊してから廃棄しないと大変なことになるのか?

どうやって偽サイトを作るのか?

RSA暗号と素数の関係とは?

ランサムウェアWanna cryに感染するとどうなるか? (英語)

エクセルのマクロウイルスとはどういうものだったか?(英語)

ハッキングされていないかどうかを知るには?(英語)

なぜ、無線LANのWPA、WPA2は危険なのか?(英語)

なりすましメールを見破る方法(英語)

Man-in-the-Middle Attack攻撃の一例(英語)

ウクライナの発電所のシステムが乗っ取られる様子

ツールの紹介

今、現在の攻撃の様子は? Threatmap

WAFの効果を体感

https://saycon.co.jp/php/bbs.php

例えば、以下のようなSQLインジェクション攻撃の一文を書き込んでみること。

1 or 1 = 1

注)この演習はWAFの設定をOFFにした状態とONにした状態の2回実施すること。

クロスサイトスクリプティングの実験

https://saycon.co.jp/php/xssDemo.php

例えば、以下のようなJavaScriptを書き込んでみること

<script>alert("Your are hacked!!");</script>
<script>alert(document.cookie);</script>

送信ドメイン認証(SPF / DKIM / DMARC)のチェックができるサイト

https://mxtoolbox.com/SuperTool.aspx

自分のグローバルIPを手早く確認

https://www.cman.jp/network/support/go_access.cgi

NMAPツール (英語)

https://hackertarget.com/nmap-online-port-scanner/

ハッシュ(MD5) (英語)

http://www.md5.cz/

暗号化と復号の体験ツール(AES)

https://encrypt.doratool.com/

パスワードが流出したかどうかを調べるサイト(';--have i been pwned?) (英語)

https://haveibeenpwned.com/

Notify me というメニューから通知を受け取ることも可能。

SQLインジェクションの体験サイト (英語)

https://sqlzoo.net/hack/

XSSのゲーム(英語)

https://xss-game.appspot.com/level1

攻撃手法が学べるサイト(英語)

https://www.hacksplaining.com/lessons