コーダーズ・コンカーズ・コンカー・セキュリティ:シェア&ラーニング・シリーズ-パディング・オラクル
Padding Oracleは、オルタナティブ・ロック・バンドとしては非常に悪い名前のように聞こえますが、実際には攻撃者が暗号鍵を知らなくても情報を復号化するために悪用できる脆弱性です。
攻撃側の全体的な難易度という点では、これはスケールのトップに近いです。これは魔法の解読ボタンではなく、ハッカーが送られてきたセルパディングに関するエラーメッセージを調べ、それを使って暗号化されたデータがどこで終わり、パディングが始まるのかをハッカーが判断する手間のかかるプロセスです。その後、十分な時間と情報を調べることができれば、暗号化内のさまざまなビットを把握し、解読できる可能性があります。
ありがたいことに、攻撃者がパディングオラクルを使用して暗号化されたデータを解読できないようにする、比較的簡単な手順がいくつかあります。このエピソードでは、次のことを学びます。
- 仕組み
- この脆弱性がなぜそれほど危険なのか
- それを防ぐための防御策を講じる方法。
パディングオラクルの仕組み
Cipher Blockchaining (CBC) は、データベース内に格納されているセルなどの一連の情報を、情報チェーン全体に適用される暗号化キーを使用して暗号化するブロック暗号を作成する方法です。CBC を使用する場合、1 つの暗号文ブロックの暗号化は、それ以降のすべてのブロックによって決まります。理論的には、これによって暗号化が非常に強力になります。ブロックを並べ替えたとしても、データが破損するからです。
CBC暗号(さらに言えばどんなブロック暗号)の問題は、正確なサイズのブロックを使用してのみ暗号化できることです。通常、これは 8 バイトまたは 16 バイトのサイズで行われます。では、CBC が 2 バイトのデータを 16 バイトの暗号文単位に収める必要がある場合はどうなるのでしょうか。パディング (基本的には意味のない文字) を使用してギャップを埋め、ユニットを適切なサイズにします。
ほとんどのパディングスキームはよく知られており、PKCS #7 が最も人気があるため、攻撃者はどのようなパディングが使用されているかを知っている可能性があります。たとえば、CBC が 1 つのブロックに 5 文字をパディングする必要がある場合、PKCS #7 はプレーンテキストの後に 5 回繰り返されるバイト値 0x05 を使用します。
攻撃者は、CBCとパディングスキームの両方に関する知識を利用して、オラクルとも呼ばれるホストサーバーにクエリを送信します。適切なツールにアクセスできれば、クエリのパディングが正しくないかどうかをサーバーに強制的に通知できる可能性があります。これを実現すれば、パディングが正しいとサーバーから通知されるまで、暗号のバイトごとに 0 から 255 までサイクルできます。その後、次の単元に進み、処理を繰り返して、どの場合でもパディングがどこから始まるかを記録します。
これでは、メッセージやセルを解読することはできませんが、チェーン内のすべてのリンクを、プレーンテキストの終了位置とパディングの開始位置の観点からマッピングできます。また、XOR 計算を使って元のプレーンテキストの最後のバイトの値を算出できる可能性もあります。
パディングオラクルはなぜそんなに危険なのですか?
ハッカーが暗号化の解読に多大な労力を費やす理由は、潜在的な報酬のためです。価値のないものを暗号化する人はほとんどいません。ホスト組織への危険は、侵害されるデータによって異なります。これには、パスワード、ユーザーアカウント、財務情報、クレジットカード番号、患者の記録、機密通信など、非常に求められていて貴重な情報が多数含まれる可能性があります。
パディングオラクルを使用すると、その後の攻撃へのゲートウェイになる可能性もあります。たとえば、攻撃者がパディングオラクルを使用してパスワードを盗むことができる場合、権限を昇格させてネットワークの奥深くまで侵入することは、簡単に二次的な作業になります。
暗号化はスヌーピングやセキュリティ侵害に対する究極の防御手段だと、誰もが考えています。しかし、暗号化科学とそれを破る科学との間には、何世紀にもわたって行われてきました。パディングオラクルは、攻撃者に優位性を与える方法の 1 つにすぎません。
パディングオラクル攻撃にハードランディングを与える
ありがたいことに、パディングオラクルを防ぐ方法はたくさんあります。最善の方法の 1 つは、ガロア/カウンタモード (GCM) やオフセットコードブックモード (OCB) など、より強力な暗号化モードの操作を使用することです。CBC とは異なり、128 ビットの暗号ブロックサイズを使用します。また、データの各ブロックにカウンタを使用し、その数値を使用して暗号文を作成します。つまり、パディングオラクル攻撃の影響を受けにくいということです。
適切なエラー処理制御を実装すると、攻撃者が成功する可能性が大幅に低下する可能性もあります。パディングオラクル攻撃は情報漏洩に依存しているため、暗号化/復号化が失敗すると、特定のパディングエラーではなく一般的なエラーメッセージが返されます。
メッセージ認証コード (MAC) を実装することもできます。MAC 値は、検証者が秘密鍵を使用してメッセージコンテンツの変更を検出できるようにすることで、データの整合性と信頼性を保護します。
最後に、すべてのパディングオラクル攻撃には繰り返しクエリが必要です。1 つのセルでパディングスキームの解明を求めるリクエストが 200 件以上行われる場合があり、その数に、チェーン内で保護されている情報の単位数を掛ける必要があります。同じソースからのリクエスト数を制限することで、攻撃者が実際に攻撃を開始する前にアクセスを拒否することで、パディングオラクル攻撃を阻止できます。
パディングオラクルに関するさらなる研究
攻撃者が機密情報を復号化する方法はどれも、現実の悪夢になりかねません。しかし、そもそもそれを防ぐための良い方法をたくさん学んでいただければ幸いです。
詳細については、OWASPをご覧ください 定義とチェックリスト パディングオラクルについてまた、新しく身につけた防御知識を、次のもので試すこともできます。 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
今、パディングオラクル攻撃を阻止する任務を果たせていると思いますか?セキュア・コード・ウォリアーのプラットフォームで試してみてください。
Padding Oracleは、オルタナティブ・ロック・バンドとしては非常に悪い名前のように聞こえますが、実際には攻撃者が暗号鍵を知らなくても情報を復号化するために悪用できる脆弱性です。
攻撃側の全体的な難易度という点では、これはスケールのトップに近いです。これは魔法の解読ボタンではなく、ハッカーが送られてきたセルパディングに関するエラーメッセージを調べ、それを使って暗号化されたデータがどこで終わり、パディングが始まるのかをハッカーが判断する手間のかかるプロセスです。その後、十分な時間と情報を調べることができれば、暗号化内のさまざまなビットを把握し、解読できる可能性があります。
ありがたいことに、攻撃者がパディングオラクルを使用して暗号化されたデータを解読できないようにする、比較的簡単な手順がいくつかあります。このエピソードでは、次のことを学びます。
- 仕組み
- この脆弱性がなぜそれほど危険なのか
- それを防ぐための防御策を講じる方法。
パディングオラクルの仕組み
Cipher Blockchaining (CBC) は、データベース内に格納されているセルなどの一連の情報を、情報チェーン全体に適用される暗号化キーを使用して暗号化するブロック暗号を作成する方法です。CBC を使用する場合、1 つの暗号文ブロックの暗号化は、それ以降のすべてのブロックによって決まります。理論的には、これによって暗号化が非常に強力になります。ブロックを並べ替えたとしても、データが破損するからです。
CBC暗号(さらに言えばどんなブロック暗号)の問題は、正確なサイズのブロックを使用してのみ暗号化できることです。通常、これは 8 バイトまたは 16 バイトのサイズで行われます。では、CBC が 2 バイトのデータを 16 バイトの暗号文単位に収める必要がある場合はどうなるのでしょうか。パディング (基本的には意味のない文字) を使用してギャップを埋め、ユニットを適切なサイズにします。
ほとんどのパディングスキームはよく知られており、PKCS #7 が最も人気があるため、攻撃者はどのようなパディングが使用されているかを知っている可能性があります。たとえば、CBC が 1 つのブロックに 5 文字をパディングする必要がある場合、PKCS #7 はプレーンテキストの後に 5 回繰り返されるバイト値 0x05 を使用します。
攻撃者は、CBCとパディングスキームの両方に関する知識を利用して、オラクルとも呼ばれるホストサーバーにクエリを送信します。適切なツールにアクセスできれば、クエリのパディングが正しくないかどうかをサーバーに強制的に通知できる可能性があります。これを実現すれば、パディングが正しいとサーバーから通知されるまで、暗号のバイトごとに 0 から 255 までサイクルできます。その後、次の単元に進み、処理を繰り返して、どの場合でもパディングがどこから始まるかを記録します。
これでは、メッセージやセルを解読することはできませんが、チェーン内のすべてのリンクを、プレーンテキストの終了位置とパディングの開始位置の観点からマッピングできます。また、XOR 計算を使って元のプレーンテキストの最後のバイトの値を算出できる可能性もあります。
パディングオラクルはなぜそんなに危険なのですか?
ハッカーが暗号化の解読に多大な労力を費やす理由は、潜在的な報酬のためです。価値のないものを暗号化する人はほとんどいません。ホスト組織への危険は、侵害されるデータによって異なります。これには、パスワード、ユーザーアカウント、財務情報、クレジットカード番号、患者の記録、機密通信など、非常に求められていて貴重な情報が多数含まれる可能性があります。
パディングオラクルを使用すると、その後の攻撃へのゲートウェイになる可能性もあります。たとえば、攻撃者がパディングオラクルを使用してパスワードを盗むことができる場合、権限を昇格させてネットワークの奥深くまで侵入することは、簡単に二次的な作業になります。
暗号化はスヌーピングやセキュリティ侵害に対する究極の防御手段だと、誰もが考えています。しかし、暗号化科学とそれを破る科学との間には、何世紀にもわたって行われてきました。パディングオラクルは、攻撃者に優位性を与える方法の 1 つにすぎません。
パディングオラクル攻撃にハードランディングを与える
ありがたいことに、パディングオラクルを防ぐ方法はたくさんあります。最善の方法の 1 つは、ガロア/カウンタモード (GCM) やオフセットコードブックモード (OCB) など、より強力な暗号化モードの操作を使用することです。CBC とは異なり、128 ビットの暗号ブロックサイズを使用します。また、データの各ブロックにカウンタを使用し、その数値を使用して暗号文を作成します。つまり、パディングオラクル攻撃の影響を受けにくいということです。
適切なエラー処理制御を実装すると、攻撃者が成功する可能性が大幅に低下する可能性もあります。パディングオラクル攻撃は情報漏洩に依存しているため、暗号化/復号化が失敗すると、特定のパディングエラーではなく一般的なエラーメッセージが返されます。
メッセージ認証コード (MAC) を実装することもできます。MAC 値は、検証者が秘密鍵を使用してメッセージコンテンツの変更を検出できるようにすることで、データの整合性と信頼性を保護します。
最後に、すべてのパディングオラクル攻撃には繰り返しクエリが必要です。1 つのセルでパディングスキームの解明を求めるリクエストが 200 件以上行われる場合があり、その数に、チェーン内で保護されている情報の単位数を掛ける必要があります。同じソースからのリクエスト数を制限することで、攻撃者が実際に攻撃を開始する前にアクセスを拒否することで、パディングオラクル攻撃を阻止できます。
パディングオラクルに関するさらなる研究
攻撃者が機密情報を復号化する方法はどれも、現実の悪夢になりかねません。しかし、そもそもそれを防ぐための良い方法をたくさん学んでいただければ幸いです。
詳細については、OWASPをご覧ください 定義とチェックリスト パディングオラクルについてまた、新しく身につけた防御知識を、次のもので試すこともできます。 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
今、パディングオラクル攻撃を阻止する任務を果たせていると思いますか?セキュア・コード・ウォリアーのプラットフォームで試してみてください。
Padding Oracleは、オルタナティブ・ロック・バンドとしては非常に悪い名前のように聞こえますが、実際には攻撃者が暗号鍵を知らなくても情報を復号化するために悪用できる脆弱性です。
攻撃側の全体的な難易度という点では、これはスケールのトップに近いです。これは魔法の解読ボタンではなく、ハッカーが送られてきたセルパディングに関するエラーメッセージを調べ、それを使って暗号化されたデータがどこで終わり、パディングが始まるのかをハッカーが判断する手間のかかるプロセスです。その後、十分な時間と情報を調べることができれば、暗号化内のさまざまなビットを把握し、解読できる可能性があります。
ありがたいことに、攻撃者がパディングオラクルを使用して暗号化されたデータを解読できないようにする、比較的簡単な手順がいくつかあります。このエピソードでは、次のことを学びます。
- 仕組み
- この脆弱性がなぜそれほど危険なのか
- それを防ぐための防御策を講じる方法。
パディングオラクルの仕組み
Cipher Blockchaining (CBC) は、データベース内に格納されているセルなどの一連の情報を、情報チェーン全体に適用される暗号化キーを使用して暗号化するブロック暗号を作成する方法です。CBC を使用する場合、1 つの暗号文ブロックの暗号化は、それ以降のすべてのブロックによって決まります。理論的には、これによって暗号化が非常に強力になります。ブロックを並べ替えたとしても、データが破損するからです。
CBC暗号(さらに言えばどんなブロック暗号)の問題は、正確なサイズのブロックを使用してのみ暗号化できることです。通常、これは 8 バイトまたは 16 バイトのサイズで行われます。では、CBC が 2 バイトのデータを 16 バイトの暗号文単位に収める必要がある場合はどうなるのでしょうか。パディング (基本的には意味のない文字) を使用してギャップを埋め、ユニットを適切なサイズにします。
ほとんどのパディングスキームはよく知られており、PKCS #7 が最も人気があるため、攻撃者はどのようなパディングが使用されているかを知っている可能性があります。たとえば、CBC が 1 つのブロックに 5 文字をパディングする必要がある場合、PKCS #7 はプレーンテキストの後に 5 回繰り返されるバイト値 0x05 を使用します。
攻撃者は、CBCとパディングスキームの両方に関する知識を利用して、オラクルとも呼ばれるホストサーバーにクエリを送信します。適切なツールにアクセスできれば、クエリのパディングが正しくないかどうかをサーバーに強制的に通知できる可能性があります。これを実現すれば、パディングが正しいとサーバーから通知されるまで、暗号のバイトごとに 0 から 255 までサイクルできます。その後、次の単元に進み、処理を繰り返して、どの場合でもパディングがどこから始まるかを記録します。
これでは、メッセージやセルを解読することはできませんが、チェーン内のすべてのリンクを、プレーンテキストの終了位置とパディングの開始位置の観点からマッピングできます。また、XOR 計算を使って元のプレーンテキストの最後のバイトの値を算出できる可能性もあります。
パディングオラクルはなぜそんなに危険なのですか?
ハッカーが暗号化の解読に多大な労力を費やす理由は、潜在的な報酬のためです。価値のないものを暗号化する人はほとんどいません。ホスト組織への危険は、侵害されるデータによって異なります。これには、パスワード、ユーザーアカウント、財務情報、クレジットカード番号、患者の記録、機密通信など、非常に求められていて貴重な情報が多数含まれる可能性があります。
パディングオラクルを使用すると、その後の攻撃へのゲートウェイになる可能性もあります。たとえば、攻撃者がパディングオラクルを使用してパスワードを盗むことができる場合、権限を昇格させてネットワークの奥深くまで侵入することは、簡単に二次的な作業になります。
暗号化はスヌーピングやセキュリティ侵害に対する究極の防御手段だと、誰もが考えています。しかし、暗号化科学とそれを破る科学との間には、何世紀にもわたって行われてきました。パディングオラクルは、攻撃者に優位性を与える方法の 1 つにすぎません。
パディングオラクル攻撃にハードランディングを与える
ありがたいことに、パディングオラクルを防ぐ方法はたくさんあります。最善の方法の 1 つは、ガロア/カウンタモード (GCM) やオフセットコードブックモード (OCB) など、より強力な暗号化モードの操作を使用することです。CBC とは異なり、128 ビットの暗号ブロックサイズを使用します。また、データの各ブロックにカウンタを使用し、その数値を使用して暗号文を作成します。つまり、パディングオラクル攻撃の影響を受けにくいということです。
適切なエラー処理制御を実装すると、攻撃者が成功する可能性が大幅に低下する可能性もあります。パディングオラクル攻撃は情報漏洩に依存しているため、暗号化/復号化が失敗すると、特定のパディングエラーではなく一般的なエラーメッセージが返されます。
メッセージ認証コード (MAC) を実装することもできます。MAC 値は、検証者が秘密鍵を使用してメッセージコンテンツの変更を検出できるようにすることで、データの整合性と信頼性を保護します。
最後に、すべてのパディングオラクル攻撃には繰り返しクエリが必要です。1 つのセルでパディングスキームの解明を求めるリクエストが 200 件以上行われる場合があり、その数に、チェーン内で保護されている情報の単位数を掛ける必要があります。同じソースからのリクエスト数を制限することで、攻撃者が実際に攻撃を開始する前にアクセスを拒否することで、パディングオラクル攻撃を阻止できます。
パディングオラクルに関するさらなる研究
攻撃者が機密情報を復号化する方法はどれも、現実の悪夢になりかねません。しかし、そもそもそれを防ぐための良い方法をたくさん学んでいただければ幸いです。
詳細については、OWASPをご覧ください 定義とチェックリスト パディングオラクルについてまた、新しく身につけた防御知識を、次のもので試すこともできます。 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
今、パディングオラクル攻撃を阻止する任務を果たせていると思いますか?セキュア・コード・ウォリアーのプラットフォームで試してみてください。
Padding Oracleは、オルタナティブ・ロック・バンドとしては非常に悪い名前のように聞こえますが、実際には攻撃者が暗号鍵を知らなくても情報を復号化するために悪用できる脆弱性です。
攻撃側の全体的な難易度という点では、これはスケールのトップに近いです。これは魔法の解読ボタンではなく、ハッカーが送られてきたセルパディングに関するエラーメッセージを調べ、それを使って暗号化されたデータがどこで終わり、パディングが始まるのかをハッカーが判断する手間のかかるプロセスです。その後、十分な時間と情報を調べることができれば、暗号化内のさまざまなビットを把握し、解読できる可能性があります。
ありがたいことに、攻撃者がパディングオラクルを使用して暗号化されたデータを解読できないようにする、比較的簡単な手順がいくつかあります。このエピソードでは、次のことを学びます。
- 仕組み
- この脆弱性がなぜそれほど危険なのか
- それを防ぐための防御策を講じる方法。
パディングオラクルの仕組み
Cipher Blockchaining (CBC) は、データベース内に格納されているセルなどの一連の情報を、情報チェーン全体に適用される暗号化キーを使用して暗号化するブロック暗号を作成する方法です。CBC を使用する場合、1 つの暗号文ブロックの暗号化は、それ以降のすべてのブロックによって決まります。理論的には、これによって暗号化が非常に強力になります。ブロックを並べ替えたとしても、データが破損するからです。
CBC暗号(さらに言えばどんなブロック暗号)の問題は、正確なサイズのブロックを使用してのみ暗号化できることです。通常、これは 8 バイトまたは 16 バイトのサイズで行われます。では、CBC が 2 バイトのデータを 16 バイトの暗号文単位に収める必要がある場合はどうなるのでしょうか。パディング (基本的には意味のない文字) を使用してギャップを埋め、ユニットを適切なサイズにします。
ほとんどのパディングスキームはよく知られており、PKCS #7 が最も人気があるため、攻撃者はどのようなパディングが使用されているかを知っている可能性があります。たとえば、CBC が 1 つのブロックに 5 文字をパディングする必要がある場合、PKCS #7 はプレーンテキストの後に 5 回繰り返されるバイト値 0x05 を使用します。
攻撃者は、CBCとパディングスキームの両方に関する知識を利用して、オラクルとも呼ばれるホストサーバーにクエリを送信します。適切なツールにアクセスできれば、クエリのパディングが正しくないかどうかをサーバーに強制的に通知できる可能性があります。これを実現すれば、パディングが正しいとサーバーから通知されるまで、暗号のバイトごとに 0 から 255 までサイクルできます。その後、次の単元に進み、処理を繰り返して、どの場合でもパディングがどこから始まるかを記録します。
これでは、メッセージやセルを解読することはできませんが、チェーン内のすべてのリンクを、プレーンテキストの終了位置とパディングの開始位置の観点からマッピングできます。また、XOR 計算を使って元のプレーンテキストの最後のバイトの値を算出できる可能性もあります。
パディングオラクルはなぜそんなに危険なのですか?
ハッカーが暗号化の解読に多大な労力を費やす理由は、潜在的な報酬のためです。価値のないものを暗号化する人はほとんどいません。ホスト組織への危険は、侵害されるデータによって異なります。これには、パスワード、ユーザーアカウント、財務情報、クレジットカード番号、患者の記録、機密通信など、非常に求められていて貴重な情報が多数含まれる可能性があります。
パディングオラクルを使用すると、その後の攻撃へのゲートウェイになる可能性もあります。たとえば、攻撃者がパディングオラクルを使用してパスワードを盗むことができる場合、権限を昇格させてネットワークの奥深くまで侵入することは、簡単に二次的な作業になります。
暗号化はスヌーピングやセキュリティ侵害に対する究極の防御手段だと、誰もが考えています。しかし、暗号化科学とそれを破る科学との間には、何世紀にもわたって行われてきました。パディングオラクルは、攻撃者に優位性を与える方法の 1 つにすぎません。
パディングオラクル攻撃にハードランディングを与える
ありがたいことに、パディングオラクルを防ぐ方法はたくさんあります。最善の方法の 1 つは、ガロア/カウンタモード (GCM) やオフセットコードブックモード (OCB) など、より強力な暗号化モードの操作を使用することです。CBC とは異なり、128 ビットの暗号ブロックサイズを使用します。また、データの各ブロックにカウンタを使用し、その数値を使用して暗号文を作成します。つまり、パディングオラクル攻撃の影響を受けにくいということです。
適切なエラー処理制御を実装すると、攻撃者が成功する可能性が大幅に低下する可能性もあります。パディングオラクル攻撃は情報漏洩に依存しているため、暗号化/復号化が失敗すると、特定のパディングエラーではなく一般的なエラーメッセージが返されます。
メッセージ認証コード (MAC) を実装することもできます。MAC 値は、検証者が秘密鍵を使用してメッセージコンテンツの変更を検出できるようにすることで、データの整合性と信頼性を保護します。
最後に、すべてのパディングオラクル攻撃には繰り返しクエリが必要です。1 つのセルでパディングスキームの解明を求めるリクエストが 200 件以上行われる場合があり、その数に、チェーン内で保護されている情報の単位数を掛ける必要があります。同じソースからのリクエスト数を制限することで、攻撃者が実際に攻撃を開始する前にアクセスを拒否することで、パディングオラクル攻撃を阻止できます。
パディングオラクルに関するさらなる研究
攻撃者が機密情報を復号化する方法はどれも、現実の悪夢になりかねません。しかし、そもそもそれを防ぐための良い方法をたくさん学んでいただければ幸いです。
詳細については、OWASPをご覧ください 定義とチェックリスト パディングオラクルについてまた、新しく身につけた防御知識を、次のもので試すこともできます。 無料デモ サイバーセキュリティチームが究極のサイバー戦士になるためのトレーニングを行うSecure Code Warriorプラットフォームの。この脆弱性を打ち負かす方法や、その他の脅威を集めた不正行為のギャラリーについて詳しくは、 セキュア・コード・ウォリアーのブログ。
今、パディングオラクル攻撃を阻止する任務を果たせていると思いますか?セキュア・コード・ウォリアーのプラットフォームで試してみてください。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
