サイバー攻撃手法

トップページ ＞ 情報セキュリティマネジメントの基本 ＞ 情報セキュリティの基礎知識 ＞ サイバー攻撃手法

パスワードに関する攻撃

　パスワードを不正に取得してアクセスするための攻撃。
　別名、パスワードクラック。

 

• ブルートフォース攻撃…総当たり攻撃。適当な文字列で力任せにログインを試みる攻撃。
• 辞書攻撃…辞書に出てくる言葉を順に使用してログインを試みる攻撃
• スニッフィング…盗聴によってパスワードを知る方法。
• リプレイ攻撃…パスワードなどの認証情報のパケットを取得し、それを再送信することでそのユーザになりすます攻撃。暗号化されていても可能。
• パスワードリスト攻撃…他のサイトで取得したパスワードのリストを利用して不正ログインを試みる攻撃。
• レインボー攻撃…あらかじめパスワードとなりうる適当な文字列のハッシュ値を計算したテーブル(レインボーテーブル)を用意。ターゲットとなるパスワードのハッシュ値と比較し、本来のパスワードを推察し不正ログインを行う攻撃。

 

マルウェアをインストールする攻撃

　マルウェアは悪意のあるソフトの総称。ウイルスもマルウェア。主なマルウェアには次のようなものがある。

 

• rootkit…不正侵入を成功した後に、その痕跡を分かりにくくするためのソフトウェアのパッケージ。
• バックドア…正規の手続き(ログインなど)を行わずに利用できる通信経路。
• キーロガー…キーボードの入力を監視記録。利用者の入力情報を盗むことが可能。
• ウイルス…自己伝染機能、潜伏機能、発病機能がある悪意のあるソフトウェア。
• トロイの木馬…悪意のないプログラムと見せかけて不正な動きをするソフトウェア。自己伝染機能はない。
• ランサムウェア…システムへのアクセスを制限。制限を解除するための代金を要求するソフトウェア。ランサムの意味は身代金。
• アドウェア…広告を目的とした無料のソフトウェア。通常は無害。ユーザに気づかれないように情報を収集する悪意のあるマルウェアも。

 

DoS攻撃

　DoS…Denial of Service(サービス不能攻撃)
　サーバなどのネットワーク機器に大量のパケットを送るなどしてサービスの提供を不能にする攻撃。

 

　DDoS…Distributed DoS
　踏み台と呼ばれる複数のコンピュータから一斉に攻撃を行う。

 

バッファオーバーフロー攻撃

　バッファオーバーフロー攻撃…BOF
　バッファ(一時的に記憶しておくメモリ領域)の長さを超えるデータを送り、バッファの後ろにある領域を破壊し動作不能にし、プログラムを上書きする。
　対策…文字列長をチェックする。C言語やC++言語などを使わない。

 

SQLインジェクション

　不正なSQLを入力し、データにアクセスしたり、更新・削除したりする攻撃。
　シングルクォーテーションを使うことで意図しない操作を実行できてしまう。
　対策…制御文字を置き換えるエスケープ処理。事前にSQL文を組み立てておくバインド機構。

 

クロスサイトスクリプティング攻撃

　略称：XSS(cross site scripting)
　悪意のあるスクリプトを、サイトに埋め込む攻撃。
　悪意のある人が用意したサイトにアクセスすると、ブラウザを経由して、脆弱性のあるサイトにスクリプトが埋め込まれる。
　そのスクリプトを利用者が実行すると、cookie漏洩などの被害が発生する。
　対策…スクリプトを実行させなくするために、制御文字のエスケープ処理をする。

 

クロスサイトリクエストフォージェリ攻撃

　略称：CSRF(cross site request forgeries)
　Webサイトにログイン中のユーザのスクリプトを操って、Webサイトに被害を与える攻撃。
　XSSはクライアント上でスクリプトを実行。CSRFはサーバー上に不正な書き込みなどを行う。

 

ディレクトリトラバーサル

　Webサイトのパス名に上位のディレクトリを指す記号(../や..\)を入れることで、公開されていないファイルを指定する攻撃。
　ファイル内情報の漏洩、設定ファイルの改ざんなどをされるおそれがある。
　対策…パス名を直接していさせない。アクセス権を必要最小限にする。

 

セッションハイジャック

　別のユーザのセッションIDを不正に利用し、そのユーザになりすましてアクセスする攻撃。
　対策…セッションIDを推測されにくくする。経路を暗号化する。

 

OSコマンドインジェクション

　OSに対して、OSコマンドを受け取らせて実行させる攻撃。
　WebサイトなどにOSコマンドが実行できるような脆弱性がある場合に狙われる。

 

第三者中継

　関係のない第三者に、サーバなどを中継に利用されること。踏み台にされるともいう。
　迷惑メール送信の中継地点などとしてメールサーバが利用されるなど。
　対策…第三者中継をサーバの設定で禁止する。メールサーバで認証を行う。

 

IPスプーフィング

　IPアドレスを偽装し、他のサーバになりすます攻撃。DoS攻撃やDNSキャッシュポイズニング攻撃などと合わせて、身元を隠すために行う。

 

DNSキャッシュポイズニング攻撃

　DNS(Domain Name System)…ホスト名やドメイン名とIPアドレスを変換する名前解決のプロトコル。

 

　DNSサーバのキャッシュに不正な情報を注入することで、不正なサイトへのアクセスを誘導する攻撃。
　対策…DNSサーバをキャッシュサーバとコンテンツサーバに分け、キャッシュサーバでは外部からのアクセスを受け付けないようにする。

 

DNSリフレクタ攻撃(DNS amp攻撃)

　DNSの応答を利用したDoS攻撃。
　IPスプーフィングを組み合わせて、DNSの応答が攻撃対象サーバに集中するようにする。

サイバー攻撃手法関連ページ

情報セキュリティとは？

情報セキュリティは、技術だけでは守れません。さまざまな要因が関係していきます。