【応用情報】情報セキュリティの脅威と攻撃手法
IPスプーフィング |
IPアドレスを偽造して正規のユーザのふりをする攻撃 フィルタリングし、正規のユーザしか利用できないよ うに設定しても、この方法で突破されることがある |
ARPスプーフィング |
対するMACアドレスの不正な対応関係を作り出す |
バッファオーバフロー攻撃 |
バッファの許容範囲を超えるデータを送り付けて、意 図的にバッファをオーバーフローさせ悪意の行動をとる。 許容範囲を超えた大きなデータの書き込みを禁止する などの対策が必要 |
トラバーサル攻撃 |
とで公開していないディレクトリにアクセスする。ユー ザに入力させるパラメタのチェックなどにより対策する |
SQLインジェクション |
データベースをアクセスするプログラムと連動した Webページ上で、入力フィールドにSQL文の一部を入 力することにより、データベースの内容を不正に削除 したり、入手したりする攻撃方法。以下の対策がある ・サニタイジング:データベースへの問い合わせや操作に おいて特別な意味を持つ文字「'」や「;」を無効にする ・バインド機構:プレースホルダ(変数)を使用した をプレースフォルダに埋め込みSQL文を組み立てる機 という |
OSコマンドインジェクション |
Webページ上で入力した文字列がPerlのsystem関数や PHPのexec関数などに渡されることを利用し、不正に シェルスプリプトを実行させる |
フィッシング |
実際の企業を装ったメールやWebサイトでユーザを誘 い、個人情報などを不正に詐取する手法 |
DNSキャッシュポイズニング |
一時的に覚え込ませる攻撃。攻撃が成功すると、DNS サーバは覚えた偽の情報を提供してしまうため、利用者 は偽装されたWebサーバに誘導されてしまう。対策とし にディジタル署名を付加し正当性を確認するDNSSEC (DNS Security Extensions)や、DNS問合せのIDを攻 撃者に推測されないようランダムに変更するなどがある |
クロスサイトスクリプティング |
Webアプリケーションに用意された入力フィールドに、 入力データとして悪意のあるスクリプトを埋め込む |
SEOポイズニング |
キーワードで検索した結果の上位に、悪意のあるサイト を意図的に表示させ、誘導する手法。なお、SEO (Search Engine Optimization:検索エンジン最適化)と は、検索エンジンの結果一覧において自サイトがより上 位にランクされるようにWebページの記述内容を見直す などさまざまな試みを行うこと |
Dos攻撃 |
サービス妨害攻撃。1つひとつは正規のサービス要求で あるが、それを大量に繰り返すことによってサーバを過 負荷状態にし、正常なサービス提供を不可能にさせる |
DNS amp攻撃 |
分散型サービス妨害(Distributed Dos:DDoS)攻撃 問合せパケットを、DNSキャッシュポイズニング脆弱 何十倍も大きなサイズのDNS応答パケットを攻撃対象 に送らせる |
NTP増幅攻撃 |
インターネット上からの問い合わせが可能なNTPサーバ を踏み台とした攻撃。送信元を攻撃対象に偽装した monlist(状態確認)要求をNTPサーバに送り、NTPサー バから非常に大きなサイズの応答を攻撃対象に送らせる |
(スマーフ攻撃) |
攻撃対象に対して大量のICMPエコー応答パケットを送 り付ける攻撃。送信元IPアドレスを攻撃対象に偽装し たICMPエコー要求パケット(ping)を相手ネットワーク にブロードキャストし、このパケットを受け取った多 数のコンピュータが、一斉に攻撃対象へICMPエコー応 答パケットを送り付ける |
ICMP Flood攻撃 |
この攻撃ではボットなどを利用して、ICMPエコー要求 パケットを同時かつ大量に発生させる。Ping Flood攻 撃ともいう |
標的型攻撃 |
特定の組織や個人に対して行われる攻撃。なかでも、 標的に対してカスタマイズされた手段で、密かにかつ 執拗に行われる継続的な攻撃をAPT(Advanced Presistent Threats)という |
水飲み場型攻撃 |
標的が頻繁に利用するWebサイトに罠を仕掛けて、アク セスしたときだけ攻撃コードを実行させるといった攻撃 |
ダウングレード攻撃 |
信を確立するとき、その通信経路に介在し、脆弱性が 見つかっている弱い暗号スイート(鍵交換、署名、暗 号化、ハッシュ関数)の使用を強制することによって、 解読しやすい暗号化通信を行わせる |
中間攻撃 (Man-in-the-middle攻撃) |
通信者同士の間に勝手に、気付かれないように割り込 み、通信内容を盗み見たり、改ざんしたりした後、改 めて正しい通信相手に転送するバケツリレー型攻撃 |
リプレイ攻撃 |
通信データを盗聴することで得た認証情報を、そのま ま再利用して不正にログインする。対策としては、チ ャレンジレスポンス認証などが有効 |
MITB攻撃 |
攻撃対象の利用するコンピュータに侵入させたマル ウェアを利用して、Webブラウザからの通信を監視 し、通信内容を改ざんしたり、セッションを乗っ取る |
ドライブバイ ダウンロード攻撃 |
Webサイトを閲覧したとき、利用者が気付かないう ちに利用者のPCに不正プログラムを転送させる |
スパムメール |
不特定多数のユーザに電子メールを送る行為。ユー ザにとっては知らない相手から送られるメールであ るという点でウィルスの温床になる可能性があり、 また中継するメールサーバにも大きな負荷がかかる。 SPF、DKIMなどがある。OP25B(Outbound Port 25 Blocking)は、ISP管理下の動的IPアドレスを割り当て られたPCから、ISPのメールサーバを経由せずに直 接送信される、外部のメールサーバへのSMTP通信 (TCP25番ポート)を遮断する技術 |
ソーシャル エンジニアリング |
盗み聞き、盗み見、話術といった非電子的な方法に よって、機密情報を不正に入手する方法の総称。た とえば、システム管理者を装い利用者に問い合わせ てパスワードを取得するなど |
EDoS |
クラウドサービスにおける従量課金を利用した攻撃。 クラウド利用企業に経済的な損失を与えることを目 的に、リソースを大量消費させる |
パスワードリスト攻撃 |
インターネットサービスの利用者の多くが複数のサイ トで同一のIDとパスワードを使い回ししている状況に 目をつけた攻撃。どこかのWebサイトから流出した 利用者IDとパスワードのリストを用いて、他のWeb サイトに対してログインを試行する |
レインボーテーブル 攻撃 |
レインボーテーブルとは、よく使われる単語や記憶し やすい文字列、辞書に載っている単語など、パスワ ードとなりうる文字列のハッシュ値を事前に計算し、 それを効率的に管理する特殊なテーブル。攻撃者は、 これを用いてターゲットとなるパスワードのハッシ ュ値から本来のパスワードを効率よく見つけ出す |
サイドチャネル攻撃 |
暗号装置から得られる物理量(処理時間、消費電流、 電磁波など)やエラーメッセージから、機密情報を 取得する手法。その1つに、暗号化や複合の処理時間 から、用いられた鍵を推測するタイミング攻撃があ る。対策としては、暗号アルゴリズムに対策を施し、 暗号内容による処理時間の差異が出ないようにする |
RLTrap |
用してファイル名を偽装する不正プログラム。たと えば、ファイル名「cod.exe」の先頭文字「c」の前 .doc」に変わる |
エクスプロイトコード |
ソフトウェアやハードウェアの脆弱性の存在を検証 するためのプログラム。あるいは、その脆弱性を利 用するためにエクスプロイトコード等を悪用して作 成されたプログラム(攻撃コード) |