攻撃手法
第11章 セキュリティ
攻撃手法
情報資産を脅かす攻撃手法は無数にある。攻撃手法を学ぶ目的は、情報セキュリティを向上させるために必要な対策を効果的に講じるためである。また、それだけでなくシステム開発や運用を進めるときに攻撃から守るための保護施策が漏れないようにするためである。
脅威の分類
情報資産の脅威となる攻撃手法は大きく以下に分類できる。情報資産の脅威は以下の3種類に分類することができる。
- 物理的脅威
- 技術的脅威
- 人的脅威
| 脅威 | 特徴 | 具体例 |
|---|---|---|
| 物理的脅威 | コンピュータやサーバなどの物理的な装置の破壊や故障により情報資産に被害を及ぼす | 天災、機器の故障、悪意のある人間の侵入 |
| 技術的脅威 | ソフトウェアなどの技術的な「目に見えない」方法で被害を及ぼす | 不正アクセス、コンピュータウイルス、改ざん、なりすまし |
| 人的脅威 | 意図的、非意図的にかかわらず、人為的な現により情報資産に被害を及ぼす | 詐欺行為、誤操作、ソーシャルエンジニアリング |
不正プログラム:コンピュータやユーザーに害を及ぼす悪意のあるプログラムのこと
マルウェア
悪意のある機能を備えたソフトウェアをマルウェアという。コンピュータやデータに弊害を与えるために作られたソフトウェアであり、様々な種類がある。
マルウェアを利用した攻撃手法が数多く検知されている。
代表的な攻撃手法
| 攻撃手法 | 特徴 |
|---|---|
| IPスプーフィング | IPアドレスを偽装して、別のIPアドレスになりすまして行う攻撃手法 |
| ARPスプーフィング | ARPの応答を偽装することによって、ネットワーク上の機器になりすまして行う攻撃手法 |
| ガンブラー | Webサーバに侵入し、Webページを改ざんする攻撃手法 |
| SQLインジェクション | 不当なSQL文が本来のプログラム内に注入して不正アクセスを可能にする攻撃手法 |
| フィッシング | ネットユーザーから価値のある情報を引き出す攻撃手法 |
| スミッシング | 携帯電話のSMSを使用して行われるフィッシングのこと |
| DNSキャッシュポイズニング | DNS情報の探索を行うキャッシュサーバに不正な手段で情報を与え、利用者からの問い合わせに答えさせる攻撃手法 |
| クロスサイトスクリプティング(XSS) | 攻撃対象のWebサイトに悪質なWebサイトURLを載せて誘導し、ユーザーの個人情報などを得る攻撃手法 |
| SEOポイズニング | 検索エンジンの上位にサイトを表示させて、不正に情報を入手しようとする攻撃手法 |
| DoS攻撃 | サーバに大量のデータを送りつけることで行うサイバー攻撃手法 |
| DDoS攻撃 | 攻撃手法はDoS攻撃と同じだが、DDoS攻撃では複数のPCから攻撃を仕掛ける。DoS攻撃よりも強力な攻撃手法 |
| Smurf攻撃 | ICMPパケットを大量にブロードキャスト方式で対象のコンピュータネットワークに送信する攻撃手法 |
| ソーシャルエンジニアリング | 人間のミスや、心理的な隙を狙って、情報を盗む攻撃手法 |
| パスワードリスト攻撃 | ログインIDとパスワードなど、ログインに必要な複数の情報を用いてログインを試みる攻撃手法 |
| レインボー攻撃 | ハッシュ値をもとに暗号化される前の平文を解読する攻撃手法 |
| ポートスキャン | 各種アプリケーションの通信時に使用するポートを不正に検索して、侵入を試みる攻撃手法。 |
| ビジネスメール詐欺(BEC) | ビジネス上の権威のある役職の人物や取引先になりすましてメールを送り、金銭をだまし取る詐欺手法のこと。Business Email Compromiseの略語で、BECと表現することもある。 |
| RAT | コンピュータからネットワークを介して遠隔地のコンピュータを操作するツールのこと。Remote Access Toolの略語。RATを利用した攻撃が増えている。 |
不正のメカニズム
アメリカの犯罪学者ドナルド・R・クレッシーは、不正行為が発生するときの3つの条件「機会」「動機」「正当性」の不正のトライアングルを提唱している
機会:不正行為ができる状況であること
動機:抱えている問題や叶えたい望みがあること
正当性:不正を正当な行為とみなせること
不正のトライアングルでは、3つの条件が揃ったとき、不正行為が発生するとしている。情報セキュリティの観点で防げる要素は機会と正当性である。特に機会を作らないようにしておくことで、情報セキュリティの攻撃に遭う確率を格段に減らすことができる。