[ITパスポート]攻撃手法の例と対策

パソコンとグラフ

今回はITパスポート攻撃手法について見ていきましょう。

くろん
くろん
感染していたPCも直したし、ウイルス対策を入れたからこれで安心にゃ
キュー
キュー
アンチウイルスソフトを入れただけではまだまだ安全とは言えんで

様々な攻撃手法

ウイルス以外にも攻撃者はあらゆる手段を用いてPCやスマホなどIT機器を扱う人に対して攻撃を仕掛けます。

動機としては個人情報の盗取や個人的な恨みによる営業妨害、愉快犯など多様ですが、明日は我が身、どこから攻撃されるかわからないので一通り攻撃方法を知ったうえで対策を立てておく必要があります。

試験で取り扱われる攻撃や、実際によく聞く攻撃手法を紹介していきます。

フィッシング

フィッシングは釣り上げると言う意味ですが、その名の通り、オイシイ情報やこのままではアブナイと思わせる虚偽の情報をもとにユーザを騙し個人情報を盗む一連の手法を指します。

例えば、「懸賞金に当たりました!本日中に以下のURLをクリックして入金先の口座を入力してください」「あなたのパスワードが流失しています、以下のURLから個人情報を入力して変更してください」と言ったようなものが該当します。

特に「警告!お使いのPCは・・・」などと表示されると慌ててクリックしてしまう方も多いですよね。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとはシステムを介さず、アナログ的に人間関係などを利用して攻撃する手法です。

例えば新入社員に対してその会社の役員を名乗る人から「出張中にPWを忘れてしまったから教えてくれ」などと言った攻撃はこれに該当します。

一時流行ったオレオレ詐欺もこの一種ですね。

キュー
キュー
なんで聞いてもらえんかったんやろ・・・
モナ
モナ
日頃の行いだニャ

標的型攻撃

ソーシャルエンジニアリングと同じように特定の人に心理的に人間関係を利用してくる手法として標的型攻撃もあります。

こちらは特定の取引先や関連企業を装って電子的に仕掛ける攻撃になります。

文面の例として「先日の会議資料を送付します。これを参考にされたうえで、次回会議資料の作成をお願いします」の様にタイムリーな内容を仕掛け、ファイルを開いたら不正なソフトウェアが実行される、と言った具合です。

モナ
モナ
前回紹介したマルウェアがこれで実行されることもあるニャ

SQLインジェクション

データベースの多くはSQLと呼ばれるデータベース言語を用いています。

Web画面の入力欄にこのSQL文の一部を入力することで、アプリケーション側が想定していない動作をしてしまうことがあり、それを狙っての攻撃です。

特に自社サイトでユーザ情報を管理している場合そこから個人情報の流失やデータの改ざん、消去を行われる危険性があります

対策としては入力フォームでは'(シングルクオーテーション)や"(ダブルクオーテーション)を無効化する処理を行う必要があり、これをサニタイジングまたはエスケープ処理と言います。

XSS(クロスサイトスクリプティング)

セキュリティ的に弱い点(脆弱性)があるWebサイトを攻撃者が改ざんすることで特殊なスクリプトを埋め込み、そのサイトを利用していた人の個人情報が盗まれることがあります。

これをクロスサイトスクリプティングと呼びます。

この攻撃はサイトの運営者ではない第三者によって行われており、サイト管理人も気づいていない可能性が非常に高いです。

また、普段から利用されているサイトであっても改ざんされている可能性もあるため、「いつも利用しているから」と気軽に利用しているといつの間にか・・・と言った可能性も十二分に考えられます。

DoS攻撃

大量のアクセスを行う事によって特定のサーバに負荷をかけて動作を妨げる攻撃をDoS攻撃(Denial of Service attack)と呼びます。

DoS攻撃を受けることでサーバから思うような処理が送られず、結果としてWebサイトが表示されない、提供したいサービスが提供できないと言った症状がおこり、結果として営業活動が出来ず機会損失につながることになります。

更に、多くの端末を用いて攻撃元を特定できないようにした上でDoS攻撃を行う事をDDoS攻撃と言います。

暗記事項

脆弱性・・・セキュリティ上の欠陥や弱点全般を指します。

クラッキング・・・コンピュータネットワークにつながれたシステムに不正に侵入したり破壊したりと言った不正利用の事を指します。

サイバー攻撃・・・IT機器を利用して国家や企業、団体に対して攻撃を仕掛けることで、大規模な物はサイバーテロと呼ばれます。

総当たり攻撃・・・別名ブルートフォースアタックとも呼ばれ、考えられる文字の組み合わせを全て試みてパスワードを突破しようとする手法です。

ゼロデイ攻撃・・・ソフトウェアの弱点が見つかった際に、それの修正パッチが配られる前に狙って攻撃する事を指します。

バッファオーバフロー・・・プログラムの入力用のデータ領域を超過するサイズのデータを埋め込むことで従来の動きと逸脱した動作をさせることです。

パスワードリスト攻撃・・・あらかじめ用意されているIDとPWをセットにしたリストをもとに不正ログインを試みる攻撃です。特に同じIDとPWを複数サイトで用いている場合、1ヵ所から流失してしまうと芋づる式に不正利用されるリスクがあります。

水飲み場攻撃・・・ユーザが普段利用するサイトを狙って改ざんしウイルスに感染させる手法です。XSSが無差別なのに対し、こちらは特定のユーザを狙っていることが多いです。

IPスプーフィング・・・攻撃者が身元を隠したり応答パケットを攻撃対象に送ったりするために、IPヘッダに含まれる送信元IPアドレスを偽装する方法です。

スポンサーリンク

認証技術・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

ログイン機能をもつWebサイトに対する,パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして,最も適切なものはどれか。
(H.31/春)

パスワードの盗聴総当たり攻撃
暗号化された通信でパスワードを送信する。シングルサインオンを利用する。
暗号化された通信でパスワードを送信する。パスワードの入力試行回数を制限する。
推測が難しい文字列をパスワードに設定する。シングルサインオンを利用する。
推測が難しい文字列をパスワードに設定する。パスワードの入力試行回数を制限する

ア 
イ 
ウ 
エ 

問2

情報セキュリティ上の脅威であるゼロデイ攻撃の手口を説明したものはどれか。(H.30/春)

ア 攻撃開始から24時間以内に,攻撃対象のシステムを停止させる。
イ 潜伏期間がないウイルスによって,感染させた直後に発症させる。
ウ ソフトウェアの脆弱性への対策が公開される前に,脆弱性を悪用する。
エ 話術や盗み聞きなどによって,他人から機密情報を直ちに入手する。

問3

脆弱性のあるIoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し,他の多数のIoT機器にマルウェア感染が拡大した。ある日のある時刻に,マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い,Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。(H.30/春)

ア DDoS攻撃
イ クロスサイトスクリプティング
ウ 辞書攻撃
エ ソーシャルエンジニアリング

解説(クリックで展開)

攻撃手法・まとめ

今回は攻撃手法について学習しました。

攻撃名を聞かれるものから、逆に具体的な内容や事例を問う問題も多いです。

カズ
カズ
このページで取り扱ってる攻撃も頻出な物ばかりだから名前はもちろん、内容や対処法も押さえておこう!

次回は実際に不正なアクセスをどのように対策するかについて学習します。

スポンサーリンク








↓↓↓コスパ最強!筆者イチオシの通信講座↓↓↓
オンライン資格講座 スタディング
詳細はコチラ