【基本情報技術者試験】サイバー攻撃

基本情報技術者試験

 ここでは基本情報技術者試験の情報セキュリティの分野であるサイバー攻撃について説明していきます。

用語

サイバー攻撃

 インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行う攻撃をサイバー攻撃といいます。不特定多数を無差別に攻撃するだけでなく、特定の組織を標的にする攻撃などもあり、攻撃手法も多岐にわたるためウイルス対策ソフトだけで防ぐことが難しくなっています。ここからはサイバー攻撃の攻撃手法である、標的型攻撃、パスワードクラック攻撃、サービスを妨害する攻撃、不正な命令による攻撃、なりすましによる攻撃、その他の攻撃について説明していきます。

標的型攻撃とパスワードクラック攻撃

標的型攻撃:SPAMメールなどのように無差別に攻撃するのではなく、特定の官公庁や企業などの標的を決めて行われる攻撃のことをいい、以下のようなものがあります。

  • APT(Advanced Persistent Threat):特定の組織を標的に複数の手法を組み合わせて気付かれないよう執拗に攻撃を繰り返す
  • 水飲み型攻撃:よく利用される企業などのWebサイトにウイルスを仕込み感染させる

パスワードクラック攻撃:パスワードを割り出し解析することをパスワードクラックといい、パスワードクラック攻撃には以下のようなものがあります。

  • 辞書攻撃:攻撃対象とする利用者IDを一つ定め、辞書にある単語やその組み合わせをパスワードとしてログインを試行する
  • ブルートフォース攻撃(総当たり攻撃):攻撃対象とする利用者IDを一つ定め、英字や数字、記号を組み合わせたパスワードを総当たりし、ログインを試行する。逆によく用いられるパスワードを一つ定め、文字を組み合わせた利用者IDを総当たりしてログインを試行するリバースブルートフォース攻撃(逆総当たり攻撃)というものもある
  • パスワードリスト攻撃:不正に取得した他サイトの利用者IDとパスワードの一覧表を用いてログインを試行する

 これらの攻撃の対策としてはパスワードの入力試行回数に制限をかけたり、複数のサイトで同一の利用者IDとパスワードを使いまわさないなどが挙げられます。

サービスを妨害する攻撃と不正な命令による攻撃

サービスを妨害する攻撃:特定のサーバなどに大量のパケットを送り付けることで想定以上の負荷を与え、サーバの機能を停止させる攻撃をDos攻撃(Denial of service attack)といいます。さらに複数のサーバなどから一斉に攻撃するのはDDos攻撃(Distributed Dos)といい、分散型Dos攻撃と訳されます。

 これらの攻撃の対策としては不正な通信を検知して管理者に通報するIDS(Intrusion Detection System:不正侵入検知システム)や検知だけでなく遮断まで行うIPS(Intrusion Prevention System:不正侵入防止システム)を導入することなどが挙げられます。

不正な命令による攻撃:Webサイトの入力領域などに不正な命令を注入することで管理者が意図していない動作を起こさせる攻撃であり、クロスサイトスクリプティングやSQLインジェクションなどがあります。

  • クロスサイトスクリプティング:攻撃者が用意した有害な文字列を利用者のWebブラウザを介して脆弱なWebサイトに送り込み、利用者のWebブラウザ上で実行させる攻撃
  • SQLインジェクション:脆弱性のあるWebアプリケーションの入力領域に攻撃者が悪意のある問い合わせや操作を行う命令文を注入することで、管理者の意図していないSQL文を実行させる攻撃

 これらの対策としては、有害な入力を無害化するサニタイジングやWAF(Web Application Firewall)などが挙げられます。サニタイジングでは、入力データにHTMLタグやデータベースの問い合わせの文字が含まれていたら、それぞれ特別な意味を持つ文字として解釈されない他の文字列に置き換えるエスケープ処理などが行われます。WAFは、Webアプリケーション専用のファイアウォールであり、ヘッダやデータの内容を見てアクセスを制御が行われます。

なりすましによる攻撃とその他の攻撃

なりすましによる攻撃:攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃であり、以下のようなものがあります。

  • セッションハイジャック:利用者がWebサイトなどにログインすると、セッションを識別するセッションIDがWebサーバから払い出されてログアウトするまで維持されるのだが、このセッションIDを攻撃者が窃取して正規の利用者になりすまして通信する
  • DNSキャッシュポイズニング:PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する
  • SEOポイズニング:検索サイトの順位付けアルゴリズムを悪用して悪意のあるWebサイトが検索結果の上位に表示されるようにする
  • IPスプーフィング:送信元IPアドレスを詐称して標的のネットワーク上のホストになりすまして接続する
  • Evil Twins攻撃:公衆無線LANで正規のアクセスポイントになりすまして、より強い電波で利用者を偽装のアクセスポイントに誘導する
  • ディレクトリトラバーサル:攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃

その他の攻撃:これまで紹介した攻撃に分類されない攻撃には以下のようなものがあります。

  • ドライブバイダウンロード:Webサイトを閲覧したとき、利用者の意図に関わらずPCにマルウェアをダウンロードさせて感染させる
  • フィッシング:実在する会社などを装って電子メールを送信し、偽のWebサイトに誘導することで個人情報をだまし取る
  • バッファオーバフロー攻撃:プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで想定外の動作をさせる
  • クリックジャッキング攻撃:罠サイトのコンテンツ上に著名なサイトのボタンを透明化して配置することで意図しない操作をさせる

攻撃の準備

 サイバー攻撃を行う前にする情報収集をフットプリンティングといいます。攻撃者は攻撃する前に、攻撃対象となるPCやサーバ、ネットワークについて念入りに下調べをします。フットプリンティングの一つにポートスキャンというものがあり、サーバなどのネットワーク機器に対して接続可能なサービスを探るために、解放されている攻撃できそうなサービスがあるかどうかを調査する行為のことをいいます。この行為が攻撃の予兆として行われるため、不要なポートを閉じるなどの対策をとることが大切になります。また、磁気ディスクなどのデータを複製やネットワーク、サーバの監視をすることで、コンピュータ犯罪の証拠となる電子データを集めて解析することをデジタルフォレンジクスといいます。

まとめ

 以上が基本情報技術者試験の情報セキュリティの分野であるサイバー攻撃について説明でした。身近なサイバー攻撃としてフィッシングやクリックジャッキング攻撃があり、実際に多くの人が被害を受けています。そのため、サイバー攻撃が身近に存在していることをしっかりと認識し、気を配りながら行動することが大切になってきます。

コメント

タイトルとURLをコピーしました