Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@MetroOsamu

【応用情報技術者試験】セキュリティ攻撃の事例集

Last updated at Posted at 2024-11-13

概要

応用情報技術者試験に出題されうるセキュリティ攻撃について、イメージが湧きやすいよう実際の被害例をまとめてみました。

目次

Dos攻撃

1台のパソコンを使用して攻撃対象のサーバーへ大量にアクセスし、サーバーを過負荷状態に追い込む攻撃です。1台しか使用しないため、攻撃対象へのアクセス数もDDos攻撃と比べて少なくなるほか、攻撃者も特定しやすくなります。
派生としてDDos攻撃、またDDos攻撃の一種として、リフレクション攻撃というものがあります。また、スマーフ攻撃もDos攻撃の一種です。

DDos攻撃

大量のコンピュータから特定のサーバーへ一斉にアクセスし、過負荷状態に追い込む攻撃です。Dos攻撃は1台のパソコンから行われますが、DDos攻撃は数万台や数千万台の大量の別のコンピュータを踏み台にし、そこからDos攻撃を行います。
リフレクション攻撃もDDos攻撃のひとつです。

リフレクション攻撃

Dos攻撃は古くからある手法で、徐々にサイバー攻撃の手法として広く認知されていき、対策も積極的に行われてきました。(C&Cサーバを停止させる、ボットネットのテイクダウン等)
そのため、従来と代わる手法として使用されるようになったのが「リフレクション攻撃」で、これは送信元のリクエストに対してすぐに返答する (リフレクション) を利用した攻撃です。
とあるサーバーに、偽装した送信元の情報 (攻撃対象のIPアドレス) を大量に送り付け、サーバーが返答として偽装されたIPアドレスのコンピュータ (攻撃対象のコンピュータ) に大量のパケットを送信する仕組みで攻撃します。
通常、踏み台となるサーバーが受け取ったパケットサイズより、攻撃対象に送るパケットサイズの方がはるかに大きくなるような手口になっています。
攻撃されたコンピュータは、受け取ったパケットの量が処理しきれないボリュームになると、停止に追い込まれてしまいます。

スマーフ攻撃

送信元のIPアドレスを偽装し、とあるネットワークアドレスに対してPINGを大量に送る手法です。PINGの返信は偽装されたIPアドレス (攻撃対象のコンピュータ) に送信され、ネットワーク不可が上昇します。
ネットワークアドレスに対してpingを送信するので、そのネットワークにあるすべてのコンピュータが応答するため、攻撃対象のコンピュータの負荷が上がります。

スマーフ攻撃を行う最初のプログラムはDan Moschukという人物が作成しましたが、そのときのプログラム名がsmurf.cだったため、smurf (スマーフ) 攻撃と呼ばれるようになりました。

被害例

  • 2010年3月1日の午後1時ごろから、韓国ドメイン (.kr) から2ちゃんねるへDos攻撃が発生し、通信障害となりサーバーがダウンしたそうです。
  • 2014年8月24日にSONYのPlayStation Network(PSN)およびSony Entertainment Network(SEN)がDDos攻撃を受け、接続障害が発生しました。攻撃は24日の18時ごろから発生し、25日15時ごろまで続き、この間はサービスを利用しにくい状態になっていたそうです。
  • 2015年11月、東京オリンピック・パラリンピックの大会組織委員会のホームページにDDos攻撃がありました。これによってホームページが12時間ほど閲覧不可になったらしいです。

SEOポイズニング

検索エンジンを悪用した手法です。不正なWebサイトを検索結果の上位に表示させ、アクセスしたユーザーに攻撃を行う手法です。
不正なコードを埋め込み、検索エンジンであるクローラーを欺いて上位に表示させる手法が用いられます。方法としては、以下のような手法があります。

キーワードスタッフィング

不正なWebサイトに大量のワードを埋め込み、検索エンジンに関連性が高いと判断させ、検索結果を上げる大量のキーワードを不自然に詰め込む手法です。これにより、検索エンジンから高い関連性があると判断され、検索結果での表示順位が上昇します。

クローキング型

クローラーとユーザーそれぞれで異なるコンテンツを表示する手法です。クローラーには通常のコンテンツをみせ、ユーザーには攻撃サイトへ誘導するコンテンツを表示します。

リダイレクト型

通常のWebサイトに不正なリダイレクトを埋め込む手法です。ユーザーがWebサイトを訪問すると、自動的に攻撃サイトにリダイレクトするようにします。元々検索順位が高いWebサイトが利用されやすいです。

コメントスパム型

ブログやフォーラムのコメント欄に、不正なサイトへのリンクを大量に投稿する手法です。これにより、検索順位の操作もできます。

被害例

  • 2010年1月、ハイチ大地震が発生した際、義援金の寄付を募るという口実で、実際に悪質なWebサイトに誘導するSEOポイズニングが多く発生しました。

  • 2020年から2021年ごろ、東京オリンピック関連のスポーツ中継の正規のサイトを改ざんした、偽のスポーツ中継サイトが出現しました。ユーザーがこのサイトにアクセスると、スポーツ中継視聴のためメールアドレス等の入力を促し、個人情報を盗むという手口でした。

  • 2022年10月、GoogleでJR東日本の「えきねっと」を検索すると、検索結果に偽のサイトが最上位に表示されていました。Googleの検索エンジンの仕組みを悪用し、検索結果の最上位に表示されていました。

参考:SEOポイズニングとは?被害の予防方法と検索エンジン悪用のスパム行為を解説

SQLインジェクション

アプリケーションのセキュリティ上の不備を利用して、アプリケーションが想定していないSQL文を実行させて、データベースを不正に操作する手法のことです。
データベースを操作できるので、個人情報の取得を狙った攻撃が多いです。

被害例

  • 2011年4月にSONYのPlayStation Network(PSN)がSQLインジェクション攻撃を受けました。これにより、PSN利用者の「氏名」や「住所」、「ID」「パスワード」「クレジットカード番号」「購入履歴」が流出したらしいです。SONYの発表によると「氏名」や「住所」は暗号化してなかったらしいのですが、「クレジットカード番号」は暗号化していたらしいです。
  • 2016年、日販アイ・ピー・エスのWebサーバーがSQLインジェクション攻撃を受け、会員の「ID」や「メールアドレス」のほか、30件ほど「クレジットカードの情報」も流出したらしいです。
  • 2019年、株式会社釣りビジョンがSQLインジェクション」による攻撃を受け、DBサーバーに保管していた顧客情報のデータが流出しました。

クロスサイトスクリプティング

Webサイトの脆弱性を悪用したサイバー攻撃の一つです。攻撃者は掲示板などWebサイトの訪問者に入力を許すページに罠を仕掛け、悪質なサイトへ誘導。そのサイトを閲覧すると悪意のあるコードが実行されます。

被害例

  • 2010年7月、youtubeにXSS (クロスサイトスクリプティング) 攻撃がありました。コメントシステムの某弱性を狙った攻撃で、youtubeのコメントが閲覧できないようになったり、デマの情報が記載されたポップアップが表示されるようになりました。
  • 2014年1月16日、大手出版社のKADOKAWAの自社Webサイトの一部がXSS攻撃を受けて改ざんされました。

クリックジャッキング

Webサイトに訪れたユーザーが意図しない操作をするよう誘導させる手法です。例えば、Webサイトでよく押されそうなボタンの上に透明なリンクやボタンを配置しておき、ユーザーを視覚的に騙してクリックさせるなどです。

  • 2011年の初旬、FaceBookで、ユーザーの関心を引く偽の懸賞や、偽のコンテストがFaceBookの「ウォール」に掲載されていました。これに興味をひかれたユーザーはクリックし画面の指示にしたがっていくことで、知らない間に他の友達に偽装投稿がシェアされて拡散されるようになりました。
    ※指示に従う過程で、「次へ」ボタン等の上にシェアするボタンをかぶせていたのかと想像します。(私の想像です)
    参考:クリックの前に注意!: Facebookに潜むクリックジャック攻撃

サイドチャネル攻撃

機器が発している暗号を解読して情報を読み取る攻撃で、機密情報を盗み出すために機器の動作や状態を観察したり、特殊な機器を用いて機器が発する信号を手がかりに情報を盗み出す方法です。

被害例

  • 2012年に、地上デジタル放送のテレビを見る際に使用する「B-CASカード」の改造版である「BLACKCASカード」が出回りました。「B-CAS」カードのICチップにある暗号を書き換えて、有料のチャンネルを登録なしで観られるようにしたものでした。
  • 2021年、Googleが2018年に販売した「Titan セキュリティ キー」が、サイドチャネル攻撃によって突破されました。
    これはセキュリティ調査機関のNinjaLabが行ったもので、この後はまだ某弱性が見つかっていない物理キーへの移行を促すメッセージを発信していました。

辞書攻撃、ブルートフォース攻撃、リスト型攻撃

辞書攻撃やブルートフォース攻撃、リスト攻撃は、主に不正ログインを行うために使用される攻撃です。

辞書攻撃

一般的な単語や人物名、それらを組み合わせた単語など、人間にとって意味のある言葉を候補として辞書に羅列しておいて、それを用いて不正ログインを試みる手法です。
よく言われる推測しやすいパスワードを設定しない、というのはますが、主にはこの辞書攻撃の対策になっています。

ブルートフォース攻撃

総当たり攻撃ともいいます。考えられる全てのパターンをひとつずつ試していく手法です。
例えば、数字3桁のダイアル鍵があるとします。ダイアル錠は通常0〜9の10通りの数値があります。そのため、ブルートフォース攻撃で1000通り (10^3) のパターンを試せば、1回は必ず開錠します。

余談:漫画「推しの子」のネタバレを含みます

漫画「推しの子」の初期のほうで、アクアがアイの携帯電話のパスワードを突破するため毎日数字を打ち込み、4年かけて4万5510通り目に突破したという話があります。
これもブルートフォース (攻撃?) と同じ手法です。

リスト型攻撃

不正に入手したアカウントとパスワードが記載されたリストをもとに、不正アクセスを試みる手法です。例えばSQLインジェクションでデータベースを操作してアカウントとパスワードを入手、それをもとにリスト型攻撃で不正ログインを行う、というような流れで行われます。

被害例

  • 2024年3月に、お茶の水女子大学の研究室で運用する計算用のサーバに対して海外からの不正ログインがあり、サイバー攻撃の踏み台とされていたとのことでした。このサーバーは学校外から「SSH」によるリモート接続が可能になっていて、サーバー構築時に作成していた「test」というユーザーに安易なパスワードが設定されていたため、不正アクセスに繋がってしまったといわれています。

  • 2024年5月に、タリーズコーヒーが運営している「タリーズオンラインストア」に不正アクセスがありました。この影響により、顧客の個人情報約92,000件や、そのなかのクレジットカード情報約50,000件が漏洩した可能性があるとのことでした。
    参考:【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告

ソーシャルエンジニアリング

人間の心理的な隙、行動ミスにつけ込み、秘密情報を入手する犯罪のことです。
詐欺メール (Business Email Compromise (BEC) ) やフィッシング詐欺もソーシャルエンジニアリングのひとつです。

Business Email Compromise

日本語では「ビジネスメール詐欺」と呼ばれます。
攻撃対象の企業の取引先を装ってメールを送信し、不正な送金を促したり、不正な請求書を送付したりする手法です。

フィッシング詐欺

偽のサイトに誘導し、IDやパスワードを入力させ盗む手法です。実際にある企業のサイトに巧妙に似せたフィッシングサイト (偽サイト) を作成し、盗む形が多くみられます。
この被害にあうと、金銭的な面の被害にあう可能性がとても高いです。

余談:私も実際にフィッシング詐欺にあいそうになりました

私もこの被害にあいそうになりました。
メールで「Amazonのクレジットカードの更新が定期的に必要なため、クレジットカード番号を入力して更新してください」という内容が届き、クレジットカード番号を入力して、送信してしまいそうになりました。
本当にAmazonの見た目にそっくりなフィッシングサイトだったのと、また丁度Amazonで物品を購入した直後だったので、その購入に伴うメールかと思ってしまいました。また少し別件で急いでいたので、あまり深く考えずに入力してしまいました。
入力して確定ボタンを押す前に少しおかしいと気づき、過去のメールを辿ってみると、Amazonで物品を購入する前も定期的に同じようなメールが届いていたことがわかり、フィッシング詐欺と思い入力を消去しました。
犯行者は無作為にフィッシングメールを送っていることが一般的で、落ち着いているときはフィッシングメールだとすぐにわかるかもしれません。ですがこのように、そのときの状況 (今回ならAmazonで購入後、また状況的に少し急いでいた) で、フィッシングされる (釣られる) 確率がぐんと上がると感じたので、本当に要注意です。

被害例

  • 2017年12月、JAL (日本航空) にて、正規の取引先を偽装したメールの指示に従ってしまい、不正口座にお金を送金してしまいました。
    このとき、類似のメールがスカイマークにも届いていたそうです。
  • 2018年4月、新潟県の病院の事務職員が、電話で医者を騙る人物に対し、病院に勤務中の研修医の個人情報を漏洩してしまいました。

Business Email Compromiseは、社内の内部情報をしっかり把握したうえで計画し、実行に移されることも多いのが注意点です。例えば機密情報や、取引相手しかしらない情報を持ったうえで計画をたててから、なりすましを行います。
なので、意外とすぐ検知するのは難しいらしいです。

バッファオーバーフロー

攻撃対象のコンピュータに、処理能力を超える大量のデータやコードを送ることで、メモリ領域のバッファの許容量を超えて、コンピュータを誤動作、クラッシュさせる手法です。
コンピュータでプログラムを実行するときは、メモリにバッファを確保しています。そのバッファに収まらないデータを書き込もうとした際にバッファオーバーフローが発生します。

  • 2000年1月24日、日本の科学技術庁 (後身は文部科学省) をはじめ、複数の中央官庁のWebサイトがバッファオーバーフロー攻撃を受け、サイトが改ざんされました。攻撃を受けた際は、サーバーの管理が不十分だったらしいです。この攻撃により、Webサイトの政府の情報が改ざんされ、日本人をののしり、ポルノサイトへ誘導する内容に変わっていたそうです。

  • 2015年、Facebookがバッファオーバーフロー攻撃や、その他Dos攻撃等を受け、サービスが停止しました。サービスが約30分ほど停止したそうです。

水飲み場攻撃

攻撃の対象者がよく利用するWebサイトを改ざんし、Webサイトに訪れるとマルウェアに感染するような仕組みの攻撃のことです。水飲み場に集まった草食動物を肉食動物が狙う様から名付けられました。

被害例

  • 2013年8月、日本のとあるニュースサイトに、攻撃コードをダウンロードさせるスクリプトが追加されました。この時は該当サイトを閲覧した全ての人に感染させるものではなく、閲覧したクライアントのIPアドレスをもとに、標的に該当するIPアドレスの範囲だったときのみ感染させる、というものでした。この時の標的は国の中央省庁等の約20ほどの組織だったらしいです。

  • 2017年2月、ポーランドの金融機関へマルウェア攻撃が発覚しました。このマルウェアは正規のWebサイトを改ざんして拡散されていました。
    マルウェアの名前は「RATANKBA (ラタンクバ)」で、イギリス、メキシコ、ウルグアイ、チリ等他の国の金融機関でも同様に「RATANKBA」の被害が発生しています。
    「RATANKBA」は大規模な水飲み場型攻撃の事例として有名です。

水飲み場攻撃かつ、感染対象を絞ると、悪意あるスクリプトを仕込んでから発覚までが知れ渡りにくいので要注意です。
※感染対象外の人は、いつも通りWebサイトを使用できるため。

おわりに

試験対策としてまとめていましたが、実際の例をみて自分も気を付けないとと気が引き締まりました。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?