サイバー攻撃
インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃盗、データの改竄や破壊などのクラッキングを行うこと。
標的型攻撃
特定の官公庁や企業など、標的を決めて行われる攻撃。
APT攻撃 - 特定の組織を標的に、複数の手法を組み合わせ、執拗に攻撃を繰り返すこと。
水飲み場型攻撃 - よく利用される企業などのWebサイトにウイルスを仕込み感染させるもの。
パスワードクラック攻撃
パスワードを割り出し、解析すること。
辞書攻撃 - 利用者IDを一つ定め、辞書にある単語やその組合せをパスワードとして試行するもの。
ブルートフォース攻撃(総当たり攻撃) - 利用者IDを一つ定め、文字を組合せたパスワードを総当たりして試行するもの。逆に、パスワードを一つ定め、文字を組み合わせた利用者IDを総当たりして、ログインを試行することをリバースブルート攻撃(逆総当たり攻撃)
パスワードリスト攻撃 - 不正に取得した他サイトの利用者IDとパスワードの一覧表を用いてログインを試行するもの。
パスワードクラック対策
回数制限、使い回しを避ける等がある。
サービスを妨害する攻撃
Dos攻撃とは、特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃。また、これを複数のコンピュータから一斉に攻撃するのはDDos攻撃という。
Dos・DDos攻撃の対策
不正な通信を検知して管理者に通報するIDS、検知だけでなく遮断まで行うIPS
詳しくは↓
不正な命令による攻撃
クロスサイトスクリプティング
利用者の入力データをそのまま表示する脆弱なWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、利用者のブラウザで実行させる攻撃。
対策
有害な入力を無害化するサニタイジングをする。
その一つとして、エスケープ処理がある。
SQLインジェクション
攻撃者が、脆弱性のあるWebアプリケーションの入力領域に悪意のある間合せや操作を行う命令文を注入することで、管理者の意図していないSQL文を実行させる攻撃。
対策
有害な入力を無害化するサニタイジングをする。
WAFを導入する。これは、Webアプリケーション専用のファイアウォール。
なりすましによる攻撃
攻撃者が正規の利用者を装い、情報資産の窃盗や不正行為などを行う攻撃。
セッションハイジャック - セッションIDを窃盗してなりすます
DNSキャッシュポイズニング - DNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する。
SEOポイズニング - 検索結果の上位に表示にされるようにする
IPスプーフィング - 送信元IPアドレスを詐称する
Evil Twins攻撃 - 正規のアクセスポイントになりすます。
ディレクトリトラバーサル
攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃。
対策
上位ディレクトリを指定する文字(../)を含むときは受け付けないなど。
その他の攻撃
ドライブバイダウンロード - Webサイトを閲覧したとき、マルウェアをダウンロードさせる。
フィッシング - 企業になりすまし電子メールを送り、偽のWebサイトにアクセスさせ、個人情報を騙し取る。
バッファオーバフロー攻撃 - 入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせる。
クリックジャッキング攻撃 - 著名なサイトのボタンを透明化して配置し、意図しない操作をさせる。
Webビーコン
Webページなどに埋め込まれた小さな画像のこと。
攻撃の準備
攻撃対象に突いての情報収集をすることをフットプリンティングという。
その一つにポートスキャンがある。解放されている攻撃できそうなサービスがあるかを調査する行為のこと。
ディジタルフォレンジクス
コンピュータ犯罪の証拠となる電子データを集め、解析すること。