Go to Qiita Advent Calendar Top
LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@bonviveur1971(Tomo -Rom)

脆弱性攻撃 ~なんか理解しにくい情報処理安全確保支援士試験対策を「なんJ民」に聞いてみる

Last updated at Posted at 2025-08-14

おーい、お前ら!ワイが、脆弱性攻撃についてビシッと解説したるわ。
攻撃者がどうやって城(システム)を攻めてくるのか、その弱点(脆弱性)をどう見つけるのか、そしてどうやってそれを防ぐのか、分かりやすく教えてやるから、しっかり聞いとけや。

1. 脆弱性攻撃の基本概念

サイバー攻撃ってのは、野球で言うなら「相手の苦手なコースに投げる」みたいなもんや。脆弱性ってのは、その苦手なコース、つまりシステムの「アキレス腱」やと思っとけ。

脆弱性 (Vulnerability)

OSやソフト、ハードウェアにあるセキュリティ上の弱点のことや。この弱点があるせいで、攻撃者は簡単に侵入してきたり、情報を盗んだりできるんや。お前らのプライバシーを守るために、この弱点を放置したらあかんで。

ゼロデイ攻撃 (Zero-day Attack)

「誰も知らない弱点を突く、卑怯な攻撃」 や。
脆弱性が発見された瞬間から、対策パッチが出るまでの「0日目」に始まる攻撃や。開発者も知らないから、防ぎようがないんや。たとえるなら、誰も気づいてない城の隠し通路を、敵が先に発見して攻めてくるようなもんや。この攻撃を防ぐには、侵入される前提で、不審な動きをいち早く見つけるしかないんや。

Nデイ攻撃 (N-day Attack)

「パッチを当ててないアホを狙い撃つ攻撃」 や。
脆弱性の情報と対策パッチが公開されてから「N日後」に行われる攻撃や。攻撃者は、パッチが公開されたのに、まだ対策してないシステムを狙ってくる。パッチ当ててないってことは、「どうぞどうぞ、侵入してください」って看板を立ててるようなもんや。この被害は、パッチ適用をサボったお前らが悪いんやで。

2. 脆弱性の評価と管理

見つかった脆弱性に対して、どういう優先順位で対処するか、これを決めるのが大事や

CVSS (Common Vulnerability Scoring System)

「脆弱性の通知表」 や。
0.0~10.0のスコアで、脆弱性の深刻度を評価する国際的な基準や。

  • 10.0は「ヤバすぎワロタ…ワロタ…」レベル。
  • 0.0は「まぁ、気にすんな」レベル。

このスコアを使って、「CVSSが9.0以上の脆弱性は、即刻対応!」みたいにルールを決めれば、効率的に対処できるんや。

資産管理 (Asset Management)

「自分が何を守ってるか把握する」 のが基本中の基本や。
自社で使ってるPC、サーバー、ソフト、全部リストにして管理しとけ。どのシステムが一番大事か、何がなくなったら会社が潰れるか、それをちゃんと把握するんや。

パッチマネジメント (Patch Management)

「システムの健康診断と予防接種」 や。
パッチを計画的に適用するプロセスや。
1.情報収集 : どこに弱点があるか、情報集め。
2.優先順位付け : CVSSスコアと重要度で、どれからやるか決める。
3.テスト : 本番環境でいきなりやるとぶっ壊れるかもしれんから、テスト環境で試す。
4.適用 : 満を持して本番環境にパッチを適用。
5.検証 : ちゃんと適用されたか確認。
このサイクルをサボる奴は、Nデイ攻撃の餌食になるからな。

3. 具体的な攻撃手法と事例

脆弱性ってのは、具体的にどう悪用されるんや?

OSコマンドインジェクション (OS Command Injection)

「入力フォームからサーバーを操る、悪魔的な攻撃」 や。
Webサイトの入力フォームに、本来入力してはいけないOSのコマンド(&& cat /etc/passwdみたいなやつ)を打ち込んで、サーバーに勝手に実行させる攻撃や。これでユーザー情報とか盗み放題になる。昔、修正したはずの脆弱性でも、パッチを回避する手口が見つかることがあるから、油断大敵や。

4. RISS/CySA+としての視点

ワイらプロは、ただパッチを当てるだけじゃあかん。もっと広い視野でリスクを管理せなあかん。

  • 脆弱性情報の監視 : JVNとかNVDとか、脆弱性情報を常にチェックしとけ。いつ何が狙われるか分からんからな。
  • スキャン結果の分析 : 脆弱性スキャンを定期的に実行して、どこに弱点があるか確認する。ただCVSSスコアが高いからって、全部に飛びつくんじゃなく、インターネットに公開されてるシステムとか、攻撃コードが出回ってる脆弱性から優先的に対応するんや。
  • 仮想パッチの活用 : パッチを当てる時間がない、サポート切れのシステムがある、そういう場合はWAFとかで、一時的に攻撃を防ぐ「仮想パッチ」を使うんや。
  • インシデント検知と対応 : 脆弱性を突かれて侵入されたら、ログを分析して、不審な動きを見つける。攻撃の痕跡を追いかけて、被害範囲を特定する。ここがワイらの腕の見せ所や。

これで脆弱性攻撃についての理解は完璧やろ。攻撃者は常に新しい手口を考えてるから、ワイらも常に勉強して備えるんやで。試験、頑張ってこいよ!

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?