はじめに
前回に引き続き情報セキュリティマネジメントのサイバー攻撃について、アウトプットしたいと思います。
なりすまし
本人でないのに、本人のふりをすることです。実意社会では、顔や身分証明書で本人確認します。一方で、サイバー空間では本人確認がしにくいため、実社会に比べ、なりすましの危険性が高ります。
MITM・中間者攻撃
通信を行うに二者間に割り込んで、両者が交換する情報を自分のものとすり替えることによって、誰にも気付かれることなく盗聴することです。
MITB
情報端末に潜伏し、Webブラウザがオンラインバンキングに接続すると、Webブラウザの通信内容を盗聴・改ざんして、不正送金を行う攻撃です。
Evil Twin
公衆無線LANに、正規の無線LAN親機(アクセスポイント)になりすましした偽物を設置し、誤って接続した利用者との通信内容を盗聴する攻撃です。正規のアクセスポイントよりも強い電波を発信することで、その成功率を高めます。
踏み台
サイバー攻撃の攻撃者は、自身が犯人であることを隠すために、証拠を残さないように第三者を経由して攻撃を仕掛けます。踏み台とは、中継点となる第三者のことです。さらに、攻撃者が踏み台に指示を出し、踏み台を足掛かりに、さらにその踏み台が別の踏み台に指示して攻撃する踏み台の踏み台を使った攻撃もあります。
第三者中継
第三者のメールサーバを不正中継し、身元を偽ってメールを送信することです。
IPスプーフィング
自分のIPアドレスに偽装し、なりすましする攻撃です。IPアドレス偽装攻撃ともいいます。IPアドレスとは、なとネットワーク上の機器を識別するための番号です。
セッションハイジャック
Webサイト提供者とWeb閲覧者との間のセッションを、攻撃者が盗聴し、正規のWeb閲覧者になりすましして不正アクセスる攻撃です。
Web閲覧者がパスワードを使ってログインすると、Webサイト提供者は、Web閲覧者をセッションで識別します。
そのため、攻撃者はセッションさえ盗聴すれば、パスワードが不明でも正規のパスワードでログイン済みのWeb閲覧者になりすましできます。
セッションとは、ログイン情報のことです。Webサイト提供者とWeb閲覧者が、互いの通信であることを識別するための仕組みです。例えば、ショッピングカート内の表示する際、WebサイトがWeb閲覧者のセッションにある識別番号(セッションID)を確認して、どのWeb閲覧者からの通信が識別し、該当のWeb閲覧者カート内の商品を表示します。
セッション固定攻撃
Webサイト提供者とWeb閲覧者との間のセッションを、攻撃者が用意したセッションにすり替え、正規のWeb閲覧者になりすましいて不正アクセスする攻撃です。
ドメイン名ハイジャック
攻撃者が上位に位置するDNSサーバ(権威DNSサーバ)を改ざんし、偽の権威DNSサーバを参照させ、利用者がWebサイトを開く際、偽のWebdサイトに接続させることで、利用者をだます攻撃です。
リプレイ攻撃
攻撃者が、ネットワークを流れる正規の利用者のパスワードなど盗聴し、そのまま再利用(再生)して、正規利用者をだます攻撃です。
DoS攻撃
何度でも連続してサーバに通信を行い、サーバをパンク状態にしてサービスを停止させる攻撃です。
DDoS攻撃
1台が攻撃するDoS攻撃とは違って、複数台が攻撃するDoS攻撃です。
電子メール爆弾
嫌がらせ目的で、特定者に対して、大量のメールや、大サイズの添付ファイルのメールを送り付けることです。容量不足になったり、処理が追い付かなくなったりして、システムを停止させることがあります。名エアクメールが不特定多数にばらまくのに対して、電子メール爆弾は特定の対象を攻撃します。
Web攻撃
フィッシング
有名企業や金融機関などを装った偽のメールを送り付け、偽のWebサイトに誘導して、個人情報を入力させてだまし取る行為です。
ファーミング
フィッシングの発展版で、システム設定ファイルを改ざんし、Web閲覧者が正しいドメイン名を入力しても、偽のWebサイトに誘導する攻撃です。
ワンクリック詐欺
Webサイトの画面をクリックしただけ、料金を請求される手口です。出会い系サイトやアダルトサイトで多く、クリックすると、「ご入会ありがとうございます」などと表示され、さらにあたかも個人情報を取得済みであるかのような文言で支払いを迫ります。
しかし、Webブラウザで閲覧した場合、Webサイト側が分かるのは、Web閲覧者のネットワークに関する情報(IPアドレス・プロバイダー名・使用PC・仕様OS・Webブラウザのバージョン情報)に限られ、個人を特定できる情報はありません。
クリックジャッキング
Webサイト閲覧者を視覚的にだまして、一見正規に見えるWebページをクリックさせることで、実際にはWeb閲覧者が意図としない操作をさせる攻撃です。
Webページの透明度を変更する機能と、Webページを複数重ね合わせる機能を運用して実現します。例えば、SNSの個人情報の設定Webページをあえて透明表示し、その背景(ました)にWeb閲覧者をクリックさせるためのおとりのWebページを重ね合わせます。
Web閲覧者はおとりのページをクリックしたつもりでも、実は前面にある個人情報を設定するWebページをクリックしているため、意図せず個人情報を公開してしまいます。
その他の用語
覚えておくべきその他のWeb攻撃は、次のとおりです。
Webビーコン
Webサイトに埋め込んだ小さな画像を使って、Web閲覧者の情報を収集する仕組みです。
Web閲覧者の閲覧時刻・直前のWebページのURL・IPアドレス・プロバイダ名・クッキーなどを収集でき、Web広告業者がWeb閲覧者に最適で効果の高い広告を表示するために使うことがあります。また、HTMLメールの画像を表示する際にもWebビーコンが使われるため、多くにメールソフトでは、画像を表示されない初期設定になっています。
ドライブバイダウンロード
Webサイトを閲覧しただけで、マルウェアをWeb閲覧者のコンピュータにダウンロードさせる攻撃です。主に、WebブラウザやOSの脆弱性(セキュリティホール)が悪用されます。
スミッシング
携帯電は:スマートフォンのSMSを利用して、有名企業・金融機関を装ったメッセージを送り付け、フィッシングサイトに誘導する行為です。
SEOポイズニング
検索サイトの検索結果の上位に、マルウェアに感染させるWebサイトを表示させる行為です。
スクリプト攻撃
クロスサイトスクリプティング
Web閲覧者により入力された内容を画面表示するWebページで、攻撃者が入力内容に罠(スクリプト)を混ぜ込むことで、別のWebサイトを表示し、Web閲覧者に個人情報などを送らせてしまう攻撃です。
クロスサイトリクエストフォージェリ
攻撃者がWebサイトに罠を仕掛け、それをログイン中のWeb閲覧者に閲覧させて、別のWebサイトで、Web閲覧者を偽って、意図しない操作を行わせる攻撃です。
XSSとCSRFの違い
クロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSSRF)は、両方とも「クロスサイト」がつきますが、異なる点は、実行する場所です。
SQLインジェクション
データベースのデータを操作するWebサイトで、文字を巧みに入力して、データを盗み見・改ざんする攻撃です。
SQLとは、データベースを操作するための言語です。データを表示・削除・追加・変更できます。そのため、悪用されると、表示してはならないデータの表示・削除・追加・変更がされてしまいます。
OSコマンドインジェクッション
Webサイトの入力欄にOSの操作コマンドを埋め込んでWebサーバに送信し、Webサーバを不正に操作する攻撃です。OSの操作コマンドとは、例えば、Windowsではコマンドプロンプトなどで動く命令です。ファイルを削除・コピー、ファイルの書き換えなど、様々な操作が可能です。
ディレクトリリスティング
Webサーバ内の、ファイル一覧やディレクトリ(フォルダー)一覧表示する機能です。この機能を無効化しておかないと悪用され、攻撃者にファイルを盗まれる危険性があります。
ディレクトリトラバーサル
攻撃者が相対パス記法を悪用して、Webサイト内にある、インターネット上では非公開のファイルを観覧・削除・改ざんする攻撃です。
ディレクトリトラバーサル
攻撃者が相対パス記法を悪用して、Webサイト内にある、インターネット上では非公開のファイルを閲覧・削除・改ざんする攻撃です。
相対パス記法では、「../」が上位ディレクトリ(親ファルダー)へ移動することを意味します。これらを巧みに組み合わせて、本来はインターネット上に非公開のファイルを見つけ出し、閲覧・削除・改ざんします。
スクリプト攻撃への対策
スクリプト攻撃への主な対策は、次のとおりです。
エスケープ処理
WebブラウザからWebサイトへ送信する文字に含まれる特殊文字を、悪用されない形式に事前に変換する処理です。文字を無害化するサニタイジングの手段の一つです。
プレースホルダー
WebブラウザからWebサイトへ送信する文字を、後で埋め込むための仕組みです。送信文字に、悪意あるスクリプトが含まれていても、あくまでも埋め込むための文字だと解釈し、命令とは解釈しないため、誤って実行することがありません。
標的型攻撃
特定の組織に狙いを定めて行うサイバー攻撃の総称です。不特定を対象としたマルウェアとは対照的に、攻撃対象の脆弱性を事前に調べ上げたうえで、その脆弱性を突く攻撃を仕掛けて、秘密情報を奪い取ります。特徴は、次のとおりです。
・攻撃対象のために作られた、新種や亜種のマルウェアを使うため、ウイルス対策ソフトでは検知されにくい。
・攻撃対象が少数のため、発見が遅く、ウイルス対策ソフトのウイルス定義ファイルの対応が遅くなる。
標的型攻撃メール
標的となる組織に存在するメールアドレスに送り付けるメールです。内容を変えて、長期にわたって繰り返し送り続けます。メール受信者に不信感を抱かれないように、様々なだましのテクニックを駆使します。
迷惑メールと標的型攻撃メールとの違い
従来の迷惑メールと、標的型攻撃メールの違いは、次のとおりです。
| 迷惑メール | 標的型攻撃メール | |
|---|---|---|
| ターゲット | 不特定多数にばらまく | 特定の組織に絞る |
| メール送信者 | 知らない人 | 信頼できそうな組織や人物 |
| 話題 | 誰にでも関係ある話題 | 受信者に関係が深い話題 |
| ウイルス対策ソフト | 大半は検出できる。 多数に送られるため、発見が早く、 ウイルス対策ソフトのウイルス定義 ファイルが早期に対応するため。 |
ほとんど検出不可。 少数にしか送られないため、 発見が遅く、ウイルス対策 ソフトの対応が間に合わない。 |
やり取り型攻撃
辻褄の合う内容のメールをやり取りし、受信者を信頼させたうえで、マルウェアを添付したメールを送り付ける攻撃です。返信せざるをおえない、外部向け問い合わせ窓口のメールアドレスに対して、事前に「ここが問合せ先で問題ないか?」などの偵察メールがあったり、適切な内容を複数回返信したりして安心させたうえで、マルウェアを送り付けます。
APT
標的となる組織の脆弱性を突くため、事前に調査したうえで、複数の攻撃手段を組み合わせて作られたマルウェアで行う攻撃です。既存の攻撃手法の中から、システムへの侵入の目的とする共通攻撃部と、システムへの侵入後に特定のシステムを標的とする個別攻撃部を組み合わせて、マルウェアを作ります。
水飲み場型攻撃
標的となる組織が良く利用するWebサイト(水飲み場)にマルウェアを埋め込み、その組織が接続したときだけマルウェア感染させる攻撃です。特徴は、次のとおりです。
・IPアドレスなどから接続元を解析し、標的となる組織から接続されたときだけ、攻撃する。
・攻撃対象を、標的となる組織だけに限定することで、攻撃の発覚を遅らせ、攻撃の成功率を高める。
BEC
取引先になりすましして、偽のメールを送り付け、金銭をだまし取る詐欺に手口です。
標的型攻撃の対策
標的型攻撃への対策は、次のとおりです。
・不審なメールに気付いたら、組織内の情報集約窓口に速やかに報告する。
・類似の不振メールがほかに届いていないか調査する。
その他の攻撃手法
DNSキャッシュポイズニング
攻撃者がDNSサーバに偽の情報を覚えこませて、利用者がWebサイトを開く際、偽のWebサイトに接続させることで、利用者をだます攻撃です。
DNS(Domain Name System)サーバは、人間が分かりやすいドメイン名から、コンピュータが使用するIPアドレスへと変換します。これにより、人間は、覚えにくいIPアドレスを覚える必要がなくなり、比較的覚えやすいドメイン名でWebサイトを操作します。
DNSキャッシュポイズニングの攻撃例は、次のとおりです。
・正規のでメイン名を表示させたまま、利用者を悪意のあるWebサイトに誘導し、金銭を奪ったり、個人情報を漏洩させたりする。
迷惑メール
受け取る側の意思に関係なく、一方的に送り付ける電子メールです。スパムメールともいいます。手口は、次のとおりです。
・メールの添付ファイルにマルウェアを入れ込み、そのメールを開かせて、マルウェアに感染させる。
・メール本文中にあるリンクをクリックさせて、マルウェアを仕込んだWebサイトに誘導する。
ソーシャルエンジニアリング
技術を使わずに、人の心理的な好きや行動にミスに付け込んで、秘密情報を盗み出す方法です。人的脅威の一種で、例えば、パスワードを電話で言葉巧みに聞き出したり、肩越しに入力操作を見たり、ごみ箱をあさったりします。関連する用語は、次のとおりです。
ショルダーハッキング
肩越しに、PCの画面や入力作業をのぞき見することです。銀行のATN(現金自動預け払い機)にバックミラーが設置されているのは、ショルダーハッキング対策です。
スキャベンジング
ゴミ箱をあさり、パスワードのメモ書きや秘密情報が印刷された廃棄書類を盗み出す方法です。なお、企業のごみ置き場の廃棄書類を物色することが、企業から秘密情報を奪う常套手段ともいわれています。トラッシングともいいます。
サラミ法
気づかれないほどの少額を、大勢の人から奪う方法です。過去に実際に起きた事件の例は、次のとおりです。
・銀行預金の利息計算ソフトウェアで、開発者が1円未満を四捨五入でなく、あえて切り捨てて計算し、その差額を多数の銀行口座替から奪った。
・クレジットカード番号を不正に手に入れ、ごく少額ずつを大勢の人から奪った。総額では大金になるが、1人当たりではごく少額のため、攻撃されたことに誰も気付かなかった。
その他の用語
覚えておくべきそのほかの用語は、次のとおりです。
ファイル交換ソフトウェア
インターネット経由で、不特定多数の利用者間でファイルを交換できるソフトウェアです。安易に使用したことで、著作権侵害・マルウェア感染・組織の情報漏洩などの事象が発生します。
ゼロデイ攻撃
ソフトウェアにセキュリティホール(脆弱性)が発見された際、修正プログラムが提供されるより前に、そのセキュリティホールを悪用して行われる攻撃です。
バッファオーバーフロー
大量のデータをプログラムのバッファに送り込み、バッファ領域をあふれさせて、規定外の動作をさせる攻撃です。
バッファとは、データを一時的に蓄えておくメモリなどの領域です。
クリプトジャッキング
仮想通貨を得るために、他人のコンピュータを乗っ取り、仮想通貨の取引に必要となる計算処理を勝手に行う攻撃です。
その他の攻撃手法への対策
その他の攻撃手法の対策は、次のとおりです。
・DNSキャッシュポイズニングへの対策は、社内ネットワークからDNSサーバへの再帰的な問い合わせだけを許可するように設定する。
・迷惑メール・スパムメールへの対策は、添付ファイルやメッセージ本文を開かずに、メールを削除する。
・ソーシャルエンジニアリングへの対策は、不要なデータの持ち出しをしない。仮にどうしても持ち出す場合は、上司の許可を得る。持ち出し記録を残し、返却漏れを防いだり、持ち出しの後で追跡できるようにする。
・バッファオーバーフローへの対策は、バッファにデータを保存する際にデータサイズを常にチェックする。
終わりに
サイバー攻撃については以上となります。次回は暗号と認証について解説したいと思います。
エンジニアファーストの会社 株式会社CRE-CO 吉川 真史