「攻撃の種類」
①フィッシング
偽メールや、偽Webページを用いた詐欺行為のことです。不正なサイトへ誘導し、言葉巧みに金銭を搾取します。
②ビジネスメール詐欺
企業組織を狙って、業務に関連すると思われる内容の電子メールを送り付け、大規模な金銭取引(不正に金銭を振り込ませる)などの不正を行う攻撃のことです。取引先を装って、「監査中なので、今回に限っては、いつもとは異なることらの口座に振り込んでほしい」などという文面で、偽の口座に振り込ませたりします。
③ソーシャルエンジニアリング
上司や管理部門になりすまして、ユーザIDやパスワードをぱすわーどを窃取するといったように、「社会的」な手段を用いて、機密情報を盗み取る攻撃です。人間がセキュリティ上の弱点であることうまく利用したものです。
④サラミ法
大量のもの中から、わからないように少しずつ盗み取る攻撃です。よく話題になる例では、銀行口座の預金利息の端数を、特定の口座に振り込むようにして盗み取る攻撃があります。
⑤スキャベジング
ゴミ箱アサリのことを言います。実際にゴミ箱を漁って機密情報を盗むことのほか、コンピュータのメモリ中に残された機密情報を盗み取る攻撃もあります。
⑥ポートスキャン
全てのポートに対して、順番に接続を試みて、接続可能なポートがあるかどうかを調査することです。接続可能なポートがあれば、そのポートを対象に攻撃を開始します。ポートスキャンは直接的な攻撃ではありませんが、攻撃に至る事前著さであることが多いです。また、サーバのセキュリティチェックのために、自らでポートすっきゃんを背売る場合もあります。
⑦DoS(Denial of Service)
サービス不能攻撃とも言います。サーバに対して大量の要求を送ることで、サーバ本来の業務を妨害する攻撃です。電子メールを大量に送りつける爆弾や、頼みもしないDNS応答パケットを送りつけるDNSamp攻撃など、さまざまな攻撃があります。
ウイルスやポットを利用してさまざまなコンピュータから、特定のサイトに対してDoS攻撃を行うことを分散DoS(DDoS)攻撃と呼びます。
⑧バッファオーバフロー
不正動作を行うプログラムを紛れ込ませた巨大サイズのデータを入力します。すると、アプリケーションプログラムで用意した受信バッファから入力データが溢れ出て、アプリケーションプログラムの一部分を書き換えてしまいます。その結果、アプリケーションプログラムは異常動作を起こします。これに乗じて、送り込んだ不正プログラムを実行する攻撃です。攻撃が成功すると、不正侵入が可能になります。
⑨DNSキャッシュポイズニング
PCなどの端末が利用するDNSサーバをDNSキャッシュサーバといいます。DNSキャッシュサーバでは、調べたドメイン名とIPアドレスの対応を一定時間キャッシュに保管しておきます、。こうすることによって、次回からは、キャッシュから情報を取り出し、素早くIPアドレスを返答するのです。
DNSキャッシュポイズニングは、DNSキャッシュサーバに偽のドメイン情報(偽のIPアドレス)を保管させる攻撃です。この攻撃が成功すると、ブラウザに正しいドメイン名を入力したにもかかわらず、偽サイト(偽のウェブサーバ)に誘導さえっると言ったことが起きます。
10:SQLインジェクション
入力データとして、SQL文の一部を入れることで、本来のSQL分とは全く違った動作をするSQL文を生成させ、データベース女中のデータを盗み見たり、改ざん、消去する攻撃です。ウェブアプリケーションを対象にこの攻撃を行い、顧客情報が漏洩する事件が後を立ちません。
11:クロスサイトスクリプティング(XSS)
XSSは、掲示板サイトのように、記事の投稿を受け付けて投稿された記事を表示するサイト(標的サイト)を利用して行われます。標的サイトにJavaScoriptなどで書かれた不正プログラムを送信し、そのサイトに閲覧したユーザのブラウザ上で不正プログラムを実行させます。
XSSでは、第三者のサイト(標的サイト)用いて、攻撃対象のユーザを攻撃します。標的サイトには実害は出ていないことに注意してください。しかし、実害がないからと言って放置しておくと、「あのサイトは危ない」という噂が広まり、サイトの信頼が失墜します。標的サイトとして利用されないよ対策を講じておかなくてはなりません。
XSS対策としては、投稿内容をチェックし、JavaScriptプログラムなどが含まれていた場合は、プログラムとして実行できないように加工するという処理が有効です。これをサニタイジング処理と言います。