LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@web_keigo(keigo)

[応用情報技術者試験]セキュリティ攻撃の種類

Posted at

はじめに

はじめまして、エンジニアのkeigoです!

本記事では、「応用情報技術者試験」合格のための学習のアウトプットを兼ねて、
分かりやすく整理して書いていこうと思います。

今回のテーマは「セキュリティ攻撃の種類について」です!

攻撃手法は数多くありますので、試験に出そうなところを説明していこうと思います!

では、一緒に頑張りまっしょい!

セキュリティ攻撃

バッファオーバーフロー

許容範囲を超えたデータを送り付けてオーバーフローさせて悪意の行動をとる手法。

スマーフ攻撃

偽装した送信元IPアドレスを使用し、送信元を攻撃対象にして複数のホストが大量のICMPエコー応答パケットを送り付ける手法。

ICMP Flood攻撃

ボットなどを使用して大量のICMPエコー要求パケットを送り付ける手法。

SQLインジェクション

入力フォームなどにSQLの一部を入力し送信することで、サーバでSQLが組み合わさることでDBの内容を不正に操作する手法。対策としてはエスケープ処理を行うサニタイジング(禁則文字の置き換え)やプレースホルダを使用したプリペアドステートメントを準備して実行するときに入力値を埋め込んでSQLを完成させる方法がある。

クロスサイトスクリプティング

攻撃者が用意したスクリプトを閲覧者のブラウザを介してwebサイトに追い送り閲覧者のブラウザ上で実行する手法。主にサイトの入力フォームに仕掛けられ、送信した際に悪意のスクリプトが実行されるもの。

クロスサイトリクエストフォージェリ

通常のアプリケーションにわなサイトのリンクを張るなどし、罠サイトに遷移させる。そのサイトでクリックなどのアクションをしたときに通常のサイトの設定を変更されたりなりすまし投稿をされたりする。

クリックジャッキング

iframeなどを使用して、サイトのボタンやリンクの上に透明な偽のページを重ねておき、場単やリンクをクリックしたときに重ねられた偽のボタンやリンクをクリックさせる手法。偽の悪意のあるサイトに遷移させる。

クリプトジャッキング

マルウェアに感染させて、PCのCPU資源を不正利用する。

標的型攻撃

特定の組織や個人に対して行われる攻撃。中でも、密かにかつ執拗に行われる継続的な攻撃を**APT(Advanced Persistent Threat)**という。

水飲み場攻撃

標的が頻繁に利用しているサイトに対して罠を仕掛けて、アクセスしたときだけ攻撃コードを実行する。

中間者攻撃

通信者同士の間に気づかれないように割り込み、通信内容を盗み見たり、改ざんしたりしたのちに正規の相手に転送する手口。

IPスプーフィング

IPアドレスを偽造して正規ユーザーのふりをする攻撃。

リフレクション攻撃

リフレクタという反射的に応答するサーバーを踏み台にした分散反射型Dos攻撃。代表的なものにDNSリフレクション攻撃がある。

Dos攻撃

サーバーやWebサーバーに対して大量のアクセスやデータを送り付けることで負荷をかける攻撃。

DNSキャッシュポイズニング

DNSキャッシュ機能を利用して偽のドメインを記憶させる。利用者は偽のドメインを使用して偽のサイトに誘導される。対策としてはDNSSEC(DNS問い合わせにデジタル署名を付加して正当性を確認)がある。

SEOポイズニング

検索結果の上位に悪意のあるサイトを意図的に表示させ誘導する。

スミッシング

SMSを使用してフィッシングサイトに誘導。これはよく来ますね!アマゾン風や郵便風などありますね。

フィッシング

実際ある企業の名前を偽ったりして偽サイトに誘導し、個人情報を盗み取る。

ディレクトリトラバーサル

相対パスなどでディレクトリを横断し非公開のディレクトリにアクセスする。

リプレイ攻撃

通信データを盗聴して取得した認証情報をそのまま再利用して不正にログインする。
対策としては、チャレンジレスポンス認証がある。

チャレンジレスポンス認証

サーバーでチャレンジといわれるキーワードを作成し送り、そのチャレンジとパスワードを合体して 返すことで認証する。

ドライブバイダウンロード

Webサイトを閲覧したときに利用者が気付かないうちに不正プログラムを転送させる攻撃。

ソーシャルエンジニアリング

盗み見、盗み聞き、ゴミ箱を漁るなどして機密情報を盗む方法。

サイドチャネル攻撃

半導体機器から得られる物理情報(処理時間、消費電力、電磁波など)から暗号鍵を推測し機密情報を取得する。

おわりに

今回は、セキュリティ攻撃の種類について確認していきました。
簡潔に攻撃手法について説明してきましたが、実際はもっとたくさんの攻撃手法があり、簡単に防げるものではありません。
応用情報を受ける皆さんは、ITサービスに関わる人が多いと思いますので、セキュリティに関する知識は必須の内容となりますので、その入り口として覚えていただけたらと思います!

明らかな誤りがありましたら、ご連絡いただけたらありがたいです。

では、応用情報技術者試験の学習、引き続き頑張りましょう!

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?