セキュリティの学習を深める中で、WEBサイトの脅威となるサイバー攻撃手法一覧についてまとめました。
| 攻撃手法 | 解説 |
|---|---|
| ゼロディ攻撃 | 対策方法が確立されていない脆弱性を公開することで、その脆弱性をついて攻撃されること。 |
| マルウェア | ウィルスやワームのような攻撃先に損害を与える悪意のあるソフトウェア 【主な種類】 ・コンピューターウィルス 他のプログラムに寄生することで、正常な動作を妨げるマルウェア。 ・ワーム システムやネットワークの速度遅延や、ファイルを削除するマルウェア。別のコンピュータへ侵入して感染を拡大させる特徴もある。 ・スパイウェア コンピューター使用者の情報を収集することを主な目的とするマルウェア ・キーロガー キーボードで入力された情報(ID PASSWORD)を取得するマルウェア ・バックドア 裏口からコンピューターに侵入し、いつでも侵入できるようにドアを開けておくマルウェア ・バンキングマルウェア ID、PASSWORD、決済用の秘密情報などのオンラインバンキングを利用するための情報を不正に持ち出す情報窃盗型のマルウェア ・ランサムウェア 感染させたコンピューターを人質に取ることで身代金を要求する悪質なマルウェア。手法として、感染させたコンピューターのデータを暗号化して読めなくするなど。 【接近手法】 ・Webブラウザでマルウェアをダウンロード ・実行させられる ・迷惑メールの添付ファイルにマルウェアが仕込まれている ・不正ログインによるマルウェアの実行 【対策】 ・不審な添付ファイルを安易に実行しない ・セキュリティソフトを有効にする(ウィルスバスターなど) ・パッチを適用してソフトウェアを最新化する |
| プラグイン | ソフトウェアの拡張を目的としたプログラム。 開発が止まっていたり、悪意のある開発者に変身していたりと、セキュリティ上の脆弱性が潜んでいるケースがある。 代表例) WordPressのプラグインやShopifyのアプリなど 【対策】 ・開発元の情報を確認して、更新されているプラグインかをチェックする |
| ブルートフォース攻撃 | 総当たり攻撃とも言われ、パスワードや暗号に対して全ての組み合わせを試行して強引に解読しようとする攻撃 【対策】 ・文字数や文字種を複雑に設定し、推測が難しいパスワードを設定する |
| DoS DDoS攻撃 | 攻撃対象となるWEBサイトに集中アクセス攻撃を仕掛けて、サーバーをダウンさせる攻撃手法。 攻撃者によって乗っ取られたゾンビPCやネットワーク機器が攻撃の手段として使用される。 C&Cサーバー(Command & Control) 端末をコントロールして命令を下すサーバー。 マルウェアに感染してbot化したゾンビPCとの通信を確立し、指定時間に一斉に命令を下すために使用される。 【対策】 ・攻撃元のIPアドレスを特定してアクセス遮断する ・海外からのアクセスを停止する ・負荷耐性の向上 ・IDS/IPSの導入 |
| 迷惑メール | 心当たりのない送信者から届く、不審なメール 【メールアドレスの流出経路】 ・自分のアドレスを知っている誰かの端末がマルウェアに感染 ・WEBページに掲載されているメールアドレスを機械的に収集し、総当たり攻撃を仕掛ける |
| 水飲み場型攻撃 | ユーザーがよく利用するサイトに絞って不正なプログラムを仕掛ける攻撃手法 WEBサイトの脆弱性を利用して内容を改竄するのが主な手口。 【攻撃の流れ】 ・ターゲットがよく閲覧しているWEBサイトを調査 ・脆弱性のあるWEBサイトを調査 ・侵入したサイトに悪意のあるプログラムを仕込む ・ユーザーは気づかないままマルウェアに感染する 【対策】 ・サイトの提供者がセキュリティを強化する ・ユーザーは端末やアプリをアップデートして最新の状態に保つ |
| 標的型攻撃 | 特定の企業や組織を対象にした攻撃。 情報窃盗の目的を達成するために、持続的かつ執拗に行われる。 感染したPCを起点に、その他のPCにも侵入することで、企業内部の機密情報などを盗み取る。 【手法】 ・ウィルスを添付した標的型メールを直接送りつける 【対策】 ・メールの確認を徹底し、気軽にファイルは開かない |
| 中間者攻撃 | 通信の中間で攻撃者が通信を傍受・盗聴して情報を盗み取る攻撃。 または通信内容を改ざんすることもできる。 【手法】 ・暗号化されていない無線LANの通信傍受 ・プロキシサーバーによる不正アクセス 【対策】 ・HTTPSの暗号化通信を利用する ・公衆WiFiを利用しない |
| バッファオーバーフロー | コンピューターが確保しているメモリ領域を越えたデータ(データ内に悪意のあるコードが含まれている)を送りつけ、プログラムの誤動作などを起こす攻撃。 【対策】 ・入力データのサイズチェック ・データ領域でのプログラムの実行を禁止する(ソースコード検査ツールを利用する) ・溢れを検出するデバッカを導入する |
| OSコマンドインジェクション | WindowsやLinusなどのOSのシェルを攻撃対象とする。 WEBアプリケーションの入力欄に、実行させるOSコマンドを入力し、シェルを不正に実行することで、ファイルの参照や編集、削除などの使用者が意図しない挙動を引き起こす。 【対策】 ・入力値のサニタイズ 、エスケープ処理 |
| SQLインジェクション | WEBアプリケーションの入力(input textarea)を悪用し、データベースに不正アクセスを仕掛ける攻撃。 【手法】 検索フォームなどにSQL文を入力して不正ログインする 【対策】 ・バインドパラメーターでSQL文を実行する ・記号文字のエスケープ処理 |
| クロスサイトスクリプティング(XSS) | 動的なWEBサイトの脆弱性を利用し、サイト内に罠を仕掛け、訪問者がその罠に引っかける攻撃手法。 不正なサイトでユーザー情報や決済情報を入力することにより、個人情報や機密情報を盗み取る。 |
| クロスサイトリクエストフォージェリ(CSRF) | 不正なサイトにアクセスしたユーザーがログイン中である場合、セッション情報を盗みとり、ユーザーになりすまして処理を実行する攻撃手法。 【被害】 ・SNSへの悪戯な書き込み ・強制的に登録情報が変更されたり、退会させられたりする 【ユーザー側の対策】 ・WEBサイトの利用後はログアウトする ・怪しいWEBサイトのリンクはクリックしない ・脆弱性のあるWEBサイトを使用しない 【管理者側の対策】 ・パスワードの再入力や2段階認証を設定する ・偽造された不正なリクエストを検出する仕組みをつくる |
| ドライブバイダウンロード | クロスサイトスクリプティングやSQLインジェクションの手法を用いてWEBサイトを改ざんし、改ざんされたユーザーのPCにマルウェアがインストールされる攻撃手法 【ドライブバイダウンロードの流れ】 ・不正なプログラムを設置してWEBサイトを改ざん ・ユーザーが改ざんされたサイトにアクセス ・マルウェアのインストール→感染 【対策】 ・WEBサイトの管理者が脆弱性対策を徹底する ・OSやアプリの脆弱性をなくしておく(ソフトウェアアップデートなど) |
WEBサイトの制作やシステムの開発を行う際に、セキュリティを考慮した実装を行います。
現在は実装手段としての知識はありますが、セキュリティそのものに関する理解が低い状態なので、詳しく学んで行こうと思います。
参考文献
・この一冊で全部わかるセキュリティの基本 – みやもと くにお・大久保 隆夫著
・株式会社セキュアオンライン運営ブログ https://cybersecurity-jp.com/
