こんにちは。
応用情報技術者を勉強しているロペです。
この記事では、第7章のセキュリティの中のサーバー攻撃の種類について書きます。
コンピュータを利用するならば、色々なサーバー攻撃の種類は知っておく必要があるかと
面白かったり、ためになったりすることに絞って書きますので、あしからず。
情報セキュリティの概要
ネットワークを利用して情報交換するときは、情報漏洩やなりすまし、クレジットカード番号の抜き取りなど、セキュリティを保護することがとても大切になっています
応用情報技術者の7章では、そんなセキュリティについて学習します。
そして、この記事ではサーバ―攻撃の種類がメインになります。
では、早速書いていきます。
サイバー攻撃手法
マルウェア
コンピュータウィルス、ワーム、スパイウェアなど、悪意をもったソフトウェアの総称です。
サイバー攻撃
システムやネットワークに不正に侵入して、データの破壊や搾取、改ざんなどを行ったり、使用不能にする攻撃の総称です。
辞書攻撃
辞書に掲載されている言葉や人名など組み合わせてパスワードを盗む攻撃のことです。
ランダムにパスワードを設定している場合は盗まれることはない。
ブルートフォース攻撃
ブルートフォース攻撃(総当たり攻撃)は、文字の組み合わせを全て試してパスワードを盗む攻撃です。定期的にパスワードを変えたり、ログインの試行回数に制限を設ける対策が効果的です。
リバースブルートフォース攻撃
パスワードを固定してIDの文字の組み合わせを試してIDとパスワードの組み合わせを盗む攻撃です。
レインボー攻撃
パスワードとなり得る適当な文字列のハッシュ値を計算してテーブル化しておくことで、ターゲットとなるパスワードのハッシュ値と比較して、本来のパスワードを推察する攻撃です
パスワードリスト攻撃
悪意をもつ第三者が何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインする攻撃です。(複数のサイトで同じIDとパスワードを利用していること想定した攻撃)
DNSキャッシュポイズニング
DNSサーバーの脆弱性を利用して偽の情報をDNSサーバに記憶させ、そのDNSサーバの利用者に影響を与える攻撃です。たとえば、ホスト名とIPアドレスの対応を本来の情報とは異なるものにして、特定のサイトに到達できないようにしたりします。
SQLインジェクション
データベースと連動したWebサイトで、データベースの問い合わせや操作を行うプログラムを利用することで、データ改ざんや不正に情報を入手したりする攻撃です。
ゼロディ攻撃
セキュリティホールを狙った攻撃が、修正プログラムが提供される前に行われることです。未対策のコンピュータに攻撃されてしまうため、防御が難しいです。
水飲み型攻撃
これは、標的型攻撃の手法の一つで、標的の組織や個人がよく利用すると思われるWebサイトを改ざんし、アクセスした利用者がマルウェアを導入するよう仕込む攻撃です。
通常、標的対象のみが感染するマルウェアが用いられ、標的以外の第三者がアクセスしても何も起こらないため、脅威の存在やWebサイトの改ざんなどが発見しにくくなっているようです。
なお、名前の由来は、水を飲みにきた草食動物を待ち伏せしていた肉食動物が狙い撃ちする姿になぞらえているそうです。
IPスブーフィング
IPスブーフィングは、発信者がIPアドレスを偽造することによって、攻撃者及び攻撃そのものの存在を隠蔽しようとする意図的な攻撃です。
ハイセッションハイジャック
ハイセッションハイジャックは、クライアントとサーバの正規のセッションに割り込んで、そのセッションを奪いとる攻撃です。
ハイセッションハイジャックに成功すると、サーバーもしくはクライアントになりすまし可能になります。なので、セッションIDを推測困難なもにするなどの対策が有効になります。
SEOポイズニング
検索エンジンでの検索結果よりも上位に現れるようにWebおエージを書き換えたら、リンクを集めたりすることで、これもサーバー攻撃の一種になるそうです。
サーバ攻撃から守る代表例
最後に、補足で防御方法について書いておきたいと思います。
昔から行われている防御対策の代表例は、ユーザIDやパスワードによるアクセス管理です。しかし、近年、これだけでは十分な対策とはならないので、暗号化や認証技術が必要になっています。
アクセス管理
コンピュータシステムのデータなどを、正当な利用者やプログラム、プロセス、ネットワーク内の他のシステムに限定してアクセスを許可させる方法です。
アクセス権限は、あらかじめユーザIDやパスワードをシステム内に登録しておき、利用者がデータやネットワークにアクセスするときに、IDとパスワードを入力させて識別します。
良く見る方法ですね。
暗号化
情報を一転の規則で組み替えて第三者にその内容が分からならないようにすることです。コンピュータシステムに蓄積されているデータを保護できます。
認証
メッセージ認証、デジタル認証、バイオメトリクス認証(生体認証)などがあります。
スマホの生体認証は便利ですよねー
以上になります。
1章~6章についても書いていますので、もしよければ覗いてみてください。
コメント