[応用情報技術者] 第7章のセキュリティ ~サーバー攻撃の種類~

IT
2020.06.24
スポンサーリンク

こんにちは。

応用情報技術者を勉強しているロペです。
この記事では、第7章のセキュリティの中のサーバー攻撃の種類について書きます。

コンピュータを利用するならば、色々なサーバー攻撃の種類は知っておく必要があるかと

面白かったり、ためになったりすることに絞って書きますので、あしからず。

スポンサーリンク

情報セキュリティの概要

ネットワークを利用して情報交換するときは、情報漏洩やなりすまし、クレジットカード番号の抜き取りなど、セキュリティを保護することがとても大切になっています

応用情報技術者の7章では、そんなセキュリティについて学習します。
そして、この記事ではサーバ―攻撃の種類がメインになります。

では、早速書いていきます。

サイバー攻撃手法

マルウェア

コンピュータウィルス、ワーム、スパイウェアなど、悪意をもったソフトウェアの総称です。

サイバー攻撃

システムやネットワークに不正に侵入して、データの破壊や搾取、改ざんなどを行ったり、使用不能にする攻撃の総称です。

辞書攻撃

辞書に掲載されている言葉や人名など組み合わせてパスワードを盗む攻撃のことです。
ランダムにパスワードを設定している場合は盗まれることはない。

ブルートフォース攻撃

ブルートフォース攻撃(総当たり攻撃)は、文字の組み合わせを全て試してパスワードを盗む攻撃です。定期的にパスワードを変えたり、ログインの試行回数に制限を設ける対策が効果的です。

リバースブルートフォース攻撃

パスワードを固定してIDの文字の組み合わせを試してIDとパスワードの組み合わせを盗む攻撃です。

レインボー攻撃

パスワードとなり得る適当な文字列のハッシュ値を計算してテーブル化しておくことで、ターゲットとなるパスワードのハッシュ値と比較して、本来のパスワードを推察する攻撃です

パスワードリスト攻撃

悪意をもつ第三者が何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインする攻撃です。(複数のサイトで同じIDとパスワードを利用していること想定した攻撃)

DNSキャッシュポイズニング

DNSサーバーの脆弱性を利用して偽の情報をDNSサーバに記憶させ、そのDNSサーバの利用者に影響を与える攻撃です。たとえば、ホスト名とIPアドレスの対応を本来の情報とは異なるものにして、特定のサイトに到達できないようにしたりします。

SQLインジェクション

データベースと連動したWebサイトで、データベースの問い合わせや操作を行うプログラムを利用することで、データ改ざんや不正に情報を入手したりする攻撃です。

ゼロディ攻撃

セキュリティホールを狙った攻撃が、修正プログラムが提供される前に行われることです。未対策のコンピュータに攻撃されてしまうため、防御が難しいです。

水飲み型攻撃

これは、標的型攻撃の手法の一つで、標的の組織や個人がよく利用すると思われるWebサイトを改ざんし、アクセスした利用者がマルウェアを導入するよう仕込む攻撃です。

通常、標的対象のみが感染するマルウェアが用いられ、標的以外の第三者がアクセスしても何も起こらないため、脅威の存在やWebサイトの改ざんなどが発見しにくくなっているようです。

なお、名前の由来は、水を飲みにきた草食動物を待ち伏せしていた肉食動物が狙い撃ちする姿になぞらえているそうです。

IPスブーフィング

IPスブーフィングは、発信者がIPアドレスを偽造することによって、攻撃者及び攻撃そのものの存在を隠蔽しようとする意図的な攻撃です。

ハイセッションハイジャック

ハイセッションハイジャックは、クライアントとサーバの正規のセッションに割り込んで、そのセッションを奪いとる攻撃です。

ハイセッションハイジャックに成功すると、サーバーもしくはクライアントになりすまし可能になります。なので、セッションIDを推測困難なもにするなどの対策が有効になります。

SEOポイズニング

検索エンジンでの検索結果よりも上位に現れるようにWebおエージを書き換えたら、リンクを集めたりすることで、これもサーバー攻撃の一種になるそうです。

サーバ攻撃から守る代表例

最後に、補足で防御方法について書いておきたいと思います。

昔から行われている防御対策の代表例は、ユーザIDやパスワードによるアクセス管理です。しかし、近年、これだけでは十分な対策とはならないので、暗号化や認証技術が必要になっています。

アクセス管理

コンピュータシステムのデータなどを、正当な利用者やプログラム、プロセス、ネットワーク内の他のシステムに限定してアクセスを許可させる方法です。
アクセス権限は、あらかじめユーザIDやパスワードをシステム内に登録しておき、利用者がデータやネットワークにアクセスするときに、IDとパスワードを入力させて識別します。

良く見る方法ですね。

暗号化

情報を一転の規則で組み替えて第三者にその内容が分からならないようにすることです。コンピュータシステムに蓄積されているデータを保護できます。

認証

メッセージ認証、デジタル認証、バイオメトリクス認証(生体認証)などがあります。

スマホの生体認証は便利ですよねー

以上になります。
1章~6章についても書いていますので、もしよければ覗いてみてください。

[応用情報技術者] 第1章の基礎理論
こんにちは。梅雨の季節ですね。雨の中で映える紫陽花は、個人的にはヒマワリよりも好きです。さて、応用情報技術者を勉強するように会社で言われたこともあり、2020年10月に受験しようと思います!(ちなみに、基本情報技術者は持っていなし、勉強した...
hellorainworld.com
2020.06.16
[応用情報技術者] 第2章のコンピュータ構成要素
こんにちは。応用情報技術者の勉強をしています。レベルとしては、ソフト開発歴1年って感じです。1章はこの前勉強したので、この記事では2章について書きます。(1章を勉強した時の記事は↓になります)今更感はあるのですが、1章、2章と勉強してみて、...
hellorainworld.com
2020.06.16
[応用情報技術者] 第3章のシステム構成技術
こんにちは。この記事では応用情報技術者の第三章について学習して思ったことを書きます。私のレベルは1年間ソフト開発を行ってきて、基本情報は受けたことないって感じです。1章、2章の勉強記事は以下になります。第三章は”システム構成要素”についてに...
hellorainworld.com
2020.06.18
[応用情報技術者] 第4章のOSの基本機能
こんにちは。応用情報技術者を勉強しているロペです。今回は第4章を学習したので、それについて書きます。第1,2,3章の学習記事は以下になります(もしよければ覗いてみてください)第4章 OSの基本機能OS(OperattingSystem:オペ...
hellorainworld.com
2020.06.18
[応用情報技術者] 第5章のデータベース
こんにちは。応用情報技術者を勉強しているロペです。この記事では、第5章のデータベースについて書きます。第1~4章についも書いていますので、よければ覗いてみてください。データベースデータベースとは、データの共有化や統合管理、プログラムからの独...
hellorainworld.com
2020.06.19
[応用情報技術者] 第6章のネットワーク
こんにちは。応用情報技術者の勉強をしているロペです。この記事では6章のネットワークについて書きます。重要そうな個所など要点を絞って書いていきます。なお、ネットワーク(ネットワークアーキテクチャ)とは、インターネット、LANなど様々なネットワ...
hellorainworld.com
2020.06.21

コメント

タイトルとURLをコピーしました