情報セキュリティにおける脅威の種類について

情報処理安全確保支援士

今回は、ネットワークやシステムの情報セキュリティを脅かす脅威について、
どういった攻撃手法があるのかについてです。

 

脅威には様々に分類できます。
大きくは人的災害などの環境に分かれますが、
今回は人的脅威の中でも意図的に狙われる攻撃についてです。
一部の有名な手法をまとめていますが、他にもたくさん種類はあります。

 

ポートスキャン

通信可能なポートを調査することを言います。

侵入・攻撃をはかるために、接続可能なプロトコルやサービスを調べるといったイメージです。

nmapといったツールを使うことで対象のホストに対して、どのようなサービスが動いているかを確認できます。
ポートスキャンはあくまで調査行為であるため、逆に防御する立場としては、
ポートスキャンを実行することで、意図せず動いているサービスを確認することができます。

侵入・攻撃の隙を与えないために、不要なサービス(ポート)を閉じる、
OS、アプリの最新バージョンの適応、パッチ当てを実施することが重要です。

 

バッファオーバーフロー(BOF)攻撃

メモリのスタック領域で行われる攻撃手法です。

管理者権限で実行されるサービスに対して、BOF攻撃を行い、
侵入者は管理者権限でそのホストを操作できるようになります。

OSやソフトウェアのバグが原因となっているため、
OSやソフトのバージョンアップを行うことが重要です。

 

ブルートフォース攻撃

総当たり攻撃と呼ばれる攻撃方法です。

パスワードなどをプログラムを使って総当たりで認証します。
対策としては、ワンタイムパスワードや生体認証の導入などが挙げられます。
また、何度もログイン失敗した場合、一定期間ログインできなくする方法も有効な対策です。

 

DNSキャッシュポイズニング

DNSサーバの名前解決情報を書き換え、
偽の悪意のあるWebサイトへ誘導させる攻撃です。

正しいURLを入力しているのにもかかわらず、DNSキャッシュに登録されたアドレス情報が
書き換えられているため、気が付かないうちに不正なサイトへ誘導されます。

対策としては、ソースポートランダマイゼーションを有効にすることです。
ソースポートランダマイゼーションとは、名前の通りで、DNSキャッシュサーバーにおける問い合わせ用の通信ポート番号を固定化しないという設定です。

 

DoS攻撃

Denial of Service の略で、サーバに対して不正なパケットを大量に送りつけることによって、
対象サーバのサービスやWebサイトが正常に動作できなくさせる攻撃です。

DoS攻撃の中でも方法が色々とありますが、
主流となっているのが、DDoS攻撃です。
これは、インターネット上の端末(ボットに感染したPCなど)から、一斉にDoS攻撃を仕掛けることです。

大規模に攻撃が行われた場合に防ぐことは難しいのですが、
基本的な対策としては回線やネットワーク機器、サーバなどのパフォーマンスを十分なものにしておく必要があります。

 

Webアプリケーションに対する攻撃

Webアプリケーションに対する攻撃には以下のような種類があります。

クロスサイトスプリプティング」
・・・掲示板や登録情報の確認などWeb上のアプリケーションの脆弱性を突いた攻撃手法です。
その脆弱性とは入力したスクリプトが文字列として認識せず、スクリプト内容が実行される場合です。その場合、悪意のあるスクリプトを実行させ攻撃することが可能となります。

SQLインジェクション」
・・・ユーザ・パスワードを入れる画面などにおいて、データベースの脆弱性を突いた攻撃手法です。
不正なSQL文を入力することでデータベースを操作し、ユーザ・パスワード認証を突破することなどができてしまいます。

 

マルウェアによる攻撃

マルウェアには以下のような種類があります。

「コンピュータウイルス」
・・・意図してデータ消去、改ざんなどを行う悪質なプログラム。狭義では宿主(Word,Adobeなど)に感染して動作する。

「ワーム」
・・・広義のコンピュータウイルスの一種。宿主を必要とせず、コンピュータに感染し、データの破壊、他コンピュータへの攻撃などを行う。

「トロイの木馬」
・・・正常なシステムのような動作を行うが、裏では、バックドア(侵入用の裏口)、データの破壊・改ざん、他コンピュータへの攻撃などを行うプログラム。

「スパイウェア」
・・・ウイルスのような感染・データの破壊などは行わず、気づかないうちに個人情報などの収集を行う。
キーロガー(ユーザ・パスワードやクレジットカード情報を盗み出す)として動作するものもある。

「ボット」
・・・ワームの一種で、コンピュータに感染し、感染すれば攻撃者からの指示通りに動作を行うことができる。スパムメール送信やDDoS攻撃などに利用される。

さらに詳細については以下を参照ください。
→ マルウェアについて

 

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは”社会工学”と訳されるが、IT技術を使用せずに、重要情報を盗み出すことを指します。

主には、以下のようなことが挙げられます。
・システム管理者のふりをして、偽の電話をかけて聞き出す。
・ゴミの中から情報を漁る。
・パソコンを操作しているシステム管理者の背後から情報を覗き見する。
・会話や机の上の書類などから情報を収集する。

 

コメント

タイトルとURLをコピーしました