情報セキュリティの脅威
RYO 33 0
テストを開始する
サイバー攻撃
国家や企業、個人などのデータを盗んだり、破壊したりする行為のこと
情報資産
組織や個人にとって価値があり、守るべきすべての情報およびそれを扱う仕組みのこと
情報セキュリティ
サイバー攻撃から情報資産を守ること
脅威
情報セキュリティを脅かすリスク要因のこと
情報セキュリティに関する脅威を3つ
(1)人的脅威(2)技術的脅威(3)物理的脅威
(1)人的脅威
人によって引き起こされる脅威です。「ソーシャルエンジニアリング」や「不正のトライアングル」が該当キーワードです。
ソーシャルエンジニアリング
特別なツールや技術をは使わず、人間の心理的な隙を利用して機密情報を手に入れることです。
語源:ソーシャルエンジニアリングには「社会工学」という意味もあります。社会工学とは、社会問題を理工学的なアプローチ(数学や物理など)で解決しようとする学問です。これに対して、人的脅威の1つであるソーシャルエンジニアリングは、まったく理工学的ではありません。社会工学という真逆の意味の言葉を、皮肉的に使用した用語だと言われています。
不正のトライアングル
人が不正を働くのは「機会」「動機」「正当化」の三つの条件揃ったときであるという理論
(2)技術的脅威
技術的な手段によって引き起こされる脅威です。
ポートスキャン(Port Scan)
サーバ上で動いているサービス(アプリケーションソフトウェア)を調査するための技術です。
セキュリティホール(Security Hole)
不正アクセスなどに利用される、システムに存在する欠陥のことです。「脆弱性」とも呼ばれます。悪意のある人は、このセキュリティホールを見つけて、攻撃を仕掛けます。
語源:Security Holeは「セキュリティ上」の「抜け穴」(Hole)という意味です。
パスワードを割り出す攻撃3つ
「ブルートフォース攻撃」「辞書攻撃」「パスワードリスト攻撃」
ブルートフォース攻撃(Brute Force Attack:別名、総当たり攻撃)
パスワードとして考えられる文字列のすべての組み合わせを実行することで、パスワードの割り出す攻撃です。
語源:Brute Forceは「力ずくの」という意味です。特別な工夫をせずに、単にすべての組み合わせを試すことから命名されました。
辞書攻撃(Dictionary Attack)
辞書や人名録などに載っているすべての単語を使って、ユーザー認証のパスワードを割り出す攻撃です。
語源:パスワードを割り出すために「辞書に掲載されている単語」などを使うことから命名されました。
パスワードリスト攻撃(List Based Attack)
他のサービスから不正に入手したIDとパスワードの一覧を使って、ユーザー認証を試みる攻撃です。
語源:不正アクセスにIDとパスワードの一覧(パスワードリスト)を使うことから命名されました。
マルウェア(Malware)
悪意のあるソフトウェアの総称です。「ボット」「スパイウェア」「ランサムウェア」「キーロガー」「バックドア」「コンピュータウイルス」が該当します。
語源:Malwareとは、「Malicious」(悪意ある)と「Software」(ソフトウェア)を繋げた造語です。
ボット(Bot)
攻撃者から遠隔で指令を受けて動作するプログラムです。攻撃者はボットを感染させたPCを遠隔から操作します。
語源:Botは「Robot」の略称です。感染されたコンピュータをロボットのように操ることから、このように呼ばれるようになりました。
スパイウェア(Spyware)
利用者に気づかれないように個人情報などを収集するプログラムです。
語源:Spywareは「Spy」(諜報員ちょうほういん)と「Software」をつなげた造語です。
ランサムウェア(Ransomware)
PCやファイルを使用不能にしたうえで、回復するための金銭(身代金)を要求するプログラムです。
語源:Ransomwareは「Ransom」(身代金)と「Software」をつなげた造語です。
キーロガー(Keylogger)
キーボード入力を記録するプログラムです。本来、キーロガーはソフトウェアの動作確認などに使われます。
語源:Keyloggerは、キーボードの「Key」と「Log」(利用記録)をつなげた造語です。
バックドア(Backdoor)
システムに不正なアクセスするための裏口です。
Webサイトに仕掛けられる攻撃6つ
「フィッシング」「ドライブバイダウンロード」「SEOポイズニング」「DNSキャッシュポイズニング」「SQLインジェクション「クロスサイトスクリプティング」
フィッシング(Phishing)
利用者を偽サイトに誘導し、個人情報を入力させて、それらを不正に取得することです。
語源:Phishingは「Phreakingフリーキング」(電話回線の不正使用)と「Fishingフィッシング」(釣り)を繋げた造語です。「被害者を騙して釣る」というニュアンスや諸説などもあります。
ドライブバイダウンロード(Drive-by Download)
利用者が悪意のあるWebサイトを閲覧するだけで、マルウェアがダウンロードされる攻撃です。
SEOポイズニング(Search Engine Optimization Poisoning)
悪意のあるサイトを検索結果の上位に表示させ、より多くの利用者に閲覧させることです。
DNSキャッシュポイズニング(Domain Name System Cache Poisoning)
DNSサーバにキャッシュされているドメイン名とIPアドレスの対応を書き変える手法です。こうすることで、ユーザーを偽サイトに誘導することができます。
SQLインジェクション(Structured Query Language Injection)
Webアプリケーション上で、不正なSQL文を実行することで、データベースを改ざんしたり、不正にデータを取得したりする攻撃です。
語源:SQL Injectionは、SQL文の中に不正なSQL文が注入(Injection)されるので、このように呼ばれています。
クロスサイトスクリプティング(Cross Site Scripting)
Webページにユーザーの入力データをそのまま表示するフォームがあるときに、第三者が悪意あるスクリプトをそのフォームに埋め込むことで、cookieなどのデータを盗み出す攻撃です。
語源:Cross Site Scriptingは「サイトを横断した」(Cross Site)、「スクリプト処理」(Scripting)という意味の造語です。
スパム(Spam)
受信者の承諾なしに無差別に送付される電子メールのことです。
語源:スパム(Spam)は肉の缶詰のことです。イギリスのコメディ番組の中で、レストランにいた客が、他の客からスパムという言葉を連呼されて迷惑を受けたことから「たくさんの迷惑なもの=スパム」と呼ぶようになり、迷惑メールをスパムと呼ぶようになりました。
DoS攻撃(Denial of Service Attack)
電子メールやWebサーバへの要求(Webリクエスト)などを大量に送りつけて、ネットワーク上のサービスを提供不能にすることです。
語源:「Denial of Service」とは「サービス妨害」という意味です。
DDoS攻撃(Distributed Denial of Service Attack:分散DoS攻撃)
1つのコンピュータからではなく、複数のコンピュータから一斉にDoS攻撃を行うこと。DDoS攻撃ではボットネットと呼ばれる、多数の感染したボットを使って攻撃を行います。これらのボットはC&Cサーバーと呼ばれる中央サーバからの指示を受けて、ターゲットを一斉に攻撃します。C&Cサーバーの役割は「どの対象を、いつ攻撃するか」といった具体的な命令をボットに送ることです。
語源:Directory Traversalは、「ディレクトリ」(Directory)を「横断する」(Traversal)という意味です。
ディレクトリトラバーサル攻撃(Directory Traversal Attack)
攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する手法です。親ディレクトリを表す「...」などをつけてパスを指定することで、本来公開されていないディレクトリへのアクセスを試みます。
(3)物理的脅威
ネットワークなどを使わない直接的な手段によって引き起こされる脅威です。例としては、水害、落雷、地震、大気汚染、爆発、火災、侵入、盗難、などがあります。
