パソコン作法

情報系の紹介をします

セキュリティを脅かすサイバー攻撃 後編

前編に続き、サイバー攻撃について紹介します。

前編はこちらです。

pcdiary.hateblo.jp

サイバー攻撃の種類

1.中間者攻撃

英語表記だと、Man In The Middle(MITM)攻撃。2者間通信において、通信を傍受し、機密情報の盗聴や改ざんをする攻撃です。

例えば、AさんとBさんが通信し、AさんからBさんへ情報を送るとします。このとき、AさんからBさんへ情報を送る課程で、Cさんが割り込み、情報を盗聴したり改ざんをするのことが、中間者攻撃です。

中間者攻撃では、主にプロキシサーバを使います。プロキシサーバとは、データの送受信を中継する機能を持ち、会社などの組織内からインターネットに接続する際に使われます。このプロキシサーバが乗っ取られたり、勝手に置かれたりすると、プロキシサーバを通したデータや情報の盗聴、改ざんが可能になるので大変危険です。

この攻撃への対処方法は、通信データを暗号化することです。

2.SQLインジェクション

WebサイトやWebアプリケーションと連動しているデータベースを不正に操作する攻撃です。この攻撃が成功すると、データベース上にある情報の盗聴、改ざん、破壊などが可能になります。

攻撃名についているSQLとは、データベースを操作する言語のことです。攻撃者は、このSQLを使ってデータベースに不正アクセスします。例えば、ユーザー名やパスワードを入力するところで、SQL文を埋め込むなどして攻撃を行います。

対処法としては、SQL文が勝手に使われないような環境を作り、脆弱性をなくすことです。

 

3.クロスサイトスクリプティング(XSS)

英語表記だと、Cross Site Scripting(XSS)。なぜ略称が、CSS」ではなく「XSSなのかというと、HTMLの表示方法を定義するCSS(Cascading Style Sheets)というのがすでに存在していて、それと区別するためです。

攻撃方法は、最初にユーザー登録画面のような、ユーザーの入力や操作によって表示内容が変わるWebページの脆弱性を突き、不正なスクリプトを埋め込みます。そして、そのWebページにユーザーがデータを入力し、レスポンスが返されると不正なスクリプトが実行され、ユーザーに攻撃を仕掛けます。

参考にした書籍


イラスト図解式 この一冊で全部わかるセキュリティの基本 [ 宮本 久仁男 ]

 


小さな会社のIT担当者のためのセキュリティの常識 [ 那須慎二 ]