ブルートフォースアタック
 |
ウェブサイトは様々な攻撃に晒されている |
いわゆる総当たり攻撃のことで、パスワードにおける組み合わせることの可能なパターンを全て試す攻撃方法。
この攻撃方法を試すことのできるツールの入手は容易であり、物理的には、PCによるパスワード解読作業に相応の時間を割くことにより、いかなるパスワードでも確実に解読・特定することができる(ただし、解読期間として数世紀を要するパターンを含む)。
対策:組み合わせが複雑、かつ、字数の多いパスワードを設定する。*
≫ パスワードをテストしましょう (カペルスキー公式ブログ)
*不正アクセス被害を防ぐためのパスワードの設定 (本サイト内記事)
辞書攻撃
ブルートフォースアタック(総当たり攻撃)と類似した攻撃方法に“辞書攻撃”がある。
こちらは、有力なワードを優先的に組み合わせることにより、パスワード的中率の向上を図っている。
なお、ハッカーの中には、良質なワードを収集して辞書のクオリティ向上に努めている層が存在し、また、ブルートフォースアタックと辞書攻撃を組み合わせる手法も存在する。
対策:容易に想像可能なパスワードを使用しない。
パスワードリスト攻撃
パスワードリスト攻撃とは、IDとパスワードの一覧(リスト)を使用して、標的サイトにおいてログインを試行する攻撃方法のこと。
主に、オンラインゲームにおいて行われる攻撃手法で、同じパスワードを複数サイトで使い回すユーザーが多いことにつけ込むものだといえる。
攻撃側は、ユーザーの個人情報や金銭を目的として攻撃する。
具体的には、(他の攻撃方法などにより)あらかじめパスワードのリストを入手しておき、そのリストを利用し、オンラインゲーム等の複数のサイトにおいて、ログイン出来るかどうかを繰り返し試行する。
対策:複数のサービスで同じパスワードを使い回さない。
DDoS攻撃
DDos攻撃は、ハッカーが、あらかじめハッキング済みで遠隔操作可能な多数のPCを踏み台にして、標的となるサーバに一斉に攻撃を仕掛ける攻撃方法。
攻撃元が多数のホストに分散されるため、完全に防御することが難しいという特徴がある。
また、標的となったサーバ側では、トラフィック、およびPCの負荷が増大し、接続しづらい状態やサーバがダウンした状態に陥る場合がある。
なお、攻撃元を分散しない、最も原始的な攻撃方法であるDoS攻撃は、ブラウザの更新ボタン(F5キー)を連打し、サーバ側に大量の接続要求を送りつけるというもので、かつての2ちゃんねる全盛時代に“嫌がらせ目的”で用いられた。
対策:攻撃元が国外の一国に限定されている場合、その国からの接続のみ全て遮断することにより対処することが可能。また、攻撃されているサーバが国内向けの内容である場合、国内からの接続、およびGoogleなどからの検索ボット(クローラー)のみのアクセスを許可する設定に変更する、などの対策方法がある(負荷に弱いCGIコンテンツを防御する場合などに有効)。
SQLインジェクション
SQLインジェクションは、Webアプリケーションに対する攻撃のバリエーションの一つ。
データベース・アプリケーションの不備につけ込み、想定外のSQL文(データベース操作のために使用されている言語)を実行させ、データベースの内容を改ざんしたり、不正に操作する攻撃方法のこと。
WordPressの様な、データベースと連動したWebアプリケーションにおいて、この攻撃に晒されるリスクが存在し、国内においては、サイバー攻撃による不正アクセスの被害全体において、このSQLインジェクションが大きなシェアを占めている。
対策:Webアプリケーションの状態を最新に保つ。NTT東日本「Webセキュリティ診断」 
サービスの利用を検討する(月一回の脆弱性診断がサービス内容に含まれる)。
クロスサイトスクリプティング
クロスサイトスクリプティング(CSS、XSS)とは、ユーザーが入力した内容をそのまま(オウム返し&エコーバック式に)Webページとして表示するアプリケーション(旧式の掲示板やブログなど)のシステム上の脆弱性につけ込み、サイトとユーザーの間に介在し、悪意のあるスクリプトを注入する攻撃方法のこと。
攻撃者は、まず罠となるサイトを作り、そのサイトから脆弱性のある標的サイトにリンクさせる。
そして、そのリンクのURLパラメータの部分に悪意のあるスクリプトやHTMLタグを埋め込み、訪問者が罠サイトから標的サイトへのリンクを辿ると、悪意のあるスクリプトなどが埋め込まれたWebページが表示されるという仕組みとなっている。
対策:Webアプリケーションの状態を最新に保つ。NTT東日本「Webセキュリティ診断」 サービスの利用を検討する(月一回の脆弱性診断がサービス内容に含まれる)。
標的型攻撃
標的型攻撃とは、標的とする組織内に存在する情報(知的財産のような企業秘密など)の搾取などを目的として実行される攻撃方法のこと。
例えば、標的企業の社員宛に不正なスクリプトが埋め込まれたメールを送信し、(ウィルスに感染させて情報を搾取するための)フィッシング・サイトに誘導する、などのやり方がある。
政府・公共機関・(先端技術を有する製造業)企業などが標的になりやすい傾向があり、また、攻撃側は、政府機関や標的企業のライバル企業、あるいは、犯罪のプロフェッショナルである場合が多い。
対策:ウィルス対策ソフトを使用するなどの方法があるが、ウィルス対策ソフトでスキャン&削除するとリスクが消滅する一方、被害の証拠も消えてしまう。したがって、企業や公共団体のサーバに保管されている重要な情報を狙ったプロの犯行だと捉えるならば、長丁場を想定しての証拠保全の方針も必要。ただし、米国の政府機関も被害にあった高度な攻撃手法であり、対策は容易ではないといえる。
サイト改ざん
サイト改ざんとは、サイトのコンテンツやシステムが、攻撃者によって書き換えられてしまう攻撃方法のこと。
SQLインジェクション、クロスサイトクリプティング、などのサーバ・アプリケーションの脆弱性を攻撃する直接的な改ざん。あるいは、脆弱性攻撃の際にバックドアを設置して行う間接的な改ざんなどの方法がある。
当初はクラッカーによる愉快犯的なサイト改ざん被害が多かったが、現在では、企業サイトを標的とし、SQLインジェクションなどの脆弱性につけ込みサイト改ざんを行う、具体的にはサイトに不正なプログラムを設置し、訪問者をフィッシングサイトに誘導する、などの流れが定番&定型化している。
その主な目的については、企業がサイトに保管している個人情報(氏名・住所・電話番号など)であり、クレジットカード情報が含まれた形で情報漏洩の被害が発生するケースが後を絶たない。
対策:NTT東日本「Webセキュリティ診断」 サービスの利用を検討する(同サービスでは、1日1回の間隔での、(不正なリンクが埋め込まれていないかの)サイト改ざんチェックが含まれている)。
ゼロデイ攻撃
(セキュリティ更新プログラムなどの)修正パッチが未適用のPC(の脆弱性)を標的とする攻撃方法。
対策:セキュリティ更新プログラムなどを適用してPCのアプリケーションを最新の状態に保つ。
各種マルウェア
コンピューター・ウイルス
コンピューター・ウイルスとは、宿主となる特定のプログラムの一部内容を書き換えることにより感染し、また、そのプログラムが実行されることにより、その活動が始まる仕組みとなっている。
つまり、ウィルスに感染することによりそのプログラムは乗っ取られるのであり、PC内における一部あるいは全部のデータが破壊されたり、スパイ活動に悪用されるなどの被害が出る恐れがある。
ワーム
ワームとは、宿主となるプログラムに寄生することなく、単独で活動することのできるマルウェアのこと。
具体的には、PCのメモリー上に展開したり、ファイルとして実行され、PCに感染するなどする。
なお、その活動内容については、ウイルスと類似した性質を持つ(悪意のある活動を行う)。
トロイの木馬
トロイの木馬という名称は、ギリシャ神話における、兵士が巨大な木馬に潜んだエピソードによる。
つまり、標的を油断させ、結局は罠にはめる類の内容を指す。
サイバー攻撃におけるトロイの木馬は、それ単独では感染能力を有さないが、偽装し、何らかのプログラムであるかのように標的を騙すマルウェアのこと。
標的であるユーザーが偽装プログラムを実行することにより、マルウェアとしての活動を開始する
カペルスキー 「インターネット セキュリティ」でサイバー攻撃への耐性を高める
「カスペルスキー セキュリティ 
」を使用すると不正アクセルへの対策となり、ある程度はサイバー攻撃への耐性を高めることができる。
「カスペルスキー セキュリティ 」には、ウイルス/スパイウェア対策機能として、ファイルスキャン、メールスキャン、添付ファイルのスキャン、簡易スキャン、オブジェクトスキャン、リムーバブルドライブスキャン、メッセンジャースキャン、ルートキット対策、不正ロック対策、クラウドプロテクション、セキュアブート/メジャーブート対応、予約スキャン、自動駆除、感染ファイル隔離などの各機能があり、ネットワーク監視機能としては、ファイアウォール、ネットワーク攻撃防御の各機能がある。
また、危険サイト対策として、危険なサイトからの保護、詐欺サイトからの保護、リンクの安全診断の各機能があり、他に、アプリケーション監視、システムプロセスの監視、ぜい弱性対策機能、迷惑メール/バナー広告対策機能、プライバシー漏えい対策機能(個人情報の不正送信防止、ネット決済保護、キー入力による情報漏えいの防止、Webトラッキング防止、Webカメラのぞき見防止、無線LAN安全診断)などの各機能がある。
30日間試用するのことの出来る体験版があるので、サイバー攻撃による不正アクセス被害を未然に防ぐためにも、試用してみるのもいいだろう。
