今回は、応用情報技術者試験の情報セキュリティ・攻撃手法で覚えておきたいキーワードを紹介していきます。
IPスプーフィング
IPアドレスを偽造して、正規のユーザのふりをする攻撃手法。
ルータやファイアウォールなどで、IPアドレスをフィルタリングしても突破してくる。
対策方法
IPアドレスでの認証だけにせず、IDとパスワードなど他の認証を併用する。
バッファオーバフロー攻撃
バッファの許容容量を超えるデータを送りつけて、意図的にバッファをオーバフローさせる。
対策方法
許容範囲を超える大きなデータの書き込みを禁止する。
DNSキャッシュポイズニング
DNSのキャッシュに、偽のドメイン情報を一時的に覚え込ませることで、利用者を偽装させたWEBサーバに誘導する。
対策方法
DNSSEC(DNS Security Extensions)
DNS問い合わせに対するドメイン情報にディジタル署名を付加し、正当性を確認する。
ポリモーフィック型ウイルス
感染するごとにウイルス自信を変化させ、同一のパターンで検知されないようにしたウイルス。
対策方法
ビヘイビア法
検査対象プログラムを仮想環境(サンドボックス)内で実行して、挙動を監視し、ウイルスによく見られる動きを探し出す。
SQLインジェクション
WEBアプリケーション上の入力フィールドに、SQL文の一部を入力することで、データベースの内容を不正に削除したり、入手する攻撃。
対策方法
サニタイジング
DBの捜査において特別な意味を持つ文字「’」や「:」を無効にする。
バインド機構
プレースフォルダを使用したSQL文を準備しておき、SQL実行の際に、入力値をプレースフォルダに埋め込み、SQLを実行する。
SEOポイズニング
検索エンジンでキーワードを検索した際に、検索結果の上位に、悪意のあるサイトを意図的に表示させ、誘導する手法。
DoS攻撃
一つ一つは正規のサービス要求であるが、それを大量に繰り返すことで、サーバを過負荷状態にし、正常なサービスの提供を止めること。
標的型攻撃
特定の組織や個人に対して行われる攻撃。
ATP(Advanced persistent Threats)
標的に対してカスタマイズされた手法で、執拗に行われる継続的な標的型攻撃。
パスワードリスト攻撃
どこかのWEBサービスから流出したIDとパスワードのリストを用いて、別のWEBサービスでログインを試す攻撃。
利用者が複数のWEBサービスにおいて、同一のIDとパスワードを使用している場合に被害を受ける。
レインボー攻撃
パスワードになりうる文字列のハッシュ値を事前に計算したデータを格納したテーブルを用いて、ターゲットとなるパスワードのハッシュ値から、本来のパスワードを効率用く探し出す。
エクスプロイトキット
新しく発見されたセキュリティ上の脆弱性を検証するための実証用コードや、その脆弱性を悪用し作成された攻撃コードをまとめたもの。
水飲み場型攻撃
標的が頻繁に利用するWEBサイトに罠を仕掛けて、アクセスしたときだけ、攻撃コードを実行させる。
ソーシャルエンジニアリング
システム管理者を装い、利用者にパスワードを尋ねるなど、非電子的方法によって、機密情報を不正に入手すること。
クロスサイトスクリプティング
攻撃者が用意したスクリプトを、閲覧者のWEBブラウザを介して脆弱なWEBサイトに送り込み、閲覧者のWEBブラウザ上でスクリプトを実行させる。
フィッシング
実際の企業を偽ったメールで偽のWEBページに誘導し、個人情報を盗み取る。
コメント