2021年10月1日

サイバー攻撃手法について

今回は、セキュリティホールを狙ったサイバー攻撃手法や脅威についてお伝えします。

■「クロスサイトスクリプティング」

ユーザーは悪意あるWebサイトを閲覧した際に、悪意あるスクリプトが効果を発揮し、被害に遭わせる仕組みのことを指します。
悪意あるWebサイトに入り込む経路は「掲示板サイト」や「迷惑メール」のURLです。

クロスサイトスクリプティングの被害に合うまでの一連の流れ

ユーザーは掲示板やメールに貼られているURLから悪意あるWebサイトに飛び、悪意あるSCRIPTを踏んでしまいます。
踏んだ瞬間にクロスサイトスクリプティングの脅威となる効力は発揮されず、感染したユーザがクロスサイトスクリプティングの脆弱性のあるWebサイトに飛んでしまうことで、ユーザーやWebサイトの運営者が被害に遭ってしまう、という仕組みになっています。
クロスサイトスクリプティングとは、この一連の流れ、トラップへの掛かり方を指します。

■セッションハイジャック

セッションハイジャックとは、ログイン・パスワードを持っている当事者以外が乗っ取る攻撃手法。
乗っ取るとは他人のセッションIDを予測・盗聴したりし、当人になりすますことです。
「クロスサイトスクリプティング」を利用し、クッキーID盗聴・セッションハイジャックされることもあります。
具体的な被害は、機密情報の漏洩、ECサイトでの不正購入取引、SNSでのなりすまし投稿などが挙げられます。

■DOS攻撃

DOSとは「Denial of Service Attack」の略で、「Denial」 とは否定という意味です。
具体的には「トラフィックを増やし、サーバーダウンさせる」攻撃手法のことです。
「DOS」攻撃には「DDOS」攻撃や「EDOS」攻撃などの種類があります。
「DDOS」攻撃の「D」とは「Distributed」”分散”という意味があります。
攻撃元を分散し、複数人で攻撃することを意味します。

■EDOS攻撃

「Economic Denial of Service Attack」の略で、「Economic」とは経済という意味です。
具体的にはWebサイト運営者の経済面に攻撃を与える仕組みで、サーバに膨大な負荷を与えることで、サービスを停止させ、経済的損失を与えることを目的としています。

■SQLインジェクション

ログイン時にSQLの構造・脆弱性を狙って、DBに対する命令文の改ざんを行い、意図しない操作を行うこと。
データの盗難、改ざんだけでなく、ログイン認証の回避、ファイルの操作なども行われます。

■マルウェア

マルウェアにはウィルス・ワーム・トロイの木馬の3種類があります。

1. ランサムとは「身代金」の意味で、感染したPCに対してウィルス解除の代わりに金銭を要求してくるといった特性があります。

2. ワームは自己増殖し、ウィルスのように寄生せず、単独で存在。情報盗難、端末を遠隔操作する特性があります。
【経路】
ネットワークを介しIPアドレスをランダム生成、メール、共有ドライブ、USBなど

3. 自己増殖せず、ソフトウェアとして存在し、見かけ上は優良ソフトとして振る舞い、感染先に長く滞在し、情報取得することを目的としています。
有名なものに「MACキーパー」があり、MacPCのセキュリティソフトの振る舞いをし、ユーザーの不安を煽り課金させる悪さを実行します。

再春館システムでは再春館製薬所で培ったセキュリティノウハウをもとに、情報処理安全確保支援士の資格取得者を要する、最高技術レベルのチーム体制でサイバー攻撃に有効な対策と脆弱性診断サービスを行っており、EC事業者をはじめ、官公庁など多くの診断実績があります。
年末に向けてECサイトの需要が高まっています。
脆弱性診断はお済でしょうか?

■まとめ

サイバー攻撃には多数の種類があり、ささいなことで侵入を許し、甚大な被害を与えることになります。主には「クロスサイトスクリプティング」、「セッションハイジャック」、「DDOS/EDOS攻撃」、「SQLインジェクション」、「マルウェア」です。
セキュリティ対策とWeb脆弱性診断を行うことでサイバーリスクを回避し、安心、安全なシステムを提供することができます。
定期的な脆弱性診断を行いましょう。

「WEBアプリケーション脆弱性診断サービス」の詳細はこちら
セキュリティソリューションに関するお問い合わせはこちら