現代に生きる私たちにとって、情報は大切な資産です。資産ということは価値があるということです。価値があるということは、それを盗み取ろうとする人が現れるということです(暴論)。
しかし、世の中では、そういった情報を目的とした攻撃が日々行われています。その対象は、個人から法人まで様々です。
ニュースで見かける、個人情報の漏洩とかがそれですね。
特に法人の場合は、攻撃を受けて情報が漏洩してしまうと、信用問題に係わる大問題に発展しかねません。なので、情報資産に関するシステムについては、開発者、使用者ともに、セキュリティを十分考慮する必要があります。
今回は、不正アクセスによって情報を盗み取る手法と、その対策をまとめていきたいと思います。
不正アクセス手法の種類は様々なので、代表的なものを取り扱います。
1、辞書攻撃
辞書に載っている単語などを参考に、パスワードに使われそうな文字列をリストアップし、これを片っ端から試すことによってパスワードを破ろうとする手法。
対策:
パスワードをランダムな文字列にするなど
2、ブルートフォース攻撃(総当たり攻撃)
ブルートフォース(Brute force)とは、「力づくの」といった意味。入力の際に考えられる文字列の組み合わせすべてを試すことで、パスワードを破ろうとする手法。
対策:
ログインの試行回数に制限を設けるなど
3、クロスサイトスクリプティング
Webサイトの掲示板など、閲覧者が投稿できる入力フォームから、悪意のあるスクリプト(罠サイト等のURLなど)を埋め込む手法。閲覧者がこのページにアクセスすると、罠サイトに移動し、個人情報が奪われたり、ウイルスを感染させられたりする。
対策:
入力された内容を精査し、スクリプトを無害な文字列に変換する(サニタイジング)
4、DNSキャッシュポイズニング
ドメイン情報を管理するDNSサーバに一時的に偽のドメイン情報を覚えさせることで、偽装Webサイトへと誘導する手法。
対策:DNSサーバが、問合せに対する応答を電子署名で検証できるようにする(DNSSEC)
5、ディレクトリトラバーサル攻撃
ファイル名などをパラメータとして受け取るプログラムに対し、想定されていない相対パスを渡すことで、本来公開対象ではないファイルやディレクトリにアクセスする手法。
対策:
パス付のファイル名が入力された場合、パスを削除するなど
6、SEOポイズニング
Web検索サイト(Googleとかyahooとか)の順位付けアルゴリズムを利用し、悪意のあるWebサイトを上位に表示させてユーザを誘導する手法。
対策:
利用者は、検索結果を信じすぎない。サイト側は、不正サイトを検索結果から除外するなど
7、ゼロデイ攻撃
ソフトウェアに脆弱性が発覚した直後に攻撃を行うこと。脆弱性の発覚からセキュリティパッチの提供までのタイムラグを利用し、対策が行われる前に脆弱性を攻撃する手法。
対策:
セキュリティパッチはなるべく早く適用するなど
8、SQLインジェクション
不正なSQL(データベースを操作する言語)を含む入力データを、サイト内の検索フォームなどに与えることで、データベースに対する不正な問合せを実行させる手法。
データベース内の情報漏洩、ウェブサイトの改ざんといった恐れがある。
対策:
サニタイジングを行うなど
まとめ
今回は、不正アクセスの手法を8つ紹介しました。これ以外にも、まだまだ多くの種類の手法が存在します。
恐ろしい
個人としてできる対策もいくつかありますが、開発側が対策を行うケースが多そうです。利用者としては、利用するサイトの信頼性等を考慮して利用する必要があります。
情報資産は、私たちの大切な財産です。その財産は、様々な手口を用いて日々狙われています(よくこんな手口考えついたなとも思います)。
自宅に防犯対策をするように、ネットについても、資産が盗まれない使い方を考えていく必要がありそうです。
ではでは👋
