様々なサイバー攻撃手法
私は今学習中の『IPA情報セキュリティマネジメント試験』についてブログを連載しています。前回の記事は”サイバーキルチェーンで攻撃を段階的に対策“について書きました。
今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。
安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。
…
今回はサイバー攻撃手法について紹介しようと思います。サイバー攻撃には様々な攻撃手法があります。代表的な手法を知ることは情報セキュリティ対策に不可欠なようです。
パスワードに関する攻撃
パスワードを不正に取得してアクセスするための攻撃は、パスワードクラックというそうです。代表的な攻撃方法には、次のようなものがあります。
ブルートフォース攻撃
同じユーザーに対して、適当な文字列を組み合わせて考えられる全てのパスワードを試す方法で、力任せにログインを繰り返す攻撃です。ブルートフォース攻撃とは逆に、同じパスワードを使って様々なユーザーに対してログインを試行するリバースブルートフォース攻撃もあります。
辞書攻撃
パスワードの割り出しなどで、辞書に出てくる用語を順に使用してログインを試みる攻撃です。
スニッフィング
ネットワークを流れているデータを盗聴することで、ユーザー名やパスワードなどを知る方法です。
リプレイ攻撃
パスワードなどの認証情報を送信しているデータを取得し、それを再送信することでそのユーザになりすます攻撃です。パスワードが暗号化されていても使用できます。
パスワードリスト攻撃
他のサイトで取得したパスワードのリストを利用して不正ログインを行う攻撃です。ID・パスワードの使いまわしが被害を大きくする原因となります。
レインボー攻撃
パスワードがハッシュ値(元のデータから作られた適当な値)で保管されている場合に、あらかじめパスワードとハッシュ値の組み合わせリストを用意しておき、そのリストを使ってパスワードを推測して不正ログインを行う攻撃です。
上記のように、パスワードに関するサイバー攻撃はたくさんの種類があります。中には暗号化されたパスワードでさえ不正利用されてしまう攻撃もあります。
いま自分が設定しているログイン情報は、そのうちに漏洩して不正利用されてしまうかも。と、自信がなくなってきました。最近あらゆるサービスで必要になるログインIDやパスワード、管理方法はどうすれば良いのでしょうか。
対策として、強力なパスワード(英大文字、英小文字、数字、記号を使った10桁以上のパスワード※1)の設定をしたり、使い回しを避けたり、定期的にパスワードを変更して不要なサービスは解約する。というように常に自分で整理しておく事が大切だと思います。
今後は定期的にパスワード管理サービスなどを利用して、整理する習慣を身につけていきたいなと思いました。
※1 簡単なパスワードはすぐ解読されてしまいます。英大文字、英小文字、数字、記号を使った10桁以上のパスワードになると解読に5年以上かかり、強力なパスワードと考えられます。
Dos攻撃・DDos攻撃
Dos攻撃(Denial of Service attack:サービス不能攻撃)は、サーバなどのネットワーク機器に大量のパケット(小分けにした送受信データ)を送るなどしてサービスの提供を不能にする攻撃です。他人のコンピューターを乗っ取って(踏み台にして)、複数のコンピュータから一斉に攻撃を行うDDos攻撃(Distributed Dos Attack)もあります。
ソーシャルエンジニアリング
人間の心理的、社会的な性質につけ込んで秘密情報を入手する手法のことです。コンピュータを操作している様子を後ろから肩越しに見てパスワードなどの情報を盗み見るショルダハッキングや、ゴミ箱をあさってパスワードの紙を見つけるスキャベンジングなどの手法があります。
フィッシング
信頼できる機関を装い、偽のWebサイトに誘導する攻撃です。例えば、銀行を装って、「本人情報の再確認が必要なので入力してください」などという偽装メールを送り、個人情報を入力させると言った手口があります。
サイドチャネル攻撃
サイドチャネル攻撃は、暗号解読手法の1つで、暗号を処理している装置の動作などを観測・測定することによって機密情報を取得しようとする攻撃です。具体例としては、暗号の処理時間を計測するタイミング攻撃や、処理の実行中に放射させる電磁波を測定分析する電磁波解析攻撃などがあります。電磁波解析攻撃の一種に、漏洩電磁波を解読するテンペスト攻撃があります。
パスワードに関する攻撃以外にも、非常にたくさんのサイバー攻撃があります。サイドチャネル攻撃に関しては「こんな事もできるのか…」と衝撃的でした。
これらの攻撃に対して事前に対策を考えておかないと、気づかないうちにサイバー攻撃の被害に遭って、いつのまにか情報漏洩している可能性が出てきます。また、攻撃は常に進化しているので、今以上に情報資産を守る努力が必要になっていくと考えられています。
※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。
徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著
「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。
弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。
Web制作ならアズシエルにご相談ください。
Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!
この記事をSNSでシェアする!