サイバー攻撃

情報処理

【セキュリティ】サイバー攻撃の種類まとめ

サイバー攻撃の種類まとめ

サイバー攻撃とは、特定の国家、企業、団体、個人に対しネットワークを通じて「破壊活動」や「データの改ざん」「データの窃取」などを行う行為です。国家の安全保障を脅かしたりすることを目的とする破壊活動は、サイバーテロともいわれています。

本記事ではサイバー攻撃には、どのような種類があるのか整理してみました。

スポンサーリンク

不正アクセスを試みる攻撃

辞書攻撃

辞書攻撃とは、辞書に載っている単語や単語の組み合わせからパスワードの候補を作り、その候補を片っ端から試すことによりパスワードを破ろうとする攻撃です。

辞書攻撃イメージ図

相当な数が収録されている辞書からパスワードの候補を作り、その候補を片っ端から試すのは、相当な時間がかかりますが、コンピュータに自動処理をさせれば短時間で実現することが可能です。そのためパスワード破りの手口として昔から用いられている手法です。

 

辞書攻撃の詳細は以下の記事をご覧ください。

ブルートフォース攻撃

ブルートフォース(Brute force)とは「力づくで」という意味で、別名「総当たり攻撃」とも呼ばれているパスワードを破るための攻撃です。

チェーンロック

自転車のチェーンロックをイメージすると分かりやすいです。

例えば自転車のチェーンロックに「ブルートフォース攻撃」をする場合

  • 1回目:「0000」
  • 2回目:「0001」
  • 3回目:「0002」
  • 4回目:「0003」
  • 5回目:「0004」

※一般的な自転車のチェーンロックは4桁

とパスワードに設定される可能性のあるすべてのパターンを一つずつ試していきます。その結果、時間さえあれば、必ず正解のパスワードに必ず辿り着くことができます

 

ブルートフォース攻撃の詳細は以下の記事をご覧ください。

スニッフィング

スニッフィングとは、ネットワークに流れるパケット(データ)を盗聴し、パスワードなどの情報を不正入手する攻撃です。

スニッフィングイメージ図

 

スニッフィングの詳細は以下の記事をご覧ください。

セッションハイジャック

セッションハイジャックとは、Webサイトなどで利用されるセッションIDを盗聴や推測で盗み出し、利用者に「なりすまし」不正アクセスを行う攻撃です。

セッションハイジャック

 

セッションハイジャックの詳細は以下の記事をご覧ください。

スポンサーリンク

相手を騙す詐欺行為

フィッシング

フィッシング (Phishing) とは、金融機関(銀行やクレジットカード会社)や有名企業(GoogleやTwitter等)、公共機関などになりすましメールやショートメッセージ (SMS) を送信し、正規サイトそっくりの偽のサイトに誘導することで、アカウントのIDやパスワード、クレジットカードなどの個人情報を盗み取る攻撃です。

フィッシング詐欺のイメージ図

 

フィッシングの詳細は以下の記事をご覧ください。

特定のターゲットを狙った攻撃

標的型攻撃

標的型攻撃とは、標的を企業や特定の個人に狙いを定め、機密情報などを盗み取ることを目的とし、攻撃を繰り返し行うサイバー攻撃の一種です。

標的型攻撃イメージ図

標的型攻撃は様々な手口で、標的となった企業や個人に攻撃を仕掛けてきます。よくある手口は、メールにマルウェア(ウイルス)を添付して直接、標的にメール(標的型攻撃メール)を送り付けるというシンプルな方法です。

標的型攻撃メールは「迷惑メール」とは違い、信頼できる企業などに「なりすまし」て送信してくるケースが多く、メールの内容も不自然ではないため、標的型攻撃メールだと気づきにくいのが特徴です。

 

標的型攻撃の詳細は以下の記事をご覧ください。

水飲み場型攻撃

水飲み場型攻撃とは、特定の企業などの機密情報を盗み取る「標的型攻撃」の一種であり、ターゲットが習慣的に見るWebサイトを調査し、そのWebサイトに罠を仕掛け、閲覧するだけでマルウェアに感染させる攻撃です。

水飲み場型攻撃イメージ図

 

水飲み場型攻撃の詳細は以下の記事をご覧ください。

DoS攻撃

DoS攻撃(Denial of Servicesの略)とは、攻撃の標的となったWebサイトやサーバに対して大量のデータを送信する攻撃です。

大量データの負荷に耐えられなくなった、Webサイトやサーバはシステムを正常に稼働することが困難な状態に追い込まれます。

 

DoS攻撃の詳細は以下の記事をご覧ください。

スポンサーリンク

OSやWebサイトなどの脆弱性を狙った攻撃

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアの脆弱性発見後、その脆弱性に対するセキュリティパッチ(修正プログラム)が配布される前に、その脆弱性を利用した攻撃のことをいいます。

※脆弱性とはプログラムの不具合や設計上のミスが原因で発生する安全上の欠陥

ゼロデイ攻撃イメージ図

脆弱性が発見されると、脆弱性が発見されたソフトウェアを提供している企業が、その脆弱性に対するセキュリティパッチ(修正プログラム)を配布します。

しかし、脆弱性が発見されてからセキュリティパッチが配布されるまでタイムラグが発生します。なぜなら脆弱性に対する「原因調査」や「修正作業」などを行う時間が必要だからです。

そのため、セキュリティパッチが配布される前に、その脆弱性を利用した攻撃を受けると被害にあう危険性があります。この攻撃が「ゼロデイ攻撃」です。

 

ゼロデイ攻撃の詳細は以下の記事をご覧ください。

ドライブバイダウンロード

ドライブバイダウンロードとは、利用者が知らないうちに何らかしらのソフトウェア(主にマルウェア)を勝手に利用者のパソコンにダウンロードし、実行させるサイバー攻撃の一種です。

「改ざん」されたWebサイトからの感染

 

ドライブバイダウンロードの被害に遭うケースは「悪意のある攻撃者」が用意したWebサイトだけではありません。安全だと考えられる有名なサイトからでも、ドライブバイダウンロードの被害に遭うことがあります。

攻撃者は、人が集まる有名なサイトに脆弱性がないか調査します。もし脆弱性がある場合、脆弱性を突いた攻撃をしてWebサイトを「改ざん」します。

そして利用者は何も知らずに「改ざん」されたWebサイトを訪問。その結果、いつのまにかマルウェアに感染してしまうのです。

 

ドライブバイダウンロードの詳細は以下の記事をご覧ください。

クリックジャッキング

クリックジャッキングとは「透明で見えない罠ページ」と「真正なWebページ」を重ねて表示し、利用者に意図しない操作を行わせる攻撃です。

一般的に知名度のあるWebページに「透明で見えない罠ページ」を隠しておくことで、利用者は目に見えているWebページのボタンやリンクを押下したつもりでも、実際は罠ページのボタンやリンクが押下されたこととなり、利用者の意図しない操作が実行されてしまうのです。

 

クリックジャッキングの詳細は以下の記事をご覧ください。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(略称はXSS)とは、Webサイトの掲示板など閲覧者が投稿できる入力フォームから、悪意のあるスクリプトを投稿することで、Webサイトのページ内に悪意のあるスクリプトを埋め込む攻撃です。

悪意のあるスクリプトを埋め込まれたWebサイトに、知らずに訪問すると埋め込まれた罠が勝手に動き出す仕組みです。

クロスサイトスクリプティングイメージ図

 

クロスサイトスクリプティングの詳細は以下の記事をご覧ください。

SQLインジェクション

SQLインジェクションとは、入力フォームから入力した「SQL文を含む文字列」で、アプリケーションが想定しないSQL文を実行させることにより、データベースを不正操作する攻撃です。

SQLインジェクションとは

 

SQLインジェクションの詳細は以下の記事をご覧ください。

スポンサーリンク

OSコマンドインジェクション

OSコマンドインジェクションとは、Webサイトの入力フォームや掲示板などで「OSコマンド(※コンピュータへの命令文)」を含む文字列を送信することで、Webサーバに意図しない「OSコマンド」を実行させる攻撃です。

OSコマンド・インジェクションとは

 

OSコマンドインジェクションの詳細は以下の記事をご覧ください。

ディレクトリトラバーサル

ディレクトリトラバーサルとは、Webサイトからファイル名を直接指定するようなWebアプリケーションに対して、ファイル名を不正に書き換え、本来閲覧することができないファイルにアクセスする攻撃です。

ディレクトリトラバーサル

外部からファイル名を指定できるようなWebサイトに対し、相対パスなどでファイルを指定することで本来閲覧することができないファイルにアクセスするという手法です。

 

ディレクトリトラバーサルの詳細は以下の記事をご覧ください。

クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ(CSRF)とは、会員サイトなどでログイン状態を保持したまま「悪意のある攻撃者」が作成した罠サイトのボタンやリンクを押下することで、利用者の意図しない形でリクエストを送られてしまう攻撃です。

 

クロスサイトリクエストフォージェリの詳細は以下の記事をご覧ください。

メールヘッダインジェクション

メールヘッダ・インジェクションとは、Webサイトにある「お問い合わせフォーム」や「アンケート」などのように特定の相手にメールを送信する機能に対して、入力データを"改ざん"することで、メールの送信先を「悪意のある攻撃者」によって操作し「メールヘッダ」を"改ざん"する攻撃です。

メールヘッダ・インジェクション

 

メールヘッダインジェクションの詳細は以下の記事をご覧ください。

いいね!フォローをお願いします /

© 2020 ITを分かりやすく解説