- HOME >
- 管理人
管理人
SEとして働く管理人「まつ」がつぶやく個人運営サイトになります。 ITの難しい用語や、仕事で感じた事などを中心に"わかりやすさ"を意識して記事にしています。少しでも共感や参考にしていただける人がいたら嬉しいです。
サイバー攻撃の種類まとめ サイバー攻撃とは、特定の国家、企業、団体、個人に対しネットワークを通じて「破壊活動」や「データの改ざん」「データの窃取」などを行う行為です。国家の安全保障を脅かしたりすることを目的とする破壊活動は、サイバーテロともいわれています。 不正アクセスを試みる攻撃 辞書攻撃 辞書攻撃とは、辞書に載っている単語や単語の組み合わせからパスワードの候補を作り、その候補を片っ端から試すことによりパスワードを破ろうとする攻撃です。 相当な数が収録されている辞書からパスワードの候補を作り、その候補を ...
Webアプリケーションの脆弱性対策まとめ Webエンジニアであれば、一般的な知識であるWebアプリケーションの脆弱性対策。 本記事では、Webアプリケーションの脆弱性対策を図解で分かりやすく解説していきます。 [対策1] クロスサイト・スクリプティング クロスサイトスクリプティング(XSS)とは、Webサイトの掲示板など閲覧者が投稿できる入力フォームから「悪意のあるスクリプト」を投稿することで、Webサイトのページ内に悪意のあるスクリプトを埋め込む攻撃。 そして、悪意のあるスクリプトを埋め込まれたWebサ ...
メールヘッダ・インジェクションとは Webサイトには「お問い合わせフォーム」や「アンケート」などのように特定の相手にメールを送信する機能があります。この時、Webサイトで入力した内容を送信する相手はシステム側で固定(主にWebサイトの管理者など)されているのが一般的です。 メールヘッダ・インジェクション攻撃は「お問い合わせフォーム」や「アンケート」などのように特定の相手にメールを送信する機能に対して、入力データを"改ざん"することで、メールの送信先を「悪意のある攻撃者」によって操作する攻撃のことをいいます ...
【WordPress】AMPページにコメント欄へのボタンを設置する方法 AMPページに通常のコメント欄は表示されない AFFINGER5のコメント欄は以下のようなイメージですが、AMPを適用するとAMPページにコメント欄は表示されません。 AMPとはGoogleが推進する主にモバイルページの表示速度を高速に表示させるための技術です。AMPを適用することで、サイトの表示速度は高速となりますが、コメントのような一部の機能が使えなくなるデメリットがあります。 本記事では、AMPページにコメント欄へ ...
クロスサイトリクエストフォージェリ(CSRF)とは クロスサイトリクエストフォージェリ(CSRF)とは、会員サイトなどでログイン状態を保持したまま「悪意のある攻撃者」が作成した罠サイトのボタンやリンクを押下することで、利用者の意図しない形でリクエストを送られてしまう攻撃です。 クロスサイトリクエストフォージェリ(CSRF)の説明の前に、セッションIDがどのようなものか理解しておくことをお勧めします。セッションIDの説明は以下をご覧ください。 [CSRFの流れ1] 会員サイトにログインする 悪意のある攻撃者 ...
ディレクトリトラバーサルとは ディレクトリトラバーサルとは、Webサイトからファイル名を直接指定するようなWebアプリケーションに対して、ファイル名を不正に書き換え、本来閲覧することができないファイルにアクセスする攻撃です。 例えば、以下のようなWebアプリケーションが存在するとします。 Webサーバには、以下の2つのファイルが存在。 /home/work/sample.txt :公開しているファイル /home/pass/password.txt :機密情報で公開していないファイル そして ...
OSコマンド・インジェクションとは OSコマンド・インジェクションとは、Webサイトの入力フォームや掲示板などで「OSコマンド(※コンピュータへの命令文)」を含む文字列を送信することで、Webサーバに意図しない「OSコマンド」を実行させる攻撃です。 OSコマンド・インジェクション攻撃により発生しうる脅威は以下の通りです。 脅威 説明 サーバ内ファイルの不正操作 重要情報の漏洩(重要なファイルを閲覧される)や設定ファイルの改ざん、重要なファイルの削除など 不正なシステム操作 OSのシャットダウンやユーザアカ ...
セッションハイジャックとは セッションハイジャックとは、Webサイトなどで利用されるセッションIDを盗聴や推測で盗み出し、利用者に「なりすまし」不正アクセスを行うサイバー攻撃の一種です。 セッションIDとは 一般的に個人情報を扱う会員サイトはログイン画面があり、ログインIDとパスワードで認証することで会員サイトにログインします。 この時、ログインした会員のセッションを識別するIDとして「セッションID」が、サーバで払い出されます。Webサーバにより払い出された「セッションID」は、Webブラウザで情報を共 ...
セッションIDとは セッションIDとは、Webサイトなどで通信中の利用者が使用するセッションを識別するためのIDのことです。セッションIDは一般的にログイン時にWebサーバにより払い出され、ログアウトするまで維持します。 Webサイトは複数のユーザが利用します。もしセッションIDが存在しないと、要求を受けたサーバは誰からのリクエストなのか判断できません。 このようにログイン時にセッションIDを払い出し、利用者を識別する仕組みのことを「セッション管理」といいます。 Webサーバにより払い出された「セッション ...
DoS攻撃ってなに? DoS攻撃(Denial of Servicesの略)とは、攻撃の標的となったWebサイトやサーバに対して大量のデータを送信するサイバー攻撃の一種です。 大量データの負荷に耐えられなくなった、Webサイトやサーバはシステムを正常に稼働することが困難な状態に追い込まれます。 DoS攻撃には、以下の2通りが存在します。 名前 説明 フラッド型 Floodとは"洪水"という意味で、大量のデータや巨大なデータを送り付けることでサービスを利用不能にする攻撃。 脆弱性型 サービスの脆弱性を利用す ...
クリックジャッキングってなに? クリックジャッキングとは「透明で見えない罠ページ」と「真正なWebページ」を重ねて表示し、利用者に意図しない操作を行わせる手法です。 一般的に知名度のあるWebページや無害なWebページをiframeで読み込みます。そしてスタイルシート(CSS)などを利用して透明で見えない罠ページを作り、iframeで読み込んだ「真正なWebページ」と「罠ページ」を重ねて表示させます。 その結果、利用者は「罠ページ」が隠れていることに気がつきません。重ねて表示されている「真正なWebページ ...
標的型攻撃ってなに? 標的型攻撃とは、標的を企業や特定の個人に狙いを定め、機密情報などを盗み取ることを目的とし、攻撃を繰り返し行うサイバー攻撃の一種です。 標的型攻撃は様々な手口で、標的となった企業や個人に攻撃を仕掛けてきます。よくある手口は、メールにマルウェア(ウイルス)を添付して直接、標的にメール(標的型攻撃メール)を送り付けるというシンプルな方法です。 標的型攻撃メールは「迷惑メール」とは違い、信頼できる企業などに「なりすまし」て送信してくるケースが多く、メールの内容も不自然ではないため、標的型攻撃 ...
ドライブバイダウンロード ドライブバイダウンロードとは、利用者が知らないうちに何らかしらのソフトウェア(主にマルウェア)を勝手に利用者のパソコンにダウンロードし、実行させるサイバー攻撃の一種です。 ドライブバイダウンロードの被害に遭うケースは「悪意のある攻撃者」が用意したWebサイトだけではありません。安全だと考えられる有名なサイトからでも、ドライブバイダウンロードの被害に遭うことがあります。 攻撃者は、人が集まる有名なサイトに脆弱性がないか調査します。もし脆弱性がある場合、脆弱性を突いた攻撃をしてWeb ...
水飲み場型攻撃とは 水飲み場型攻撃とは、特定の企業などの機密情報を盗み取る「標的型攻撃」の一種。 ターゲットが習慣的に見るWebサイトを調査し、そのWebサイトに罠を仕掛け、閲覧するだけでマルウェアに感染させる攻撃です。 1.ターゲットが習慣的に閲覧するWebサイトを調査 攻撃者は、ターゲットが習慣的に閲覧するWebサイトを推測または観測により特定します。 2.「改ざん」できるWebサイトであるか調査 ターゲットが習慣的に閲覧するWebサイトに、脆弱性がないか、Webサイトを「改ざん」できる ...
SQLインジェクションとは SQLインジェクションとは、入力フォームなどから入力した「SQL文を含む文字列」で、アプリケーションが想定していないSQL文を実行させ、データベースの情報を不正操作するサイバー攻撃の一種です。 次の図は、SQLインジェクションのイメージ例です。 SQLインジェクション対策していないWebサイトに対し、悪意のある攻撃者が「SQL文を含む文字列」を入力して検索や登録を行う。 悪意のある攻撃者が入力した「SQL文を含む文字列」が実行される。 データベースの情報が不正操作される。 SQ ...
INSERT文への「SQLインジェクション」攻撃例 INSERT文への簡単な攻撃例を紹介します。 よくある登録画面に以下の文字列を入力して「登録」します。 名前:テスト名前', (select user_password from sampledb.user_password where id='1' limit 0,1)) -- 終わり 住所:任意の文字列(空でも平気)※画面例は空 次に登録内容を画面に表示させると、住所の所に登録していない値が表示されています。 この「password01」というのは ...
ロリポップからエックスサーバーへ移行した結果、アクセス数が激減した体験談 「ロリポップ」から「エックスサーバー」へサーバーを移行した理由 サイトを開設した当初は、なるべく低コストで始めたかったので「ロリポップ」を使っていました。私が契約していたプランは「ロリポップ」のスタンダードプランです。月500円と低価格です。 以下はロリポップとエックスサーバーの比較表です。 性能 ロリポップ エックスサーバー プラン スタンダード X10 価格 月500円~ 月900円~ Webサーバー Apache ...
ランサムウェアってなに? ランサムウェアとは、身代金要求プログラムといわれており、使用しているコンピュータを強制的にロックしたり、重要なファイルを暗号化し、元に戻す代わりに身代金を要求してくるマルウェアです。 ランサムウェアに感染すると、コンピュータの画面に警告が表示され、「一定時間内に身代金を払わなければファイルを取り戻すことはできない」などと脅迫されます。 また、ランサムウェアにはワーム機能を持っていることが多く、一台が感染するとネットワークを介して他のコンピュータにも感染が拡大していきます。 ランサ ...
スパイウェアってなに? スパイウェアとは情報収集を目的としたプログラムで、コンピュータ内の個人情報や行動を収集して外部に送信するマルウェアです。名前の通り「スパイ」を目的としコンピュータに忍び込み、外部に情報を流します。 スパイウェアには、主に以下のような種類があります。 キーロガー キーロガーとは閲覧したホームページやキーボード操作を記録し、パスワード等の個人情報を盗み取る事を目的としたマルウェアです。 キーロガーは、インターネットカフェのような公共施設のパソコンに仕掛けられているケースがあり、過去幾度 ...
ワームってなに? ワームとはマルウェア(※マルウェアとは悪意のあるプログラムの総称)の一種で、ワーム自身の複製を作り、ネットワークなどを介して他のコンピュータへ感染していく、非常に感染力の強いマルウェアです。 ワームは、他のプログラムやファイルの一部を書き換え寄生するコンピュータウイルス(狭義のウイルス)とは違い、単独で行動します。ワームに感染したコンピュータは様々な被害を受け、更に他のコンピュータにも感染し、被害を拡大していくのが特徴です。 ワームへの感染経路 感染経路 説明 ネットワークからの感染 ワ ...