分かる君

SQLインジェクションとは SQLインジェクションとは、入力フォームなどから入力した「SQL文を含む文字列」で、アプリケーションが想定していないSQL文を実行させ、データベースの情報を不正操作するサイバー攻撃の一種です。 次の図は、SQLインジェクションのイメージ例です。 SQLインジェクション対策していないWebサイトに対し、悪意のある攻撃者が「SQL文を含む文字列」を入力して検索や登録を行う。 悪意のある攻撃者が入力した「SQL文を含む文字列」が実行される。 データベースの情報が不正操作される。 SQ ...

INSERT文への「SQLインジェクション」攻撃例 INSERT文への簡単な攻撃例を紹介します。 よくある登録画面に以下の文字列を入力して「登録」します。 名前：テスト名前', (select user_password from sampledb.user_password where id='1' limit 0,1)) -- 終わり 住所：任意の文字列（空でも平気）※画面例は空  次に登録内容を画面に表示させると、住所の所に登録していない値が表示されています。 この「password01」というのは ...

ロリポップからエックスサーバーへ移行した結果、アクセス数が激減した体験談 「ロリポップ」から「エックスサーバー」へサーバーを移行した理由 サイトを開設した当初は、なるべく低コストで始めたかったので「ロリポップ」を使っていました。私が契約していたプランは「ロリポップ」のスタンダードプランです。月500円と低価格です。   以下はロリポップとエックスサーバーの比較表です。 性能 ロリポップ エックスサーバー プラン スタンダード X10 価格 月500円～ 月900円～ Webサーバー Apache ...

ランサムウェアってなに？ ランサムウェアとは、身代金要求プログラムといわれており、使用しているコンピュータを強制的にロックしたり、重要なファイルを暗号化し、元に戻す代わりに身代金を要求してくるマルウェアです。 ランサムウェアに感染すると、コンピュータの画面に警告が表示され、「一定時間内に身代金を払わなければファイルを取り戻すことはできない」などと脅迫されます。 また、ランサムウェアにはワーム機能を持っていることが多く、一台が感染するとネットワークを介して他のコンピュータにも感染が拡大していきます。 ランサ ...

スパイウェアってなに？ スパイウェアとは情報収集を目的としたプログラムで、コンピュータ内の個人情報や行動を収集して外部に送信するマルウェアです。名前の通り「スパイ」を目的としコンピュータに忍び込み、外部に情報を流します。 スパイウェアには、主に以下のような種類があります。 キーロガー キーロガーとは閲覧したホームページやキーボード操作を記録し、パスワード等の個人情報を盗み取る事を目的としたマルウェアです。 キーロガーは、インターネットカフェのような公共施設のパソコンに仕掛けられているケースがあり、過去幾度 ...

ワームってなに？ ワームとはマルウェア（※マルウェアとは悪意のあるプログラムの総称）の一種で、ワーム自身の複製を作り、ネットワークなどを介して他のコンピュータへ感染していく、非常に感染力の強いマルウェアです。 ワームは、他のプログラムやファイルの一部を書き換え寄生するコンピュータウイルス（狭義のウイルス）とは違い、単独で行動します。ワームに感染したコンピュータは様々な被害を受け、更に他のコンピュータにも感染し、被害を拡大していくのが特徴です。 ワームへの感染経路 感染経路 説明 ネットワークからの感染 ワ ...

トロイの木馬ってなに？ トロイの木馬とは安全なプログラムと見せかけてコンピュータに侵入してくるマルウェアです。 具体的には、画像ファイルやスマートフォンに役立つアプリなど「便利なモノ」に装い利用者にダウンロードさせようとします。また近年では、偽装を行わずWebサイトやOSの脆弱性を突く攻撃で「トロイの木馬」を利用者にダウンロードさせる手口もあります。 次の図は、トロイの木馬のイメージ例です。 トロイの木馬は、安全なプログラムであると見せかけてコンピュータ内に侵入します。そして、コンピュータ内に可能な限り長 ...

マルウェアとは マルウェアとは、悪意のあるプログラムの総称であり、コンピュータウイルスもマルウェアの一種です。 コンピュータウイルスと聞くと、得体のしれない菌がコンピュータを感染していくように感じますが、実際は、単なるプログラムにすぎません。 代表的なマルウェアには、以下のような種類があります。 コンピュータウイルス 経済産業省の「コンピュータウイルス対策基準」によると、「自己伝染機能」「潜伏機能」「発病機能」の3つの中で1つでも当てはまればコンピュータウイルスであると定義されています。 (1)自己伝染機 ...

フィッシングとは フィッシング (Phishing) とは、金融機関（銀行やクレジットカード会社）や有名企業（GoogleやTwitter等）、公共機関などになりすましメールやショートメッセージ (SMS) を送信し、正規サイトそっくりの偽のサイトに誘導することで、アカウントのIDやパスワード、クレジットカードなどの個人情報を盗む犯罪行為のことをいいます。 フィッシング詐欺の手口 フィッシング詐欺でよくある手口が、金融機関になりすましメールやショートメッセージ (SMS) を送ってくる手口です。 （メール ...

Webサイトを作る仕事をしていると、よく聞く言葉である「クロスサイトスクリプティング」 本記事では「クロスサイトスクリプティング」についての具体例や対策方法について図解で分かりやすく説明しています。 クロスサイトスクリプティングってなに？ クロスサイトスクリプティング（略称はXSS）とはWebサイトへの有名な攻撃で、Webサイトの掲示板など、閲覧者が投稿できる入力フォームから、悪意のあるスクリプトを投稿することで、Webサイトのページ内に悪意のあるスクリプトを埋め込む攻撃手法のことをいいます。 悪意のある ...

ゼロデイ攻撃ってなに？ ゼロデイ攻撃とは、ソフトウェアの脆弱性発見後、その脆弱性に対するセキュリティパッチ（修正プログラム）が配布される前に、その脆弱性を利用した攻撃のことをいいます。 ※脆弱性とはプログラムの不具合や設計上のミスが原因で発生する安全上の欠陥   上記はゼロデイ攻撃のイメージ図です。 脆弱性が発見されると、脆弱性が発見されたソフトウェアを提供している企業が、その脆弱性に対するセキュリティパッチ（修正プログラム）を配布します。 しかし脆弱性が発見されてから、セキュリティパッチが配布 ...

スニッフィングってなに？ スニッフィングとは、ネットワークに流れるパケット（データ）を盗聴し、パスワードなどの情報を不正入手する手法です。   上記はスニッフィングのイメージ図です。利用者が特定のサイトへログインする際、「悪意のあるユーザー」によりネットワーク上に流れるパケットを盗聴され「ID」と「パスワード」が盗み取られています。     LANアナライザ、パケットキャプチャツール、ネットワークモニタといった専用機器は、ネットワークに流れるパケットを監視し、問題解決のために ...

ブルートフォース攻撃（総当たり攻撃） ブルートフォース（Brute force）とは「力づくで」という意味で、別名「総当たり攻撃」とも呼ばれているパスワードを破る手法の一つです。 「力づくで」そして「総当たり攻撃」の名前の通り、パスワードに使用されていると想定される文字列を1つずつ試していくことで、パスワードを破る手法です。 例えば自転車のチェーンロックに「ブルートフォース攻撃」をする場合 1回目：「0000」 2回目：「0001」 3回目：「0002」 4回目：「0003」 5回目：「0004」 ※一般 ...

辞書攻撃ってなに？ 辞書攻撃とは、辞書に載っている単語や単語の組み合わせからパスワードの候補を作り、その候補を片っ端から試すことによりパスワードを破ろうとする手法です。 相当な数が収録されている辞書からパスワードの候補を作り、その候補を片っ端から試すのは、相当な時間がかかりますが、コンピュータに自動処理をさせれば短時間で実現することが可能です。そのためパスワード破りの手口として昔から用いられています。   参考URL：http://www.prweb.com/releases/worst/pas ...

デッドロックってなに？ デッドロックとは、お互いがロック解除待ち状態となり、どちらも処理が進行できなくなる状態のことをいいます。 共有資源に対して複数のアクセスが同時に発生しても問題なく動作できるようにする制御を「排他制御」といい、排他制御には「ロック」や「ミューテックス」「セマフォ」などの方式があります。 排他制御により、共有資源をロックした際に発生する現象がデッドロックです。 資源に対してロックを掛ける場合、まずはじめに「資源」をロックします。ロックされた「資源」はロックが解除されるまで、他のタスク（ ...

タスクスケジューリング方式とは タスクとは、コンピュータが処理する単位です。例えばコンピュータのアプリケーションアイコンをクリックすると、クリックしたアプリケーションを開くようにコンピュータに命令します。このような命令により発生する処理の単位をタスクといいます。 コンピュータに対する命令は一つとは限りません。コンピュータに複数の命令が依頼されることはよくあることです。しかし、処理を実行する「CPU」は複数のことを同時に処理できるわけではありません。 そのため、「CPU」にどのタスクを処理させるか、タスクの ...

タスクスケジューリング方式とは タスクとは、コンピュータが処理する単位です。例えばコンピュータのアプリケーションアイコンをクリックすると、クリックしたアプリケーションを開くようにコンピュータに命令します。このような命令により発生する処理の単位をタスクといいます。 コンピュータに対する命令は一つとは限りません。コンピュータに複数の命令が依頼されることはよくあることです。しかし、処理を実行する「CPU」は複数のことを同時に処理できるわけではありません。 そのため、「CPU」にどのタスクを処理させるか、タスクの ...

タスクスケジューリング方式とは タスクとは、コンピュータが処理する単位です。例えばコンピュータのアプリケーションアイコンをクリックすると、クリックしたアプリケーションを開くようにコンピュータに命令します。このような命令により行われる処理の単位をタスクといいます。 コンピュータに対する命令は一つとは限りません。複数の操作を同時に行い、コンピュータに複数の命令が依頼されることがあります。しかし、処理を実行する「CPU」は複数のことを同時に処理できるわけではありません。 そのため、「CPU」にどのタスクを処理さ ...

CPUってなに？ CPU（Central Processing Unitの略）とは、中央処理装置とも呼ばれるコンピュータの頭脳です。コンピュータの各装置を制御する指揮者的な役割を担当、そして命令に従って演算処理も行います。 CPUはIntel（インテル）とAMD （エーエムディー）という会社が作っています。AMDはIntelの製品に比べて低価格なのが特徴です。Intel製品はAMDに比べると高価格ですが、安定性には定評があります。 代表的なIntel製品のCPU CPU名 性能 価格 Core i9 ★★ ...

タスクスケジューリング方式とは タスクとは、コンピュータが処理する単位です。例えばコンピュータのアプリケーションアイコンをクリックすると、クリックしたアプリケーションを開くようにコンピュータに命令します。このような命令により行われる処理の単位をタスクといいます。 コンピュータに対する命令は一つとは限りません。複数の操作を同時に行い、コンピュータに複数の命令が依頼されることがあります。しかし、処理を実行する「CPU」は複数のことを同時に処理できるわけではありません。 そのため、「CPU」にどのタスクを処理さ ...