セキュリティ

2025/6/12

クロスサイトリクエストフォージェリ（CSRF）とは

クロスサイトリクエストフォージェリ（CSRF）とはクロスサイトリクエストフォージェリ（CSRF）とは、会員サイトなどでログイン状態を保持したまま「悪意のある攻撃者」が作成した罠サイトのボタンやリンクを押下することで、利用者の意図しない形でリクエストを送られてしまう攻撃です。クロスサイトリクエストフォージェリ（CSRF）の説明の前に、セッションIDがどのようなものか理解しておくことをお勧めします。セッションIDの説明は以下をご覧ください。 [CSRFの流れ1] 会員サイトにログインする悪意のある攻撃者 ...

2022/12/25

ディレクトリトラバーサルとは | 分かりやすく図解で解説

ディレクトリトラバーサルとはディレクトリトラバーサルとは、Webサイトからファイル名を直接指定するようなWebアプリケーションに対して、ファイル名を不正に書き換え、本来閲覧することができないファイルにアクセスする攻撃です。例えば、以下のようなWebアプリケーションが存在するとします。 Webサーバには、以下の2つのファイルが存在。 /home/work/sample.txt ：公開しているファイル /home/pass/password.txt ：機密情報で公開していないファイルそして ...

2022/12/25

OSコマンド・インジェクションとは

OSコマンド・インジェクションとは OSコマンド・インジェクションとは、Webサイトの入力フォームや掲示板などで「OSコマンド（※コンピュータへの命令文）」を含む文字列を送信することで、Webサーバに意図しない「OSコマンド」を実行させる攻撃です。 OSコマンド・インジェクション攻撃により発生しうる脅威は以下の通りです。脅威説明サーバ内ファイルの不正操作重要情報の漏洩（重要なファイルを閲覧される）や設定ファイルの改ざん、重要なファイルの削除など不正なシステム操作 OSのシャットダウンやユーザアカ ...

2025/6/12

セッションハイジャックとは | 分かりやすく図解で解説

セッションハイジャックとはセッションハイジャックとは、Webサイトなどで利用されるセッションIDを盗聴や推測で盗み出し、利用者に「なりすまし」不正アクセスを行うサイバー攻撃の一種です。セッションIDとは一般的に個人情報を扱う会員サイトはログイン画面があり、ログインIDとパスワードで認証することで会員サイトにログインします。この時、ログインした会員のセッションを識別するIDとして「セッションID」が、サーバで払い出されます。Webサーバにより払い出された「セッションID」は、Webブラウザで情報を共 ...

2025/6/12

セッションIDとは | 分かりやすく図解で解説

セッションIDとはセッションIDとは、Webサイトなどで通信中の利用者が使用するセッションを識別するためのIDのことです。セッションIDは一般的にログイン時にWebサーバにより払い出され、ログアウトするまで維持します。 Webサイトは複数のユーザが利用します。もしセッションIDが存在しないと、要求を受けたサーバは誰からのリクエストなのか判断できません。このようにログイン時にセッションIDを払い出し、利用者を識別する仕組みのことを「セッション管理」といいます。 Webサーバにより払い出された「セッション ...

2023/12/9

DoS攻撃とは

DoS攻撃ってなに？ DoS攻撃（Denial of Servicesの略）とは、攻撃の標的となったWebサイトやサーバに対して大量のデータを送信するサイバー攻撃の一種です。大量データの負荷に耐えられなくなった、Webサイトやサーバはシステムを正常に稼働することが困難な状態に追い込まれます。 DoS攻撃には、以下の2通りが存在します。名前説明フラッド型 Floodとは"洪水"という意味で、大量のデータや巨大なデータを送り付けることでサービスを利用不能にする攻撃。脆弱性型サービスの脆弱性を利用す ...

2024/11/20

クリックジャッキングとは | 具体的な攻撃例

クリックジャッキングってなに？クリックジャッキングとは「透明で見えない罠ページ」と「真正なWebページ」を重ねて表示し、利用者に意図しない操作を行わせる手法です。一般的に知名度のあるWebページや無害なWebページをiframeで読み込みます。そしてスタイルシート（CSS）などを利用して透明で見えない罠ページを作り、iframeで読み込んだ「真正なWebページ」と「罠ページ」を重ねて表示させます。その結果、利用者は「罠ページ」が隠れていることに気がつきません。重ねて表示されている「真正なWebページ ...

2022/12/25

標的型攻撃とは？標的型攻撃の手口と被害事例

標的型攻撃ってなに？標的型攻撃とは、標的を企業や特定の個人に狙いを定め、機密情報などを盗み取ることを目的とし、攻撃を繰り返し行うサイバー攻撃の一種です。標的型攻撃は様々な手口で、標的となった企業や個人に攻撃を仕掛けてきます。よくある手口は、メールにマルウェア（ウイルス）を添付して直接、標的にメール（標的型攻撃メール）を送り付けるというシンプルな方法です。標的型攻撃メールは「迷惑メール」とは違い、信頼できる企業などに「なりすまし」て送信してくるケースが多く、メールの内容も不自然ではないため、標的型攻撃 ...

2022/12/25

ドライブバイダウンロードとは

ドライブバイダウンロードドライブバイダウンロードとは、利用者が知らないうちに何らかしらのソフトウェア（主にマルウェア）を勝手に利用者のパソコンにダウンロードし、実行させるサイバー攻撃の一種です。ドライブバイダウンロードの被害に遭うケースは「悪意のある攻撃者」が用意したWebサイトだけではありません。安全だと考えられる有名なサイトからでも、ドライブバイダウンロードの被害に遭うことがあります。攻撃者は、人が集まる有名なサイトに脆弱性がないか調査します。もし脆弱性がある場合、脆弱性を突いた攻撃をしてWeb ...

2024/12/11

水飲み場型攻撃とは？攻撃手段を分かりやすく解説

水飲み場型攻撃とは水飲み場型攻撃とは、特定の企業などの機密情報を盗み取る「標的型攻撃」の一種。ターゲットが習慣的に見るWebサイトを調査し、そのWebサイトに罠を仕掛け、閲覧するだけでマルウェアに感染させる攻撃です。１．ターゲットが習慣的に閲覧するWebサイトを調査攻撃者は、ターゲットが習慣的に閲覧するWebサイトを推測または観測により特定します。２．「改ざん」できるWebサイトであるか調査ターゲットが習慣的に閲覧するWebサイトに、脆弱性がないか、Webサイトを「改ざん」できる ...

2025/6/12

SQLインジェクションとは | 具体的な攻撃例と対策方法

SQLインジェクションとは SQLインジェクションとは、入力フォームなどから入力した「SQL文を含む文字列」で、アプリケーションが想定していないSQL文を実行させ、データベースの情報を不正操作するサイバー攻撃の一種です。次の図は、SQLインジェクションのイメージ例です。 SQLインジェクション対策していないWebサイトに対し、悪意のある攻撃者が「SQL文を含む文字列」を入力して検索や登録を行う。悪意のある攻撃者が入力した「SQL文を含む文字列」が実行される。データベースの情報が不正操作される。 SQ ...

2025/6/12

ランサムウェアとは？身代金要求型ウイルスの実態

ランサムウェアってなに？ランサムウェアとは、身代金要求プログラムといわれており、使用しているコンピュータを強制的にロックしたり、重要なファイルを暗号化し、元に戻す代わりに身代金を要求してくるマルウェアです。ランサムウェアに感染すると、コンピュータの画面に警告が表示され、「一定時間内に身代金を払わなければファイルを取り戻すことはできない」などと脅迫されます。また、ランサムウェアにはワーム機能を持っていることが多く、一台が感染するとネットワークを介して他のコンピュータにも感染が拡大していきます。ランサ ...

2025/6/12

スパイウェアとは

スパイウェアってなに？スパイウェアとは情報収集を目的としたプログラムで、コンピュータ内の個人情報や行動を収集して外部に送信するマルウェアです。名前の通り「スパイ」を目的としコンピュータに忍び込み、外部に情報を流します。スパイウェアには、主に以下のような種類があります。キーロガーキーロガーとは閲覧したホームページやキーボード操作を記録し、パスワード等の個人情報を盗み取る事を目的としたマルウェアです。キーロガーは、インターネットカフェのような公共施設のパソコンに仕掛けられているケースがあり、過去幾度 ...

2025/6/12

ワームとは | ワームの感染経路と被害事例

ワームってなに？ワームとはマルウェア（※マルウェアとは悪意のあるプログラムの総称）の一種で、ワーム自身の複製を作り、ネットワークなどを介して他のコンピュータへ感染していく、非常に感染力の強いマルウェアです。ワームは、他のプログラムやファイルの一部を書き換え寄生するコンピュータウイルス（狭義のウイルス）とは違い、単独で行動します。ワームに感染したコンピュータは様々な被害を受け、更に他のコンピュータにも感染し、被害を拡大していくのが特徴です。ワームへの感染経路感染経路説明ネットワークからの感染ワ ...

2025/6/12

トロイの木馬とは

トロイの木馬ってなに？トロイの木馬とは安全なプログラムと見せかけてコンピュータに侵入してくるマルウェアです。具体的には、画像ファイルやスマートフォンに役立つアプリなど「便利なモノ」に装い利用者にダウンロードさせようとします。また近年では、偽装を行わずWebサイトやOSの脆弱性を突く攻撃で「トロイの木馬」を利用者にダウンロードさせる手口もあります。次の図は、トロイの木馬のイメージ例です。トロイの木馬は、安全なプログラムであると見せかけてコンピュータ内に侵入します。そして、コンピュータ内に可能な限り長 ...

2025/6/12

マルウェアとは | マルウェアの種類と対策

マルウェアとはマルウェアとは、悪意のあるプログラムの総称であり、コンピュータウイルスもマルウェアの一種です。コンピュータウイルスと聞くと、得体のしれない菌がコンピュータを感染していくように感じますが、実際は、単なるプログラムにすぎません。代表的なマルウェアには、以下のような種類があります。コンピュータウイルス経済産業省の「コンピュータウイルス対策基準」によると、「自己伝染機能」「潜伏機能」「発病機能」の3つの中で1つでも当てはまればコンピュータウイルスであると定義されています。 (1)自己伝染機 ...

2025/6/12

フィッシングとは | ネット詐欺の手口と対策

フィッシングとはフィッシング (Phishing) とは、金融機関（銀行やクレジットカード会社）や有名企業（GoogleやTwitter等）、公共機関などになりすましメールやショートメッセージ (SMS) を送信し、正規サイトそっくりの偽のサイトに誘導することで、アカウントのIDやパスワード、クレジットカードなどの個人情報を盗む犯罪行為のことをいいます。フィッシング詐欺の手口フィッシング詐欺でよくある手口が、金融機関になりすましメールやショートメッセージ (SMS) を送ってくる手口です。（メール ...

2025/6/12

クロスサイトスクリプティング（XSS）とは | 分かりやすく図解で解説

Webサイトを作る仕事をしていると、よく聞く言葉である「クロスサイトスクリプティング」本記事では「クロスサイトスクリプティング」についての具体例や対策方法について図解で分かりやすく説明しています。クロスサイトスクリプティングってなに？クロスサイトスクリプティング（略称はXSS）とはWebサイトへの有名な攻撃で、Webサイトの掲示板など、閲覧者が投稿できる入力フォームから、悪意のあるスクリプトを投稿することで、Webサイトのページ内に悪意のあるスクリプトを埋め込む攻撃手法のことをいいます。悪意のある ...

2022/12/25

ゼロデイ攻撃とは

ゼロデイ攻撃ってなに？ゼロデイ攻撃とは、ソフトウェアの脆弱性発見後、その脆弱性に対するセキュリティパッチ（修正プログラム）が配布される前に、その脆弱性を利用した攻撃のことをいいます。 ※脆弱性とはプログラムの不具合や設計上のミスが原因で発生する安全上の欠陥上記はゼロデイ攻撃のイメージ図です。脆弱性が発見されると、脆弱性が発見されたソフトウェアを提供している企業が、その脆弱性に対するセキュリティパッチ（修正プログラム）を配布します。しかし脆弱性が発見されてから、セキュリティパッチが配布 ...

2022/12/25

スニッフィングとは | 不正アクセスの手法と対策

スニッフィングってなに？スニッフィングとは、ネットワークに流れるパケット（データ）を盗聴し、パスワードなどの情報を不正入手する手法です。上記はスニッフィングのイメージ図です。利用者が特定のサイトへログインする際、「悪意のあるユーザー」によりネットワーク上に流れるパケットを盗聴され「ID」と「パスワード」が盗み取られています。 LANアナライザ、パケットキャプチャツール、ネットワークモニタといった専用機器は、ネットワークに流れるパケットを監視し、問題解決のために ...

« Prev 1 2 3 4 Next »