サイバーセキュリティ入門 後編

こんにちは、h_ono_222です。
今回のドトール会のテーマは「サイバーセキュリティ入門: 私たちを取り巻く光と闇」の「4. インターネットにおけるサイバー攻撃」についてです。

4.　インターネットにおけるサイバー攻撃

ここでは、有名な攻撃手法とその手口について書かれています。

具体的には、

• DoS（DDoS）攻撃
• 標的型攻撃
• クロスサイトスクリプティング（XSS）
• SQLインジェクション
• DNSキャッシュポイズニング
• クロスサイトリクエストフォージェリ（CSRF）

など（個人的な観点に基づいて抜粋しました）です。

上記の攻撃手法について簡単に説明します。

(1) DoS（DDoS）攻撃

DOSはDenial of Serviceの略語です。

攻撃目標（Webサイトなど）に対してリクエストを大量に送りつけ、サーバのメモリやCPUを浪費させて処理能力を低下させたり、

ネットワークを過負荷にすることにより攻撃目標のサービスを妨害します。

DDoSはDistributed DoSの略語で、分散DoSとも呼ばれます。

ボットネットワーク（ボットに感染した複数のホストにより構成されたネットワーク）から攻撃目標に対して一斉にリクエストを送りつける攻撃です。


（2）標的型攻撃
攻撃目標をある程度絞って行う攻撃で、一般的にはマルウェアやSPAMなどの迷惑メールを介して行われます。
標的型攻撃でのメールは攻撃目標が関心をもっている、あるいは、関係あると思わせるような内容が記載されていることが多々あります。
しかし、標的型攻撃では攻撃者がある程度攻撃対象の情報を持っていなければならず、送られたメールから攻撃者を特定できる場合もあるため、近年では減少傾向にあります。


（3）クロスサイトスクリプティング（XSS）
ウェブサイトに対する攻撃手法の代表とも言われるほどメジャーな攻撃方法です。
攻撃者は文字列を入力させるフォーム（例えばコメント欄など）に対してJavaScriptコードを入力します。
これにより、サニタイジング（入力された文字列をエスケープし無害な文字列に変換すること）がしっかりされていないサイトでは、任意のJavaScriptコードを実行できてしまいます。


（4）SQLインジェクション
フォームに対して不正な文字列を入力することで、攻撃対象のデータベースを制御する攻撃です。
例えば、ログインフォームに下記のような入力を行います。

user_name = hogehoge
password  = 'OR'A' = 'A

これにより発行されるSQLは下記のようになります。

SELECT * FROM users WHERE user_name = hogehoge AND password = ''OR 'A' = 'A'

ORの後ろの'A' = 'A'は真となるためログインに成功してしまいます。


（6）DNSキャッシュポイゾニング
DNSは大本であるルートサーバ、対象ドメインを管理する権威DNSサーバ（プライマリサーバ）、
キャッシュサーバ（セカンダリサーバ）から構成されています。

ユーザはまずキャッシュサーバに問い合わせを行います。
問い合わせたドメインがキャッシュにない場合、キャッシュサーバはルートサーバに問い合わせを行い、その後、委任されたDNSサーバを辿って最終的な権威DNSサーバに問い合わせを行います。

攻撃者はキャッシュサーバが問い合わせを行っている間に、キャッシュサーバに対して偽のDNSレスポンスを連続的に送ります。
キャッシュサーバは送られてきた偽のレスポンスを正規のレスポンスとして受け入れます。
その結果、そのドメインにアクセスしたユーザは偽のアドレスに誘導されてしまいます。


（7）クロスサイトリクエスをフォージェリ（CSRF）
攻撃者はまず、脆弱性を持つウェブサイトを見つけ出し、不正なプログラムを仕込むなどの改ざんを行います。
次に、匿名掲示板やメールなどを通じて改ざんしたサイトに誘導します。
改ざんしたサイトにアクセスが有ると、仕込んだ不正なプログラムをユーザ（ブラウザなど）に送り込み支配します。
攻撃者の命令がインターネットを通じて発行されると、支配したブラウザなどを通し別のサイトなどへ不正なリクエストを送ります。

本来被害者であるはずのユーザが加害者になってしまうところがこの攻撃の脅威です。


本日は以上です。