兵庫WEB制作.com

【シリーズ:セキュリティ】サイバー攻撃の手法(その他の攻撃編 その1)

2018年5月16日

サイバー攻撃の手法を、パスワード編マルウェア編と確認しましたが、まだまだ攻撃の手法が存在します。

お腹いっぱいかもしれませんが、もっともっと重要な手口があるんです。

情報セキュリティの基礎

DoS攻撃

DoS(ドス)攻撃というのを聞いたことがないでしょうか。

DoSは、Denial of Serviceの頭文字をとったもので、サービス不能攻撃といいます。

サーバーなどのネットワーク機器に、大量のデータ(パケット)を送り、サービス機能を著しく低下させたり、不能にさせる攻撃です。

また、DDoS(Distributed DoS)攻撃というのもあり、複数のコンピュータ(踏み台)から一斉攻撃を行います。

バッファオーバーフロー攻撃

プログラムが一時的な情報を記憶するメモリ領域(=バッファ)よりも多いデータを送り込み、領域を破壊して動作を不能にさせ、プログラムを上書きする攻撃です。

C言語などの特定のプログラム言語で作成した際に起こる攻撃となるため、言語を使わないという策もあります。

SQLインジェクション

単語の意味を紐解くたびに内容が複雑になるので、あえてここでは省略します。

これは何の攻撃かというと、データベースアクセスや更新で、不正な命令文を送信してしまい、本来アクセスできないデータにアクセスしたり、データが書き換えられるといったことになる攻撃です。

例えば、ホームページのよくある通常の入力項目に、命令文に使用するような制御文字が入力され、意図しない動作や処理を実行されてしまいます。
不正な制御文字を、意図しない処理をさせないための別の文字への置き換えなど、プログラム内での可能な対策はあります。

クロスサイトスクリプティング攻撃

悪意のあるスクリプトをサイトに埋め込む攻撃のことをいいます。

スクリプトを実行させることで、ブラウザに記録された情報の漏洩するなどの被害が出ます。

下記の図は、クロスサイトスクリプティング攻撃の流れを表したものです。

クロスサイトスクリプティング攻撃

対処方法は、スクリプトを実行させないよう、制御文字をエスケープ処理する方法があります。

※エスケープ処理は、&(アンパサンド)、>(等号)、”(ダブルクォーテーション)などの特殊部類にあたる文字を、適切な処理を実行できるような文字に置き換えて、正常な処理の為に対応させることです。

関連過去記事:
サイバー攻撃の手法(パスワード編)
サイバー攻撃の手法(マルウェア編)

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

カテゴリ

最新コラム

Facebook TWITTER LINE