このレッスンでは、サイバー攻撃の手口のうち、
- ブルートフォース攻撃
- フィッシング攻撃
- クロスサイトリクエストフォージェリ
- ゼロデイ攻撃
について解説を進めます。
ブルートフォース攻撃
前回のレッスンで「パスワードリスト攻撃」について学習しましたが、
パスワードに関する攻撃には、他のタイプの手口もあります。
その1つがブルートフォース攻撃です。
ブルートフォース攻撃はIDを固定して、
パスワードとして予想される全ての文字列を試す、
総当たり攻撃です。
例えば、4桁の番号をパスワードにしている場合であれば、
「0000」~「9999」の全ての組み合わせを試せば、
正しいパスワードと一致した時点でログインができてしまいます。
単純な攻撃方法ですがプログラムを使えば手間がかからず、
簡単に突破されてしまいます。
短い文字数や、少ない文字種のパスワードは特に危険です。
また、IDを固定して、一般的によく使われるパスワードを優先的に試す攻撃もあり、
これは「辞書攻撃」と呼ばれます。
簡単でわかりやすい単語のみをパスワードにしている場合は、
簡単に突破される可能性が高いでしょう。
フィッシング攻撃
フィッシングとは、
実在する企業を装って、本物と同じような偽Webサイトをつくり、
メールなどに偽サイトのURLをつけてユーザーをおびき出し、
個人情報やID、パスワードなどを入力させて盗み出す手口です。
有名企業の名前を使って件名に
「重要なお知らせ」
「アカウントがロックされました」
「請求のお知らせ」
などと書いてメールを送ってくることが多いので、
くれぐれも注意しましょう。
以前は少し注意していれば気がつけましたが、
だんだん手口が巧妙になってきており、
ユーザーが気がつきにくくなっています。
正規のサイトと同じ見た目のWebサイトがつくれてしまうため、
注意しなければなりません。
被害を防ぐには、
メールに記載されたURLを安易にクリックしないことです。
Webサイトを表示させたい時は、
メールに記載されたリンクからアクセスするのではなく、
ブックマークに登録したリンクから入るようにします。
またURLを確認すると偽サイトかどうかがわかる場合も多いです。
クロスサイトリクエストフォージェリ
「クロスサイトリクエストフォージェリ」は、
攻撃者がつくった罠がしかけられたWebサイトにアクセスすると、
別のWebサイトに不正なリクエストが送られてしまう手口です。
例えば、攻撃用のWebサイトをつくった上で、
メールなどでそのサイトのURLを送り、
クリックするように誘導します。
クリックすると、別のインターネットの掲示板に、
勝手に書き込まれてしまうという手口です。
この場合、狙われるのはターゲットとなるWebサイトのユーザーです。
表示されるWebサイトに怪しい感じがしなければ、
気がつくのは難しいでしょう。
被害に遭ったユーザーは、
掲示板に勝手に書き込まれていることにも気がつきません。
Webサイトの管理者が自動的な投稿を防いだり、
リクエストを実行する前にパスワードの入力を求めるようにするなど、
対策をすることが求められます。
またこの手口は、ユーザーがWebサイトにログインしている状態で行われるので、
サービスを利用したら必ずログアウトするようにしましょう。
ゼロデイ攻撃
ゼロデイは英語のZero dayのことで、
「0日」の意味です。
ソフトウェアの脆弱性が発見されてから、
修正プログラムが提供される日までの間の攻撃をゼロデイ攻撃と言います。
修正プログラムが提供される日を1日目とすると、
攻撃されるのがそれ以前なので「ゼロデイ」なのです。
攻撃者に脆弱性を見つけられて攻撃されると、
対策をすることができません。
脆弱性を発見してから修正プログラムができるまでの間は、
開発元から一時的な回避策などが提示される場合もあります。
ゼロデイ攻撃を回避するためには、
開発者やセキュリティ担当者をはじめ、
社外の専門家にも協力してもらい、
攻撃者よりも先に脆弱性を発見し修正プログラムをつくることが重要です。
また脆弱性緩和ソフトというソフトウェアもあり、
全ての脆弱性に対して対応しているわけではありませんが、
このおかげで回避できたというケースもあります。
次のレッスンもサイバー攻撃の手口について学習を進めます。
