Products

サイバーセキュリティ入門を読みました!

投稿日:2017年3月25日 更新日:

はじめに

サイバーセキュリティ入門: 私たちを取り巻く光と闇」を読みました。

本日は備忘録も兼ね、各攻撃手法についてまとめたいと思います。
(詳細は、実際に読んでみてください。)

DoS(DDoS)攻撃

  • DOSはDenial of Serviceの略語です。
  • 攻撃目標(Webサイトなど)に対してリクエストを大量に送りつけ、サーバのメモリやCPUを浪費させて処理能力を低下させたり、ネットワークを過負荷にすることにより攻撃目標のサービスを妨害することを目的としています。
  • DDoSはDistributed DoSの略語で、分散DoSとも呼ばれます。
  • ボットネットワーク(ボットに感染した複数のホストにより構成されたネットワーク)から攻撃目標に対して一斉にリクエストを送りつける攻撃のことになります。

標的型攻撃

  • 攻撃目標をある程度絞って行う攻撃で、一般的にはマルウェアやSPAMなどの迷惑メールを介して行います。
  • 標的型攻撃でのメールは攻撃目標が関心をもっている、あるいは、関係あると思わせるような内容が記載されていることが多々あります。
  • 標的型攻撃では、攻撃者がある程度攻撃対象の情報を持っていなければならず、送られたメールから攻撃者を特定できる場合もあるため、近年では減少傾向にあります。

クロスサイトスクリプティング(XSS)

  • ウェブサイトに対する攻撃手法の代表とも言われるほどメジャーな攻撃方法です。
  • 攻撃者は文字列を入力させるフォーム(例えばコメント欄など)に対してJavaScriptコードを入力します。
  • これにより、サニタイジング(入力された文字列をエスケープし無害な文字列に変換すること)がしっかりされていないサイトでは、任意のJavaScriptコードを実行できてしまいます。

SQLインジェクション

  • フォームに対して不正な文字列を入力することで、攻撃対象のデータベースを制御する攻撃です。

例えば、ログインフォームに下記のような入力を行います。

これにより発行されるSQLは下記のようになります。

ORの後ろの 'A' = 'A' は真となるため、ログインに成功してしまいます。

DNSキャッシュポイゾニング

DNSは大本であるルートサーバ、対象ドメインを管理する権威DNSサーバ(プライマリサーバ)、キャッシュサーバ(セカンダリサーバ)から構成されています。

  1. ユーザはまずキャッシュサーバに問い合わせを行います。
  2. 問い合わせたドメインがキャッシュにない場合、キャッシュサーバはルートサーバに問い合わせを行い、その後、委任されたDNSサーバを辿って最終的な権威DNSサーバに問い合わせを行います。
  3. 攻撃者はキャッシュサーバが問い合わせを行っている間に、キャッシュサーバに対して偽のDNSレスポンスを連続的に送ります。
  4. キャッシュサーバは送られてきた偽のレスポンスを正規のレスポンスとして受け入れます。
  5. その結果、そのドメインにアクセスしたユーザは偽のアドレスに誘導されてしまいます。

クロスサイトリクエストフォージェリ(CSRF)

  1. 攻撃者はまず、脆弱性を持つウェブサイトを見つけ出し、不正なプログラムを仕込むなどの改ざんを行います。
  2. 次に、匿名掲示板やメールなどを通じて改ざんしたサイトに誘導します。
  3. 改ざんしたサイトにアクセスが有ると、仕込んだ不正なプログラムをユーザ(ブラウザなど)に送り込み支配します。
  4. 攻撃者の命令がインターネットを通じて発行されると、支配したブラウザなどを通し別のサイトなどへ不正なリクエストを送ります。
  5. 本来被害者であるはずのユーザが加害者になってしまうところがこの攻撃の脅威です。

さいごに

本書は全体を通して、専門用語をわかりやすい例えで説明しております。

また、インターネットの基礎的な知識も得ることができることから、コンピュータに興味がある高校生などにもオススメの一冊です。

本の目次

  1. インターネットの仕組み(プロトコル、ルーティング)
  2. 暗号の世界に飛び込もう(AES、RSAなどの暗号化方式)
  3. インターネットとセキュリティ(VPN、電子証明書)
  4. インターネットにおけるサイバー攻撃(DOSを始めとした攻撃手法)
  5. ハードウェアとソフトウェア(ハードウェアによる暗号化とその解析)
  6. 私達を取り巻くセキュリティ(法律)

 

blog-page_footer_336




blog-page_footer_336




-Products

執筆者:

免責事項

このブログは、記事上部に記載のある投稿日時点の一般的な情報を提供するものであり、投資等の勧誘・法的・税務上の助言を提供するものではありません。仮想通貨の投資・損益計算は複雑であり、個々の取引状況や法律の変更によって異なる可能性があります。ブログに記載された情報は参考程度のものであり、特定の状況に基づいた行動の決定には専門家の助言を求めることをお勧めします。当ブログの情報に基づいた行動に関連して生じた損失やリスクについて、筆者は責任を負いかねます。最新の法律や税務情報を確認し、必要に応じて専門家に相談することをお勧めします。


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

良いFAQの書き方─ユーザーの「わからない」を解決するための文章術を読んでみて

1 はじめに2 簡単に各章ごとの内容やまとめ2.1 第1章 FAQはなぜ重要なのか2.2 第2章 FAQを書くための基礎知識2.3 第3章 Qの書き方2.4 第4章 Aの書き方2.5 第5章 FAQの ...

GRIT(やり抜く力)

こんにちは、onoです。 優れたパフォーマンスを発揮する人を目にした時、皆さんはどのように感じるでしょうか。 「あの人には才能がある」と感じる人が多いかもしれません。 しかし、その誰もがみな特殊な才能 ...

エンジニア向け英語学習アプリのエンジリッシュをやってみた

1 はじめに2 エンジリッシュって?3 とりあえずやってみる4 ログインしてみる5 さいごに はじめに ソフトバンク、広島の優勝や、台風などで賑やかな連休でしたね。 そんな私はエンジリッシュというアプ ...

今更ですがZERO to ONEを読みました!

今更ではありますが、ペイパルマフィアと呼ばれるピーター・ティール氏の「ZERO to ONE」を読みました。 今回は、本を読んだ感想を記載させていただきます。 1 ピーター・ティールとは2 販売戦略の ...

GoogleのQuick, Drawで遊んでみた

1 はじめに2 Quick, Draw!の概略3 やってみた3.1 お題が出ます3.2 書いてみる4 6回試した結果は…5 さいごに5.1 余談ですが。。。 はじめに グーグルに学ぶディープラーニング ...

フォロー

blog-page_side_responsive

2017年3月
 1234
567891011
12131415161718
19202122232425
262728293031  

アプリ情報

私たちは無料アプリもリリースしています、ぜひご覧ください。 下記のアイコンから無料でダウンロードできます。