Products

サイバーセキュリティ入門を読みました!

投稿日:2017年3月25日 更新日:

はじめに

サイバーセキュリティ入門: 私たちを取り巻く光と闇」を読みました。

本日は備忘録も兼ね、各攻撃手法についてまとめたいと思います。
(詳細は、実際に読んでみてください。)

DoS(DDoS)攻撃

  • DOSはDenial of Serviceの略語です。
  • 攻撃目標(Webサイトなど)に対してリクエストを大量に送りつけ、サーバのメモリやCPUを浪費させて処理能力を低下させたり、ネットワークを過負荷にすることにより攻撃目標のサービスを妨害することを目的としています。
  • DDoSはDistributed DoSの略語で、分散DoSとも呼ばれます。
  • ボットネットワーク(ボットに感染した複数のホストにより構成されたネットワーク)から攻撃目標に対して一斉にリクエストを送りつける攻撃のことになります。

標的型攻撃

  • 攻撃目標をある程度絞って行う攻撃で、一般的にはマルウェアやSPAMなどの迷惑メールを介して行います。
  • 標的型攻撃でのメールは攻撃目標が関心をもっている、あるいは、関係あると思わせるような内容が記載されていることが多々あります。
  • 標的型攻撃では、攻撃者がある程度攻撃対象の情報を持っていなければならず、送られたメールから攻撃者を特定できる場合もあるため、近年では減少傾向にあります。

クロスサイトスクリプティング(XSS)

  • ウェブサイトに対する攻撃手法の代表とも言われるほどメジャーな攻撃方法です。
  • 攻撃者は文字列を入力させるフォーム(例えばコメント欄など)に対してJavaScriptコードを入力します。
  • これにより、サニタイジング(入力された文字列をエスケープし無害な文字列に変換すること)がしっかりされていないサイトでは、任意のJavaScriptコードを実行できてしまいます。

SQLインジェクション

  • フォームに対して不正な文字列を入力することで、攻撃対象のデータベースを制御する攻撃です。

例えば、ログインフォームに下記のような入力を行います。

これにより発行されるSQLは下記のようになります。

ORの後ろの 'A' = 'A' は真となるため、ログインに成功してしまいます。

DNSキャッシュポイゾニング

DNSは大本であるルートサーバ、対象ドメインを管理する権威DNSサーバ(プライマリサーバ)、キャッシュサーバ(セカンダリサーバ)から構成されています。

  1. ユーザはまずキャッシュサーバに問い合わせを行います。
  2. 問い合わせたドメインがキャッシュにない場合、キャッシュサーバはルートサーバに問い合わせを行い、その後、委任されたDNSサーバを辿って最終的な権威DNSサーバに問い合わせを行います。
  3. 攻撃者はキャッシュサーバが問い合わせを行っている間に、キャッシュサーバに対して偽のDNSレスポンスを連続的に送ります。
  4. キャッシュサーバは送られてきた偽のレスポンスを正規のレスポンスとして受け入れます。
  5. その結果、そのドメインにアクセスしたユーザは偽のアドレスに誘導されてしまいます。

クロスサイトリクエストフォージェリ(CSRF)

  1. 攻撃者はまず、脆弱性を持つウェブサイトを見つけ出し、不正なプログラムを仕込むなどの改ざんを行います。
  2. 次に、匿名掲示板やメールなどを通じて改ざんしたサイトに誘導します。
  3. 改ざんしたサイトにアクセスが有ると、仕込んだ不正なプログラムをユーザ(ブラウザなど)に送り込み支配します。
  4. 攻撃者の命令がインターネットを通じて発行されると、支配したブラウザなどを通し別のサイトなどへ不正なリクエストを送ります。
  5. 本来被害者であるはずのユーザが加害者になってしまうところがこの攻撃の脅威です。

さいごに

本書は全体を通して、専門用語をわかりやすい例えで説明しております。

また、インターネットの基礎的な知識も得ることができることから、コンピュータに興味がある高校生などにもオススメの一冊です。

本の目次

  1. インターネットの仕組み(プロトコル、ルーティング)
  2. 暗号の世界に飛び込もう(AES、RSAなどの暗号化方式)
  3. インターネットとセキュリティ(VPN、電子証明書)
  4. インターネットにおけるサイバー攻撃(DOSを始めとした攻撃手法)
  5. ハードウェアとソフトウェア(ハードウェアによる暗号化とその解析)
  6. 私達を取り巻くセキュリティ(法律)

 

blog-page_footer_336




blog-page_footer_336




-Products

執筆者:

免責事項

このブログは、記事上部に記載のある投稿日時点の一般的な情報を提供するものであり、投資等の勧誘・法的・税務上の助言を提供するものではありません。仮想通貨の投資・損益計算は複雑であり、個々の取引状況や法律の変更によって異なる可能性があります。ブログに記載された情報は参考程度のものであり、特定の状況に基づいた行動の決定には専門家の助言を求めることをお勧めします。当ブログの情報に基づいた行動に関連して生じた損失やリスクについて、筆者は責任を負いかねます。最新の法律や税務情報を確認し、必要に応じて専門家に相談することをお勧めします。


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

「新・所得倍増論」は胡散臭い本ではなかった

1 はじめに2 デービッド・アトキンソン氏について3 生産性の低い国、日本4 変わらない、変わろうとしない日本人5 なぜ変われないのか?6 さいごに はじめに 先日、本屋にて「なんだこの胡散臭い本は」 ...

今更ですがZERO to ONEを読みました!

今更ではありますが、ペイパルマフィアと呼ばれるピーター・ティール氏の「ZERO to ONE」を読みました。 今回は、本を読んだ感想を記載させていただきます。 1 ピーター・ティールとは2 販売戦略の ...

教養なきリーダーは去れ

と、本に書いてありました。 どうも、tonnyです。 本日は幻冬舎さんとNewsPicksさんから出ている書籍であるリーダーの教養書を読みましたので、その感想になります。 1 構成2 タイトルの「教養 ...

忘れられた巨人を読みました

1 はじめに2 あらすじ3 読んでみた感想4 ネタバレありな感想 はじめに 今年度のノーベル文学賞を受賞した、カズオ・イシグロさんの「忘れられた巨人」を読みました。 ノーベル文学賞を受賞したカズオ・イ ...

瞬間英作文

自分で作る瞬間英作文〜2020年の軌跡〜

1 はじめに2 2020年に追加した機能2.1 再生画面で英文と日本語文の表示・非表示の切り替え機能2.2 英文を新規作成する際に、英文グループの選択・追加機能2.3 英文の引き継ぎ共有機能2.4 再 ...

フォロー

blog-page_side_responsive

2017年3月
 1234
567891011
12131415161718
19202122232425
262728293031  

アプリ情報

私たちは無料アプリもリリースしています、ぜひご覧ください。 下記のアイコンから無料でダウンロードできます。