Products

サイバーセキュリティ入門を読みました!

投稿日:2017年3月25日 更新日:

はじめに

サイバーセキュリティ入門: 私たちを取り巻く光と闇」を読みました。

本日は備忘録も兼ね、各攻撃手法についてまとめたいと思います。
(詳細は、実際に読んでみてください。)

DoS(DDoS)攻撃

  • DOSはDenial of Serviceの略語です。
  • 攻撃目標(Webサイトなど)に対してリクエストを大量に送りつけ、サーバのメモリやCPUを浪費させて処理能力を低下させたり、ネットワークを過負荷にすることにより攻撃目標のサービスを妨害することを目的としています。
  • DDoSはDistributed DoSの略語で、分散DoSとも呼ばれます。
  • ボットネットワーク(ボットに感染した複数のホストにより構成されたネットワーク)から攻撃目標に対して一斉にリクエストを送りつける攻撃のことになります。

標的型攻撃

  • 攻撃目標をある程度絞って行う攻撃で、一般的にはマルウェアやSPAMなどの迷惑メールを介して行います。
  • 標的型攻撃でのメールは攻撃目標が関心をもっている、あるいは、関係あると思わせるような内容が記載されていることが多々あります。
  • 標的型攻撃では、攻撃者がある程度攻撃対象の情報を持っていなければならず、送られたメールから攻撃者を特定できる場合もあるため、近年では減少傾向にあります。

クロスサイトスクリプティング(XSS)

  • ウェブサイトに対する攻撃手法の代表とも言われるほどメジャーな攻撃方法です。
  • 攻撃者は文字列を入力させるフォーム(例えばコメント欄など)に対してJavaScriptコードを入力します。
  • これにより、サニタイジング(入力された文字列をエスケープし無害な文字列に変換すること)がしっかりされていないサイトでは、任意のJavaScriptコードを実行できてしまいます。

SQLインジェクション

  • フォームに対して不正な文字列を入力することで、攻撃対象のデータベースを制御する攻撃です。

例えば、ログインフォームに下記のような入力を行います。

これにより発行されるSQLは下記のようになります。

ORの後ろの'A' = 'A'は真となるため、ログインに成功してしまいます。

DNSキャッシュポイゾニング

DNSは大本であるルートサーバ、対象ドメインを管理する権威DNSサーバ(プライマリサーバ)、キャッシュサーバ(セカンダリサーバ)から構成されています。

  1. ユーザはまずキャッシュサーバに問い合わせを行います。
  2. 問い合わせたドメインがキャッシュにない場合、キャッシュサーバはルートサーバに問い合わせを行い、その後、委任されたDNSサーバを辿って最終的な権威DNSサーバに問い合わせを行います。
  3. 攻撃者はキャッシュサーバが問い合わせを行っている間に、キャッシュサーバに対して偽のDNSレスポンスを連続的に送ります。
  4. キャッシュサーバは送られてきた偽のレスポンスを正規のレスポンスとして受け入れます。
  5. その結果、そのドメインにアクセスしたユーザは偽のアドレスに誘導されてしまいます。

クロスサイトリクエストフォージェリ(CSRF)

  1. 攻撃者はまず、脆弱性を持つウェブサイトを見つけ出し、不正なプログラムを仕込むなどの改ざんを行います。
  2. 次に、匿名掲示板やメールなどを通じて改ざんしたサイトに誘導します。
  3. 改ざんしたサイトにアクセスが有ると、仕込んだ不正なプログラムをユーザ(ブラウザなど)に送り込み支配します。
  4. 攻撃者の命令がインターネットを通じて発行されると、支配したブラウザなどを通し別のサイトなどへ不正なリクエストを送ります。
  5. 本来被害者であるはずのユーザが加害者になってしまうところがこの攻撃の脅威です。

さいごに

本書は全体を通して、専門用語をわかりやすい例えで説明しております。

また、インターネットの基礎的な知識も得ることができることから、コンピュータに興味がある高校生などにもオススメの一冊です。

本の目次

  1. インターネットの仕組み(プロトコル、ルーティング)
  2. 暗号の世界に飛び込もう(AES、RSAなどの暗号化方式)
  3. インターネットとセキュリティ(VPN、電子証明書)
  4. インターネットにおけるサイバー攻撃(DOSを始めとした攻撃手法)
  5. ハードウェアとソフトウェア(ハードウェアによる暗号化とその解析)
  6. 私達を取り巻くセキュリティ(法律)

 

page_footer_300rect




page_footer_300rect




-Products

執筆者:


comment

メールアドレスが公開されることはありません。

CAPTCHA


関連記事

「AI vs. 教科書が読めない子どもたち」を読みました

1 はじめに2 AI対人間3 読解力が低いと何がまずいのか4 さいごに はじめに 最近話題になっている書籍「AI vs. 教科書が読めない子どもたち」を読みました。 といっても話題になっていることを当 ...

「実行の4つの規律」について考えてみた

1 はじめに2 そもそも4つの規律って?3 じゃあ4つの規律でどんな組織を作りたいの?4 技術屋にとっての4つの規律5 おわりに5.1 4つの規律よりも7つの習慣? はじめに 私の中で、昨年のブックオ ...

GRIT(やり抜く力)

こんにちは、onoです。 優れたパフォーマンスを発揮する人を目にした時、皆さんはどのように感じるでしょうか。 「あの人には才能がある」と感じる人が多いかもしれません。 しかし、その誰もがみな特殊な才能 ...

忘れられた巨人を読みました

1 はじめに2 あらすじ3 読んでみた感想4 ネタバレありな感想 はじめに 今年度のノーベル文学賞を受賞した、カズオ・イシグロさんの「忘れられた巨人」を読みました。 ノーベル文学賞を受賞したカズオ・イ ...

今更ですがZERO to ONEを読みました!

今更ではありますが、ペイパルマフィアと呼ばれるピーター・ティール氏の「ZERO to ONE」を読みました。 今回は、本を読んだ感想を記載させていただきます。 1 ピーター・ティールとは2 販売戦略の ...

フォロー

follow us in feedly

AppLink

英語

page_side_300rect

2017年3月
« 2月 4月 »
 1234
567891011
12131415161718
19202122232425
262728293031 

アプリ情報

目標を達成したい方を応援する、TODOアプリもリリースしております。 下記のアイコンから無料でダウンロードできます。

Web版MyCoach

私たちはより広い方にコーチングを知ってもらいたいと考えています。 下記のサイトにて、コーチの方々を紹介しておりますので、よろしければご覧ください。