Products

サイバーセキュリティ入門を読みました!

投稿日:

はじめに

サイバーセキュリティ入門: 私たちを取り巻く光と闇」を読みました。

本日は備忘録も兼ね、各攻撃手法についてまとめたいと思います。
(詳細は、実際に読んでみてください。)

DoS(DDoS)攻撃

  • DOSはDenial of Serviceの略語です。
  • 攻撃目標(Webサイトなど)に対してリクエストを大量に送りつけ、サーバのメモリやCPUを浪費させて処理能力を低下させたり、ネットワークを過負荷にすることにより攻撃目標のサービスを妨害することを目的としています。
  • DDoSはDistributed DoSの略語で、分散DoSとも呼ばれます。
  • ボットネットワーク(ボットに感染した複数のホストにより構成されたネットワーク)から攻撃目標に対して一斉にリクエストを送りつける攻撃のことになります。

標的型攻撃

  • 攻撃目標をある程度絞って行う攻撃で、一般的にはマルウェアやSPAMなどの迷惑メールを介して行います。
  • 標的型攻撃でのメールは攻撃目標が関心をもっている、あるいは、関係あると思わせるような内容が記載されていることが多々あります。
  • 標的型攻撃では、攻撃者がある程度攻撃対象の情報を持っていなければならず、送られたメールから攻撃者を特定できる場合もあるため、近年では減少傾向にあります。

クロスサイトスクリプティング(XSS)

  • ウェブサイトに対する攻撃手法の代表とも言われるほどメジャーな攻撃方法です。
  • 攻撃者は文字列を入力させるフォーム(例えばコメント欄など)に対してJavaScriptコードを入力します。
  • これにより、サニタイジング(入力された文字列をエスケープし無害な文字列に変換すること)がしっかりされていないサイトでは、任意のJavaScriptコードを実行できてしまいます。

SQLインジェクション

  • フォームに対して不正な文字列を入力することで、攻撃対象のデータベースを制御する攻撃です。

例えば、ログインフォームに下記のような入力を行います。

これにより発行されるSQLは下記のようになります。

ORの後ろの'A' = 'A'は真となるため、ログインに成功してしまいます。

DNSキャッシュポイゾニング

DNSは大本であるルートサーバ、対象ドメインを管理する権威DNSサーバ(プライマリサーバ)、キャッシュサーバ(セカンダリサーバ)から構成されています。

  1. ユーザはまずキャッシュサーバに問い合わせを行います。
  2. 問い合わせたドメインがキャッシュにない場合、キャッシュサーバはルートサーバに問い合わせを行い、その後、委任されたDNSサーバを辿って最終的な権威DNSサーバに問い合わせを行います。
  3. 攻撃者はキャッシュサーバが問い合わせを行っている間に、キャッシュサーバに対して偽のDNSレスポンスを連続的に送ります。
  4. キャッシュサーバは送られてきた偽のレスポンスを正規のレスポンスとして受け入れます。
  5. その結果、そのドメインにアクセスしたユーザは偽のアドレスに誘導されてしまいます。

クロスサイトリクエストフォージェリ(CSRF)

  1. 攻撃者はまず、脆弱性を持つウェブサイトを見つけ出し、不正なプログラムを仕込むなどの改ざんを行います。
  2. 次に、匿名掲示板やメールなどを通じて改ざんしたサイトに誘導します。
  3. 改ざんしたサイトにアクセスが有ると、仕込んだ不正なプログラムをユーザ(ブラウザなど)に送り込み支配します。
  4. 攻撃者の命令がインターネットを通じて発行されると、支配したブラウザなどを通し別のサイトなどへ不正なリクエストを送ります。
  5. 本来被害者であるはずのユーザが加害者になってしまうところがこの攻撃の脅威です。

さいごに

本書は全体を通して、専門用語をわかりやすい例えで説明しております。

また、インターネットの基礎的な知識も得ることができることから、コンピュータに興味がある高校生などにもオススメの一冊です。

本の目次

  1. インターネットの仕組み(プロトコル、ルーティング)
  2. 暗号の世界に飛び込もう(AES、RSAなどの暗号化方式)
  3. インターネットとセキュリティ(VPN、電子証明書)
  4. インターネットにおけるサイバー攻撃(DOSを始めとした攻撃手法)
  5. ハードウェアとソフトウェア(ハードウェアによる暗号化とその解析)
  6. 私達を取り巻くセキュリティ(法律)

 

age_footer_300rect




age_footer_300rect




-Products

執筆者:


comment

メールアドレスが公開されることはありません。

関連記事

教養なきリーダーは去れ

と、本に書いてありました。 どうも、tonnyです。 本日は幻冬舎さんとNewsPicksさんから出ている書籍であるリーダーの教養書を読みましたので、その感想になります。 1 構成2 タイトルの「教養 …

今更ですがZERO to ONEを読みました!

今更ではありますが、ペイパルマフィアと呼ばれるピーター・ティール氏の「ZERO to ONE」を読みました。 今回は、本を読んだ感想を記載させていただきます。 1 ピーター・ティールとは2 販売戦略の …

「新・所得倍増論」は胡散臭い本ではなかった

1 はじめに2 デービッド・アトキンソン氏について3 生産性の低い国、日本4 変わらない、変わろうとしない日本人5 なぜ変われないのか?6 さいごに はじめに 先日、本屋にて「なんだこの胡散臭い本は」 …

GRIT(やり抜く力)

こんにちは、onoです。 優れたパフォーマンスを発揮する人を目にした時、皆さんはどのように感じるでしょうか。 「あの人には才能がある」と感じる人が多いかもしれません。 しかし、その誰もがみな特殊な才能 …

GoogleのQuick, Drawで遊んでみた

1 はじめに2 Quick, Draw!の概略3 やってみた3.1 お題が出ます3.2 書いてみる4 6回試した結果は…5 さいごに5.1 余談ですが。。。 はじめに グーグルに学ぶディープラーニング …

page_side_300rect






follow us in feedly

2017年3月
« 2月   4月 »
 1234
567891011
12131415161718
19202122232425
262728293031