今回は、セキュリティ対策が必要な攻撃の手口を纏めております。
- ■ポートスキャン
- ■バッファオーバーフロー
- ■スタックオーバーフロー
- ■IPスプーフィング
- ■DNSキャッシュポイズニング
- ■クロスサイトスクリプティング(XSS)
- ■セッションハイジャック
- ■クロスサイトリクエストフォージェリ(CSRF)
- ■SQLインジェクション
- ■DoS攻撃
■ポートスキャン
攻撃対象の端末やサーバの任意のポートにパケットを送信します。
その応答結果から、端末/サーバで利用しているサービスを推測します。
推測後、脆弱性等を利用した攻撃を行います。
■バッファオーバーフロー
攻撃対象の端末やサーバのメモリ領域を狙った攻撃です。
メモリ領域のバッファから溢れるデータを送信し、端末/サーバの誤作動(※)を誘発します。
※任意のコードを実行したりすることも可能となります。
■スタックオーバーフロー
バッファオーバーフローと同じくメモリ領域を狙った攻撃です。
LIFO(後入れ先出し)のメモリ領域であるスタックからデータが溢れさせ、リモートから攻撃を行うようなことも可能です。
スタックとは、OSもしくはアプリケーションがデータを格納するために事前に確保するメモリ領域のことです。
■IPスプーフィング
IPアドレスを偽装し、正規ユーザになりすますことです。
■DNSキャッシュポイズニング
DNSのキャッシュサーバに不正な名前解決情報を記録させ、不正な通信へと誘導させる手口です。
■クロスサイトスクリプティング(XSS)
悪意のあるスクリプトを埋め込んだホームページを用意し、ユーザに実行させます。
ただ単に悪意のあるホームページだけを用意/利用させるのではなく、不正/正当なホームページを織り交ぜることで巧妙にユーザを誘導します。
■セッションハイジャック
セッションを窃取して、なりすまして通信を行う手口です。
セッションとは、ホームページにアクセスしたユーザがそのページ内で行う一連の通信の集合体のことです。
例えば、ホームページへユーザ/パスワードを入力してログインし、その後ログアウトするまでが1セッションとなります。
セッションを識別するためにセッションIDというものがあります。
セッションIDはWebアプリケーションによって付与されます。
セッションIDではなくCookieがユーザ側で有効であればCookieを利用することが一般的ですが、Cookieを無効化している場合には、セッションID(=URLのリクエストパラメータの一部)を利用します。
■クロスサイトリクエストフォージェリ(CSRF)
ユーザがログイン中の情報を利用し、任意のコードを実行させる攻撃手法です。
セッションハイジャックと似ているように感じますが、
セッションを乗っ取るのではなく、攻撃者は不正なホームページに不正なスクリプトを予め埋め込んで置き、そのホームページにユーザを誘導し、不正スクリプトを実行させることでログイン情報を利用します。
ログイン情報を利用することで、意図しない動作(例えばSNSなどへの投稿、ECサイトでの購入)などを行うことができてしまいます。
■SQLインジェクション
不正なSQL文を実行させることで、情報の不正入手などが行われます。
よくあるお問い合わせフォームのようなフォームにSQL文を入力することで、
SQLを実行させるようなイメージです。
■DoS攻撃
Webサービスを停止させる攻撃です。
通常のアクセス手段を用いてWebサービスへの接続を行う手口ですが、
膨大なリクエスト数/頻度でWebサービスにアクセスすることで、Webサービス側の許容を超えさせ、Webサービス機能をダウンさせます。
DoS攻撃は「~ Flood」という呼び方をされることが多いです。
・ICMP Flood ・・・ 大量にPingを送り付ける攻撃です。
・UDP Flood ・・・ UDPポートにパケットを大量に送り続ける
・TCP SYN Flood ・・・ TCPのSYN要求を大量に送り続ける
等があります。
以上です。