ハッキング、クラッキング、不正アクセス、サイバー攻撃、スプーフィング、マルウェア攻撃、フィッシング、ビジネスメール詐欺、BEC、第三者中継、ファーミング、DNSキャッシュポイズニング、ゾーン不正取得攻撃、SEOポイズニング、セッション・ハイジャック、CSRF、セッション・フィクセーション、MITB、リプレイアタック、クリックジャッキング、ワンクリック詐欺、標的型攻撃、やり取り型攻撃、RAT、APT攻撃、水飲み場攻撃、ドライブバイダウンロード攻撃、バッファオーバーフロー攻撃、インジェクション攻撃、SQLインジェクション 、OSコマンドインジェクション、LDAPインジェクション、メールヘッダインジェクション、ディレクトリトラバーサル攻撃、クロスサイト・スクリプティング、CAPTCHA、IPスプーフィング、ポートスキャン攻撃、ステルススキャン攻撃、DoS攻撃、メールボム攻撃、ブラックリスト登録攻撃、テンペスト攻撃、中間者攻撃、フォールバック攻撃、パスワードクラッキング、ブルートフォース攻撃、辞書攻撃、リバースブルートフォース攻撃、パスワードリスト攻撃、レインボー攻撃、ゼロデイ攻撃、フットプリンティング、ソーシャルエンジニアリング、サラミ攻撃、ファジング、ファズテスト、疑似攻撃、レッドチーム演習、ハニーポット、暗号モジュール試験及び認証制度 (JCMVP)、送信ドメイン認証
インターネットによる攻撃や騙しには、いろいろな名称が付けられています。
ここでは、あまり厳密に解釈せず、適当に「手口」とします。これらの手口には,多様な騙しの手口があり,しかも巧妙化しています。そのうちのいくつかを列挙します。
信頼のある発信者の電子メールを偽装して,悪意のあるWebサイトへ誘導し,クレジット番号などの個人情報を盗む手口です。
Webページ作成者の不注意、Webサイト運営の脆弱性につけこんだ攻撃も多くあります。
Webページには,閲覧者がデータを入力させるFORMという機能があります。それを利用して,不正な入力を行ってサーバから情報を取り出したり,FORMの内容を改ざんしたりして,閲覧者が入力した個人情報を入手する手口です。Webページの作成者がFORMの不正対策を十分に講じていないことが原因になります。
インターネットでは、多くのルータを経由するので、そのなかにXが管理している(乗っ取った)ルータがあれば盗聴や改ざんができます。また、無線LANはそれがしやすい環境です。
パスワード(アカウント)盗取の手口です。これにはキーロガーなどのパソコン操作によるものやソーシャルエンジニアリングのような人的なものもありますが、ここではパスワードを発見する手口を列挙します。
セキュリティホールが発見されてから、ウイルス対策ソフトの修正パッチが提供されるまでには時間がかかります。近年は、ウイルスの流布が急速になり、バッチ提供日以前に広まってしまうケースが増加しています。このような攻撃を、バッチ提供日(1日目)以前(0日)に広まるという意味でゼロデイ攻撃といいます。
ゼロディ攻撃に対しては、ウイルス対策ソフトに頼ることができないので、あやしいWebサイトの閲覧やメールを開かないなどの対策が必要になります。
攻撃の準備として、ネットワーク上に存在している個人や企業・団体などの情報を収集することです。
標的のWebページ、検索エンジン、Whois等の公開データベースによる調査、DNS検索などを行い、標的のドメイン名やIPアドレス、OS、動作しているサービスなどを入手します。
ソーシャルエンジニアリングとは,情報技術を用いずに電話などによりパスワードなどを聞き出す手口です。例えば,次の手順で不正を行います。
パソコンの操作をしている人の肩越しに、キー操作や画面を盗み見ることをショルダハッキング、清掃員を装ってゴミ箱から不注意に捨てた情報を取り出したり,コピー機やFAX近辺に置かれた文書を盗んだりすることをスキャビンジングといいますが、これらも含めてソーシャルエンジニアリングということがあります。
このような手口にかからないようにするためには,「セキュリティ担当者といえども,他人のパスワードを聞くことはない」「重要な操作をするときは周囲に気を付ける」「パスワードなどの情報がある書類はシュレッダにかける」というような基本的なことを,ふだんから全社員に徹底しておくことが必要です。
サラミソーセージを少しずつ薄く切りとっても気づかれないように、銀行の金利計算プログラムの開発者がプログラムに細工を施し,切り捨てになる金額を自分の口座に入れるなど、多くの人から気付かれないほどの少額を詐取する手法です。
これは主に内部犯行の手口で、必ずしもWeb詐欺ではありませんが、インターネットを介したこのような犯罪が懸念されます。
対象となるソフトウェアに,開発者が想定しにくい、あるいは、問題を引き起こしそうな多様なデータを入力し,挙動を監視して,脆弱性を見つけ出すことです。一般のプログラムのテストとして使われることもありますが、通常は、外部からの攻撃に利用できる保安上の弱点(脆弱性、セキュリティホール)が存在しないか調べるために行うことを指します。
ペネトレーションテスト、サイバーアタックシミュレーションともいいます。サーバなどに攻撃者の視点から様々な実際に擬似的な侵入・攻撃を仕掛けて、脆弱性の診断・検査をするサービスです。
社外攻撃サーバからの社内ネットワークに侵入して、機密情報を取り出したり管理者権限を取り出すなど、ネットワークを介した疑似攻撃が主ですが、標的型メール攻撃が多くなっていることから、ソーシャルエンジニアリングも加えた疑似攻撃も行われています。
レッドチーム(攻撃側)とブルーチーム(防御側)に分かれます。レッドチームは社外の専門チームで構成し、模擬のサイバー攻撃を仕掛け、ブルーチームは自社のセキュリティ担当者で構成し、攻撃の発見や緊急対策などで防衛します。
レッドチームは、攻撃後レポートを作成し、使用した攻撃手法、標的にした箇所、攻撃の成否などを報告するとともに、改善策も提案します。ブルーチームはこのレポートから、脆弱性、防御が失敗した原因、セキュリティ強化が必要な分野を知ることができます。
「蜜壷」=「おとり」の意味です。ハッカーやクラッカーが興味を持ちそうな本物そっくりの環境を作り、連中をおびき寄せることにより、その手口を研究したり、犯人を突き止めます。
IPAのページ: https://www.ipa.go.jp/security/jcmvp/index.html
総務省及び経済産業省は、政府機関の情報セキュリティ対策のための統一基準として、電子政府で利用される暗号技術の評価を行っており、2013年3月に 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」 を策定しました。
暗号モジュール試験及び認証制度は、その実効を高める手段であり、民間企業でも取り組むように推進しています。
電子政府推奨暗号リスト別ウィンドウで開く等に記載されている暗号化機能、ハッシュ機能、署名機能等の承認されたセキュリティ機能を実装したハードウェア、ソフトウェア等から構成されるモジュールが、その内部に格納するセキュリティ機能並びに暗号鍵及びパスワード等の重要情報を適切に保護していることを確認するテストを暗号モジュール試験といいます。第三者による試験及び認証をする制度があります。
フィッシング詐欺など、メール送信では他のアドレスになりすまして送ることが容易ですが、これは送信者情報のドメインの正当性を検証する仕組みです。
標的型攻撃への対策です。
標的型攻撃における攻撃者の行動を7つのフェーズに分類し、
入口対策、内部対策、出口対策の視点で検討し、
フェーズごとに対策を講じる「多層防御」を行う。