Web教材一覧情報倫理・セキュリティ

Webでの騙し・攻撃の手口

キーワード

ハッキング、クラッキング、不正アクセス、サイバー攻撃、スプーフィング、マルウェア攻撃、フィッシング、ビジネスメール詐欺、BEC、第三者中継、ファーミング、DNSキャッシュポイズニング、ゾーン不正取得攻撃、SEOポイズニング、セッション・ハイジャック、CSRF、セッション・フィクセーション、MITB、リプレイアタック、クリックジャッキング、ワンクリック詐欺、標的型攻撃、やり取り型攻撃、RAT、APT攻撃、水飲み場攻撃、ドライブバイダウンロード攻撃、バッファオーバーフロー攻撃、インジェクション攻撃、SQLインジェクション 、OSコマンドインジェクション、LDAPインジェクション、メールヘッダインジェクション、ディレクトリトラバーサル攻撃、クロスサイト・スクリプティング、CAPTCHA、IPスプーフィング、ポートスキャン攻撃、ステルススキャン攻撃、DoS攻撃、メールボム攻撃、ブラックリスト登録攻撃、テンペスト攻撃、中間者攻撃、フォールバック攻撃、パスワードクラッキング、ブルートフォース攻撃、辞書攻撃、リバースブルートフォース攻撃、パスワードリスト攻撃、レインボー攻撃、ゼロデイ攻撃、フットプリンティング、ソーシャルエンジニアリング、サラミ攻撃、ファジング、ファズテスト、疑似攻撃、レッドチーム演習、ハニーポット、暗号モジュール試験及び認証制度 (JCMVP)、送信ドメイン認証


騙し・攻撃手口の総称

インターネットによる攻撃や騙しには、いろいろな名称が付けられています。

ハッキング
本来は、情報システムやプログラム、ネットワークなどの動作を解析したり、独自に改造や拡張などを行うことで悪い意味はなかったのですが、他人のシステムを不正な手段で乗っ取り、不正操作をしたり機密情報を盗取るようなことをハッキングということが多くなってきました。
また、ハッキングをする人をハッカーといいます。不正行為をする人を指すことが多いのですが、本来は高度な情報技術を持つ人のことでした。
 この誤解を避けるために、本来の肯定的な意味でのハッキングをハッカソン(hackathon)、その高度技術者をホワイトハッカー、不正な意味合いをクラッキング、それを行う者をクラッカーということもあります。
不正アクセス
超広義の名称です。アクセスする権限を持つ者がデータを改ざんするようなことも対象になります。
サイバー攻撃
インターネットなどネットワークで形成される環境をサイバー(cyber) 空間ということから付けられた名称です。政治的目的のテロ攻撃や大規模攻撃などを指すことが多いのですが、通常の攻撃もサイバー攻撃というようになりました。
スプーフィング
スプーフィングとは「騙す」の意味です。他人になりすまして侵入するとか、安全なサイトを装って偽のサイトに誘導する、意図しないウイルスに感染させるなどです。テロのように「騙す」のが目的でないものを含むかどうかあいまいです。
マルウェア攻撃
マルウェアとはウイルスのように不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアのことです。攻撃の前にマルウェアに感染させ。それを用いて攻撃することです。

ここでは、あまり厳密に解釈せず、適当に「手口」とします。これらの手口には,多様な騙しの手口があり,しかも巧妙化しています。そのうちのいくつかを列挙します。


悪意のあるWebサイトへの誘導

信頼のある発信者の電子メールを偽装して,悪意のあるWebサイトへ誘導し,クレジット番号などの個人情報を盗む手口です。

フィッシング(Phishing)
フィッシング(Phishing)は,Fishing(魚釣り。騙すの意味もある)とSophisticated(洗練された)からの造語です。例えば図のように,送信者(差出人,From)を詐称して,実在の○○銀行から来たような電子メールを送付し,そこに悪意のあるサイトへ誘導するリンクを貼り付けます。
 閲覧者は,取引があり信用できる○○銀行からの電子メールだと誤認し,同銀行のサイトへのリンクだと思って,クリックしてしまうと,偽のサイトに誘導されます。そのWebページを○○銀行に極似したものにしておくと,閲覧者は信用してパスワードや口座番号などを入力してしまうため,それを詐取するという手口です。
 単純な手口では,ステータスバーにリンク先が表示されるので,注意すれば回避できます。ところが,JavaScriptやフレームを使って,ステータスバーの表示を偽装したり,表示しなくしたりする手口もあります。
ビジネスメール詐欺(Business Email Compromise:BEC)
企業を標的にしたフィッシングの一種です。経営幹部や取引先になりすまし、従業員をだまして、正規の送金取引などの処理を用いて、犯人の口座に振り込ませる手口です。
第三者中継(Third-Party Mail Relay)
送信者名(メールアドレス)を騙る電子メール送信の手口です。電子メールの送信プロトコルSMTP(ポート番号25)は、送信メールの本人認証をしていないので、送信者は偽名(他人のメールアドレス)を使って送信することができます。
 これは不正行為につながるとして、多くのプロバイダは、送信の前に着信プロトコル(POP、認証をする)を行う、POP before SMTP 方式にするとか、認証機能をもつSMTP(587)を用いて26ポートを閉じる OP25B を採用しています。
 ところが、このような対策をしていないところか偽名メールサービスを専門としているメールサーバもあります。このようなメールサーバを介して送信することを第三者中継といいます。
ファーミング(Farming)
ファーミングは,Farming(栽培)からの造語です。フィッシングのように偽の電子メールを送るのではなく,種を蒔いておけば自然と収穫できるという手口です。
 最近アクセスしたページのURL(ドメイン名)とIPアドレス(インターネットでの電話番号に相当するもので,相手先のサーバ等を示す番号)の対応表がパソコンに保管されていますが,そのIPアドレスを偽のWebサイトのIPアドレスに改ざんすることにより,閲覧者が正規のURLを手で入力しても,偽のWebサイトへつながってしまいます。
DNSキャッシュポイズニング(DNS cache poisoning)
さらに手が込んだ手口では,DNSサーバの対応表の書き換えがあります。DNSとは,ドメイン名からIPアドレスを知るための機能で,インターネットでのWebページ閲覧や電子メール送信で必須な仕組みです。
DNSでも、最近使ったドメイン名やIPアドレスの情報をキャッシュしています。DNSキャッシュポイズニングとは、そのキャッシュを偽情報に書き換える手口です。自分のパソコンではなく、伝送経路にあるDNSがこのような手口にあうと,閲覧者が対処するのはかなり困難になります。
ゾーン不正取得攻撃(私は特定名称を知りません)
DNSキャッシュポイズニングの準備段階でのDNSサーバへの攻撃です。DNSゾーン情報とは、内部の名前解決の情報などの登録情報です。DNSでは、故障対処のため、機能分散のために、プライマリDNSとセカンダリDNSをもちます。通常はセカンダリDNSはプライマリDNSの外部に設置されます。その間で同期をとるための転送に割り込んで、不正取得したり改ざんしたりする手口です。
SEOポイズニング
検索エンジンは、多くのWebページを調べ、多様な評価尺度によりランク付けしています。検索で上位にランクされれば、自社Webサイトのアクセスを高めることができます。検索エンジンの評価方法を調べて上位に表示させる技術をSEOといいます。SEO自体は不正なものではありません。
SEOポイズニングは、SEO技術を悪用して、入力キーワードとは無関係なページなのに、上位に表示させ、閲覧者を騙して悪意のページに誘導する手口です。検索エンジンは、それを見破る対策を講じていますが、それを回避する手口も進んでいる状況です。
セッション・ハイジャック(セッション乗っ取り)
CSRF(Cross Site Request Forgeries)
セッション・フィクセーション(Session Fixation)
クッキーなどのセッションIDに対する攻撃です。
CSRFとは、利用者が感染したパソコンから正規のサイトを閲覧したとき、利用者が意図していない悪意のメッセージを含む情報を正規サイトへ強制的に送信する手口です。会員資格やクッキー情報などを悪用しているので、正規サイトで多様な操作ができてしまいます。
セッション・フィクセーション(Session Fixation)とは、攻撃者が生成したセッションIDを利用者に強制的に使わせることにより、ユーザーのセッション状態を乗っ取る手口です。
MITB(Man in the Browser)
攻撃者は、利用者のPCにトロイの木馬型のマルウェアを送り込み、ブラウザ利用を監視しています。利用者がオンラインバンクにログインしユーザ認証が行われた後に、マルウェアは、正規の画面の間に不正な画面を介在させて、IDやパスワードを不正に取得し、送金先口座を変更します。
従来の攻撃があらかじめ盗んだIDやパスワードでオンラインバンクにログインするのに対して、MITBでは、ユーザ認証後に行われるので、ワンタイムパスワードや暗号化などのユーザー認証を採用しているシステムでも防げないことがあります。
このように、ブラウザを使っている間に攻撃されることからつけられた名称です。対策としては、マルウェアの感染を防ぐことが重要です。
リプレイアタック(反射攻撃)
正規ユーザが認証サーバにログインをするプロセスをログインシーケンスといいます。ログオン情報を含むデータをそのまま盗み取れば、正規ユーザになりすましてサーバに接続できます。ログオン情報が暗号化していても、暗号化したまま接続できてしまいます。
この対策には、毎回、パスワードが変わるワンタイムパスワードを使うのが適切です。
クリックジャッキング
信頼のあるWebページのボタン等の部分に、悪意のあるボタン等を透明にして上乗せします。利用者がそのページを閲覧し、正規に見えるボタン等をクリックすると、悪意の処理を実行する手口です。Webサイト運営側が、iframeでの他ページの取り込みを制限する手段が有効です。
ワンクリック詐欺
Webサイトや電子メールにあるURLを一度クリックしただけで、一方的に、アダルト系の有料サイト閲覧や有料の出会い系サイト会員契約の成立を宣言され、多額の料金の支払いを求める詐欺です。

Webページの仕組みに対する手口

Webページ作成者の不注意、Webサイト運営の脆弱性につけこんだ攻撃も多くあります。

標的Webサイト

標的型攻撃
これは特定の攻撃手口ではなく攻撃対象による名称です。特定のサーバや特定の情報に限定して、多様な手口を用いて攻撃します。
典型的な手口は、標的とする組織の担当者に、関係組織の名を騙って、ウイルス付きのメールや悪意のあるサイトへのリンクがあるメールを送り付け、ウイルスに感染させることにより、攻撃の窓口を仕掛けます。
最近は政治的な意図により、高度な技術をもつサイト、社会インフラを制御しているサイトを標的にしたサイバーテロが増加しており、大きな問題になっています。
やり取り型攻撃
標的型攻撃の一つです。標的とする組織の担当者と、メールなどでのやり取りを経て信頼させてからウイルスを送り付ける攻撃手法です。
RAT(Remote Administration Tool/ Remote Access Tool)
標的型攻撃等を用いて行われる「乗っ取り」攻撃です。RATに感染したパソコンは、攻撃者からの遠隔操作による不正操作ができ、さらに、このパソコンを踏み台にして、攻撃の範囲を広げることになります。
APT攻撃 (Advanced Persistent Threat:持続的標的型攻撃)
標的型攻撃のうち「発展した/高度な(Advanced)」「持続的な/執拗な(Persistent)」「脅威(Threat)」の略語で長期間にわたりターゲットを分析して攻撃します。国家やそれに関連する組織によって、機密情報を盗むことを主目的として行われることが多いといわれています。
水飲み場攻撃(Watering Hole Attack)
ここでの「水飲み場」とは「利用者が多いサイト」のことで、標的型攻撃の標的になりやすいサイトです。水飲み場サイトを標的にして、Webページを改ざんしたり、わなを仕掛けることにより、攻撃の効果が大きくなります。
ドライブバイダウンロード攻撃
セキュリティ対策が不十分な公開Webサイト(水飲み場サイトなど)にマルウェア(ウイルス)を侵入させておき、利用者がこのWebサイトを閲覧したときに、自動的にマルウェアをダウンロードさせて感染させる手口です。

入力フォームでの不正入力

Webページには,閲覧者がデータを入力させるFORMという機能があります。それを利用して,不正な入力を行ってサーバから情報を取り出したり,FORMの内容を改ざんしたりして,閲覧者が入力した個人情報を入手する手口です。Webページの作成者がFORMの不正対策を十分に講じていないことが原因になります。

バッファオーバーフロー攻撃
プログラムが確保した入力用のデータ領域(バッファ)を超えるサイズのデータを入力することで,攻撃者が仕組んだ悪意のプログラムを実行させる手口です。
 一般にWebサーバなど、インターネット経由でサービスを提供するプログラムが攻撃の対象になります。Webサーバへの攻撃の多くがバッファオーバーフロー攻撃だといわれています。
インジェクション攻撃
主にFORMなどでテキストコードを入力するシステムを標的にして、悪意の機能を指示するテキストコードを注入(インジェクト)して、それを受けたサーバの実行を変更する攻撃の総称。SQLインジェクション、OSコマンドインジェクションなどがあります。
インジェクション攻撃への対策としては、FORMから不正なデータ(SQLプログラムなど)を入力できないようにチェック機能を組み入れておくことが必要です。
  • サニタイジング
    入力文からSQLプログラムなどの特有な文字列を発見したら削除あるいは他の文字に置換して無害化する機能です。
  • 静的プレースホルダ
    あらかじめ、入力から与えられる部分を「?」(これをプレースホルダという)にしたSQL文のひな形(Prepared Statement)を作り、サーバに送信しておきます。?の部分が入力されたら、サーバで完全なSQL文に組み立てて(バインドして)実行する仕組みです(バインドをアプリケーション側で行うのを動的プレースホルダといいますが、対策としては不十分です)。
SQLインジェクション
SQLとは,データベースをアクセスする言語です。FORMから入力したデータにより,データベースを検索加工して,その結果をWebページに表示するとき,不正なSQLのプログラムを与えることで,データベースのデータを不正に閲覧したり改ざんしたりすることができます。また,ユーザIDやパスワードを要求しているWebページで,それらを入力するのではなく,それらをデータベースから取り出すSQLプログラムを入力することにより,不正にログオンすることもできます。
OSコマンドインジェクション
SQLインジェクションと同様に、FORMからOSコマンドを送り付ける手口です。利用者がFORMに入力して送信するとき、入力文に悪意のあるOSコマンドを挿入しておき、Webサーバでそのコマンドを実行させることができます。この対策もSQLインジェクションと同様です。
LDAPインジェクション
ディレクトリサービスのプロトコルLDAPの問合せ文である検索フィルタを対象にしたインジェクション攻撃です。
メールヘッダインジェクション
問合せメールなどでは、Webページの入力フォームに、正規の自社への宛先メールアドレスを入力させることがあります。悪意者は、正規の宛先メールアドレス以外に悪意者の宛先メールアドレスを自動作成するよう改ざんし、メールの内容を取得する攻撃です。
 これを防ぐには、宛先メールアドレスを固定値にする、入力フォームに複数のアドレスを入れられないようにするなどの対策が必要です。
ディレクトリトラバーサル攻撃
Webページでのファイルを入力するフォームで、上位のディレクトリへの横断(traversal)をされる(例えば ../ を含むURLが入力される)と、本来アクセスされることを想定していファイルの盗聴ができてしまいます。
クロスサイト・スクリプティング(Cross-site Scripting)
CSRF(クロスサイト・スクリプティング・フォージェリ)
利用者が悪意のあるサイトを閲覧すると、そこから正規のサイトに不正なスクリプトを含むメッセージを送りつけて改ざんし、それを利用者に閲覧させます。利用者はそれを信用して個人情報を入力すると、それが悪意のサイトに送られてしまいます。
これを防ぐには、正規のサイトがWebページの入力テキストボックスなどで、JavaスクリプトやHTMLコードなどを入力できないようにしておく必要があります。
CAPTCHA
ロボット(ソフトウェア)を用いて自動入力をすることにより、無料サービスのアカウント大量取得やオンライン投票での大量投票などをする攻撃があります。CAPTCHAは、入力者がロボットではなく人間であることを確認する手段の一つです。
人間には読み取ることが可能でも,プログラムでは読み取ることが難しいという差異を利用して,ゆがめたり一部を隠したりした画像を表示して文字を判読させ、その文字列を入力させることで,人間以外による自動入力を排除します。

入力以外でのWebサーバ攻撃

IPスプーフィング
IPアドレススプーフィング(IPアドレス詐称攻撃)ともいい。なりすましによる不正アクセス手口の一つです。正規の送信元IPアドレスを盗み、そのIPアドレスをもったパケットを相手のサーバに送りつければ、アクセス制限を受けずに内部ネットワークへアクセスできてしまいます。
 被害にあいログを調べても、正規のIPアドレスになっているので、追跡が困難になります。
ポートスキャン攻撃
WebサーバはHTTPやFTPなど多様なサービスをしていますが、そのサービスをポート番号で区別しています。(参照:「ウエルノーン・ポート番号」)。アクセス可能な通信ポートを外部から調査するツールをポートスキャナといい、それによる調査をポートスキャンといいます。
ポートスキャンは、サーバ管理者がセキュリティ対策として用いるのが本来の用途ですが、悪意の第三者に使われると、標的サーバが利用できるポート番号をスキャンして攻撃されます。それをポートスキャン攻撃といいます。
それを防ぐために、使わせないポートを閉鎖すること、使わせるポート番号も標準的なポート番号と異なるようにしておくことなどが行われます。
ステルススキャン攻撃
ポートスキャン攻撃の一種で、スキャンのログを残さないことにより攻撃を露呈させない(ステルス)手口です。
サーバのTCPポートにアクセスし、接続が確立する寸前に、接続中断のRSTパケットや接続終了のFINパケットを送り付けて、サーバの応答を調べます。前者をSYNスキャン、後者をFINスキャンといいます。どちらも接続が成立していないのでログは残らず、そこまでのポートからの応答でそのポートの情報が得られます。
DoS攻撃
標的となるサーバに大量のメッセージを送り付けて、本来のサービスをできなくさせる攻撃をDoS攻撃(Denial of Service attack:・サービス拒否攻撃)といいます。あらかじめ多数のサーバやパソコンにウイルスを潜入させておき、攻撃者からの指令により、一斉に起動させて標的サーバに大量のメッセージを発信させます。それに利用されたサーバやパソコンを「踏み台」といいます。
特に大規模・多段階な踏み台による攻撃をDDoS攻撃(Distributed DoS)といいます。
メールボム攻撃
Webサーバではなく、メールサーバへの攻撃です。標的のメールアドレスに大量の電子メールを送り,利用者のメールボックスを満杯にすることで新たな電子メールを受信できなくする手口です。これも踏み台を使うのが通常です。DoS攻撃の電子メール版といえましょう。
ブラックリスト登録攻撃
著名なポータルサイトでは、「わな」が仕込まれている不正サイトをブラックリストにして、そのへのリンクを遮断しています。また、ブラウザやウイルス対策ソフトでは、独自あるいはポータルサイトとの連携により、ブラックリストにあるサイトのWebページは閲覧できなくする機能をもっています。
それを悪用して、標的サイトをブラックリストに載せるために、多様な巧妙な攻撃をします。例えば、標的サイトを直接に改ざんするのではなく、そのサイトから頻繁にリンクされているサイト(販売や広告の代行サイト)を改ざんしてブラックリストの対象にすると、間接的に標的サイトも対象になってしまいます。標的サイト側の対策だけでは対応できません。

通信経路での手口

インターネットでは、多くのルータを経由するので、そのなかにXが管理している(乗っ取った)ルータがあれば盗聴や改ざんができます。また、無線LANはそれがしやすい環境です。

中間者攻撃
中間者攻撃(MITM、man-in-the-middle attack)とは、暗号通信を盗聴したり介入したりする手口の一つで、通信している2人の間(ブラウザとサーバ間など)に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃です。
 AがBに暗号通信をしているとき、攻撃者XはAの公開鍵を取得し、それをXの公開鍵とすり替えてBへ転送します。BはAだと思い込んでXの公開鍵で暗号化した電文をAに送信するが、Xはそれを受信してXの秘密鍵で復号できます。さらにXは、Bからの電文を改ざんしてAの公開鍵で暗号化した電文をAに転送します。AはAの秘密鍵で復号できるので、改ざんされた電文をBからの正規の電文だと信用します。
 このように、XはA・Bに気付かれることなく、2人の通信を盗聴したり改ざんできるのです。
 中間者攻撃を防ぐために、認証機関発行のデジタル証明書をチェックして、Aの公開鍵が正規のものであることを確認することが重要です。
テンペスト攻撃
ディスプレイやケーブルなどから電磁波が放射されます。それを傍受し分析することにより,内容を盗聴する攻撃をテンペスト(tempest)攻撃といいます。中間者攻撃がしやすい環境になります。これを防ぐには、パソコン等が置かれている部屋に電磁波遮断設備(窓に金網を張るなど)を設置することが必要です。
フォールバック攻撃
強度の高い暗号化プロトコルが次々に策定されています。強度の高い暗号化プロトコルは、中間者攻撃を防ぐ手段としても有効です。ところが、サーバやブラウザの仕様が古いと、新しいプロトコルをサポートしていないなどの理由で、暗号通信を確立できなくなることがあります。それを避けるために、普及率の高い旧版(強度の低い)のプロトコルで自動的に再接続を試みる方法がとられます。その機能をフォールバックといいます。
 これを悪用されると、ブラウザを常に古く脆弱なプロトコルを利用するように設定される危険性があります。それにより、暗号を解読されたり、鍵を盗まれる可能性が増大します。それを利用した攻撃をフォールバック攻撃といいます。
 その対策として、フォールバック機能の自動化設定を外したり、脆弱性のある旧プロトコルでの通信を行わなくする手段がとられます。

パスワードクラッキング

パスワード(アカウント)盗取の手口です。これにはキーロガーなどのパソコン操作によるものやソーシャルエンジニアリングのような人的なものもありますが、ここではパスワードを発見する手口を列挙します。

ブルートフォース攻撃
「力任せ」でパスワードを発見する手口です。ロボット(ソフトウェア)により、片っ端から文字列を発生して成功するのを待ちます。効率は悪いのですが、短い文字列のパスワードは、この方法で盗られてしまいます。
辞書攻撃
ブルートフォース攻撃の一種です。パスワードとしてよく使われる文字列をリスト(辞書)にしておき、それを用いてブルートフォース攻撃する手口です。このような辞書がアングラで流通しているといわれています。このような辞書にのるいようなパスワードは避ける必要があります。
・サーバ側がブルートフォース型の攻撃を防ぐには、「3回失敗したら強制終了」するようなログイン回数制限方式を採用するのが有効です。
リバースブルートフォース攻撃
ブルートフォース型の攻撃は、特定の標的に多数のパスワード候補で攻撃しますが、これはそれとは逆に、あるパスワード候補で多数のサイトへのアクセスを試みる手口です。ログイン回数制限方式はこの手口には効果がありません。
パスワードリスト攻撃
これは、何らかの手段で攻撃者がユーザIDとパスワードを入手した後の攻撃手口です。利用者のパスワード「使い回し」習性を突いた攻撃です。
 利用者が、いくつものWebサイトのアクセスに同じパスワードを用いているとします。攻撃者は、自動的に入力するプログラムなどを用いて、多数のログイン機能を持つWebサイトに片っ端にアクセスを試み、アクセスに成功したら攻撃を開始します。
 利用者は、パスワードを、A,B,C,A,B、…というように繰り返している場合も危険です。攻撃者がAを入手していれば、定期的にAを用いたスキャンを試みていれば、いつかはアクセスに成功します。
 このような攻撃を避けるために、
  ・Webサイトに応じて複数のパスワードを使いわけること
  ・それらのパスワードの変更では、古いパスワードの再使用をしないこと
が重要です。
レインボー攻撃
デジタル署名などでハッシュ値に変換されたパスワードを解読する手口です。一般にハッシュから元データを取り出すのは困難なのですが、あらかじめパスワードとなりそうな文字列のハッシュ値を計算してテーブル化(レインボーテーブルという)しておくことで、解読が容易になります。
この攻撃への対処として、パスワードにランダムな文字列を加える方法があります。その文字列をソルト(塩)といいます。

その他の手口

ゼロデイ攻撃

セキュリティホールが発見されてから、ウイルス対策ソフトの修正パッチが提供されるまでには時間がかかります。近年は、ウイルスの流布が急速になり、バッチ提供日以前に広まってしまうケースが増加しています。このような攻撃を、バッチ提供日(1日目)以前(0日)に広まるという意味でゼロデイ攻撃といいます。
 ゼロディ攻撃に対しては、ウイルス対策ソフトに頼ることができないので、あやしいWebサイトの閲覧やメールを開かないなどの対策が必要になります。

フットプリンティング

攻撃の準備として、ネットワーク上に存在している個人や企業・団体などの情報を収集することです。
 標的のWebページ、検索エンジン、Whois等の公開データベースによる調査、DNS検索などを行い、標的のドメイン名やIPアドレス、OS、動作しているサービスなどを入手します。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは,情報技術を用いずに電話などによりパスワードなどを聞き出す手口です。例えば,次の手順で不正を行います。

  1. 何らかの手段により,IT部門のセキュリティ担当者の名前や業務の内容を聞き出しておく。
  2. その担当者になりすまして,利用部門の人からパスワードを聞き出す。
  3. 利用部門の人になりすまして,社内のネットワークに侵入し,ウイルスを植えつけたり,重要なファイルにアクセスしたりする。

パソコンの操作をしている人の肩越しに、キー操作や画面を盗み見ることをショルダハッキング、清掃員を装ってゴミ箱から不注意に捨てた情報を取り出したり,コピー機やFAX近辺に置かれた文書を盗んだりすることをスキャビンジングといいますが、これらも含めてソーシャルエンジニアリングということがあります。
 このような手口にかからないようにするためには,「セキュリティ担当者といえども,他人のパスワードを聞くことはない」「重要な操作をするときは周囲に気を付ける」「パスワードなどの情報がある書類はシュレッダにかける」というような基本的なことを,ふだんから全社員に徹底しておくことが必要です。

サラミ攻撃

サラミソーセージを少しずつ薄く切りとっても気づかれないように、銀行の金利計算プログラムの開発者がプログラムに細工を施し,切り捨てになる金額を自分の口座に入れるなど、多くの人から気付かれないほどの少額を詐取する手法です。
 これは主に内部犯行の手口で、必ずしもWeb詐欺ではありませんが、インターネットを介したこのような犯罪が懸念されます。

サーバ側セキュリティ対策技術のトピックス

ファジング、ファズテスト

対象となるソフトウェアに,開発者が想定しにくい、あるいは、問題を引き起こしそうな多様なデータを入力し,挙動を監視して,脆弱性を見つけ出すことです。一般のプログラムのテストとして使われることもありますが、通常は、外部からの攻撃に利用できる保安上の弱点(脆弱性、セキュリティホール)が存在しないか調べるために行うことを指します。

疑似攻撃

ペネトレーションテスト、サイバーアタックシミュレーションともいいます。サーバなどに攻撃者の視点から様々な実際に擬似的な侵入・攻撃を仕掛けて、脆弱性の診断・検査をするサービスです。
 社外攻撃サーバからの社内ネットワークに侵入して、機密情報を取り出したり管理者権限を取り出すなど、ネットワークを介した疑似攻撃が主ですが、標的型メール攻撃が多くなっていることから、ソーシャルエンジニアリングも加えた疑似攻撃も行われています。

レッドチーム演習

レッドチーム(攻撃側)とブルーチーム(防御側)に分かれます。レッドチームは社外の専門チームで構成し、模擬のサイバー攻撃を仕掛け、ブルーチームは自社のセキュリティ担当者で構成し、攻撃の発見や緊急対策などで防衛します。
 レッドチームは、攻撃後レポートを作成し、使用した攻撃手法、標的にした箇所、攻撃の成否などを報告するとともに、改善策も提案します。ブルーチームはこのレポートから、脆弱性、防御が失敗した原因、セキュリティ強化が必要な分野を知ることができます。

ハニーポット

「蜜壷」=「おとり」の意味です。ハッカーやクラッカーが興味を持ちそうな本物そっくりの環境を作り、連中をおびき寄せることにより、その手口を研究したり、犯人を突き止めます。

暗号モジュール試験及び認証制度 (JCMVP)

IPAのページ: https://www.ipa.go.jp/security/jcmvp/index.html

総務省及び経済産業省は、政府機関の情報セキュリティ対策のための統一基準として、電子政府で利用される暗号技術の評価を行っており、2013年3月に 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」 を策定しました。
 暗号モジュール試験及び認証制度は、その実効を高める手段であり、民間企業でも取り組むように推進しています。
 電子政府推奨暗号リスト別ウィンドウで開く等に記載されている暗号化機能、ハッシュ機能、署名機能等の承認されたセキュリティ機能を実装したハードウェア、ソフトウェア等から構成されるモジュールが、その内部に格納するセキュリティ機能並びに暗号鍵及びパスワード等の重要情報を適切に保護していることを確認するテストを暗号モジュール試験といいます。第三者による試験及び認証をする制度があります。

送信ドメイン認証

フィッシング詐欺など、メール送信では他のアドレスになりすまして送ることが容易ですが、これは送信者情報のドメインの正当性を検証する仕組みです。

サイバーキルチェーン(Cyber Kill Chain)

標的型攻撃への対策です。
  標的型攻撃における攻撃者の行動を7つのフェーズに分類し、
  入口対策、内部対策、出口対策の視点で検討し、
  フェーズごとに対策を講じる「多層防御」を行う。