サイバー攻撃の種類まとめ

サイバー攻撃について詳しく知ってから企業はセキュリティ対策を考える必要があります。サイバー攻撃の手法は年々多様化しており、次々と新しい攻撃が生まれています。ここでは、現在広く知られている攻撃の種類を確認してセキュリティ対策の取り組みのヒントにしてください。

OSやサイトの脆弱性を突いた攻撃のなかでも代表的なのが「SQLインジェクション」です。「SQL」というのはデータベース言語のことで、「インジェクション」とは「注入」という英語を意味します。つまり、ターゲットのサイトに不正なSQLを注入する攻撃手法です。

たとえば、セキュリティに問題のあるサイトで、そのサイト内にキーワードで検索可能なフォームが設置されているとしましょう。攻撃者はそのフォームに不正なSQL文を入力し、そのまま検索するだけで、その内容が実行されてしまうのです。その結果、サイトの改竄やデータの窃取などの被害が生まれます。

SQLインジェクションと同じくサイトの脆弱性を突いた攻撃に「クロスサイトスクリプティング」という手法もあります。サイトの脆弱性を狙う点では、両者は似ていますが、クロスサイトスクリプティングがSQLインジェクションと違うのは悪意あるスクリプトを組み込んだURLを用意し、そのリンクをターゲットのサイトに貼り、訪問者がそのをクリックするのを待つという方法を用いることです。クロスサイトスクリプティングへの対策はSQLインジェクションと同様に必要となります。

OSやサイトの脆弱性を突くインジェクション攻撃には、これ以外にもいくつか種類があります。「OSコマンドインジェクション攻撃」は、OSのコマンドに不正な記述を入力して、ファイルを改竄したりパスワードを窃取したりする方法です。

「LDAPインジェクション攻撃」は、「Lightweight Directory Access Protocol」というディレクトリサービス内の情報を変更する攻撃です。また、「HTTPヘッダインジェクション攻撃」という種類もあり、不正なデータをHTTPレスポンスを生成するアプリケーションに入力して、不正なヘッダやボディを追加したりレスポンスを複数に分割したりします。そのほか、問い合わせフォームなどのアプリケーションにメールヘッダを不正に挿入する「メールヘッダインジェクション攻撃」も有名です。ユーザーに迷惑メールを意図せず発信させることができます。

脆弱性を狙った攻撃では、「ゼロデイ攻撃」という防御が難しい手法も有名です。この手法では、OSやサーバー、アプリケーションなどに脆弱性が発見された時に、パッチがベンダーから提供される前に攻撃を仕掛けます。パッチの提供される日を1日目と数えた場合、攻撃はそれ以前から始まっているため「ゼロデイ」と呼ばれるわけです。脆弱性を修正する手段がまだ用意できていない隙を突いた攻撃なので、対応するのは簡単ではありません。

「バッファオーバーフロー攻撃」もコンピューターの脆弱性を突く攻撃手段と言ってよいでしょう。これは、コンピューターの処理能力以上の不正データを送りつけ、誤動作させるという手法です。「バッファ」とはコンピューターのプログラムの領域のようなもので、詳しく書くと複雑になるのですが、簡単にはプログラムを実行するための情報やデータを格納する領域の一部と考えてよいでしょう。ともかく、それらの領域にはデータを格納できる上限があり、バッファオーバーフロー攻撃では、その名の通り、その上限以上のデータをバッファに入力して溢れさせるわけです。そうなると、コンピューターは制御を失い誤作動してしまいます。

サーバーやネットワークに負荷をかける攻撃のなかで特に有名なのが「DoS攻撃」です。サイトを稼働するサーバーやネットワークに過剰な負荷を意図的にかけることによって機能停止に陥れます。また、複数のネットワークをまたいで接続要求を出し、大量のコンピューターを一気に機能停止させる「DDoS攻撃」という発展型もあります。送信されるパケットが一般の不正アクセスのように不正とは判別できないため、根本的に防ぐことが難しいのが特徴です。
 
大量のデータをコンピューターに送りつける攻撃といえば、先ほど紹介したバッファオーバーフローがありますが、DoS攻撃との違いは、攻撃対象がコンピューターなのか外部のサーバーなのかです。バッファオーバーフローはメモリ領域以上のデータを送りつけてコンピューターを誤作動させる狙いですが、DoS攻撃は外部のサーバーに負荷をかけるのが狙いと言えるでしょう。

サーバーに負荷をかける攻撃といえば、古典的な「F5アタック」という手法もあります。キーボードのF5ボタンには押すとページをリロードしてくれる便利な機能がありますが、これをターゲットとなるサイトで連打することで、短時間で何度もリロードさせてサーバーを過負荷状態させるのです。その程度ならたいした影響がなさそうに思えますが、ツールを使って短時間に1万回以上F5ボタンを押すことも可能ですので、それだけ大量のリロードを要求されると、サーバーによっては負荷に耐えられずダウンしてしまいます。アナログな攻撃だからと油断できず、DoS攻撃と同じ結果になってしまうのです。

パスワードに関連した攻撃もいくつかあります。有名なのが、「総当たり攻撃」とも呼ばれる「ブルートフォースアタック」です。日本語の通り、可能な限りの文字列のパターンを総当りで入力してパスワードを解読し、認証を突破しようとします。誕生日のような他人が推測しやすいパスワードはもちろん、数字だけ、英字だけといった単純なパスワードも機械は簡単に突破してしまうため、パスワードにはなるべく複雑な文字列を設定することが大切です。

ブルートフォースアタックと同じく、不正に認証を突破しようという攻撃手法に「パスワードリスト攻撃」もあります。こちらは、どこかのサイトで盗んだIDとパスワードの組み合わせリストを使って、他のサイトに不正ログインする手法です。同じIDとパスワードをいくつものサイトやサービスで使い回しているユーザーほど被害に遭いやすいでしょう。

このほかにも近年、特に危険性が高まっていると言われる攻撃もあります。マルウェアを送りつけて端末をロックし、それを解除するのに身代金を要求する「ランサムウェア」が有名で、2017年には世界中で猛威を振るいました。また、最初から特定のターゲットを定めて攻撃を仕掛ける「標的型攻撃」もあります。不特定多数相手の攻撃と違って、ターゲットが最初から決まっているため、事前にしっかり準備して攻撃を仕掛けてくるのが特徴です。そのため、通常の攻撃より非常に高度で巧妙化しており、狙われたら大きな被害を受けることになることもよくあります。2015年の日本年金機構の情報漏洩もこれが原因でした。

このように、サイバー攻撃にはいくつもの種類があります。今後も新たな攻撃手法が生まれてくるのは間違いないでしょう。これを機に、サイトの脆弱性をチェックしたり自社のセキュリティ対策を見直してはどうでしょうか？

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。