不正アクセスを試みるサイバー攻撃の種類を５つご紹介！対策方法は？

2020年09月09日最終更新
不正侵入検知・防御システム（IDS・IPS）の製品一覧

不正アクセスを達成するサイバー攻撃にはどのような種類があるのでしょうか。企業が狙われる事例も少なくないため、自社で同じ被害に遭わないよう対策を講じたい人も多いでしょう。

この記事では不正アクセスを試みるサイバー攻撃の代表的な種類と対策方法を紹介します。強固なセキュリティ体制を構築する参考にしてください。

不正侵入検知・防御システム（IDS・IPS）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

不正侵入検知・防御システム（IDS・IPS）の資料請求ランキングで製品を比較！今週のランキング第1位は？

不正アクセスを試みるサイバー攻撃の種類

不正アクセスを目的としたサイバー攻撃を５種類紹介します。

１．パスワードリスト攻撃

パスワードリスト攻撃は、何らかの方法で取得したパスワードのリストを用いて不正ログインを試みる攻撃です。たとえば、あるサイトから盗んだID・パスワードで他のサイトへのログインを試行する例があります。ユーザーが複数のサイトで同じID・パスワードを使っていると、不正ログインされることになります。

パスワードリスト攻撃は不正アクセスを目的とした攻撃の中でも、比較的成功率の高い方法です。しかし、ユーザーがサービスごとに異なるID・パスワードを使っていれば成立しません。ユーザーのITリテラシーによって被害の大きさが左右されやすい攻撃手法と言えるでしょう。

２．総当たり攻撃

総当たり攻撃とは、文字列の組み合わせをすべて試行することで不正ログインを達成する手法です。たとえば、数字４桁のパスワードならば、10通りの４乗で１万通りの組み合わせが考えられるため、これをすべて試せば必ずログインが成立します。

すべてのパターンを試す方法である以上、試行中にパスワードを変更しない限り、いつか必ず不正ログインされます。しかし、現実的な時間の中でログインできるとは限りません。

たとえば、４桁の数字で構成されるパスワードの場合、コンピュータを使えば数秒もかからずログインされます。しかし、英字を用いた10桁のパスワードなら30年以上もの時間が必要です。そして、英字だけでなく数字や記号も組み合わせれば、数十万年以上をかけてもログインできなくなります。

ユーザーに対し、長く複雑なパスワードの設定を指示することで被害を回避できます。

３．SQLインジェクション

SQLとは、データベースを操作する言語のことです。そして、インジェクション（Injection）は「注入」を意味します。つまり、SQLインジェクションとは、不正にSQLの命令文を攻撃対象のデータベースに注入する攻撃のことです。

具体的には、Webサイトに設置されているログインフォームや問い合わせフォームに不正な命令を書き込みます。すると、その命令文が実行され、データベース内にある情報が攻撃者に提供されることになるのです。

SQLインジェクションは、Webサイトの脆弱性を排除することで対策できます。フォームに入力された不正な命令文を排除する仕組みがあれば攻撃を防げます。これまで紹介した２つの攻撃手法と異なり、ユーザーではなくサイト管理者側での対策が重要な攻撃手法と言えるでしょう。

４．OSコマンドインジェクション

OSコマンドインジェクションは、Webサイトの入力フォームにOSへの命令文であるOSコマンドを紛れ込ませることで、不正に操作する攻撃手法です。原理的にはSQLインジェクションと同じですが、使用する言語がSQL文ではなくOSコマンドである点が異なります。

攻撃者はCookieやURLのクエリパラメータ、フォームのデータなどからOSコマンドを作ります。そして、それを含んだ文字列をフォームに入力し、Webサイト管理者が意図しない動作を実現するのです。たとえば、指定されたメールアドレスにログインIDやパスワードを送信する命令を仕込まれると、それらの情報がすべて盗まれます。

もっとも確実な対策は、Webアプリケーション上のコードからOSコマンドを呼び出せないようにすることです。また、不正な命令を成立させる特定の文字・記号を排除する仕組みも有効です。

５．バッファオーバーフロー攻撃

バッファ（buffer）は、IT分野においては一時的にデータを記憶する領域を指します。そして、オーバーフロー（overflow）とは溢れ出ることです。つまり、バッファオーバーフロー攻撃とはバッファ部分に大量のデータを送り、溢れさせる攻撃のことです。

溢れたデータは、バッファ以外の部分で処理されます。しかし、バッファ部分ですべての処理を行う想定で作られているため、想定外の部分で処理されると思わぬ不具合が生じることがあります。この不具合を利用して、不正な命令を実行させるのがバッファオーバーフロー攻撃の目的です。

この攻撃を受けると、マルウェアを仕込まれてコンピュータの操作権限を奪われることがあります。さらに、そこから重要な情報を奪われたり、他のサイバー攻撃を実行する踏み台にされたりするおそれがあります。

不正アクセスへの対策方法

ここまで見てきたように、不正アクセスを目的としたサイバー攻撃にはいくつかの種類があります。そして、具体的な対策方法は攻撃手法によって異なります。たとえば、総当たり攻撃では長く複雑なパスワードの設定が対策となりますが、SQLインジェクションではシステム面での対策が必要です。

しかし、IDSやIPSを利用すれば総合的な不正アクセス対策が実現します。これらはそれぞれ「不正侵入検知システム」「不正侵入防止システム」のことで、不正アクセスを防ぐセキュリティシステムです。あらかじめ登録しておいた攻撃手法によるアクセスや、それ以外の不審なアクセスを検知し、管理者に知らせたりブロックしたりしてくれます。

不正アクセスを試みるサイバー攻撃の種類を知り、対策を実施

不正アクセスを目的としたサイバー攻撃には、主に以下の種類があります。

１．パスワードリスト攻撃
２．総当たり攻撃
３．SQLインジェクション
４．OSコマンドインジェクション
５．バッファオーバーフロー攻撃

これらは対策方法も異なるため、すべてにおいて隙のない防御を実現するのは大変です。しかし、IPSやIDSなども組み合わせれば強固なセキュリティ対策を施せます。

以上を踏まえ、不正アクセスを防ぎましょう。

不正侵入検知・防御システム（IDS・IPS）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

不正侵入検知・防御システム（IDS・IPS）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

IDS・IPS（不正侵入検知・防御）とは？違いや種類・仕組みを徹底解説

IDS・IPSとWAFの違いとは？ファイアウォールとの相違点も解説

アノマリ型のIDS・IPSとは？シグネチャ型との違いも解説！

ネットワーク型IDSとは？ホスト型やIPSとの違いをわかりやすく解説！

無料で使えるOSSのIDS製品２選！メリットと注意点、選び方も解説！

IDS・IPS製品を徹底比較！導入前に知っておくべき選び方・注意点

IPS・IDSでDDoS攻撃は防げる？防御できない攻撃やWAFでの対策も解説

ログの改ざん防止はどうやって行えばいい？役に立つツールもご紹介！

バックドアとは？検出方法や駆除方法などを分かりやすく解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「不正アクセスを試みるサイバー攻撃の種類を５つご紹介！対策方法は？」というテーマについて解説しています。不正侵入検知・防御システム（IDS・IPS）の製品導入を検討をしている企業様は、ぜひ参考にしてください。

1月25日(月) 更新
	導入社数No.1の国産クラウド型WAF(IPS＋WAF)【攻撃遮断くん】株式会社サイバーセキュリティクラウド
	不正PC 私物スマートフォン検知・遮断システム【L2Blocker】株式会社ソフトクリエイト
	セキュリティ対策アプライアンスiNetSec SF 株式会社PFU
一覧を見る