不正アクセスを試みるサイバー攻撃の種類
不正アクセスを目的としたサイバー攻撃を5種類紹介します。
1.パスワードリスト攻撃
パスワードリスト攻撃は、何らかの方法で取得したパスワードのリストを用いて不正ログインを試みる攻撃です。たとえば、あるサイトから盗んだID・パスワードで他のサイトへのログインを試行する例があります。ユーザーが複数のサイトで同じID・パスワードを使っていると、不正ログインされることになります。
パスワードリスト攻撃は不正アクセスを目的とした攻撃の中でも、比較的成功率の高い方法です。しかし、ユーザーがサービスごとに異なるID・パスワードを使っていれば成立しません。ユーザーのITリテラシーによって被害の大きさが左右されやすい攻撃手法と言えるでしょう。
2.総当たり攻撃
総当たり攻撃とは、文字列の組み合わせをすべて試行することで不正ログインを達成する手法です。たとえば、数字4桁のパスワードならば、10通りの4乗で1万通りの組み合わせが考えられるため、これをすべて試せば必ずログインが成立します。
すべてのパターンを試す方法である以上、試行中にパスワードを変更しない限り、いつか必ず不正ログインされます。しかし、現実的な時間の中でログインできるとは限りません。
たとえば、4桁の数字で構成されるパスワードの場合、コンピュータを使えば数秒もかからずログインされます。しかし、英字を用いた10桁のパスワードなら30年以上もの時間が必要です。そして、英字だけでなく数字や記号も組み合わせれば、数十万年以上をかけてもログインできなくなります。
ユーザーに対し、長く複雑なパスワードの設定を指示することで被害を回避できます。
3.SQLインジェクション
SQLとは、データベースを操作する言語のことです。そして、インジェクション(Injection)は「注入」を意味します。つまり、SQLインジェクションとは、不正にSQLの命令文を攻撃対象のデータベースに注入する攻撃のことです。
具体的には、Webサイトに設置されているログインフォームや問い合わせフォームに不正な命令を書き込みます。すると、その命令文が実行され、データベース内にある情報が攻撃者に提供されることになるのです。
SQLインジェクションは、Webサイトの脆弱性を排除することで対策できます。フォームに入力された不正な命令文を排除する仕組みがあれば攻撃を防げます。これまで紹介した2つの攻撃手法と異なり、ユーザーではなくサイト管理者側での対策が重要な攻撃手法と言えるでしょう。
4.OSコマンドインジェクション
OSコマンドインジェクションは、Webサイトの入力フォームにOSへの命令文であるOSコマンドを紛れ込ませることで、不正に操作する攻撃手法です。原理的にはSQLインジェクションと同じですが、使用する言語がSQL文ではなくOSコマンドである点が異なります。
攻撃者はCookieやURLのクエリパラメータ、フォームのデータなどからOSコマンドを作ります。そして、それを含んだ文字列をフォームに入力し、Webサイト管理者が意図しない動作を実現するのです。たとえば、指定されたメールアドレスにログインIDやパスワードを送信する命令を仕込まれると、それらの情報がすべて盗まれます。
もっとも確実な対策は、Webアプリケーション上のコードからOSコマンドを呼び出せないようにすることです。また、不正な命令を成立させる特定の文字・記号を排除する仕組みも有効です。
5.バッファオーバーフロー攻撃
バッファ(buffer)は、IT分野においては一時的にデータを記憶する領域を指します。そして、オーバーフロー(overflow)とは溢れ出ることです。つまり、バッファオーバーフロー攻撃とはバッファ部分に大量のデータを送り、溢れさせる攻撃のことです。
溢れたデータは、バッファ以外の部分で処理されます。しかし、バッファ部分ですべての処理を行う想定で作られているため、想定外の部分で処理されると思わぬ不具合が生じることがあります。この不具合を利用して、不正な命令を実行させるのがバッファオーバーフロー攻撃の目的です。
この攻撃を受けると、マルウェアを仕込まれてコンピュータの操作権限を奪われることがあります。さらに、そこから重要な情報を奪われたり、他のサイバー攻撃を実行する踏み台にされたりするおそれがあります。
不正アクセスへの対策方法
ここまで見てきたように、不正アクセスを目的としたサイバー攻撃にはいくつかの種類があります。そして、具体的な対策方法は攻撃手法によって異なります。たとえば、総当たり攻撃では長く複雑なパスワードの設定が対策となりますが、SQLインジェクションではシステム面での対策が必要です。
しかし、IDSやIPSを利用すれば総合的な不正アクセス対策が実現します。これらはそれぞれ「不正侵入検知システム」「不正侵入防止システム」のことで、不正アクセスを防ぐセキュリティシステムです。あらかじめ登録しておいた攻撃手法によるアクセスや、それ以外の不審なアクセスを検知し、管理者に知らせたりブロックしたりしてくれます。
不正アクセスを試みるサイバー攻撃の種類を知り、対策を実施
不正アクセスを目的としたサイバー攻撃には、主に以下の種類があります。
- 1.パスワードリスト攻撃
- 2.総当たり攻撃
- 3.SQLインジェクション
- 4.OSコマンドインジェクション
- 5.バッファオーバーフロー攻撃
これらは対策方法も異なるため、すべてにおいて隙のない防御を実現するのは大変です。しかし、IPSやIDSなども組み合わせれば強固なセキュリティ対策を施せます。
以上を踏まえ、不正アクセスを防ぎましょう。