テクノロジ系　セキュリティ③

31問 • 9ヶ月前

問題一覧

　標的型攻撃の1つで、ターゲットが頻繁に利用するWebサイトにマルウェアを仕掛ける手法のことを「1」型攻撃という。　同じ手口として、ドライブバイダウンロードがあるが、ドライブバイダウンロードは不特定多数をターゲットにしている。「1」型攻撃は、特定の組織や個人をターゲットにした標的型攻撃である。

水飲み場

　標的型攻撃の1つで、無害なメールのやり取りをして受信者を安心させてから、マルウェアや悪意のあるURLを送りつける手法のことを「1」型攻撃という。

やり取り

　長期間にわたって行われる、高どな標的型攻撃のことを「1」という。国家レベルのスパイ行為など、大規模な攻撃を指して使われる場合が多く、攻撃はさまざまな手法を用いて行われる。

APT

　攻撃者が悪意のある文字列をWebアプリケーションに注入することで、そのサイトを訪れたユーザの情報を盗む攻撃のことを「1」という。

クロスサイトスクリプティング

　攻撃者が仕掛けた罠を利用して、不正なリクエストを攻撃対象のWebアプリケーションに送信させる攻撃手法のことを「1」という。　代表的な手口では、攻撃者はユーザに対して不正なURLを送信する。このURLに、すでにWebアプリケーションにログインしているユーザがアクセスすると、URLに含まれたスクリプトにより、不正なリクエストが攻撃対象のWebアプリケーションに送られる。Webアプリケーションによってリクエストが処理されると、本来ユーザが意図していない処理が実行される。いわば、正規の手順でログインしているユーザを隠れ蓑にして、Webアプリケーションに不正な動作を実行させる。

クロスサイトリクエストフォージェリ

　本来ユーザがアクセスできないディレクトリやファイルに不正にアクセスする攻撃手法のことを「1」という。　WebアプリケーションはWebサーバに保存されているデータを参照することで動作しており、これらの中には、システムの設定ファイルなど、ユーザにアクセスして欲しくない情報も含まれている。本来は、一派ニュー座はこのようなデータにアクセスできないように設定されている。しかし、これが正しく設定されていないと、攻撃者は、パスを使ってファイルを指定することで不正にファイルにアクセスできるようになる。

ディレクトリトラバーサル

　外部からの操作によって、攻撃対象のコンピュータ上でOSコマンドを不正に実行させる攻撃のことを「1」という。　例えば、Webサービスの入力フォームに悪意ある文字列を入力し、そのサービスが稼働しているサーバー上のOSコマンドを不正に実行する。

OSコマンドインジェクション

　Webサーバの持つディレクトリの内容を、一覧表示する機能を使って情報を集める手法のことを「1」という。　Webサーバには、指定されたURLの末尾が「/ 」の時、そのディレクトリに含まれるファイルを一覧するという機能がある。　基本的にはこの機能を無効にしておく必要があるが、正しく設定されていない場合に意図しないファイルへのアクセスを許してしまうことがある。　例えば、「https://example.com/user/」と入力された時、「1」が有効になっていると、本来エラーを表示すべきところをusersフォルダに含まれるファイルが一覧表示されてしまう。

ディレクトリリスティング

　「　処理」とは、「＜」や「＆」といったWebページにとって特別な意味を持つ記号を、特別な意味を持たない文字列に置き換えることで悪用されないようにする、スクリプト攻撃への対策である。

エスケープ処理

　<script>要素が「静 / 動」的に生成される仕様のWebアプリケーションでは、攻撃者によって任意のスクリプトを埋め込まれる可能性がある。これを防ぐために<script>要素が「静 / 動」的に生成されないようにすることで、スクリプト攻撃への対策となる。（<script>要素とは、Webページを生成するソースコードに含まれる、Webページの動きを指定する部分のこと。例えば、自動的に変化する背景などを実現するために使用される。）

動

　「1」攻撃とは、主にWebアプリケーションに対して、悪意のある「1」を実行させる攻撃手法のこと。Webアプリケーションの不備（脆弱性）をつき、本来意図されていない命令や操作を実行させることで攻撃を行う。・クロスサイトスクリプティング・クロスサイトリクエストフォージェリ・SQLインジェクション・ディレクトリトラバーサル・OSコマンドインジェクション・ディレクトリリスティングなど

スクリプト

［パスワード攻撃］　あり得るすべてのパスワードを総当たりで試し、パスワードを割り出す攻撃手法のことを「1」攻撃という。

ブルートフォース

［パスワード攻撃］　一般的な単語やフレーズを集めたものを用いて、パスワードを推測する攻撃手法のことを「1」という。より多くの人が使用していると考えられるパスワードから順に試すことで、ブルートフォース攻撃よりも効率的にパスワードを割り出すことができる。

辞書攻撃

［パスワード攻撃］　あるユーザが複数のサイトで同じパスワードを使い回している場合、「1」攻撃によってパスワードが破られる可能性が高くなる。　また、同じ攻撃手法で、特にボットを用いて自動化された攻撃を「クレデンシャルスタッフィング」という。

パスワードリスト

［パスワード攻撃］　あらかじめ用意したハッシュ値とその元となる値（平文）の対応表を利用することで、ハッシュ値から元のパスワードを割り出す攻撃手法のことを「1」攻撃という。　一般的に、パスワードはサーバにそのまま保存されるのではなく、ハッシュ関数を利用して変換し、元のパスワードがわからないような形で保存される。ハッシュ値から元の値を算出することはできないが、あらかじめ考えられるパスワードとそれに対するハッシュ値を対応表として用意しておくことで、不正に入手したハッシュ値とこの対応表を比較して元のパスワードを特定する。

レインボーテーブル

［パスワード攻撃］　ブルートフォース攻撃が1つのIDに対してパスワードを総当たりする手法だったのに対し、「1」攻撃は、1つのパスワードに対して複数のIDを総当たりで試すことで、IDとパスワードの組みを探し出す。　パスワードを何回か間違えたら一定時間入力できなくする対策は、ブルートフォース攻撃には有効だが、「1」攻撃には対応できない。

リバースブルートフォース

　「1」攻撃は、システムのリソースを過剰に消費させることでサービスの提供を妨害する攻撃手法である。　主に、単一のコンピュータから攻撃を行うDos攻撃と、複数のコンピュータから攻撃を行う「2」攻撃がある。

DoS, DDoS

[「1」攻撃] 　主にインターネット上のサービスの提供を妨害する目的で行われる。攻撃者は1台のコンピュータから大量のリクエストを送信し、サーバの動作を妨害する。その結果、サーバの動きが遅くなったり、サーバがダウンすることでサービスが停止したりすることとなる。

DoS

［DoS攻撃］　「1」パケットと呼ばれる、最初の接続要求を行うデータを攻撃対象に対して大量に送りつけることで、攻撃対象の正常な稼働を妨害する攻撃手法を「1」Flood攻撃という。　「1」パケットはTCP通信において最初に送られてくるデータで、このパケットが正しくやり取りされると通信可能状態となり、通信する2つの端末館で接続が確立される。　「1」Flood攻撃では、「1」パケットのみを大量に送りつけることで、攻撃対象に大量の通信依頼が来たように見せかけ、本来必要なサービス提供を妨害する。

SYN

［DoS攻撃］　コンピュータ間の接続を確認するpingコマンドの送信元IPを偽装し、攻撃対象に大量のパケットが集中するように仕向ける攻撃のことを「1」攻撃という。　ファイアウォールでパケットを適切にフィルタリングすることで防ぐことができる。（「1」攻撃のIPアドレスの偽装に、「IPスプーフィング」が使われる。）

スマーフ

［DoS攻撃］　「複数」のコンピュータを用いて行うDoS攻撃のことを「1」攻撃という。　一般的に、ボットが仕込まれた複数のコンピュータを踏み台にして実行される。単一のコンピュータで行うDoS攻撃に比べ、送信できるリクエストの数が増え、送信もとも1ヶ所ではないため、DoS攻撃よりも強力な攻撃手法だといえる。

DDoS

［DoS攻撃］　クラウドサービスの利用者に対して金銭的な負担をかけることを目的に行われる攻撃のことを「1」攻撃という。　一般的なクラウドサービスは使用したサービス料や時間に応じて利用料金が課金される仕組みになっている。この攻撃はこれを利用し、クラウドサービスを利用しているWebサイトに対して、本来は不要なアクセスを大量に行うことで、利用料金を増加させる。

EDoS

［DoS・DDoS攻撃への対策］・同一の「1」からの通信を制限する。（ただし、DDoS攻撃では複数の「1」が利用されるため、対策としては不十分）・WAF（Web Application Firewall）を導入する。通信内容を検査するWAFを導入することで、DoS攻撃・DDoS攻撃を防ぐのに役立つ。

IPアドレス

［DoS・DDoS攻撃への対策］・同一のIPアドレスからの通信を制限する。（ただし、DDoS攻撃では複数のIPアドレスが利用されるため、対策としては不十分）・「1」を導入する。通信内容を検査する「1」を導入することで、DoS攻撃・DDoS攻撃を防ぐのに役立つ。

WAF

　「1」は、AIを騙すデータのことで、間違った推論を意図的に引き起こさせる。

敵対的サンプル

　自然言語で命令を与えることができるAIに対して、不正な命令を与えることで、本来は出力を禁止しているデータを出力させる攻撃手法を「1」という。（自然言語とは、普段使っている言語（日本語、英語など）のこと。）

プロンプトインジェクション

　ユーザのPCが問い合わせを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、偽のドメイン情報を注入する攻撃手法のことを「1」という。　「1」は、ドメイン名に対応するIPアドレスを不正な情報に置き換えることで、ユーザを意図しないWebサイトに誘導する。

DNSキャッシュポイズニング

　コンピュータのメモリ上の一時的な保存領域に収まりきらないデータを入力することで、隣接するメモリ領域に不正なデータを書き込む攻撃のことを「1」という。　これによりサービスが異常終了したり、攻撃者の意図した不正なコードが実行されたりする。

バッファオーバーフロー

　他人のコンピュータを不正に利用して、暗号資産を獲得するための演算（マイニング）を行う攻撃手法のことを「1」という。　通常、マイニングは気づかれないようにバックグラウンドで行われる。この攻撃は、マルウェアによって引き起こされるため、ウイルス対策ソフトなどを利用してマルウェアをコンピュータに侵入させないことが対策となる。

クリプトジャッキング

・「1」は、DNSキャッシュサーバに偽のドメイン情報を注入する攻撃手法。・ドメイン名ハイジャックは、権威DNSサーバの情報を不正に操作する攻撃手法。

DNSキャッシュポイズニング

・DNSキャッシュポイズニングは、DNSキャッシュサーバに偽のドメイン情報を注入する攻撃手法。・「1」は、権威DNSサーバの情報を不正に操作する攻撃手法。

ドメイン名ハイジャック

労働基準法　選択式１

goto atelier · 100問 · 1年前

労働基準法　選択式１

テクノロジ系 セキュリティ③

テクノロジ系 セキュリティ③

テクノロジ系　セキュリティ③

テクノロジ系　セキュリティ③