Dos攻撃:
1台のパソコンを使用して攻撃対象のサーバーへ大量にアクセスし、サーバーを過負荷状態に追い込む攻撃です。1台しか使用しないため、攻撃対象へのアクセス数もDDos攻撃と比べて少なくなるほか、攻撃者も特定しやすくなります。
派生としてDDos攻撃、またDDos攻撃の一種として、リフレクション攻撃というものがあります。また、スマーフ攻撃もDos攻撃の一種です。
DDos攻撃
大量のコンピュータから特定のサーバーへ一斉にアクセスし、過負荷状態に追い込む攻撃です。Dos攻撃は1台のパソコンから行われますが、DDos攻撃は数万台や数千万台の大量の別のコンピュータを踏み台にし、そこからDos攻撃を行います。
リフレクション攻撃もDDos攻撃のひとつです。
EDoS攻撃
クラウドサービスの自動スケーリング機能を悪用し、不要なリソース拡張を引き起こして経済的損失を与える。
リフレクション攻撃
Dos攻撃は古くからある手法で、徐々にサイバー攻撃の手法として広く認知されていき、対策も積極的に行われてきました。(C&Cサーバを停止させる、ボットネットのテイクダウン等)
そのため、従来と代わる手法として使用されるようになったのが「リフレクション攻撃」で、これは送信元のリクエストに対してすぐに返答する (リフレクション) を利用した攻撃です。
とあるサーバーに、偽装した送信元の情報 (攻撃対象のIPアドレス) を大量に送り付け、サーバーが返答として偽装されたIPアドレスのコンピュータ (攻撃対象のコンピュータ) に大量のパケットを送信する仕組みで攻撃します。
通常、踏み台となるサーバーが受け取ったパケットサイズより、攻撃対象に送るパケットサイズの方がはるかに大きくなるような手口になっています。
攻撃されたコンピュータは、受け取ったパケットの量が処理しきれないボリュームになると、停止に追い込まれてしまいます。
スマーフ攻撃
送信元のIPアドレスを偽装し、とあるネットワークアドレスに対してPINGを大量に送る手法です。PINGの返信は偽装されたIPアドレス (攻撃対象のコンピュータ) に送信され、ネットワーク不可が上昇します。
ネットワークアドレスに対してpingを送信するので、そのネットワークにあるすべてのコンピュータが応答するため、攻撃対象のコンピュータの負荷が上がります。
SEOポイズニング
検索エンジンを悪用した手法です。不正なWebサイトを検索結果の上位に表示させ、アクセスしたユーザーに攻撃を行う手法です。
不正なコードを埋め込み、検索エンジンであるクローラーを欺いて上位に表示させる手法が用いられます。方法としては、以下のような手法があります。
キーワードスタッフィング
不正なWebサイトに大量のワードを埋め込み、検索エンジンに関連性が高いと判断させ、検索結果を上げる大量のキーワードを不自然に詰め込む手法です。これにより、検索エンジンから高い関連性があると判断され、検索結果での表示順位が上昇します。
クローキング型
クローラーとユーザーそれぞれで異なるコンテンツを表示する手法です。クローラーには通常のコンテンツをみせ、ユーザーには攻撃サイトへ誘導するコンテンツを表示します。
リダイレクト型
通常のWebサイトに不正なリダイレクトを埋め込む手法です。ユーザーがWebサイトを訪問すると、自動的に攻撃サイトにリダイレクトするようにします。元々検索順位が高いWebサイトが利用されやすいです。
コメントスパム型
ブログやフォーラムのコメント欄に、不正なサイトへのリンクを大量に投稿する手法です。これにより、検索順位の操作もできます。
クロスサイトスクリプティング
Webサイトの脆弱性を悪用したサイバー攻撃の一つです。攻撃者は掲示板などWebサイトの訪問者に入力を許すページに罠を仕掛け、悪質なサイトへ誘導します。そのサイトを閲覧すると悪意のあるコードが実行される仕組みです。
クリックジャッキング
Webサイトに訪れたユーザーが意図しない操作をするよう誘導させる手法です。例えば、Webサイトでよく押されそうなボタンの上に透明なリンクやボタンを配置しておき、ユーザーを視覚的に騙してクリックさせるなどです。
サイドチャネル攻撃
機器が発している暗号を解読して情報を読み取る攻撃で、機密情報を盗み出すために機器の動作や状態を観察したり、特殊な機器を用いて機器が発する信号を手がかりに情報を盗み出す方法です。
主に不正ログインを行う際に使用される攻撃
辞書攻撃
一般的な単語や人物名、それらを組み合わせた単語など、人間にとって意味のある言葉を候補として辞書に羅列しておいて、それを用いて不正ログインを試みる手法です。
ブルートフォース攻撃
総当たり攻撃ともいいます。考えられる全てのパターンをひとつずつ試していく手法です。
リスト型攻撃
不正に入手したアカウントとパスワードが記載されたリストをもとに、不正アクセスを試みる手法です。
レインボー攻撃
事前に計算された大量のハッシュ値とパスワードのペアを使用して、ハッシュ化されたパスワードを高速に解読する。
SQLインジェクション
ウェブアプリケーションの入力フィールドにSQLコマンドを挿入し、データベースの不正操作や情報漏洩を引き起こす。
コマンドインジェクション
ウェブアプリケーションを通じてシステムコマンドを不正に実行し、サーバーを操作する。
ソーシャルエンジニアリング
人間の心理的な隙、行動ミスにつけ込み、秘密情報を入手する犯罪のことです。
詐欺メール (Business Email Compromise (BEC) ) やフィッシング詐欺もソーシャルエンジニアリングのひとつです。
Business Email Compromise
日本語では「ビジネスメール詐欺」と呼ばれます。
攻撃対象の企業の取引先を装ってメールを送信し、不正な送金を促したり、不正な請求書を送付したりする手法です。
フィッシング詐欺
偽のサイトに誘導し、IDやパスワードを入力させ盗む手法です。実際にある企業のサイトに巧妙に似せたフィッシングサイト (偽サイト) を作成し、盗む形が多くみられます。この被害にあうと、金銭的な面の被害にあう可能性がとても高いです。
バッファオーバーフロー
攻撃対象のコンピュータに、処理能力を超える大量のデータやコードを送ることで、メモリ領域のバッファの許容量を超えて、コンピュータを誤動作、クラッシュさせる手法です。
コンピュータでプログラムを実行するときは、メモリにバッファを確保しています。そのバッファに収まらないデータを書き込もうとした際にバッファオーバーフローが発生します。
水飲み場攻撃
攻撃の対象者がよく利用するWebサイトを改ざんし、Webサイトに訪れるとマルウェアに感染するような仕組みの攻撃のことです。水飲み場に集まった草食動物を肉食動物が狙う様から名付けられました。
標的型攻撃
特定の組織や個人を狙って、マルウェア添付メールの送信や、偽のウェブサイトへの誘導など、複数の手法を組み合わせて持続的に攻撃を行う。
フットプリンティング
標的となる組織や個人の情報を、公開情報や社会工学的手法を用いて収集し、攻撃の準備を行う。
クロスサイトスクリプティング(XSS)
ウェブサイトに悪意のあるスクリプトを挿入し、ユーザーのブラウザ上で実行させる。それにより,クッキーなどに含まれる情報を盗み出す。
クロスサイトリクエストフォージェリ(CSRF)
ユーザーが認証済みのWebサイトで、攻撃者が用意した悪意のあるリクエストを不正に送信させる。
ディレクトリトラバーサル攻撃
URLやファイルパスに「../」などを使用し、意図しないディレクトリにアクセスを試みる。
セッションハイジャック
正規ユーザーのセッションIDを盗み取り、そのユーザーになりすましてシステムにアクセスする。
Man-in-the-Browser攻撃
ブラウザ内でマルウェアが動作し、ユーザーの入力や表示内容を改ざんする。
Man-in-the-Middle攻撃(仲介者攻撃)
攻撃者が通信経路上に介入し、送信者と受信者の間でデータを傍受・改ざんする。正規の通信を装いながら、機密情報の盗聴や改ざんを行う。多くの場合、被害者は攻撃の存在に気づかない。
スニッフィング
ネットワーク上を流れるデータパケットを盗聴し、機密情報を抽出する。
ゼロデイ攻撃
まだ公開されていない脆弱性を悪用して、システムやアプリケーションを攻撃する。
DNSリフレクタ攻撃
偽装された送信元IPアドレスでDNSサーバーに大量のクエリを送信し、標的に応答を集中させる。
DNSキャッシュポイズニング
DNSサーバーのキャッシュに偽の情報を挿入し、ユーザーを偽のサイトに誘導する。
ドライブバイダウンロード
ユーザーが気づかないうちに、悪意のあるWebサイトからマルウェアをダウンロード・実行させる。
フィッシング
偽のWebサイトやメールを使って、ユーザーの個人情報やログイン情報を騙し取る。
IPスプーフィング
送信元IPアドレスを偽装し、信頼されたシステムになりすまして通信を行う。
クリプトジャッキング
ユーザーの端末のリソースを無断で使用し、仮想通貨のマイニングを行う。
ポートスキャン
ネットワーク上のターゲットシステムに対して、開いているポートを特定するために多数のパケットを送信し、応答を分析する。これにより、攻撃可能なサービスや脆弱性を探る。
コメント