よく忘れるセキュリティ用語をまとめてみました。
有名な攻撃
XSS
XSS(Cross-Site Scripting)攻撃とは、Webアプリケーションの脆弱性を悪用し、攻撃者が悪意のあるスクリプトをサイトのHTMLコンテンツに注入することで、ユーザーのブラウザで実行される攻撃手法です。
攻撃者は、Webアプリケーションの脆弱性を利用して、悪意のあるコードをサイトに埋め込むことができます。その後、Webサイトの訪問者がサイトにアクセスすると、攻撃者が注入したスクリプトが実行され、被害者のブラウザ上で悪意のある行動を行うことができます。例えば、ユーザーの個人情報を盗む、不正な広告を表示する、偽のログインフォームを表示してパスワードを盗むなどの悪質な行為が挙げられます。
XSS攻撃は、Webアプリケーションの脆弱性を悪用するため、Webアプリケーションのセキュリティに対する十分な注意が必要です。また、ユーザーが悪意のあるスクリプトを実行しないようにするために、Webサイトは適切な入力検証、出力エスケープ、セッション管理などのセキュリティ対策を行うことが必要です。
DDos
DDoS (Distributed Denial of Service) 攻撃とは、複数のコンピューターからの大量のリクエストをサーバーに送信し、サーバーが正常なリクエストを処理できなくなるようにする攻撃手法です。
DDoS攻撃は、攻撃者が複数のコンピューター(ボットネット)を制御し、それらのコンピューターから大量のリクエストをサーバーに送信することで実現されます。これにより、サーバーはリクエストの処理に追いつかず、正常なユーザーのアクセスも受け付けられなくなります。結果的に、Webサイトやオンラインサービスは一時的または永続的にダウンしてしまいます。
DDoS攻撃は、サーバーを攻撃するための最も効果的な方法の一つであり、オンラインサービス提供業者やWebサイト運営者にとって深刻な問題となっています。攻撃を防止するためには、サーバーに対する適切な防御手段を取る必要があります。これには、DDoS攻撃を検知してトラフィックをフィルタリングするシステムや、クラウドベースのセキュリティサービスを活用することが含まれます。また、攻撃が発生した場合には、サービスの回復を迅速に行うための事前の対策が必要です。
SQLインジェクション
SQLインジェクションとは、Webアプリケーションに対する攻撃の一種で、不正なSQLコマンドをWebアプリケーションの入力フィールドに入力することで、データベースに対する不正アクセスを行う攻撃手法です。
SQLインジェクション攻撃は、Webアプリケーションがユーザーの入力を直接SQLクエリに組み込むことに起因しています。攻撃者は、Webアプリケーションの入力フィールドに対して不正なSQLコマンドを入力することで、データベースに対する不正アクセスを行うことができます。これにより、攻撃者はデータベースから機密情報を盗む、データを削除する、アプリケーションを乗っ取るなどの悪意のある行為を行うことができます。
SQLインジェクション攻撃を防ぐためには、入力検証、出力エスケープ、パラメータ化クエリなどのセキュリティ対策が必要です。入力検証では、ユーザーが入力したデータが正しい形式であることを確認し、入力を制限することで攻撃を防止します。出力エスケープでは、ユーザーが入力したデータを表示する前に、特殊文字をエスケープすることで、攻撃を防止します。また、パラメータ化クエリを使用することで、SQLクエリに直接ユーザー入力を組み込まず、セキュリティを強化することができます。
CSRF
クロスサイトリクエストフォージェリ(CSRF)とは、Webアプリケーションにおいて、攻撃者がログインしているユーザーのアカウントを不正に操作するために、攻撃者が用意したサイトにユーザーを誘導する攻撃手法です。
例えば、攻撃者が銀行のWebサイトを模倣した偽サイトを用意し、その偽サイトに誘導するメールを送信するとします。メールを開いたユーザーが偽サイトにアクセスすると、偽サイトはユーザーのブラウザで自動的に銀行のWebサイトに対する操作を実行し、不正な取引を行うことができます。
CSRF攻撃は、攻撃者が対象とするWebアプリケーションにアクセスできなくても、攻撃を行うことができる点が特徴的です。この攻撃手法を防ぐためには、Webアプリケーションが、ユーザーがリクエストしたアクションを認証する必要があります。たとえば、Webアプリケーションは、CSRFトークンを使用して、リクエストが認証されたものであることを確認することができます。また、ブラウザ側でCookieにSameSite属性を設定することで、外部からのCookieの送信を制限することもできます。これらの対策を実施することで、CSRF攻撃からWebアプリケーションを保護することができます。
ディレクトリトラバーサル
ディレクトリトラバーサルとは、Webアプリケーションに対して、正規のファイルアクセス制限を回避して、不正なファイルや情報を取得する攻撃手法です。
Webアプリケーションは、通常、アプリケーション内で扱うデータのセキュリティを保護するために、特定のディレクトリに制限を設けています。しかし、攻撃者がディレクトリトラバーサル攻撃を行うことで、許可されていないディレクトリにアクセスすることができます。攻撃者は、アクセスできるディレクトリにあるファイルを読み取ることができ、システムに関する重要な情報を取得することができます。
例えば、Webアプリケーションが、ユーザーから送信されたファイルを保存する際に、ファイル名に特定の文字列を含めることで、セキュリティを保護しているとします。攻撃者が、ファイル名に含まれる文字列を書き換えることで、許可されていないディレクトリにアクセスすることができます。
ディレクトリトラバーサル攻撃を防ぐためには、Webアプリケーションは、アプリケーション内で扱うディレクトリに対するアクセス制限を厳密に設定する必要があります。また、ファイル名やパス名に特定の文字列を含めることで、攻撃者が不正なアクセスを行うことを防ぐこともできます。
ディスクロージャー
「ディスクロージャー攻撃」とは、企業や組織の機密情報や個人情報などを、外部の攻撃者が不正に入手し、公表する攻撃手法のことを指します。
ディスクロージャー攻撃は、不正アクセスや情報漏洩、スパイ活動などの手法を用いて、企業や組織から情報を収集し、その情報を公開することで行われます。この攻撃によって、企業や組織の機密情報や個人情報が外部に漏洩することがあります。
ディスクロージャー攻撃は、企業や組織にとって重大な被害をもたらす可能性があります。機密情報や個人情報の漏洩により、企業の信頼性やブランドイメージが損なわれることがあります。また、企業の業績にも悪影響を及ぼすことがあります。
ディスクロージャー攻撃を防ぐためには、企業や組織が情報セキュリティ対策を十分に行い、セキュリティ強化を図ることが重要です。また、従業員教育やセキュリティ監視などの対策も必要です。また、万が一攻撃が発生した場合には、速やかに対応することが重要です。
フィッシング攻撃
フィッシング攻撃とは、メールやSMS、SNS、Webサイトなどを利用して、偽の情報や偽のウェブサイトを提示し、ユーザーの個人情報やパスワード、クレジットカード情報などを盗み出す詐欺行為のことを指します。
フィッシング攻撃の代表的な手法は、偽のメールを送信することです。このメールには、銀行やオンラインストア、クレジットカード会社などの偽の送信元が記載されており、受信者に対して「アカウント情報の確認が必要」といった内容のリンクが含まれています。リンクをクリックすると、偽のウェブサイトに誘導され、偽のログインページが表示されます。ユーザーが偽のログインページに入力した情報は、攻撃者に送信され、ユーザーのアカウントが乗っ取られてしまうことがあります。
フィッシング攻撃を防ぐためには、以下のような対策が必要です。
1.メールの送信元を確認する 2.リンク先のURLを確認する 3.安全なウェブサイトであることを確認する 4.パスワードを定期的に変更する 5.2段階認証を有効にする
これらの対策を実施することで、フィッシング攻撃から自分自身や組織を守ることができます。
