Webサイトへのサイバー攻撃の種類
目次
- Webサイトへのサイバー攻撃の種類
- SQLインジェクション攻撃
- OSコマンドインジェクション攻撃
- LDAPインジェクション攻撃
- DoS/DDoS攻撃
- クロスサイトスクリプティング攻撃
- ディレクトリ・トラバーサル攻撃
- ドライブバイダウンロード攻撃
- ゼロデイ攻撃
- パスワードリスト攻撃(2ページ)
- ブルートフォースアタック(総当たり攻撃)(2ページ)
- Webセキュリティ対策(2ページ)
- まとめ(3ページ)
- サイバー攻撃を更に深く知る(3ページ)
- 編集履歴(3ページ)
- Threat Preventionパッケージ関連記事(3ページ)
抗原の種類と概要については,参考ぺー字 「サイバー攻撃の種類とWebセキュリティ, CyberSecurityTIMES」sourceを参考にしました.ここの攻撃の詳細については,それぞれ別のページを参考にしました.
SQLインジェクション攻撃
- 攻撃概要 : Webサイトの入力フォームなどに不正な文字列を入力し送信することで,データベースへの不正アクセスを試みる攻撃.もしもウェブアプリケーションに脆弱性があるとSQL文が実行されてしまう.
- 攻撃手段 : SQL文を送信
- 攻撃対象 : Webサーバの裏にあるデータベース。NASにWordPressを構築している場合、MariaDBなどのデータベースが標的になります
- 被害内容 : データベース内の機密情報の漏えい、ファイルの改ざんや消去.
- 対策 : Synologyでは、RouterのRT2600acのパッケージにIPSの「Threat Prevention」があり、これで対応できます
安全なウェブサイトの作り方 – 1.1 SQLインジェクション – IPA
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_1.html
OSコマンドインジェクション攻撃
- 攻撃概要 : Webサイトの入力フォームなどに不正な文字列を入力し送信し悪意のあるコマンドを実行
- 攻撃手段 : 実行可能な命令文
- 攻撃対象 : OS
- 被害内容 : 情報漏えい、データの改竄
- 対策 : ファイルのアクセス権の設定(パーミッション)。アクセス権が「777」では誰でも読み書き及び実行されるため、自分が実行することが無ければ少なくとも「644」にします。
| d | r | w | x | r | w | x | r | w | x |
| ディレクトリ | 読み | 書き | 実行 | 読み | 書き | 実行 | 読み | 書き | 実行 |
| 自分 | 自分 | 自分 | グループ | ブループ | グループ | 他人 | 他人 | 他人 |
安全なウェブサイトの作り方 – 1.2 OSコマンド・インジェクション – IPA –
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_2.html
LDAPインジェクション攻撃
- 攻撃概要 : LDAP(Lightweight Directory Access Protocol)というディレクトリサービスへの不正リスクエストによりユーザー権限奪取
- 攻撃手段 : 不正なリクエストの送信
- 攻撃対象 : 正規ユーザーの権限、セキュリティホール
- 被害内容 : LDAPは、サーバやアプリケーション、パソコン等のネットワークに接続する機器を一元管理しているため、多岐に及ぶ
- 対策 : 攻撃対象に関するセキュリティ改善,一般的なセキュリティ対策
StorageTek Virtual Storage Manager GUI ユーザーズガイド – Oracle –
https://docs.oracle.com/cd/E80554_01/VSMGU/ldap001.htm
DoS/DDoS攻撃
- 攻撃概要 : 膨大なトラフィックを送りつけてサーバーをダウンさせる嫌がらせ
- 攻撃手段 : 大量のトラフィック、多数のPCからの送信
- 攻撃対象 : ネットワークサーバー
- 被害内容 :ネットワーク帯域、CPU、メモリ、ディスクの枯渇によるサービス停止
- 対策 : Synology NASのDSMの設定に、DoS対策の設定があります
クロスサイトスクリプティング攻撃
- 攻撃概要 : 掲示板サイトなどへの投稿にリンクの埋め込みにより、サイト閲覧者からフィッシング
- 攻撃手段 : 投稿
- 攻撃対象 : そのWebサイトを閲覧するユーザー
- 被害内容 : 偽ページへ誘導、個人情報を窃取の危険、ブラウザ上から取得可能なユーザコンピュータ上の情報(Cookie等)などの漏洩
- 対策 : 一般的なセキュリティソフト(ウイルスバスターなど)
ディレクトリ・トラバーサル攻撃
- 攻撃概要 : 公開(許可)していないファイルを、推測されやすいディレクトリに当たりをつけて探し、セキュリティホールなどからアクセス権を奪取
- 攻撃手段 : 簡単に推測されやすいディレクトリのファイルを探す
- 攻撃対象 : Webサーバ
- 被害内容 : ファイルの閲覧や改ざん
- 対策 : 推測され難いディレクトリ名にしたり、パーミッションの適正設定
ドライブバイダウンロード攻撃
- 攻撃概要 : 悪意のあるファイルをアップロードして、サイトのユーザーを踏み台にする
- 攻撃手段 : 仕掛けたプログラムを閲覧したユーザにウイルスを感染させる
- 攻撃対象 : ユーザがよく利用するWebサイト(企業、団体)
- 被害内容 : アクセスユーザーのウイルス感染
- 対策 : 不用意にダウンロードしたファイルを実行しない。ウイルスソフトによる検査
ゼロデイ攻撃
- 攻撃概要 : セキュリティパッチ情報を取得後、パッチを当てていないサイトを探して、その脆弱性を攻撃
- 攻撃手段 :ベンダーからセキュリティパッチ(修正プログラム)が適用されるまでの期間で、その脆弱性を攻撃
- 攻撃対象 : サーバ、OS、ミドルウェア、アプリケーションなど全てのプログラム
- 被害内容 : 脆弱性に関わる不正アクセス被害、改竄被害など
- 対策 :初期バージョンでは不安定な場合も多く、それが二の足を踏む大きな理由です。しかし、ソフトウェア更新は、セキュリティ面では、即実施するべきです。