サイバー犯罪―サイバーテロやサイバー攻撃の手口／やり方。

サイバー犯罪は、コンピュータネットワーク上で行われる破壊、改ざん、漏えい、盗聴などの犯罪全般のことです。これらの犯罪から守るには、まずは脆弱性の検出が必要です。脆弱性検出の観点として、サイバーテロやサイバー攻撃の手口ややり方など、サイバー犯罪についてまとめています。

▲記事トップへ

目次

このページの目次です。

1. サイバー犯罪とは
2. サイバー攻撃のやり方（あいうえお順）

知識の幅を広げるための参考
更新履歴

1. サイバー犯罪とは

サイバー犯罪は、コンピュータネットワーク上で行われる破壊、改ざん、漏えい、盗聴などの犯罪全般のことです。

サイバー攻撃

サイバー攻撃は、情報システムへの外部からの不正な行為や手法のことです。

サイバーテロ

サイバーテロは、ネットワークを対象に行われるテロリズムです。 サイバー攻撃のことをサイバーテロと呼ぶこともあります。

2. サイバー攻撃のやり方（あいうえお順）

サイバー攻撃の手口／やり方には、これだけで辞典ができそうなくらい、さまざまなやり方があります。 あいうえお順にまとめています。

IPスプーフィング

IPスプーフィングは、送信元のIPアドレス情報を詐称してパケット送信する攻撃手法です。 DoS攻撃などでIPスプーフィングがよく行われます。

SQLインジェクション

SQLインジェクションとは、データベースと連動したWebサイトで、データベースへの問い合わせや操作を行うプログラムにパラメータとしてSQL文の断片を与えることにより、 データベースを改ざんしたり不正に情報を入手する攻撃です。

詳細

外部リダイレクト

外部リダイレクトとは、外部へリダイレクトされる脆弱性の利用した攻撃です。

キーロガー

キーロガーとは、コンピュータへのキー入力を監視し、それを記録するマルウェアを手口のことをいいます。

キャッシュポイズニング

キャッシュポイズニングとは、DNSのキャッシュ情報を意図的に書き換え、利用者を誤ったサイトへ誘導する攻撃です。

クリックジャッキング

クリックジャッキングは、ウェブページの利用者に対し悪意をもって使用される技術の一種で、 リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法です。

たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行します。 この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがあります。 様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえます。

クロスサイト・スクリプティング（持続型）（別名 Cross Site Scripting (Persistent）、Stored XSS、格納型クロスサイト・スクリプティング

ターゲットのサイトにスクリプトが持続的に埋め込まれ、効果が永続するタイプのもの。 一般的には "XSS type2" と呼ばれたりするようですが、数字で言われても分かりにくいので、このサイトでは「持続型」と呼ぶことにしています。 "stored XSS" とも呼ばれるようです。

クロスサイト・スクリプティング（反射型）

反射型XSSは外部から受け取ったパラメータをWebページに表示する際に起こる脆弱性です。 それを利用した攻撃手法があります。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ（CSRF）とは、Webアプリケーションに存在する脆弱性を利用した攻撃方法のことをいいます。

Server Side Include（SSI）

HTML ページ中に配置されるディレクティブであり、 サーバでページを提供する時に評価されます。 SSI は、CGI プログラムやその他の動的な技術で全てのページを提供せずに、 動的に生成されたコンテンツを現在の HTML ページに加えます。

Server Side Code Injection（別名 コード・インジェクション）

上位コンポーネントからの影響がある入力を使用したコードセグメントの全部、 もしくは一部を構築するソフトウェアにおいて、意図するOSコマンドの構文やふるまいを改ざんすることが可能な要素を適切に無効化しないようにする脆弱性を利用した攻撃です。

サイドチャネル攻撃

サイドチャネル攻撃とは、IT機器に対する攻撃手法の一つで、装置の物理的な特性の変化を外部から観測・解析することにより、本来読み取ることができない情報を盗み取る手法です。

CRLFインジェクション（別名 HTTPヘッダインジェクション）

HTTPヘッダーとボディーを識別するときに「CRLF」の文字が使用されるが、それを2つ連ねてボディーの中身を詐称する攻撃です。

セッションハイジャック

セッションハイジャックは、攻撃者がログイン中の利用者のセッションIDを不正に取得し、セッションを乗っ取る攻撃手法です。

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアなどのセキュリティホールが発見されてから、その情報公開や対策が講じられる前に、そのセキュリティホールを狙う攻撃のことをいいます。

総当り攻撃（ブルートフォース）

総当たり攻撃とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方のことをいいます。

第三者中継

第三者中継とは、多くのスパムメールが行っている方法で、メール送信者がその本人とは無関係の第三者のメールサーバを不正に中継し、身元を偽ってメールを送信することをいいます。

DoS攻撃

DoS攻撃を、Webサイトやサーバに対して、大量のリクエストを送り付ける攻撃です。

ディレクトリブラウジング

ディレクトリの内容一覧が見えて、見せたくなかったファイル（アプリケーションから利用されるデータファイルなど）が見えてしまう脆弱性を利用した情報取得です。

パストラバーサル（ディレクトリトラバーサル）

Web公開パスのファイル以外のパスのファイルが参照できてしまう脆弱性を利用した情報取得。

外部からの入力によりパス名を作成し、 制限された親ディレクトリ配下に位置するファイルやディレクトリを識別するために用いるようなソフトウェアにおいて、 パス名に含まれる特殊な要素の無効化が適切に行われない場合、制限されたディレクトリの外側のパス名解決が可能です。

バックドア

バックドアとは、利用者が入る正規の入り口とは別に、秘密裏に作られる「裏口」のことをいいます。

バッファ　オーバーフロー

バッファオーバーフロー攻撃は、実行中のプログラムのメモリ内に攻撃者の手による機械語プログラムが送り込まれて実行され、 最悪の場合、コンピュータ全体の制御が奪われることになる脆弱性を利用した攻撃です。

パラメータ改ざん

アプリケーションがURLパラメータやhidden、Cookieなどに入れた値を書き換えてサーバに送り返す攻撃です。

標的型攻撃

標的型攻撃は、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃です。

フィッシング

フィッシングとは、インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為のことをいいます。

フットプリンティング

フットプリンティングとは、攻撃者が攻撃を行う前に攻撃対象となるコンピュータやネットワークに対して弱点や攻撃の足掛かりを得るために行う事前調査のことをいいます。

Format String Error（別名 フォーマット文字列攻撃）

フォーマット文字列攻撃は、printf() や syslog() 等のライブラリ関数がもつ書式編集機能を悪用し、 実行中のプログラムのメモリに悪意の機械語コードを送り込んで実行させる攻撃です。

リモート　OSコマンドインジェクション

閲覧者からのデータの入力や操作を受け付けるようなWEBサイトで、プログラムに与えるパラメータにOSに対する命令文（コマンド）を紛れ込ませて不正に操作する攻撃です。

リモート　ファイル　インクルージョン

PHPやPerlなどスクリプト言語で作成されたWebアプリケーションの脆弱性をつき、 外部の端末から攻撃用のコードをWebページに挿入することで、 そのページを格納しているWebサーバーへ攻撃を行う手法です。

rootkit

ootkitとは、コンピュータシステムへの不正アクセスに成功した攻撃者が、侵入後に遠隔操作で活動するために必要なソフトウェア一式をまとめてパッケージにしたもののことをいいます。

知識の幅を広げるための参考

• 情報セキュリティマネジメント

  管理・対策・実装技術まで一望＆堀さげ！参考書のお供に！をテーマに、情報セキュリティマネジメントについてまとめています。

更新履歴

更新履歴になります。

• 2022/2/27 サイバー攻撃のやり方について追記しました。
• 2021/12/18 IPスプーフィングについて追記しました。

戻る