■DoS(Denial of Services)
サービス妨害攻撃またはサービス不能攻撃などと呼ばれる、インターネット経由での不正アクセスの1つ。大量のデータや不正パケットを送りつけるなどの不正な攻撃を指す。
DoS攻撃は、攻撃対象のシステムがサービスを提供できないようにしたり、システムそのものをダウンさせたりする。特に、インターネットサーバによって提供されているサービス(Web、FTP、DNS、メールなど)を標的として妨害する攻撃が、一般に入手可能なツールを利用して行われている。
このようなDoS攻撃には、インターネットプロトコルの特性を攻略して、ネットワークに接続されたコンピュータに過剰な負荷をかけて、サービスを提供することをできなくしてしまう攻撃、サーバ・アプリケーションの脆弱性を攻略し、サービスに例外処理をさせてサービスを提供することをできなくしてしまう攻撃がある。
■ポートスキャン:port scan
ネットワークを通じてサーバに連続してアクセスし、保安上の弱点(セキュリティホール)を探す行為。
インターネット上で公開されているサーバコンピュータは「TCP/IP」と呼ばれる通信規約(プロトコル)に従って動作しており、通常は「ポート」と呼ばれる接続窓口を複数用意して、利用者からの接続を待っている。ポートスキャンは、このポートに順番にアクセスし、サーバ内で動作しているアプリケーションソフトやOSの種類を調べ、侵入口となりうる脆弱なポートがないかどうか調べる行為である。ポートスキャンの結果、セキュリティホールが発見されると、侵入用のプログラムを使って不正侵入を行なうことが多い。
ネットワーク管理者が、自分の管理するシステムに弱点がないかどうか調べるためにポートスキャンを行なう場合もある。
ポートスキャンを受けたサーバは、通信履歴(アクセスログ)にポートスキャンとおぼしき不審な記録が残るが、間隔を空けてスキャンを行なうなど、ポートスキャンの発生を隠蔽する工作が行われている場合もある。
■バックドア:backdoor
クラッカーにより侵入を受けたサーバに設けられた、不正侵入を行なうための「裏口」。
クラッカーはコンピュータへの侵入に成功すると、次回も侵入できるように、管理者に気づかれないようこっそりと侵入経路を確保する。これがバックドアである。バックドアが設置されていると、管理者が不正侵入に気づいて侵入路をふさいでも、クラッカーは前回侵入時に設置したバックドアから再び不正侵入を行なうことができる。また、コンピュータウイルスが感染する際に、外部からの操作を受け入れるための窓口としてバックドアを設置する場合もある。バックドアを使って侵入すると、たいていの場合はコンピュータのすべての機能を不正に使用できるため、他のコンピュータへの攻撃の踏み台として利用されてしまうことも多い。不正アクセスが確認された後に、ディスクのフォーマットやOSの再インストールを行なうべきとされているのは、バックドアを完全に消去するためでもある。
■Ping of Death:ピングオブデス(PoD)
ネットワーク管理に使う「ping」と呼ばれるプログラムを悪用し、対象のコンピュータを使用不能にする攻撃手法。
pingはもともと相手のコンピュータが応答するかどうかを調べる単純なプログラムだが、Ping of Deathはこれを使って規定のサイズを遥かに超える巨大なIPパケットを相手に送り付け、対象のコンピュータやルータをクラッシュさせてしまう。1996年に問題が表面化し、多くのOSが被害に遭う可能性があることや、ping以外の様々なプロトコルでも同様の手法が使えることなどから、有名になった。IPパケットの分割機能を悪用したものであったが、現在ではほぼ全てのOSが対処されているか、パッチ(修正プログラム)が配布されている。1996年以前のOSは影響を受ける可能性があるので、パッチの使用かバージョンアップが推奨されている。
■バケツリレー攻撃:bucket brigade attack
データの送信者と受信者の間で、悪意のある第三者が双方に気づかれないようにデータを中継すること。「中間一致攻撃」とも呼ばれる、ネットワーク上でのよく知られた攻撃方法の一つである。条件さえ満たしていれば公開鍵暗号も無効化できると言われており、パスワードやデータの盗聴、データの偽造など様々な目的で行われる。データの送信者と受信者が相互に認証し合うことで、ある程度まで防ぐことができる。
■ソーシャルエンジニアリング:social engineering
ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見などの「社会的」な手段によって、パスワードなどのセキュリティ上重要な情報を入手すること。パスワードを入力するところを後ろから盗み見たり、オフィスから出る書類のごみをあさってパスワードや手がかりとなる個人情報の記されたメモを探し出したり、ネットワークの利用者や顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す、などの手法がある。個人確認が不十分だったり、組織内部での機密情報の管理ルールが不完全だと、この手法によって容易に機密が漏洩してしまう。
■DDoS(Distributed Denial of Service):分散DoS
複数のネットワークに分散する大量のコンピュータが一斉に特定のサーバへパケットを送出し、通信路をあふれさせて機能を停止させてしまう攻撃。
実際にパケットを送る(攻撃を実行する)コンピュータの管理者や利用者に攻撃の意図はなく、外部の悪意ある第三者(クラッカー)にコンピュータを操られて、気づかないうちに攻撃に参加させられてしまうという特徴がある。2000年2月、何者かの手によって、Yahoo!、Amazon.com、Buy.com、eBay、CNN、E*TRADE、zDNetなどアメリカの大手Webサイトが次々とDDoSの被害にあい、注目を集めた攻撃手法である。
クラッカーは、攻撃対象とは無関係な多数のコンピュータに侵入し、ユーザに気づかれないように攻撃実行用のプログラム(トロイの木馬)をこっそりしかける。攻撃を開始する時には、あらかじめ仕掛けたトロイの木馬に対して、一斉にパケットの送出命令を発行する。標的となったサーバには、トロイの木馬が仕掛けられたコンピュータからパケットが送り込まれるため、攻撃されたサーバからは真の攻撃元である「黒幕」のコンピュータを割り出すことは難しい。
DDoSによる妨害アクセスは通常のアクセスと見分けがつきにくく、選択的に排除するのが難しい。このため、標的のサーバにセキュリティ上の弱点を放置するなどの管理のミスがなくても被害が発生してしまう。DDoSを阻止するためには、クラッカーにトロイの木馬を仕掛けられないよう各コンピュータの管理者が注意する必要がある。
■パケットスニッファリング:packet sniffering
ネットワークを流れるパケットを盗聴し、そこからIDやパスワードを拾い出すこと。「パケット盗聴」とも呼ばれ、パスワード以外にもメールの盗聴などが行われることもある。
多くのネットワークでは管理の必要から、管理者はネットワーク内のパケットを自由に見ることができるようになっている。そのため、悪意を持った人物が管理者権限を手に入れた場合、ネットワーク内部から外部へアクセスしている人物のパケットを盗聴し、様々な情報を知ることもできる。また、ネットワークによっては管理者でなくとも盗聴が可能な場合があり、注意が必要である。パケットスニッファリングへの対抗手段は、通信経路の暗号化や定期的なパスワード変更が一般的である。インターネットなどの開かれたネットワークでは、どこで誰がパケットを盗み見ているかわからないため、暗号化できないTelnetやFTPなどのアプリケーションは使用すべきでないとされる。
■反射攻撃:replay attack
不正侵入の手段の一つで、パスワードや暗号鍵などを盗聴し、そのまま再利用することでそのユーザになりすます方法。パスワードが暗号化されていたとしても、暗号化された後のデータを記録して使うので、受け取った方では「正しいパスワードを正しく暗号化している」と判断してしまう。パスワードを復号化する必要がないので、強力な暗号化システムでもこの攻撃を防ぐことは困難とされている。これを防ぐために考案されたのが、毎回パスワードを変化させるという「ワンタイムパスワード」方式である。
■改ざん:falsification
ネットワークを通じてコンピュータに侵入し、Webページやアクセスログなどの情報を管理者の許可を得ずに書き換える行為。サーバの設定の不備やセキュリティホールの修正し忘れなどが主な被害原因。Webページが改ざんに会うと、それまで公開していた内容が破棄され、意味のない文言や卑猥な言葉や画像、侵入者の政治的な主張などに差し替えられてしまうことが多い。アクセスログなど非公開のデータが改ざんされる場合は、不正侵入の証拠を隠滅するための行為である場合が多い。
■ブラクラ:browser crasher
Webブラウザに過剰な負荷をかけたり、ブラウザのセキュリティホールを悪用したりして、ブラウザやシステムを異常動作させようとするWebページのこと。ありがちなブラクラとしては「大量のフレームをページ内に生成する」「無限に新規ウィンドウを生成する」「フロッピーディスクを読ませる」「conconバグを発動させる」などがある。
■クロスサイトスクリプティング 【XSS】
ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、「クロスサイト」の名がついている。スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。
■ウォードライビング:war driving
企業内の無線LANのアクセスポイントを求めてオフィス街などを車で移動するクラッキングの手口。「ウォーダイヤリング」と類似のクラッキングの手口のためこの名称で呼ばれるようになった。無線LANは障害物がなければオフィスビルに面した道路上でも十分にビル内のアクセスポイントに接続できる場合がある。これを悪用し自動的にセキュリティで保護されていない、あるいは保護が甘い無線LANのアクセスポイントを探し出し、ネットワークに侵入するのが目的であり、これを自動的に行なうためのアプリケーションも存在する。このため、ノートパソコンを車に載せて、オフィス街を走り回るだけでクラッキングが行える。ウォードライビング行為からネットワークを保護するためには、暗号化WEPの導入やMACアドレス制限などが考えられる。
■ウォーダイヤリング:war dialing
非公開のダイヤルアップ回線などを求めてダイヤルアップを繰り返すクラッキングの手口。1983年公開のハリウッド映画「WARGAMES」中で題材にされ、この名前で呼ばれるようになった。ウォーダイヤリングを自動的に行なうアプリケーション「ウォーダイヤラ」も存在し、データベースと連携した電話番号の記録、モデムが応答した場合のパスワードの解析まで行なう機能を持つものも存在する。ウォーダイヤリングはその組織のネットワークに直接接続する手口であるため、インターネットとの接続点に設置されているファイアーウォールは無力である。ネットワークを守るためにはパスワードの厳重な管理だけでは不十分で、ダイヤルアップ先にコールバック機能を付加するなどの手法が求められる。これと同様のクラッキング手法として、無線LANのアクセスポイントを探し出す「ウォードライビング」という手口も最近になって登場した。
■ウォーダイヤラ:war dialer
電話回線を通じて組織のネットワークに侵入を試みる「ウォーダイヤリング」を自動的に行なうためのアプリケーションソフト。電話帳から非公開のダイヤルアップ回線が存在しそうな電話番号を類推し、対象の番号に次々と自動的に電話をかける。先方のモデムが応答するとパスワードの解析を行ない、こうした一連の作業と記録の採取を自動的に行なう。
■クラッキングツール:cracking tool
他人のコンピュータのデータやプログラムを盗み見たり、改ざんや破壊などを行なったりする「クラッキング」行為をするためのプログラム。
具体的な動作は様々で、ポートスキャンを行なうプログラムやセキュリティホールを検索するプログラム、一定の法則に従ってパスワードを自動的に入力し続けるプログラムなど、色々なツールが開発されている。クラッキングツールにはインターネット上で配布されているものや、雑誌などに同梱して販売されているものも多く、入手はそれほど困難ではない。ツールを使用すれば高度な技術を持たなくても簡単にクラッキングを行なうことができるため、興味本位のカジュアルなクラッカー「スクリプトキディ」を生み出す温床となっているとの指摘もある。ただし、クラッキングツールの行なう攻撃手法は、広く認知されているものや比較的初歩的なものが多いため、ある程度管理のしっかりしたコンピュータには無効であることが多く、高度な技術を持ったクラッカーと同等の行為を行なうことができるようになるわけではない。
■ゼロデイアタック:zero-day attack
ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃。
コンピュータシステムを外部からの攻撃から守るには、メーカーや開発者が公開するパッチを、公開後即座に適用するのが基本だが、ゼロデイアタックの場合は対応策が公表される前に攻撃が行なわれるため、このような対策では防ぎきれない。実際、開発者が対応を取る前に、発見された脆弱性の情報がクラッカーコミュニティで流通したり、攻撃用ツールが配布されたりする事例が報告されており、この「時間差」が問題となっている。攻撃に使用されるパケットの特徴を分析し、発見されていない脆弱性を利用した攻撃を認識して遮断するソフトウェアの研究も行なわれているが、有効で万能な解決策は今のところない。
■IPスプーフィング:IP spoofing
偽のIPアドレスを送信元にセットしたパケットを送り込む攻撃手法。
不正侵入の手段として使われることが多く、その際、信頼されているコンピュータに成りすまして認証をパスするという手口が利用される。企業の情報システムでは、プライベートIPアドレスからアクセスすると利用できる機能などがあるが、IPスプーフィングによってプライベートアドレスを詐称することにより、外部から不正にこうした機能にアクセスできてしまう。ほかにも、DoS攻撃の際に送信元が割り出されないように別のコンピュータのIPアドレスを名乗るなどの応用例もある。
■F5アタック:F5 attack
Webサーバに対するDoS攻撃の手法の一つで、多数のクライアントから一斉にページの再送請求を何度も送り、過負荷によりサーバをダウンさせる手法。
Internet ExplorerなどのWebブラウザには「F5」キーを押すと現在閲覧しているWebページを更新(リロード)する機能があり、これを連打することで、Webサーバに対して短時間に大量の送信要求を送ることができる。複数の人間が時間などを申し合わせて一斉に「F5の連打」を行なうと、サーバや回線、通信機器などが過負荷状態となり、ついにはダウンしてしまう。
|