Webサイトの攻撃の種類28選。最新の動向をキャッチしよう
Webサイトへの悪意のある攻撃者からのサイバー攻撃は巧妙化し続けています。新たな手口が発生するため、企業や組織のセキュリティ担当者は最新の動向と事例を常にキャッチしておく必要があります。
そこで今回はWebサイトの攻撃を28選まとめて紹介します。
- 1. DoS攻撃
- 2. DDoS攻撃
- 3. ポートスキャン
- 4. Googleハッキング
- 5. 中間者攻撃
- 6. エキスプロイト攻撃
- 7. 認証回避
- 8. パスワード総あたり攻撃(ブルートフォース攻撃)
- 9. パスワードリスト攻撃
- 10. セッションIDの搾取
- 11. クロスサイトリクエストフォージェリ
- 12. リフレクト型クロスサイトスクリプティング
- 13. ストア型クロスサイトスクリプティング
- 14. HTTP Verbタンパリング
- 15. コマンドインジェクション
- 16. SQLインジェクション
- 17. XMLインジェクション
- 18. XPathインジェクション
- 19. ローカルファイルインクルージョン
- 20. リモートファイルインクルージョン
- 21. サーバーサイドインジェクション
- 22. CRLFインジェクション
- 23. クリックジャッキング
- 24. HTMLインジェクション
- 25. CSVインジェクション
- 26. キャッシュポイズニング
- 27. 強制ブラウジング
- 28. URLパラメータ改ざん
- 29. Webサイトへのサイバー攻撃の動向
- 30. まとめ
DoS攻撃
DoS(Denial of Service)攻撃とは、悪意のある攻撃者が脆弱性のあるWebサイトやサーバに不正なデータを送りつけてエラーを起こしたり(脆弱性型)、大量なデータなどを送り付け、処理に大きな負担をかけ(フラッド型)、通常の稼働を妨害するサイバー攻撃です。
DDoS攻撃
DDoS(Distributed Denial of Service attack)攻撃とは、DoS攻撃のひとつで、悪意のある攻撃者が複数の機器から攻撃対象のサーバやネットワークにDoS攻撃を実行することで攻撃対象をかく乱させ、サービスの妨害を拡大するサイバー攻撃です。
DDoS攻撃では、悪意のある攻撃者が、無関係な個人のパソコンをウイルスに感染させ、そのパソコンを踏み台にして攻撃を仕掛ける手口が主流になっています。複数の無関係なパソコンから同時に攻撃がおこなわれるため、被害が拡大するとともに、悪意のある攻撃者が特定しにくい特徴があります。
ポートスキャン
ポートスキャンとは、Webサイトへのサイバー攻撃やサイトへの侵入の前に、悪意のある攻撃者が行う、ターゲットにしているサイトの各ポートにおけるサービス状態の調査のことです。
ポートスキャンは、不正なアクセスを目的に設計された自動ツールによって実施され、数多くのホストネットワークサービスポートに順次アクセスされ、各ポートに対応するサービスにあるセキュリティ上の弱点を見つけ出します。
Googleハッキング
Googleハッキングとは、Google検索を使って企業や組織などの重要な機密情報や個人情報をハッキングする手法です。Googleハッキングは、古くからハッカーに使われているハッキングの手法です。人の不注意などによって企業や組織、および個人が誤って重要なデータを公開セグメントにおいてしまうケースがあります。サーバから機密情報や個人情報にGoogle検索を通して簡単にアクセスできてしまう可能性があるのです。
ハッカーにとっては自ら企業のデータをハッキングするのではなく、Googleが検索してきたデータを見つけることになるので、ターゲットとする企業や組織、個人から気づかれることはありません。
Googleハッキングでは、検索キーワードに「.xls」(Excelファイルの拡張子)などの検索文字列を入れることで、欲しいデータを検索していきます。どのような検索文字列を使えばハッキングができるかといった知識はハッカーの間で蓄積されています。
中間者攻撃
中間者攻撃とは、悪意のある攻撃者が、企業のシステムとサーバが行う通信の間に入り込み読み取りや改ざんをすることをさします。中間者攻撃が成功すると、企業はサーバに通信しているつもりでも、実は攻撃者に通信を中継されてしてしまうことになります。通信が変わらずおこなわれていることで企業にサーバと問題なく相互認証できていると思わせセキュリティを破ります。
エキスプロイト攻撃
エキスプロイトとは、ソフトウェアやネットワークなどの開発時において見逃して出来上がってしまったセキュリティ上の穴のようなものです。悪意のある攻撃者はこのエキスプロイトを利用してソフトウェアやネットワークに侵入して、エキスプロイトを窓口にシステム全体にアクセスして攻撃を拡大していきます。
認証回避
さまざまな企業が提案しているネットワーク製品は、認証機能が付いており、認証しないとアクセスができない仕様になっていることが前提です。しかしながら、多くの製品に脆弱性が確認され認証なしで操作されたり、管理情報を取得されてしまうケースがみられます。認証回避とは悪意のある攻撃者が認証機能の脆弱性をついて、認証なしで操作を実行したり情報を取得することをいいます。
パスワード総あたり攻撃(ブルートフォース攻撃)
パスワード総あたり攻撃(ブルートフォース攻撃)は、悪意のある攻撃者による「力ずく」でのパスワード解析です。ありとあらゆる方法でパスワード解読がおこなわれるため「総当たり攻撃」とも言われます。
パスワード総あたり攻撃(ブルートフォース攻撃)のベースになるのは、攻撃用に作られたシステムを使用したパスワード総当たりによるログイン試行です。
たとえば、アルファベットを使用した4桁の単純なパスワードの場合、AAAA、AAAB、AAACといった具合に、総当たりで解析していく方法で、プログラムされたボットが使用されて検索が繰り返し行われます。
▶︎ブルートフォース攻撃の詳しい対策方法についての記事
パスワードリスト攻撃
パスワードリスト攻撃とは、悪意ある攻撃者がIDとパスワードを入手して、正規のルートからアクセスを行うサイバー攻撃です。IDとパスワードは、複数のサイトで共通のパスワードを使用している場合にセキュリティが脆弱なサイトのひとつから入手され、ターゲットとなるサイトにアクセスされてしまうケースが多くみられます。
セッションIDの搾取
Webアプリケーションの通信では、効率的でスピーディーに通信をおこなうためにセッション(関連する動作をまとめた単位)を使って通信を行っています。セッションIDの搾取とは、悪意のある攻撃者がセッションを特定するために必要なセッションIDを解読したり、摂取してセッションを乗っ取りデータを窃取する攻撃です。
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリは、Webサイトの脆弱性を狙った攻撃のひとつです。掲示板やお問い合わせフォームが、本来拒否すべきサイバー攻撃用のWebサイトからのリクエストを受信し、不正な処理をしてしまいます。
特徴は、悪意のある攻撃者が直接攻撃をすることなく不正なリクエストが送信される点です。攻撃者は攻撃用のWebページを作成し、何も知らないユーザーが攻撃用のWebページにアクセスすると、不正なリクエストが攻撃対象のサーバに送られます。
リフレクト型クロスサイトスクリプティング
リフレクト型クロスサイトスクリプティングでは、ユーザーが攻撃者によって準備された悪意のあるWebページに気づかずアクセスし、その際出力されたWebページに悪意のあるスクリプトが埋め込まれています。
このスクリプトは標的とされた脆弱性のあるWebサイトに転送され、スクリプトが不正な処理をおこなう形でユーザーのブラウザに戻ってきて情報の窃取やマルウェアの感染などを引き起こします。
ストア型クロスサイトスクリプティング
ストア型クロスサイトスクリプティングでは、悪意のある攻撃者が標的とされた脆弱性のあるWebサイトに直接悪意のあるスクリプトを埋め込みます。ユーザーが脆弱性のあるWebサイトにアクセスすることで不正な処理をおこなう不正なスクリプトが実行されます。
HTTP Verbタンパリング
HTTP Verbタンパリングとは、HTTP Verbを改ざん(タンパリング)することで認証およびアクセス制御メカニズムの脆弱性を悪用する攻撃です。多くの認証メカニズムは、最も一般的なHTTP Verbへのアクセスのみを制限するため、他のHTTP Verbによる制限されたリソースへの不正アクセスを許可します。
コマンドインジェクション
コマンドインインジェクションとは、WebサーバのOSの脆弱性を悪用して不正にコマンドを実行させる攻撃です。具体的な手口は、外部からデータの入力がおこなわれるWebサイトの入力時のタイミングで、悪意のある攻撃者がシェル機能を操作する文字列を混入させOSを不正に操作します。
SQLインジェクション
SQLインジェクションとは、悪意のある攻撃者が脆弱性のあるWebサイトに、不正な内容を含むSQL(データベースを操作する代表的なデータベース言語)を注入し、データベースのデータの漏洩や改ざんを引き起こすサイバー攻撃です。脆弱性のあるWebサイトの検索フォームなどに、SQL文を入力して検索することで、SQLによって不正な操作が実行されてしまいます。
XMLインジェクション
XMLはデータの管理ややりとりをわかりやすくするために使用される代表的なマークアップ言語です。XMLインジェクションとは、悪意のある攻撃者がXMLドキュメントに特殊文字を挿入することで、ドキュメントを無効にしたり改ざんしたりする攻撃です。
XPathインジェクション
XPathインジェクションとは、XMLデータベースに問い合わせをするときの認証に使われるXPathを悪意のある攻撃者が改ざんして、認証回避をする攻撃です。
XMLドキュメントを参照するための言語に不正な入力により、不正なXpathクエリーを発行させる攻撃。SQLインジェクションと同様にエスケープ処理の不備により発生する脆弱性。
ローカルファイルインクルージョン
ローカルファイルインクルージョンでは、ターゲットとする脆弱性のあるシステム内で行われるファイルのインクルード(ファイル内容の取り込み)の際に正当なファイルではなく不正なファイルを読み込ませて、不正な処理やデータの窃取などをおこないます。
リモートファイルインクルージョン
リモートファイルインクルージョンでは、ターゲットとする脆弱性のあるシステムが外部のファイルをインクルードする際に悪意のある攻撃者が作成した不正なファイルをインクロードさせ、不正な処理やデータの窃取などをおこないます。
サーバーサイドインジェクション
サーバーサイドインジェクションはサーバサイトを対象としたクロスサイトスクリプティング攻撃です。サーバを狙ったサイバー攻撃のため攻撃が実行されると大きな被害を受ける可能性があります。
CRLFインジェクション
CRLFインジェクションとは、HTTPレスポンスヘッダーやメールヘッダーなどに、悪意のある攻撃者が改行コードなどの不正なコードを挿入することで、不正なヘッダーフィールドやボディを追加する攻撃です。
クリックジャッキング
クリックジャッキングとは、悪意のある攻撃者がWebサイトに偽リンクや偽ボタンを設置して、Webサイトを見たユーザーをだましてクリックさせるサイバー攻撃です。クリックジャックによって攻撃者はユーザーが意図しない操作をさせることが可能となります。
HTMLインジェクション
HTMLインジェクションとは、悪意のある攻撃者が脆弱性のあるWebサイトに不正なデータを送りHTMLとして表示させることで、不正な内容を含む、データベースのデータの漏洩や改ざんを引き起こすサイバー攻撃です。
CSVインジェクション
CSVインジェクションとは、不正な入力をCSVファイル内に埋め込み、そのCSVが開かれることで悪意のある攻撃が開始され、スプレッドシートソフトウェアの脆弱性を悪用したコンピューター乗っ取りやコンテンツの窃取などの被害を引き起こします。
キャッシュポイズニング
キャッシュポイズニングとは、悪意のある攻撃者が偽のキャッシュDNS応答をキャッシュDNSサーバに送りつけることで、DNSサーバからユーザーあてに偽のIPアドレスを送信させ、偽サイトへ誘導するサイバー攻撃です。
強制ブラウジング
強制ブラウジングとは、悪意のある攻撃者がさまざまなURLを使ってターゲットにアクセスを実行して、認証をクリアしなければアクセスできない機密情報などのコンテンツにアクセスするサイバー攻撃です。
URLパラメータ改ざん
URLパラメータ改ざんとは、URLに載っているURLパラメータをアドレスバー上で改ざんして不正アクセスを試みるサイバー攻撃です。
Webサイトへのサイバー攻撃の動向
近年ウェブサイトの活用やクラウド環境の浸透、マルチデバイスの活用などが拡大する社会環境の変化に伴い、Webサイトへのサイバー攻撃の被害は件数・規模とも大幅に拡大しています。
Webサイトへの接続手段が増えたことやスマートフォンやIoT機器の急増によって、悪意のある攻撃者が標的となる企業や組織のシステムに侵入する機会を増やし、新たな手口がつぎつぎに生まれています。
サイバー攻撃の新たな手口が実行されたり、手口が巧妙化することで、攻撃が発見されるまでに時間がかかり、甚大な被害が拡大し、収束までに長期間かかるケースが増えています。
まとめ
Webサイトの攻撃を28選まとめて紹介しました。サイバー攻撃は巧妙化し、知らない間にシステムに侵入され被害を及ぼします。多くのサイバー攻撃は脆弱性を狙って実行されますので、セキュリティは最新の状態に更新しておくことが重要です。
また、脆弱性が見つかって対応を行っている期間を狙ってさらにサイバー攻撃を仕掛けてくるケースもあります。問題が発生した場合も被害を抑えながら、現状の事業も遅延なく継続できるシステムを構築すべきでしょう。つねにサイバー攻撃の動向と事例には注目し、セキュリティ対応を万全にしておく必要があります。