ここでは「基本情報技術者試験」に特化した情報セキュリティに関する知識を順を追って説明しています。
基本的な用語となるので、覚えていない方はまず用語から押さえていきましょう!
目次
セキュリティ脅威とは??
セキュリティ脅威(Security Threat)とは、コンピュータシステムやネットワーク、データ、ソフトウェアなどの情報セキュリティを危険にさらす要素や事象を指します。セキュリティ脅威は、悪意のある攻撃者や不正な行為、システムの脆弱性、自然災害、人為的なミスなど、さまざまな要因によって引き起こされる可能性があります。
また、悪意のある外部の者からの攻撃はもちろん脅威になりますが、内部のものによる行為も脅威になります。
具体的な攻撃手法
なかでも、代表的な攻撃手法を3つほど取り上げます。
特に科目Aでは選択肢としてそのまま出てくるので押さえておきましょう。
科目Bでは単語というよりは、その用語は具体的にどのような攻撃を行うかという点の問題が見られます。
<代表的>
フィッシィング
フィッシング(Phishing)は、インターネット上で行われる詐欺の手法です。フィッシング攻撃では、攻撃者が正規の組織やサービスを装い、被害者から個人情報や機密情報をだまし取ることを目的とします。
一般的なフィッシング攻撃の手法には以下のようなものがあります。
メールフィッシング
攻撃者は、銀行やオンラインサービスなどを装ったメールを送信します。メールにはリンクや添付ファイルがあり、被害者はそれをクリックしたり開いたりすることで、詐欺者のウェブサイトに誘導され、個人情報を入力させられます。
スミッシング
スミッシングは、メールフィッシングと似た手法で、SMS(ショートメッセージサービス)やチャットアプリなどのメッセージを用いて行われます。攻撃者は、リンクや指示に従うようなテキストメッセージを送信し、被害者をだまして個人情報を入力させます。
クローンサイト
攻撃者は、本物のウェブサイトを忠実に模倣した偽のウェブサイトを作成します。被害者は、偽のウェブサイトにアクセスし、ログイン情報やクレジットカード情報などの個人情報を入力してしまいます。
フィッシング攻撃では、攻撃者が社会工学的手法を使用して被害者を欺くこともあります。例えば、電話で身分を偽りながら個人情報を詐取したり、信頼されるフィギュアのふりをして情報を引き出したりすることがあります。
SQLインジェクション
SQLインジェクション(SQL Injection)は、Webアプリケーションやデータベースシステムにおいて、不正なSQLコマンドを注入することによって攻撃者が意図しない操作を行うセキュリティ上の脆弱性です。
通常、Webアプリケーションはユーザーからの入力データを処理する際に、データベースへのクエリを生成することがあります。SQLインジェクションは、攻撃者が入力フィールドやパラメータに悪意のあるSQLコマンドを挿入することによって、アプリケーションが意図しないデータベース操作を実行してしまう脆弱性です。
SQLインジェクションによる攻撃は、データベースの内容の漏洩や改ざん、アカウントの不正利用など、重大なセキュリティリスクを引き起こす可能性があります。
SQLインジェクションを防ぐためには、入力データの適切な検証とエスケープ、プリペアドステートメントやパラメータ化クエリの使用、最小権限の原則などのセキュリティ対策が必要です。アプリケーションの開発者やデータベース管理者は、セキュリティ対策を適切に実施することでSQLインジェクション攻撃から保護することが重要です。
SEOポイズニング
SEOポイズニング(SEO Poisoning)は、検索エンジン最適化(Search Engine Optimization, SEO)の手法を悪用して、検索結果において不正なウェブサイトやマルウェアに誘導する詐欺的な手法です。攻撃者は、特定のキーワードやフレーズを悪意のあるウェブページに関連付け、それを検索エンジンのランキングに利用します。
一般的なSEOポイズニングの手法には以下のようなものがあります。
キーワードスタッフィング
攻撃者は、検索エンジンのアルゴリズムを欺くために、不正なウェブページに対して大量のキーワードを埋め込みます。これにより、関連するキーワードの検索結果に表示される可能性が高くなります。
ドアウェイページ
攻撃者は、リンクファームやスパムサイトなどの不正なウェブページを作成し、それを検索エンジンにインデックスさせます。これにより、被害者が特定のキーワードで検索した場合に、不正なウェブページが上位に表示される可能性が高まります。
リダイレクト
攻撃者は、被害者を不正なウェブページにリダイレクトするためのリンクやスクリプトを配置します。これにより、被害者が正規の検索結果をクリックした際に、不正なウェブページに誘導される可能性があります。
SEOポイズニングの目的は、検索結果のランキングを操作して、被害者を詐欺やマルウェアに誘導することです。被害者は、意図しないウェブサイトにアクセスすることで、個人情報の漏洩や不正な活動に巻き込まれる危険性があります。
最後に....
基本の知識があれば、応用はいくらでも効きます!
ましてや、基本情報技術者試験は基礎を押さえていれば問題ありません。
今後、ステップアップを目指していくに当たり、これを機会に基礎固めをしていきましょう!
ただ、こちらに書いたのは基礎中の基礎です。
参考書を一度読んで、どんな機能を持っているのか・導入することでどんなメリットがあるのかを考え、覚えていきましょう!