ここでは「基本情報技術者試験」に特化した情報セキュリティに関する知識を順を追って説明しています。
基本的な用語となるので、覚えていない方はまず用語から押さえていきましょう!
目次
セキュリティ脅威とは??
セキュリティ脅威(Security Threat)とは、コンピュータシステムやネットワーク、データ、ソフトウェアなどの情報セキュリティを危険にさらす要素や事象を指します。セキュリティ脅威は、悪意のある攻撃者や不正な行為、システムの脆弱性、自然災害、人為的なミスなど、さまざまな要因によって引き起こされる可能性があります。
また、悪意のある外部の者からの攻撃はもちろん脅威になりますが、内部のものによる行為も脅威になります。
具体的な攻撃手法
なかでも、代表的な攻撃手法を3つほど取り上げます。
特に科目Aでは選択肢としてそのまま出てくるので押さえておきましょう。
科目Bでは単語というよりは、その用語は具体的にどのような攻撃を行うかという点の問題が見られます。
<代表的>
パスワードリスト攻撃
パスワードリスト攻撃(Password List Attack)は、予め用意されたパスワードリストを使用して、アカウントやシステムの認証情報を総当たりで試行し、正しいパスワードを見つける攻撃手法です。
一般的なパスワードや一般的な単語、一般的なパターンを含んだ事前に用意されたリストを使用して行われます。攻撃者は、このリストの中から順番にパスワードを試行し、正しいパスワードが見つかるまで続けます。一般的なパスワードや単語を使用している場合、攻撃者は比較的短期間でパスワードを突破することができます。
脆弱なパスワードを使用しているユーザーアカウントやシステムの弱点を突くことを目的としています。攻撃者は、一般的なパスワード(例: "password"や"123456"など)や頻繁に使用されるパスワード(例: "qwerty"や"admin"など)などをリストに含めます。また、特定の組織や個人に関連する情報(例: 誕生日、住所、ペットの名前など)もリストに含まれる場合があります。
テンペスト攻撃
テンペスト攻撃(Tempest Attack)は、電子機器から発せられる電磁波を傍受して情報を盗み取る攻撃手法です。この攻撃は、電磁波が電子機器や通信媒体から放射され、周囲の環境中に広がる性質を利用しています。
特にコンピュータモニタやキーボードなどのデバイスが対象とされます。これらのデバイスは、電子的な信号を発信および受信するため、周囲に電磁波が放射されます。攻撃者は、この電磁波を傍受し、デバイスの処理や通信から情報を復元することを試みます。
具体的なテンペスト攻撃の例としては、以下のようなものがあります。
-
ビデオモニタの傍受: 攻撃者は、対象となるコンピュータのビデオモニタが放射する電磁波を傍受して、画面上の情報(テキストや画像など)を視覚化することが可能です。これにより、盗聴や機密情報の漏洩が起こります。
-
キーボード入力の傍受: 攻撃者は、対象となるキーボードが放射する電磁波を傍受して、キーストロークを復元し、入力されたテキスト情報を盗み取ることができます。この攻撃は、パスワードや機密情報の盗み取りに使用されることがあります。
テンペスト攻撃は高度な技術や専門的な知識が必要であり、一般的な攻撃手法ではありません。通常、政府機関や軍事組織など、極めて機密性の高い情報にアクセスするために使用されることがあります。
DNSキャッシュポイズニング
DNSキャッシュポイズニング(DNS Cache Poisoning)は、DNS(Domain Name System)のキャッシュに不正な情報を注入することで、ユーザーを偽のウェブサイトに誘導する攻撃手法です。
DNSは、ドメイン名(例: example.com)をIPアドレス(例: 192.0.2.1)に変換するためのシステムです。DNSキャッシュは、DNSクエリの結果を一定期間保持し、同じクエリが再度発生した場合にキャッシュから応答を返す仕組みです。これにより、クエリの処理時間やネットワークトラフィックを削減することができます。
攻撃者は、DNSキャッシュに不正な情報を注入することで、正規のDNS応答を置き換えます。具体的な攻撃手順は次のようになります。
-
攻撃者は、特定のドメイン名(例: example.com)のIPアドレスを偽のIPアドレス(例: 203.0.113.1)に関連付けます。
-
攻撃者は、DNSキャッシュに不正な応答を送信します。これにより、キャッシュは不正な情報を保持し、正規の応答を上書きします。
-
ユーザーのブラウザやアプリケーションは、偽のIPアドレスにアクセスし、攻撃者の制御下にある偽のウェブサイトにリダイレクトされます。
DNSキャッシュポイズニングの目的は、ユーザーを偽のウェブサイトに誘導し、個人情報や認証情報を盗み取ることです。また、マルウェアの配布やフィッシング攻撃の実施など、さまざまな悪意のある活動に利用されることもあります。
最後に....
基本の知識があれば、応用はいくらでも効きます!
ましてや、基本情報技術者試験は基礎を押さえていれば問題ありません。
今後、ステップアップを目指していくに当たり、これを機会に基礎固めをしていきましょう!
ただ、こちらに書いたのは基礎中の基礎です。
参考書を一度読んで、どんな機能を持っているのか・導入することでどんなメリットがあるのかを考え、覚えていきましょう!