一口にサイバー攻撃と言っても、その手法はさまざまです。
また、サイバー攻撃の手法にはいわゆる“流行り”というものが存在し、特定の時期に同じような手法でのサイバー攻撃が集中する傾向にあります。
今回は、近年に多く見られるサイバー攻撃の手法をいくつか紹介しましょう。
近年に多く見られるサイバー攻撃の手法①SQLインジェクション
SQLインジェクションは、WebアプリケーションあるいはWebサイトに対してSQL文を実行させ、データベースの不正操作を行うという手法のサイバー攻撃です。
ちなみに、“SQL”とは、データベース言語のことを表しており、インジェクションは“注入”を意味しています。
例えば、セキュリティ体制がしっかり整っていないWebサイトに、サイト内をキーワードで検索できるフォームがあるとしましょう。
このとき、攻撃者がそのフォームに不正な内容を含んだSQL文を入力し、検索すると、そのSQL文の内容が実行されます。
また、SQL文の内容が実行されてしまうことで、本来非公開のデータを窃取されたり、Webサイトが改ざんの被害に遭ったりしてしまいます。
近年に多く見られるサイバー攻撃の手法②ブルートフォースアタック
ブルートフォースアタックは、“総当たり攻撃”とも呼ばれる、パスワードを突破するためのサイバー攻撃です。
具体的には、パスワードに使用されていると推測される文字列を1つずつ替えて、片端から試していき、突破するまでその行為を継続するというものです。
とても原始的な手法ではありますが、時間さえあれば必ず正解に辿り着くというサイバー攻撃であり、コンピュータの性能が向上すれば、反復処理の速度も上がるため、それだけ早くパスワードを突破されやすくなります。
もし、ブルートフォースアタックでパスワードを突破されてしまったら、個人情報の漏えいや金銭的な被害、あるいはWebサイト、SNSの改ざんなどの被害に遭うことが予想されます。
近年に多く見られるサイバー攻撃の手法③クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリは、WebサイトあるいはWebアプリケーションにおける脆弱性を利用したサイバー攻撃です。
攻撃者は、まず攻撃用のWebページを用意し、ユーザーがアクセスするように誘導します。
ユーザーがアクセスした後は、攻撃用Webページにあらかじめ仕込んでいた不正なリクエストが攻撃対象サーバに送られることになります。
そして、攻撃対象サーバ上のWebアプリケーションは、不正なリクエストを処理し、ユーザーが意図していない処理が行われるようになります。
近年は、このようなクロスサイトリクエストフォージェリを利用したイタズラ的な書き込み、不正サイトへの誘導、犯罪予告などが後を絶ちません。
近年に多く見られるサイバー攻撃の手法④クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングは、Webサイトの閲覧者側が、Webページを制作できる動的サイト(SNSや掲示板等)に対して、不正なスクリプトを挿入することで引き起こされるサイバー攻撃です。
直接的な被害は、標的のサイトではなく、サービスを利用しているエンドユーザーに及び、標的となったサイトとは別のサイトに情報をクロスすることから、この名が付きました。
使用されるスクリプトにはさまざまなものがありますが、中でも“javascript”や“htmlタグ”は頻出と言える言語です。
特に、できることの範囲が広いjavascriptを使用した攻撃は、著しい被害を及ぼす傾向にあるため、警戒が必要だと言えるでしょう。
近年に多く見られるサイバー攻撃の手法⑤Webサイト改ざん
Webサイト改ざんは、企業などが運営するWebサイト内のコンテンツまたはシステムが、攻撃者によって意図しない状態に変更されてしまうサイバー攻撃です。
主に脆弱性攻撃による改ざん、管理者アカウントの乗っ取りによる改ざんの2種類に分かれ、前者はWebサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。
また、後者は、Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイトの内容を変更するものです。
近年に多く見られるサイバー攻撃の手法⑥ランサムウェア
ランサムウェアは、企業や個人の使用するコンピュータを強制的にロックしたり、中にあるファイルを暗号化したりして、元の状態に戻すことと引き換えに、身代金を要求する不正プログラムです。
主に、攻撃者が送付したメールの添付ファイルを開いたり、本文中に記載されたリンク先をクリックしたりすることが感染経路とされています。
また、中には、第三者のWebサイトを改ざんし、そこにアクセスしただけでランサムウェアに感染させるというパターンもあります。
まとめ
今回解説してきたサイバー攻撃からWebサイト、Webアプリケーションを守りたいのであれば、“SiteLock”の導入がおすすめです。
SiteLockは、Webサイト、Webアプリケーションに潜む危険を早期検知し、自動的に対処してくれる素晴らしいサービスです。
ユーザーも非常に多く、毎日2億を超える大量のページの監視、診断が、このSiteLockによって行われています。
