サイバー攻撃の教科書②-2 220812　2019年4月10日　初版

サイバー攻撃の教科書②-2 220812　2019年4月10日　初版

②-1 続
①    SET（Social-Engineering Toolkit）攻撃（Phishingフイッシング）
「Phishing」を行い、一台のPCを乗っ取る方法
②    SET攻撃（メールばらまき）
メールのばらまきを行い、複数のPCを乗っ取る方法
③    「Web　Cloning」を利用する攻撃
不正なリンクを踏ませてPCを乗っ取る方法
④    「EvilURL」を利用する攻撃
人の目では判別できない文字列で不正なリンクを作成し、それを踏ませてPCを乗っ取る方法
⑤    「XSS（Cross　Site　Scripting）」脆弱性と「SQL　Injection」脆弱性を攻撃
XSS脆弱性とSQL　Injection脆弱性を攻撃し、データベースから情報を不正取得する方法
⑥    UART（Universal　Asynchronous　Receiver/Transmitter）攻撃
データ送受信に利用されるUARTを探し出し、通常、目では確認できない情報を取得する方法
⑦    SPI（Serial Peripheral Interface）攻撃
データ送受信に利用されるSPIを探し出し、ファームウェアを抽出する方法
㉑JTAG（Joint　Test Action　Group）攻撃
データ送受信に利用されるJTAGを探し出し、ファームウェアを抽出する方法
㉒チップオフ攻撃
　フラッシュロムをIC基板から取り出し、ファームウェアを抽出する方法
㉓エミュレータ攻撃
エミュレータを活用することでIoTデバイスを片っ端から攻撃を試す方法
㉔既知の脆弱性を探し、攻撃
　最新バージョンのファームウェアと一つ前のバージョンアップのファームウェアを資格氏、脆弱性を探る方法。
㉕スマートキー攻撃
自動車のスマートキーの電波を受信し、それを再送し、開錠などする方法
㉖RFID（Radio　Frequency　Identifier）攻撃
入退室システムなどで使用されているRFIDを複製して侵入する方法

㉗SNSアカウント攻撃
各種SNSアカウントに対し、パスワードブルートフォース（総当たり）攻撃を行い、アカウントを乗っ取る方法
㉘アカウント情報（ＩＤ／パスワード）を入手し、なりすます攻撃
情報漏洩確認サイトからアカウント情報を不正入手し、ターゲットになりすます方法

所感
サイバー攻撃の基本的な内容であり、現在はもっと進んでいるが、多くの専門知識が必要であり計画的な人材育成、または現状なら色々な分野を経験した人を育成する必要ある。