サイバー攻撃と対策

バッファオーバーフロー攻撃

バッファの長さを超えるデータを送り込むことによって動作不能にし、プログラムを上書きする攻撃。
対策：入力文字列長をチェックする。

SQLインジェクション

フォームなどにSQL文を入力することによって、データベースを不正に操作する攻撃。
対策：制御文字のエスケープ処理やプレースホルダを利用するバインド機構が有効。

XSS(クロスサイトスクリプティング)

脆弱性のあるWebサイトを標的として、閲覧者に攻撃者が作成したマルウェアなどの実行ファイルをブラウザ上で実行させる攻撃のこと。例えば、標的サイトのアンケートフォームなどに、なんらかの方法によってJavaScriptなどのブラウザ上で動作するスクリプトを挿入しておく(これをスクリプトインジェクションという)。これを閲覧者が実行することによって、攻撃が成功する。インジェクションの方法としては、URLパラメータにあらかじめスクリプトを仕込んでおいて、そのURLを通して閲覧者を標的サイトに誘導するなどの方法がある。Hiddenタグを用いる手法もある。
対策：組み込まれたJSをの形でHTML内に表示させない様に、<>などの文字をエスケープする、属性に””を必ずつける様にするなど。

CSRF(クロスサイトリクエストフォージェリ)

Webサイトにログイン中のユーザのログイン状態を保持したまま、悪意のある第三者の作成したURLなどをクリックした場合などに、本人が意図しない形で情報やリクエストを送信させる。リクエスト強要とも呼ばれている。自覚することが難しい。
対策：サービスを利用しないときはログアウトする。怪しいURLや身に覚えのないメールやメッセージに注意する。

DNSキャッシュポイズニング攻撃

DNSのキャッシュに不正な情報を注入することで、不正なサイトへのアクセスを誘導する攻撃。
対策：ソースポートランダマイゼーション。（DNSキャッシュサーバーにおける問い合わせ用通信ポート番号を固定化しないこと）

パスワードクラック

パスワードクラックの方法には、辞書に出てくる用語を使用する辞書攻撃、適当な文字列を組み合わせて力任せに攻撃を繰り返すブルートフォース攻撃、他のサイトで取得したパスワードリストを利用するパスワードリスト攻撃などがある。
対策：
ブルートフォース⇒ポスワードの文字数を増やす、英数字や記号などを混在させる
辞書攻撃⇒アカウントロック。(パスワード入力に連続して失敗した場合、アカウントをロックさせる)

ランサムウェア

コンピュータの機能を制限し、その制限を解除するための身代金を要求するマルウェア。ランサム=身代金

脅迫手法は大きく２種類に分類される。
・暗号化型⇒PC内のファイルやHDDそのものを暗号化または破壊し、使用不能に陥らせて、それを回復させるための支払いを要求する。
・警察技法型⇒「ネット上で違法行為を行った」という偽の告発画面を表示して、その罰金を請求する。

対策：セキュリティ教育・セキュリティソフトの導入・データのバックアップを取る