情報セキュリティマネジメント試験対策(10)「その他の攻撃方法」

スポンサーリンク
IT系

スパムメール

スパムメールとは、無断で送りつけられてくる広告メールや意味のない大量のメール(ネズミ講、チェーンメールなど)を指す。スパムメールはプログラムによって自動生成され、大量に送信されるため、メールサーバに大きな負荷をかける。

スパムメールの送信者が自前のメールサーバを用意することはまれで、第三者中継を許可しているセキュリティの甘いメールサーバを利用する。これらのサーバはスパムの送信に使われると、正規のメールのサービスが滞るなどの障害が発生する。

受信側でもメールボックスの容量がいっぱいになり、正規のメールが受信できないなどの弊害がある。

スパムメールは非常に大きな社会的問題で、多くのベンダやプロバイダが解決への取り組みを進めている。しかし、送信ドメイン認証などの施策が完全に普及しているとは言えない。今後も、メールサーバ管理者がセキュリティを強化するなどの地道な対策を実施し続けるしかないだろう。

また、広告メールについては現在、オプトイン原則が適用されている。ただし実態として、許可した覚えのない広告メールが送られてくるケースはまだまだ多数にのぼる。
ユーザーがメールマガジンや広告の受信、個人情報の利用に対して、事前に同意(許可)を示すこと

対策

  • メールサーバのセキュリティを強化する
  • オプトインを実体化するための法的・技術的環境を整える

クロスサイトスクリプティング

クロスサイトスクリプティング (XSS) は、スクリプト攻撃の一種である。 スクリプト攻撃はホームページ記述言語であるHTMLにスクリプトを埋め込める性質を利用した攻撃方法である。

HTMLへのスクリプトの埋込みは、動的なコンテンツを作成するためによく利用される技術である。 しかし、スクリプトに悪意のあるコードを埋め込んでおくことでユーザのコンピュータに被害を与えることも可能である。

通常のスクリプ攻撃には、ゾーン設定などでブロックするなどの防御がされる。

クラッカーはこの防御方法を回避するためにクロスサイトスクリプティングを利用する。

クロスサイトスクリプティングの手順

  1. クラッカーは悪意のあるスクリプトを埋め込んだホームページを作成し、ユーザの利用を待つ。
  2. ユーザが偶然や誘導によりそのホームページを閲覧する。
  3. スクリプト実行に関する脆弱性のあるサイトに要求が転送される (ユーザが信頼しているサイトであればさらによい)。
  4. 脆弱性のあるサイトは転送された悪意のあるスクリプトを埋め込んだ形でホームページデー タを返信する。
  5. ユーザのブラウザで悪意のあるスクリプトが実行される。

クロスサイトリクエストフォージェリ

利用者が何らかのサービス(例えば掲示板)を見ている最中に、クラッカーの不正サイトを訪れると、クラッカーから不正スクリプトが送信され、掲示板に意図しない書き込みを行ってしまうような攻撃手法をクロスサイトリクエストフォージェリという。クラッカーは、そのサービスのIDやパスワードを知らなくても、サービスを利用することができる。

ゼロデイ攻撃

ゼロデイ攻撃とは、脆弱性が見つかっているのに、それに対応する手段がない状態での攻撃を指す用語である。セキュリティパッチが公開されるまで、ベンダが脆弱性を公表しないなどの措置をとることがあるのは、ゼロデイ攻撃への牽制である。

SQLインジェクション

SQLインジェクションとは、データベースに送信するデータの中にSQL文を混入して不正にデータベースを操作する行為のことである。例えばユーザがWeb上のフォームにユーザIDやパスワードなどを入力するとき、 認証のためのデータベースへの問い合わせに、ユーザが入力したユーザIDやパスワードを代入したSQLが使われます。このとき、悪意を持ったユーザが、そのフォームに 「データを削除せよ」とデータベースが誤認するようなSQLの断片を入力すると、SQL文を組み上げる過程で本当にデータを削除する命令になってしまい、そのまま実行されてしまう危険性がある。

この「SQLの断片」というところがポイントで、さすがにユーザが送ってくる危険なSQL文を直接実行するデータベースはないが、あらかじめ用意されている定型の命令と「断片」が組み合わさったときに、危険なSQL文ができあがってしまうわけである。

SEOポイズニング

攻撃者が検索順位を不正に操作して、検索結果の上位 に不正サイトを表示させる手法である。 利用者は検索エンジンを信頼しているので、上位の結果に載ることで公式サイトと間違えて不正サイトにアクセスしてしまう。具体的な攻撃方法としては、まずマルウェア配布や個人情報搾取などの目的を持つ不正サイトを準備する。トレンドワードを大量に詰め込んだり、偽リンクを多数設置するなどして、検索エンジンからの評価を不当に高める。正規のサイトを改ざんしてリダイレクトを仕込むやり方などもある。

プロンプトインジェクション

生成AIに対して、悪意のある指示 (プロンプト)を注入(インジェクション)することで、AIに課せられた制約を無視させる攻撃手法である。

たとえば、 開発者が設定した 「機密情報の保護」を回避して、 秘匿すべき情報を引き出す攻撃などがある。

敵対的サンプル

AIを騙すことを意図して作成するデータを指す。人間には判別できないノイズなどを加えることで、AIに画像や音声を誤認識させる、 AIそのものを標的とした攻撃手法である。AIが学習獲得した知識は人間の直感とはズレているため、小さな変化でも大きく結果を変えられる点を突いている。

たとえば、音声アシスタントと話している人の背後から、隠しコマンドを送って、利用者に気づかれずに意図しない操作を実行するなどである。あらかじめ作成した敵対的サンプル(騙されやすいデータ)もデータセットに含めて訓練させる、敵対的学習などで対抗する。

(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社

コメント

タイトルとURLをコピーしました