最近セキュリティー界隈を賑わす
大きな金融事件が発生しました。
これを気にセキュリティーの意識を高めて
対策できるようにしていきまっしょう。
解説動画はこちら
さて
まずはハッカーについてです。
よく誤解されていますが
ハッキングの語源で有るhack自体には
それほど悪い意味はありません。
ハッカーは
lifehack
hackathon
といった言葉があるように
hackといった言葉には
向上させる、より高めるといった
意識が含まれる言葉だと思っています。
悪いことをする人は
クラッカーの方です。
ここからは主な手口を見ていきましょう。
などがあります。
ソーシャル・エンジニアリング
スパムメール
マルウェア
悪意のある有害なソフトウェアのことです。
(malicious software)
ウィルスについて
これに感染するとコンピューターを乗っ取られたり
色々な不貞行為に巻き込まれます。
トロイの木馬について
キーロガーについて
最近だとTikTokが入力情報を外部に
漏らしているなんて報道がありましたね。
SQLインジェクション
アプリケーションが想定しない
SQL文を実行させることにより
データベースシステムを
不正に操作する攻撃方法のことです。
SELECT * FROM users
WHERE id=admin&pw=' or '1' = '1'
のようにパスワード部分などを
不正なクエリになるような
データを注入する方法です。
結構昔からありますね。
アプリケーション側での
バリデーションなどで
不正なコードの侵入を防ぐのが
一般的ですね。
Lord of SQLInjectionというサイトで
体験できます。
クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
セッションハイジャック
ブルートフォースアタック
総当たり攻撃です。
一般的にはユーザーIDを固定して
パスワードを総当たりで試したりします。
上の方法とは逆にパスワードを固定して
ユーザーID等を総当たりで試す方法です。
ユーザーIDなどが大量に必要ではあるので
そこまで一般的では無いものの
最近の事件ではこの手法が
使われた可能性が高いようですね。
個人レベルで出来る対策は
こんなことぐらいですね。
セキュリティーはあんまり詳しく無いですが
必要最低限の知識は持っておきたいと思います。
最後に
ハッカーが活躍する作品です。
どれも好きな作品で
特に「ソードフィッシュ」は
20回以上見ている大好きな作品です。
これを見てハッキング関連調べましたねえ。
最近だと「スマホを落としただけなのに」
なかなか面白かったですね。
興味がある方はここら辺を
調べていただければと思います。
よりいっそうセキュリティー意識が高まり
安全性の高いサービスになっていくことを願います。
それでは。
大きな金融事件が発生しました。
これを気にセキュリティーの意識を高めて
対策できるようにしていきまっしょう。
解説動画はこちら
さて
まずはハッカーについてです。
よく誤解されていますが
ハッキングの語源で有るhack自体には
それほど悪い意味はありません。
ハッカーは
コンピュータや電子機器等に
深い技術的知識を持ち
深い技術的知識を持ち
その知識を利用して技術的な課題を
クリアする人々のこと
といった位置付けです。クリアする人々のこと
lifehack
hackathon
といった言葉があるように
hackといった言葉には
向上させる、より高めるといった
意識が含まれる言葉だと思っています。
破壊行為あるいは
不正アクセスを伴う場合は
不正アクセスを伴う場合は
クラッカーと呼び
区別されているので悪いことをする人は
クラッカーの方です。
ここからは主な手口を見ていきましょう。
・ソーシャル・エンジニアリング
・スパムメール
・マルウェアの配布
・サーバーへの攻撃
などがあります。
ソーシャル・エンジニアリング
人間の心理的な隙や行動ミスにつけ込んで
情報を入手する方法のことです。
情報を入手する方法のことです。
・身分を詐称して暗証番号を聞き出す
・嘘の情報を流してパスワードを変更させる
・画面越しに暗証番号を覗き見する
・機器を設置して情報を盗む(スキミング)
などの行為が挙げられます。スパムメール
宣伝目的で一方的に送りつけられる
電子メールのことです。
電子メールのことです。
・身分を詐称して情報を聞き出す(フィッシング)
・送信元を詐称して迷惑な情報を流す
・サイトに誘導してマルウェアを植え付ける
・大量にメールを送りつけて業務を妨害する
などの行為で迷惑なものを送りつけてきます。マルウェア
悪意のある有害なソフトウェアのことです。
(malicious software)
・ウィルス
・トロイの木馬
・キーロガー
・ボット(bot)
・ランサムウェア
などが有名なところですね。ウィルスについて
PCやスマートフォンなどの記憶媒体を持つ
コンピューターに侵入し内部のファイルを改変し
増殖してしまうプログラム
コンピューターに侵入し内部のファイルを改変し
増殖してしまうプログラム
これに感染するとコンピューターを乗っ取られたり
色々な不貞行為に巻き込まれます。
トロイの木馬について
一見無害なファイルやプログラムに
偽装した上でコンピューターに侵入したあと
悪意のある振る舞いをするプログラム
偽装した上でコンピューターに侵入したあと
悪意のある振る舞いをするプログラム
キーロガーについて
キー入力を監視しそれを記録するソフトウェア
もしくはハードウェア
最近だとTikTokが入力情報を外部に
漏らしているなんて報道がありましたね。
ここからは攻撃方法についてです。
・SQLインジェクション
・クロスサイトスクリプティング
・クロスサイトリクエストフォージェリ
・セッションハイジャック
・ブルートフォースアタック
・逆ブルートフォースアタック
・バッファオーバーラン
・バッファオーバーフロー
・DoS攻撃
・DDoS攻撃
・ボットネット
SQLインジェクション
アプリケーションが想定しない
SQL文を実行させることにより
データベースシステムを
不正に操作する攻撃方法のことです。
SELECT * FROM users
WHERE id=admin&pw=' or '1' = '1'
のようにパスワード部分などを
不正なクエリになるような
データを注入する方法です。
結構昔からありますね。
アプリケーション側での
バリデーションなどで
不正なコードの侵入を防ぐのが
一般的ですね。
Lord of SQLInjectionというサイトで
体験できます。
クロスサイトスクリプティング
ユーザーがWebページにアクセスすることで
不正なスクリプトが実行されてしまう
脆弱性または攻撃手法のことです。
不正なスクリプトが実行されてしまう
脆弱性または攻撃手法のことです。
クロスサイトリクエストフォージェリ
Webアプリケーション利用者自身が
意図しない処理が実行されてしまう
脆弱性または攻撃手法のことです。
クロスサイトスクリプティングと似ていますね。
意図しない処理が実行されてしまう
脆弱性または攻撃手法のことです。
クロスサイトスクリプティングと似ていますね。
セッションハイジャック
WEBアプリケーションの
セッション情報を盗み見て
セッション情報を盗み見て
なりすまして利用を行う手法です。
URLにセッション情報が含まれるような作りだと
結構盗み見ができてしまいます。
URLにセッション情報が含まれるような作りだと
結構盗み見ができてしまいます。
ブルートフォースアタック
暗号解読方法のひとつで
可能な組合せを全て試すやり方です。
可能な組合せを全て試すやり方です。
総当たり攻撃です。
一般的にはユーザーIDを固定して
パスワードを総当たりで試したりします。
逆ブルートフォースアタック
上の方法とは逆にパスワードを固定して
ユーザーID等を総当たりで試す方法です。
ユーザーIDなどが大量に必要ではあるので
そこまで一般的では無いものの
最近の事件ではこの手法が
使われた可能性が高いようですね。
DoS攻撃
(Denial of Service attack)
システムのサービスに処理能力を上回る大量のデータを
送りつけ、サービスを遅延、停止させる攻撃です。
大量のリクエストや、大容量データを
送りつけてサーバーを攻撃します。
昔、田代砲とか流行りましたね。
大量のリクエストや、大容量データを
送りつけてサーバーを攻撃します。
昔、田代砲とか流行りましたね。
DDoS攻撃
DoS攻撃を対象のウェブサイトや
サーバーに対して複数のコンピューターから
大量に行う攻撃のことです。
事前に他社のコンピューターを乗っ取り
ボットネットを構築し、攻撃態勢を
整えたのちに攻撃を仕掛けます。
サーバーに対して複数のコンピューターから
大量に行う攻撃のことです。
事前に他社のコンピューターを乗っ取り
ボットネットを構築し、攻撃態勢を
整えたのちに攻撃を仕掛けます。
対策方法
・ネットワークの監視
・OSのアップデート
・ファイアーウォール
・脆弱性の検出
・不正検出
・パスワードの強化
・認証の強化
個人レベルで出来る対策は
こんなことぐらいですね。
セキュリティーはあんまり詳しく無いですが
必要最低限の知識は持っておきたいと思います。
最後に
ハッカーが活躍する作品です。
・BLOODY-MONDAY 主人公 高木藤丸
・ドラゴン・タトゥーの女 リズベット
・スニーカーズ
・ソードフィッシュ
・スマホを落としただけなのに
どれも好きな作品で
特に「ソードフィッシュ」は
20回以上見ている大好きな作品です。
これを見てハッキング関連調べましたねえ。
最近だと「スマホを落としただけなのに」
なかなか面白かったですね。
興味がある方はここら辺を
調べていただければと思います。
よりいっそうセキュリティー意識が高まり
安全性の高いサービスになっていくことを願います。
それでは。
コメントする