応用情報技術者の試験には、サイバー攻撃に関する問題も出てくる。本当にいろいろなことが聞かれる問題だと思う。
そのため、サーバー攻撃の一覧を簡単にまとめてみた。
代表的なサイバー攻撃とその特徴
| 攻撃手法 | 概要 | 影響 | 対策 |
|---|---|---|---|
| Man in the Browser(MitB) | ブラウザを乗っ取り通信を傍受・改ざん | 不正送金、個人情報の盗難 | ウイルス対策、多要素認証 |
| Man in the Middle(MitM) | 通信経路上でデータを盗聴・改ざん | 認証情報の漏洩、不正アクセス | HTTPSの使用、VPN利用 |
| フィッシング(Phishing) | 偽のWebサイトで個人情報を盗む | クレジットカード情報の漏洩、アカウント乗っ取り | メール・URLの検証、多要素認証 |
| ランサムウェア(Ransomware) | ファイルを暗号化し、復号キーの身代金を要求 | データの損失、業務停止 | バックアップの保持、セキュリティソフトの導入 |
| SQLインジェクション(SQLi) | Webアプリの脆弱性を突き、データベースを操作 | 機密データの流出、改ざん | 入力値の検証、適切なSQLクエリの実装 |
| クロスサイトスクリプティング(XSS) | 悪意のあるスクリプトを埋め込み、実行させる | クッキーの盗難、セッション乗っ取り | サニタイズ処理、CSP(Content Security Policy)の適用 |
| ディレクトリトラバーサル | ファイルパスを操作し、本来見えないデータを取得 | システムファイルの漏洩 | 適切なアクセス制御、パスの正規化 |
| DDoS攻撃(Distributed Denial of Service) | 複数の端末から大量のリクエストを送り、サービスを妨害 | サーバーダウン、業務停止 | WAF(Web Application Firewall)の活用、トラフィック監視 |
| ゼロデイ攻撃(Zero-Day Attack) | 未修正の脆弱性を狙った攻撃 | システム侵害、データ漏洩 | 定期的なパッチ適用、脆弱性スキャン |
コメント