てっぱんITクラブ 
今回はセキュリティ対策第二弾だ!
具体的なセキュリティ攻撃、技術的なハッカーたちからの攻撃の紹介と対策について紹介していくよ。
つ、ついに!ですね!
やきそばくん、目キラキラ笑
ハッキングとかってなると難しそうなイメージですけど私でもできたりするんですか?
あっ!べ、別に私がやろうとしてるとかじゃないですからね!好奇心です。
ははは!必死笑
大丈夫そんなこと思ってないから。
そうだね。難しいかどうかと聞かれると仕組みを理解するのは簡単ってことだけ言っておくよ。
じゃあ、セキュリティ攻撃と対策第二弾やっていこう!
技術的リスクの対策
コンピュータの登場によって、複雑な計算が一瞬でできるようになった。
その技術を悪用することで情報資産や個人情報を奪う方法も登場してきたんだ。
サイバー攻撃やクラッキングなんて呼ばれ方をする。
ちなみにハッキングというのは、厳密には悪い意味は含まれていない。高度な技術を使った作業全般をハッキングって呼ぶよ。
対してクラッキングは、悪意のある技術による作業だから、完全に悪い意味で使うんだ。
ハッカーもどちらかというと良い意味で捉えるのがITの世界だよ。
(悪い奴らはクラッカーって言う)
今回はそんなサイバー攻撃・クラッキングの概要を紹介し、対策について解説する。
盗聴
ネットワークには毎日たくさんのデータが行き来している。
盗聴というのは盗聴器で会話を盗み聞きするように、ネットワーク回線に流れているデータを盗み見る方法になる。
対策は盗まれないようにするんじゃなく、盗まれても読めないようにする方法になる。
つまり暗号化だ。
ネットワークに流れるデータを暗号化することで、情報を受け取った本人にしか解読できないようにする。
これによって第三者がデータを盗み出したとしても、暗号化されていて読む事ができない=盗聴されても影響は0。となるんだ。
なりすまし、改ざん
もしも君のSNSが誰か別の人によって有る事無い事書かれたらどうする?
なりすまし、改ざんというのはまさにそんな攻撃手法になる。
ネットワーク上ではIDとパスワードによって本人確認をしている場合がほとんどで、この二つさえ突破してしまえば本人に成り代わる事ができてしまう。
他人のIDとパスワードさえ手に入れる事ができれば、誰でも他人になれるということ。
怖いねぇ。
対策は、多要素認証だ。
IDとパスワードだけだから、突破されやすくなる。そこにSMS認証(メールのショートメッセージでの確認)も追加すればより一層厳しいログイン条件になる。
他には指紋認証や顔認証、静脈認証なんかを追加してもいい。これらの体の特徴を利用するものは生体認証といういうんだけど、これらのIDとパスワードに頼らないことによって、なりすましを減らす事ができる。
マルウェア
悪意のあるソフトウェア(コンピュータウイルスやスパイウェア、ボットなど)をマルウェアって言うんだ。
ウイルスはイメージ通りにコンピュータに入りこみ、悪さをするファイルやソフトウェアだよ。
スパイウェアっていうのは情報収集を目的とするソフトウェアで、情報をひっそりと収集して攻撃者に送信する。一般的なウイルスのような派手さがないため見つけにくい。
ボットは、第三者のコンピュータで指示を待ち、攻撃者の指示によって指示通りに動き出すソフトウェアだよ。
例えば、グリコちゃんのパソコンにボットを僕が仕掛けておいて、やきそばくんのパソコンに攻撃を仕掛けろ!って指示を出す。
するとグリコちゃんのパソコンのボットは僕の指示通りにやきそばくんのパソコンを攻撃する。
これはグリコちゃんのパソコンから攻撃されたという道筋になって、グリコちゃんに容疑がかかるんだ。
ボットの跡が見つからないとグリコちゃんが攻撃したことになって罪に問われちゃう恐ろしさがあるんだ!!
ひ、ヒィーーーーー!!!怖すぎます!!
対策は、マルウェアの感染経路はほとんどがメールを介している事がわかっているから、不審な送信者や内容のメールは開かないことだよ。
ファイル共有を称してウイルスファイルを送りつけたり、格納される場合もあるから拡張子やファイルが想定より大きくないかなどは確認しよう。
拡張子が「.exe」「.bat」となっているのは特に注意が必要だよ。
ウイルス対策ソフトの導入も大きな効果を発揮する。マルウェアを見つけたらその場で通知してくれる機能があるんだ。
もう怖すぎるんで、多分後の方に紹介してくれるとは思うんですが、対策ができるウイルス対策ソフトのおすすめ教えてください!
全部聞く前にAmazonでポチってきます!!!
ビビりすぎだけど、良い心がけだとは思うよ!おすすめは「ESET イーセットインターネットセキュリティ」だね。
値段と軽さ、セキュリティの高さから非常におすすめだよ。
ちなみにMacの場合は基本的にウイルス対策ソフトはいらないと思う。
Appleは非常に高いセキュリティを売りにしているから最新のOSにアップデートするようにする!ってことを意識すれば大丈夫だよ。
DoS攻撃/DDoS攻撃
サービス拒否攻撃という名称もあるDoS攻撃、DDoS攻撃。
嫌がらせや業務妨害を目的とした攻撃で、サーバの処理能力を超える大量の通信を送りつけてサービスを停止に追い込む手法になる。
1時間に1万件の処理ができるサーバに対して、100万件の通信を送りつけて、処理が追いつかなくさせるんだ。
単純に大量の通信といっても一人じゃ厳しい、だからさっき説明したボットなんかを使って、100台のパソコンにボットを仕掛け、一斉に〇〇サービスに1000件の通信を飛ばす命令を出させたりするんだ。
ボットによって自分の手を汚さず人になすりつけることもできている方法だね。
対策は、通信をチェックして不要なもの・危険なものを遮断してくれる警備員のような働きをするファイアウォールだ。
通信機器の一つで、きちんとした通信だけを通す役割をするよ。
これによって大量すぎるアクセスについては、サーバへのアクセスを遮断するって事ができてサーバを守る事ができる。
まさに防火壁という名前に相応しいね。
ど、DoS攻撃とDDoS攻撃の違いってあるんでしょうか?
DoS攻撃は一般的に1台のコンピュータで攻撃を仕掛けるのに対し、DDoS攻撃は複数台のコンピュータを利用して攻撃を仕掛けることをいうんだ。
クロスサイトスクリプティング
Webページの利便性を上げるためにスクリプト(簡易プログラム)を埋め込むことができる。
そんなスクリプトを埋め込めることを利用して、悪意のあるスクリプトが埋め込んで攻撃を仕掛ける「クロスサイトスクリプティング」があるんだ。
信頼していないサイトAで悪意のあるスクリプトを仕掛けておいて、ユーザがAにアクセスした時にスクリプトとサイトの転送要求を返す。
転送されたユーザは普通の信頼できるサイトBへ転送される。
Bでは事前に一定条件で動き出すスクリプトが仕掛けられていて、転送によってそのスクリプトが動く。
ユーザはそのスクリプトをBという信頼できるサイトからのスクリプトだと思い、実行する。
しかし、実は転送先で実行するスクリプトは悪意のある人が作ったスクリプトだから、悪さをするんだ。
という複数のサイトにまたがってスクリプトを実行させる攻撃をクロスサイトスクリプティングというんだ。
対策は、そもそも悪意のあるサイトを見に行かないこと。通信内容でフィルタリングする機能をオンにするのも手だ。
またサーバ運用者であれば第三者にスクリプトを埋め込めないようなプログラムにするというのも対策になる。
キーロガー
キーの入力を記録する仕組みのことをキーロガーと呼ぶ。
パソコンにインストールするソフトウェア型や、キー端子にくっつけるハードウェア型があり、収集した記録(キーを押したログ)はクラッカが回収し、キー入力を分析してパスワードやクレジットカード番号を盗み出したりする攻撃だ。
対策は、変なソフトがインストールされていないかの確認と、ネットカフェなどの不特定多数の人が使うパソコンでは重要な情報を入力しないこと。
不特定多数の人が扱うパソコンに仕掛けるという例が一番多いんだ。
SQLインジェクション
SQLっていうのはデータベースを操作するための言語だよ。
基本的にWebシステムのほとんどがこのSQLを用いて、データの取得や登録、削除を行なっている。
(データベースについては別記事を読んでね)
Webサイトの構造上、SQLというのはユーザからの情報をもとにプログラムが動いて実行される。
パスワードが入力されたらIDに合うパスワードか、入力された値を使ってデータベース上のデータと照会するとか。
正しいパスワードなら問題ないけれど、データベースを直接変更するような特殊な文字列・SQL文を入力されるとシステム開発者の意図しない動作を起こしてしまうことがある。
SQLをインジェクション(混入)させる攻撃だ。
個人情報を表示させたりすることも可能になってしまうこともある。
対策は、入力値をSQLとして認識しないようにするってことだ。
SQL文として認識するのではなく、確実にただの文字列という形でサーバが認識して処理してくれればこの問題は防ぐことができる。
いくらSQL文で命令をしても、SQLじゃなくて日本語で受け付ければSQL文が実行されることはない。
え、SQLインジェクションでは攻撃者はどの立場なんでしょうか。
攻撃者はサイトの利用者だね。
利用者の立場を利用して悪意のあるSQL文をひたすら試していく攻撃という感じだ。
もちろん意図せず攻撃する形になる場合もあったりするから
一概に利用者だけが悪いということではなく、しっかりWebシステムとしてSQLが入力されても対応できるようにしようという話なんだ。
フィッシング攻撃
クラッカが作成した不正なWebサイトに利用者を誘導するのが目的の攻撃がフィッシング攻撃だよ。
広告メールや危険通知メールを装って不正なWebサイトのURLをクリックさせる。
不正なWebサイトでは個人情報を入力させたり、Amazonに似たようなサイトを装ってパスワードやクレジットカード情報を入力させるという手口だ。
対策はシンプルで、広告メールなどのリンクは開かず信頼できる検索エンジンなどから閲覧するという方法だよ。
URLがhttpsとなっているかを見るのもいい。不正なサイトの多くがhttp通信としているためURLから見極めることもできる。
ただ一番やメールのURLは極力クリックしないようにする。特にメールアドレスが怪しい場合は絶対にクリックしないで。
あのーもしも、もしもですよ!
クリックしてしまったらどうすればいいんですか?
URLにアクセスしてしまったら、そのWebサイトでは何もせず早急に閉じること。
そしてそこからは何もしなくて大丈夫。
おそらく大量の迷惑メールが来るようになるけど基本無視で大丈夫だよ。
クリックした先に請求書が表示されて、メールでも払わないことは犯罪です。みたいなの来ても大丈夫なんですか?
なんかすごい具体的だなぁ笑
大丈夫!URLを踏んだことでメールアドレスが有効ということがわかってメールが送られているだけで個人を特定しているわけではないから無視でいいんだ。
もちろんクリックしてしまっただけで請求が来るなんていうのは詐欺!
そんなことはあり得ないから心配しなくて大丈夫。
よ、よかったー
あ!もちろん私はURLなんてクリックしていないですからね!弟ですから!!!
(グリコちゃんに弟っていたっけ…?)
まとめ
ふう~ずいぶん長く紹介してきて、疲れちゃったね。
今回はここまでとして、続きは次回やろうか!
はい、危機感アップになる話が多かったですね。
次回はパスワードクラックやコンピュータウイルスについて紹介するから、よりプログラミングに近い話になっていくよ。
ワクワクですね!!
この子の将来が心配…!!
じゃあまた次回!!
はい!ありがとうございました!!
