辞書攻撃
よく使われる単語やフレーズを集めた辞書ファイルを使って、パスワードを総当たりで試す攻撃。
複雑でないパスワードは短時間で突破される。
防止には推測されにくいパスワードの設定が有効。
例:「password」「123456」などの単語でログインを試す。
総当たり(ブルートフォース)攻撃
あり得るすべての文字の組み合わせを試すことでパスワードを突破する攻撃。
時間はかかるが必ず成功する可能性がある。
文字数や複雑さで対抗できる。
例:a〜z、0〜9などすべての組み合わせを順に試す。
パスワードリスト攻撃(クレデンシャルスタッフィング)
他のサービスから流出したID・パスワードの組み合わせを使ってログインを試みる攻撃。
同じパスワードを使い回していると特に危険。
使い回しを避け、2段階認証を設定することが有効。
例:別サイトで流出した情報でSNSに不正ログインされる。
クロスサイトスクリプティング
Webページに悪意あるスクリプトを仕込んで、閲覧者のブラウザ上で実行させる攻撃。
Cookieや個人情報が盗まれることがある。
入力内容の検証とエスケープ処理で防ぐ。
例:掲示板にスクリプトを埋め込み、閲覧者の情報を抜き取る。
クロスサイトリクエストフォージェリ
ユーザーがログイン中のWebサービスに対して、意図しない操作を行わせる攻撃。
攻撃用のリンクや画像を踏ませることで実行される。
CSRFトークンで防止可能。
例:銀行サイトにログイン中に、送金指示を偽装したサイトを表示させる。
クリックジャッキング
ボタンやリンクを透明な別の要素で覆い、誤ってクリックさせる攻撃。
ユーザーが意図せず不正操作を実行してしまう。
UIの設計やフレーム制御で防止できる。
例:ゲームの「OK」ボタンに見せかけた「課金」ボタンをクリックさせる。
ドライブバイダウンロード
Webサイトを訪れただけで、マルウェアが自動的にダウンロード・実行される攻撃。
脆弱なブラウザやプラグインが狙われる。
常に最新の状態にアップデートすることで予防可能。
例:正規のWebページに仕込まれた不正なスクリプトでウイルスに感染。
SQLインジェクション
Webフォームの入力欄などにSQL文を入力し、不正にデータベースを操作する攻撃。
情報の漏えいや改ざんが起こることがある。
プリペアドステートメントなどで防止できる。
例:商品検索欄に「’ OR 1=1 –」と入力して、全商品を強制的に表示させる。※マネしたら犯罪
ディレクトリトラバーサル
本来アクセスできないファイルやフォルダに、相対パスなどを使って不正にアクセスする攻撃。
「../」のようなパス表現を悪用する。
サーバ側でのアクセス制限が必要。
例:Webサーバの設定ファイルやパスワードファイルに不正アクセス。
バッファオーバーフロー攻撃
プログラムが用意した容量を超えるデータを入力し、メモリ領域を上書きする攻撃。
任意のコードを実行させることができる。
入力の長さチェックなどが防御策。
例:長すぎる文字列でOSコマンドを上書き・実行する。
中間者攻撃(Man-in-the-middle)
通信の途中に第三者が割り込み、情報を盗聴・改ざんする攻撃。
暗号化されていない通信が狙われる。
SSL/TLSでの暗号化や認証が有効。
例:フリーWi-Fiで入力したパスワードが中間者に盗まれる。
MITB攻撃(Man-in-the-browser)
ブラウザにマルウェアを仕込み、Webページの表示や送信内容を改ざんする攻撃。
ユーザーとWebサイトの間に割り込んで不正操作を行う。
セキュリティソフトの常時監視が効果的。
例:ネットバンキング画面に偽の振込先が表示される。
第三者中継(オープンリレー)
メールサーバが誰でもメールを中継できる状態になっている脆弱性。
スパムメールの送信に悪用される。
適切な設定で中継制限を行うことが必要。
例:海外から自分のサーバを経由して迷惑メールが大量送信される。
IPスプーフィング
偽のIPアドレスを使って通信を行い、正規のユーザーになりすます攻撃。
送信元の信頼を悪用して、不正アクセスを試みる。
IPフィルタリングや認証強化で対処可能。
例:社内IPアドレスを装って外部から侵入する。
DNSキャッシュポイズニング
DNSサーバのキャッシュを改ざんし、正しいドメイン名に偽のIPアドレスを対応させる攻撃。
ユーザーが気づかずに偽サイトへ誘導される。
DNSSECなどで検証を強化することが対策となる。
例:サイトを開いたら偽のフィッシングサイトに接続された。
セッションハイジャック
通信中のセッションIDを盗んで、他人になりすましてアクセスする攻撃。
ログイン後の操作が奪われる可能性がある。
セッション管理の強化やHTTPS化で防止できる。
例:オンラインショッピングのカート情報を乗っ取られる。
DoS攻撃(Denial of Service:サービス妨害)
大量のリクエストを送信して、サーバやネットワークをダウンさせる攻撃。
特定のWebサービスを一時的に利用不能にする。
防御にはファイアウォールや負荷分散が必要。
例:特定のサイトにアクセスが集中して表示されなくなる。
DDoS攻撃
複数のコンピュータから一斉にDoS攻撃を仕掛ける方法。
ボットネットを使って規模を拡大させる。
個人レベルでは防御が難しく、ISPなどと連携が必要。
例:企業サイトが大量のアクセスで一時的に停止する。
クリプトジャッキング
他人のPCやスマホのCPUを無断で使い、仮想通貨のマイニングを行う行為。
動作が重くなる、バッテリー消費が増えるなどの症状が出る。
Webページを閲覧するだけで感染することもある。
例:Webサイトに仕込まれたスクリプトで裏で仮想通貨を掘られる。
標的型攻撃(APT:Advanced Persistent Threat)
特定の個人や組織を狙って、長期間にわたり継続的に行われる高度なサイバー攻撃。
事前調査から侵入、潜伏、情報の収集・送信まで一連のプロセスが計画的に行われる。
国家や大企業が標的になることが多い。
例:機密情報を狙って長期間にわたり攻撃者が社内ネットワークに潜伏する。
水飲み場型攻撃
標的がよく利用するWebサイトにマルウェアを仕込むことで、間接的に感染させる攻撃。
サイトの訪問者に対して攻撃が実行される。
攻撃対象を絞り込んだ巧妙な方法。
例:業界団体の公式サイトに不正なコードを埋め込み、訪問者を感染させる。
やり取り型攻撃
実際の取引や連絡の中に不正ファイルを紛れ込ませる、信頼関係を悪用した攻撃。
標的とのメールのやり取りに見せかけて感染させる。
添付ファイルやリンクに注意が必要。
例:過去のメールに返信する形でウイルスファイルを送ってくる。
フィッシング
実在するサービスや企業を装った偽のメールやWebページで、IDやパスワードを盗む詐欺。
見た目は本物そっくりであることが多い。
偽サイトに情報を入力しないよう注意が必要。
例:銀行を装ったメールから偽ログインページに誘導される。
スミッシング
SMS(ショートメッセージサービス)を使ったフィッシング詐欺。
リンクをクリックさせて偽サイトに誘導したり、マルウェアをインストールさせる。
スマホ利用者が主な標的。
例:「荷物の再配達」などのSMSに偽サイトへのリンクが含まれている。
ワンクリック詐欺
「クリックしただけで契約成立」などと偽って金銭を要求する詐欺。
多くはアダルトサイトなどを装って表示される。
不安をあおって振り込みを促す手口。
例:「登録ありがとうございます。3日以内に支払ってください」と表示される。
ゼロデイ攻撃
ソフトウェアの脆弱性が公開される前に、その欠陥を突いて行われる攻撃。
ベンダーが対応する前に行われるため非常に危険。
未知の脅威への対策が必要。
例:新しいバージョンのOSに発見された直後の脆弱性を悪用する。
プロンプトインジェクション攻撃
AIアシスタントなどに対して、想定外の命令文を仕込んで不正な動作を誘導する攻撃。
ユーザーが入力した指示を乗っ取って別の出力をさせる。
生成AIへの新たな脅威の一種。
例:AIチャットボットに隠された命令で機密情報を出力させる。
敵対的サンプル(Adversarial Examples)
AIの判断を誤らせるように加工された入力データ。
わずかなノイズで画像認識AIなどを欺くことができる。
機械学習システムにおけるセキュリティリスク。
例:STOP標識にステッカーを貼るとAIが別の標識と誤認する。
フットプリンティング
標的の情報を収集するための調査活動。
IPアドレス、ドメイン情報、使用ソフトウェアなどを調べて攻撃に利用する。
サイバー攻撃の準備段階で行われる。
例:企業のホームページや公開情報からネットワーク構成を推測する。
ポートスキャン
ターゲットとなる機器の通信ポートを片っ端から調べ、開いているポートを特定する行為。
開いたポートに対して攻撃を仕掛けるための前段階。
不審な通信として検出されることもある。
例:特定のサーバに対して20番〜80番ポートにアクセスを試みる。