[情報セキュリティマネジメント試験]Web攻撃[無料講座・例題付き！]

今回は情報セキュリティマネジメント試験で問われるWeb攻撃について学習します。

くろん

Web攻撃ってなんだニャ？

モナ

Webサイトが改ざんされたり怪しいサイトを作ってユーザを騙すことだニャ

Web攻撃とは

Web攻撃はWebサイトをはじめとして、これらのWeb上のコンテンツを改ざんし、普段利用しているユーザを騙すことで個人情報を入手したり料金を請求したりといった内容になります。

Web攻撃の種類

Web攻撃にはいくつか種類があるので１つずつ見ていきましょう。

フィッシング

フィッシングは有名な企業だったり機関だったりを装って偽のメールを送り付け、偽のWebサイトに誘導して個人情報などを入力させる攻撃です。

騙した餌で釣り上げることからフィッシングと言います。

カズ

そして偽のメールをフィッシングメールって言うよ！

例えば「あなたのパスワードが流出しています。以下のURL(https://nise.com)にアクセスしてパスワードを設定しなおしてください」等の文言でユーザを不安にさせてURLをクリックさせ偽サイトに誘導します。

ファーミング

ファーミングはフィッシングから進化したもので、システム設定ファイルを改ざんすることでWeb閲覧者が正しいドメインを入力しても偽のWebサイトに誘導されてしまいます。

キュー

ファーミングは種をまいて収穫を待つ農業が由来やで

ワンクリック詐欺

ワンクリック詐欺はWebサイトにアクセスし何かをクリックしただけで料金請求のページに誘導される手口です。

出会い系サイトやアダルト系サイトに多く、強制的に加入しつつも相談しにくいことから料金を支払ってしまったり、記載されている電話番号に電話をしてしまい個人情報が筒抜けになってしまう被害につながります。

ラク

男なら誰でも1度は引っ掛かったことあるよな？な？

キュー

引っかかっても電話番号にかけなければ問題ないで

クリックジャッキング

クリックジャッキングはWebサイトの閲覧者を視覚的に騙し、一見問題のなさそうなWebページをクリックさせることで閲覧者が意図しない操作をさせる攻撃です。

例えばWebサイト上の非公開の個人情報を公開させたり、意図しない登録をさせたりです。

技術的な側面としてはWebページの透明度を変更する機能と、Webページを複数重ね合わせる機能を悪用して実装しています。

Web攻撃への対策

主なWeb攻撃への対策は以下の3点です。

• 不要なメールは開かない
• 怪しいURLをクリックしない
• 料金請求等は無視する

Web攻撃における重要語句

以下は試験でも良く問われる語句です。あわせて押さえておきましょう。

• SEOポイズニング・・・Googleやbingといった検索エンジン上で上位に偽サイトを表示させ、マルウェアに感染させます。例えば「しかくのいろは」にそっくりな偽サイトを作成しそのワードで検索上位に来れば、当サイトと勘違いしてログインを試みて個人情報がばれると言った仕組みです。
• Webビーコン・・・Webサイトに1pxほどの小さな画像を埋め込み閲覧者の情報を収集する仕組みです。具体的には閲覧時刻・IPアドレス・プロバイダ・クッキーなどの情報を収集できます。
• スミッシング・・・携帯電話などのSMSを利用してフィッシングサイトへ誘導します。
• ドライブバイダウンロード・・・Webサイトを閲覧しただけでマルウェアを閲覧者にダウンロードさせる仕組みです。WebブラウザやOSの脆弱性によって引き起こされます。

Web攻撃・例題

実際に例題を解いて問題に慣れていきましょう。

問題

Web攻撃・まとめ

今回はWeb攻撃について学習しました。

攻撃手法の中ではよく問われる部類なので、しっかりと対策をしておきましょう。

カズ

もちろん、対策方法もあわせて押さえておこう！

次回はスクリプト攻撃について学習します。

しかくのいろは

[情報セキュリティマネジメント試験]スクリプト攻撃[無料講座・例題付き！]

https://www.sikaku-no-iroha.co.jp/sikaku/sg/script-attack-sg

情報セキュリティマネジメント試験で学習するスクリプト攻撃について解説しています。攻撃の種類と各種対策方法について押さえておきましょう。

佐野 孝矩

福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。

経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)

簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者　など