企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 脆弱性診断で浮き彫りになるサイバー攻撃のリスク

脆弱性診断で浮き彫りになる
サイバー攻撃のリスク

ここでは企業に向けた代表的なサイバー攻撃の種類とその概要についてまとめました。発生するのはどのような理由によるものなのか、また想定される被害などをご紹介します。

サイバーセキュリティは攻撃を知ることが重要

サイバー攻撃には不特定多数に被害をもたらすフィッシング詐欺のようなものから、特定の企業や組織を狙ったランサムウェア、システムやサーバーに負荷をかけてダウンさせる攻撃など数多くの種類があることがわかっています。

システムはバージョンアップしますが、そこに新たな脆弱性が見つかると攻撃者のターゲットになります。サーバーやシステム側は脆弱性を修正するプログラムを作成したり、バージョンアップを行うことになります。

いたちごっこの状況ですが、だからといって何もしないと攻撃者のやりたい放題になります。攻撃から守るためには、まず相手を知ること。どのような攻撃の種類があるのか理解し、その上で対策方法の検討を行うことが重要です。

脆弱性を狙う代表的なサイバー攻撃10種類

SQLインジェクション

データベースと連携するWebアプリケーションの脆弱性を悪用し、意図の異なるSQL文により不正に操作されるサイバー攻撃のこと。不正アクセスによる情報漏えいや他のシステムへの攻撃の踏み台などの被害を受けます。

SQLインジェクションの
対策について詳しく見る

クロスサイトスクリプティング(XSS)

Webサイトの脆弱性を悪用したサイバー攻撃。掲示板などデータ入力を許すページに罠を仕掛け、悪質な別サイトへ誘導されることになり、そこを訪れたユーザーの個人情報を盗んだりマルウェアに感染させたりします。

クロスサイトスクリプティングの
対策について詳しく見る

ファイルインクルード

プログラム中に別ファイルを参照している処理がある場合に、攻撃者が意図的にファイル名を修正し、別ファイルを読み込ませることで不正処理を実行する攻撃。機密情報の流出やWebアプリケーションの改ざんなどを行います。

ファイルインクルードの
対策について詳しく見る

OSコマンドインジェクション

脆弱性のあるWebアプリケーションなどを通して、OSへコマンドを送信し不正操作するサイバー攻撃。サーバ内ファイルの閲覧や改ざん、OSのシャットダウン、ユーザーアカウント変更など発生被害もさまざまです。

OSコマンドインジェクションの
対策について詳しく見る

ディレクトリトラバーサル

ディレクトリ階層を移動するパスを与え、アクセスを許可していない非公開ファイルやディレクトリ情報を取得する不正アクセス。攻撃者はディレクトリ横断を繰り返し、パスワードや個人情報が入ったファイルを探ります。

ディレクトリトラバーサルの
対策について詳しく見る

ブラインドSQLインジェクション

攻撃者がサーバーに送信したデータのレスポンスや挙動の違いからWebアプリケーションの構造を探る攻撃。集めた情報からデータベース構造を知る仕組みで、最終的には情報漏えいやデータ改ざんなど被害を受けます。

ブラインドSQLインジェクションの
対策について詳しく見る

安全でないデシリアライゼーション

外部から与えられるデータをデシリアライズする際の脆弱性のこと。オブジェクトの持つフィールドに任意の値が設定可能になり、リモートコードが実行されて管理者権限を取得されたり悪意のあるプログラムが仕込まれます。

安全でないデシリアライゼーションの
対策について詳しく見る

XML外部実体攻撃

XMLの仕様を悪用して外部ファイルを読み込ませるサイバー攻撃。HTTPを使用してネットワーク経由で読み込むファイルを指定。サーバーの機密情報漏えいや不正リモート要求でSSRF攻撃につなぐこともあります。

XML外部実体攻撃の
対策について詳しく見る

HTTPヘッダインジェクション

Webアプリケーションの脆弱性を利用した攻撃。HTTPレスポンスヘッダに新たなヘッダ要素を追加しレスポンスを改ざん。ブラウザに偽の情報を表示したり、悪意のあるスクリプトを埋め込まれる可能性があります。

HTTPヘッダインジェクションの
対策について詳しく見る

SSRF脆弱性

公開サーバーの設定不備により、通常はアクセスできない非公開サーバーへ不正アクセスできてしまう状態のこと。攻撃者はさまざまな操作が可能で、認証情報を盗んで機密情報を不正に取得されるなどの被害を受けます。

SSRF脆弱性の
対策について詳しく見る

まずはサイバーセキュリティのリスク診断が重要

自社のセキュリティは問題ないのか、まずは診断をすることがおすすめです。

Webアプリケーション診断についても
詳しく見る

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる