2020年秋、コロナウィルス感染拡大をうけ、IPAは秋の試験を見送りました。というより延期です。
しかもこれまでの筆記による試験ではなく、CBT(コンピューターを使ったテスト)でのテストに取り組むと発表しました。
2021年3月(令和2年度)までには実施するとのことです。
その情報セキュリティマネジメント試験で必ず出てくる頻出用語です。特にサイバー攻撃手法のところは、覚えればよいので、ここだけ覚えて点取りましょう。
サイバー攻撃手法とは、読んで字の通り「サイバー」に「攻撃してくる」「方法」のことです。コンピューターやネットワークを使って、大切な情報を盗もうとしたり、いたずらしたりすることです。
攻撃の仕方など年々進化しています。IPAのページに最新情報が掲載されてます。常にチェックしておきましょう!
それでは情報セキュリティマネジメント試験で出てくる用語は覚えればよいので、簡単です。文系向け。点が確実に取れます。
パスワードを盗めば、どんなところにもすいすいーっと不正にアクセスできます。攻撃者がよく使うパスワードを盗むための攻撃方法です。
スニッフィングのイメージ
ちなみに「スニッフィング」は「Sniffing」でくんくん、と臭いをかぐ、という意味があります。くんくんしてワンコなどがくんくんして、何か見つる様子を模しているのだとか。
単純すぎるやり口ですw パスワードの割り出しに辞書にある言葉を使う方法です
パスワードを見つけ出すための力技ですw 手当たり次第にパスワードを試して打ち破ろうとする手口です
サイト利用者と、Webサーバーの間でやりとりされるログイン情報を盗聴し、そのままなりすまして再送信すること。
なんらかの方法で不正に手に入れたパスワードの一覧表を使ってWebサイトにアクセスを試みる事
こうしてみると、見るとパスワードを盗み取られないために次の対策が打てます
●辞書攻撃→パスワードに辞書に載るような単語を使わない
●パスワードリスト攻撃→違うWebサイト同士に同じパスワードを使い回さない、とかね。
続いてこちら。サーバーをのっとる攻撃です。サーバーにもいろんな種類があるので、サーバーの種類と攻撃内容を理解しておくと良いですね。
Webサーバー内の公開されてないディレクトリに対して、不正アクセスを試みる攻撃。ディレクトリに不正にアクセスし、ファイルを書き換えるなどします
脆弱性のある掲示板やSNSなどに攻撃者が罠をしかけ、サイトを見た人の情報を盗んだり、悪意あるページが表示されるなどする攻撃です
Twitterにクロスサイトスクリプティングがなされたときは、該当ツイートをマウスオーバーしたら、勝手にリツイートされるようになったそうです
Webサイトの管理者が、公開していないディレクトリに入り込もうとする攻撃です。公開しているURLから侵入可能なパスを見つけ出して、ファイルの入手、書き換えを行います。
Webフォームや、URLの中に不正なスクリプトを埋め込んで、実行することで、ブラウザ上にうその情報を表示したりします。
続いてDBサーバーです。直接表に出ず、システムを利用する人はあまりみる事のないサーバーです。
DBを操作する言語である「SQL」に狙いを定めた攻撃です。Webサイトの入力フォームなどを使って不正な内容を含むSQL文をDBサーバーに送り込みます。
続いてこれ。OSへの攻撃です。Webサーバーにしても、DBサーバーにしても、動くためにはOSが必要です。
そのOSに対して攻撃する内容が次の物たちになります。
大量のデータや、処理要求をすることでサーバーのリソースを食いつぶさせること。結果動かなくなる。
Webサイトを通じて、不正にOSを操作するプログラムを埋め込み実行します。
続いてこれ。OSや、各種ソフトウェアの脆弱性を狙った攻撃です。
OSや、ソフトウェアを作っているメーカー(マイクロ◯フトとか)が、自身のソフトウェアについて脆弱性があると発表してから、修正プログラムを提供するまでの間に脆弱性を狙って攻撃してくる手法です
情報セキュリティマネジメント試験に出る攻撃の内容は、用語と内容だけ覚えていればよいです。このページのことを覚えれば、1点は確実に取れます。1問は絶対に出てますから。
攻撃の種類と言葉を覚えたら、午後問題に対応できるようになります。午後問題は具体的な攻撃の内容をもとに問題が出るものが多いです。
サーバー??は?という感じの方は、サーバーとは、ネットワークとは、というところから理解すると一気に理解が進みます。サーバーの概要などを勉強するところから始めるのもおすすめです。今後、役立つ知識になります。
世の中ローコード、とかノーコー…
ネットワークを流れるデータを勝手に盗み見る方法です