【保守サポート】ゼロデイ・辞書攻撃などのセキュリティ問題
本日もIT保守サポート用語集の中から
いくつか抜粋して、詳しくご紹介したいと思います。
http://www.e-cts.jp/?p=489
既にご存じの方も、まったくサポートのことを知らない方も
わかりやすくご紹介していますので、ぜひ目を通していただけると幸いです。
今回ご紹介するのはセキュリティ攻撃の種類においてです。
まず、パスワードを解読する攻撃手法の「辞書攻撃」。
辞書にある単語を片端から入力して試すというもので、
コンピューターに自動処理をさせれば
短時間で行うことが可能です。
小文字や大文字を混ぜたり
数字も加えたりしてパスワードを割り出します。
次にソフトウェアの修正パッチが提供される前に、
そのセキュリティホールを悪用して攻撃することを
「ゼロデイ攻撃」と呼びます。
修正パッチが提供された日を1日目と計算すると、
それ以前に攻撃が行われるという意味で
ゼロデイと表します。
「クロスサイトスクリプティング」という攻撃もあります。
こちらはWebアクセスを通じて、
セキュリティ上の脆弱性を利用した攻撃です。
フォーム入力などのデータを改ざんすることで
本人になりすましたり、ユーザーの意図しない
スクリプトを実行させられたりすることがあります。
動的なWebサイトに取り込まれることが多いため、注意が必要です。
そのほか、攻撃ではありませんが
ユーザーのタイプミスを悪用して別サイトへ
誘導する悪質な行為、「タイポスクワッティング」
(タイプ「Typo」ミスと占有「Squatting」の造語)があります。
大手企業など有名なWebサイトのドメイン名に
よく似せたものを取得し、誤って別サイトに
移動してしまうことを狙ったものです。
******
弊社では、お客様のPCやサーバーの管理などを
専属のサポート部門として代行するサービスを行っております。
「ITサポート&サービス」
http://www.e-cts.jp/it-support/
ネットワーク環境などでお困りの方は、ぜひご覧ください。
また弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
今週もお読みいただき、ありがとうございました。
シーティーエス株式会社 ブログ担当スタッフより
