サイバー攻撃 ネット世界の裏側で起きていること
【書 名】サイバー攻撃 ネット世界の裏側で起きていること
【著 者】中島明日香
【発行所】講談社ブルバックス
【発行日】2018/01/20
【ISBN 】978-4-06-502045-6
【価 格】1000円
■Morris Worm(1988)
マルウェアはMalicious software(悪意のあるソフトウェア)で、Morris Wormが出現したのはARPANETの時代。脆弱性を使ってARPANETの10%に侵入したと言われています。これを契機にCERT/CCがカーネギーメロン大学に生まれます。
■Blaster(2003)
Windowsに存在したバッファーオーバーフローの脆弱性をついて800万台以上のコンピュータに感染します。
■クロスサイトスクリプティング
IPAの報告では半数以上がクロスサイトスクリプティング攻撃でした。脆弱性があると<script>alert(document.cookie)</script>というJavaScriptを入力するとCookieを引きdして成りすますことができます。
■SQLインジェクション
ユーザ名に「admin」パスワードに「'OR`A`=`A`」といれると全て成り立つのでパスワードパスとなります。
■バウンティハンター
アメリカには逮捕した被疑者の保釈金を立て替える保証業者がいます。被疑者が裁判を受ければ裁判所から保釈金が返されますがなかには逃げるやつがいます。これを捕まえるのがバウンティハンター(賞金稼ぎ)です。セキュリティの世界にも同じように脆弱性報奨金制度があります。始まりは1995年のネットスケープ社でロゴ入りマグカップとTシャツを贈呈していました。
脆弱性情報を買い取るなかにはIPSメーカーもいます。競合に対して差別化できます。iOSの脆弱性をつく攻撃コードの買い取り価格は150万ドルになります。
■Stuxnet
イランにある核施設をターゲットにし、最初はUSBメモリーから拡がるようになっていました。Windowsがもつ5件の脆弱性をつき4件が未知でした。またドイツのシーメンス社が提供する制御ソフトを感染させるようになっており、このソフトはPLCによく使われていました。
■Cyber Grand Challenge
2016年Mayhemが優勝し、優勝賞金は約2億円。人間を介さない全自動サイバー攻撃戦いです。脆弱性の発見から攻撃コードの作成まで全自動で行います。
最近のコメント