shikakuホームへ
経営情報システム / セキュリティセキ
セキュリティ 4/4 / 約5分

攻撃と対策 — 手口には、それぞれ決まった盾があります

「銀行を名乗るSMSが来て、リンク先でパスワードを入れてしまった」——これがフィッシング(偽サイトへ誘導する詐欺)。「ECサイトの検索窓に変な文字列を入れたら、会員情報が漏れた」——これがSQLインジェクション(入力欄にSQL文を混ぜてデータベースを操る攻撃)です。

試験が問うのは手口の詳細ではなく、手口と盾の対応表——「この攻撃には、この対策」の組を崩さずに持ち帰れるかです。

この5分の問い

代表的な攻撃手法には、それぞれどんな対策が対応しているのでしょうか。

直感でつかむ

「入口で騙す・入力で壊す・量で潰す」の3系統で見取り図を作ります

攻撃は狙い所で整理できます。人の入口を騙す系——フィッシング(対策=多要素認証+利用者教育)・ブルートフォース=パスワード総当たり(アカウントロック+MFA)。プログラムの入力を壊す系——SQLインジェクション(プリペアドステートメント・入力検証)・XSS=掲示板等に悪意あるスクリプトを仕込む(入力・出力のサニタイズ)・CSRF=ログイン中の利用者に意図しない操作をさせる(CSRFトークン)。量や仕組みで潰す系——DoS/DDoS=大量アクセスでサーバーを止める(CDN・レートリミット)です。

攻防の合言葉入口で騙す・入力で壊す・量で潰す——SQLインジェクションにはプリペアドステートメント、XSSにはサニタイズ
厳密に見る

残りの対応も対で固定します——盾の名前まで正確に

続きの対応表です。中間者攻撃(通信に割り込む)=TLS・証明書ピンニングランサムウェア(データを暗号化して身代金要求)=バックアップ+ソフトウェアの最新化ゼロデイ攻撃(修正パッチ公開前の脆弱性を突く)=WAF・ふるまい検知(パッチが存在しない以上、入口と挙動で守る)。APT(特定組織を狙う持続的な標的型攻撃)=SIEM・SOC(ログの相関分析と監視体制)です。

ポイントは、盾が「なぜその攻撃に効くのか」——ランサムウェアにバックアップが効くのは「暗号化されても戻せる」から、ゼロデイにWAFなのは「パッチがまだ無い」から。理由ごと覚えると入れ替え肢に強くなります。

結論が反転する分かれ目
SQLインジェクション
データベースを狙う
入力欄にSQL文を混入——盾はプリペアドステートメント
XSS
利用者のブラウザを狙う
ページにスクリプトを仕込む——盾はサニタイズ
分かれ目 狙い先がDBか閲覧者か。似た者どうしなので盾の交換が定番の的です。
ここで間違える

攻撃と対策の対応の入れ替えが、ほぼ唯一の出題手口です

定番の誤り肢は盾の付け替え——「SQLインジェクション対策としてサニタイズのみを行う」「XSS対策としてプリペアドステートメントを用いる」のような隣の盾との交換です(正=SQLインジェクション→プリペアドステートメント、XSS→サニタイズ。どちらも入力の無害化という点は似ているからこそ的にされます)。

「ランサムウェア対策は身代金の支払い準備」のような論外肢も出ます——正解はバックアップCSRFとXSSの混同も的——スクリプトを「仕込む」のがXSS、ログイン済み利用者に「操作させる」のがCSRFです。

実務では

「うちは狙われるほどの会社じゃない」が顧問先の定番の誤解です——攻撃者は大企業の取引先(サプライチェーン)の弱い入口から侵入するため、中小企業こそ踏み台として狙われます。診断士が置いていける最初の一枚は、この対応表の縮約版——①MFA有効化(入口)②バックアップの分離保管(ランサム)③ソフトの自動更新(脆弱性)。この3つだけで主要な手口の大半に盾が立ちます。

確かめる — 予想してから答え合わせ
この5分のまとめ

冒頭の問いに答えます。フィッシング→MFA+教育、ブルートフォース→アカウントロック、SQLインジェクション→プリペアドステートメント、XSS→サニタイズ、CSRF→トークン、DDoS→CDN・レートリミット、中間者→TLS、ランサムウェア→バックアップ、ゼロデイ→WAF・ふるまい検知、APT→SIEM・SOC——手口と盾の対を崩さないことがこの論点の全てです。これでセキュリティの4枚が揃いました。次のWaveは、データを整える側——データベースと開発の作法へ。