3.2 セキュリティ考慮事項
前のページへ
次のページへ

3.2.2 脆弱性の洗い出し

本モデルには、次のような脆弱性が考えられる。

1) アクティブ(Active)攻撃に関する脆弱性

アクティブ攻撃とは、悪意のある者(攻撃者)が、ターゲットとなるサーバーへ直接的に被害を与える行為である。この攻撃には、大きく2つに分類することができる。

ア) 侵入攻撃

侵入攻撃とは、悪意ある者がターゲットサーバーのアクセス権を不正に取得することを目的とした攻撃である。侵入攻撃には、以下のような方法がある。

イ)サービス使用妨害攻撃

サービス妨害(DoS:Denial of Service)攻撃とは、何らかの方法により、ターゲットとなるサーバーやネットワークが提供するサービスを妨害する行為である。DoS攻撃には、以下のような方法がある。

2) トロイの木馬による待ち伏せ攻撃に関する脆弱性

トロイの木馬による待ち伏せ攻撃とは、悪意のある者(攻撃者)が直接被害者に攻撃を行うのではなく、攻撃者が周到に用意したトラップ(罠)に被害者が引っ掛かることによって被害を受けるものである。この攻撃は、大きく2つに分類することができる。

ア)クロスサイトスクリプティング(CSS:Cross-Site Scripting)攻撃

これは、あるサイト(Webサーバー)にあるスクリプトが、別サイトへとまたがって(クロス)実行されることからクロスサイトスクリプティング(CSS:Cross-Site Scripting)と呼ばれている。この脆弱性は、Webアプリケーションのプログラムのミスが原因で発生するものが大多数を占める。

CSS攻撃の例としては、攻撃者が動的コンテンツの生成を提供しているWebサーバーへ悪意あるスクリプトコード(悪意あるサイトから不正プログラムをダウンロードするようなコード)を埋め込み、ユーザがこのWebページを参照すると、悪意あるスクリプトを実行し、不正プログラムをダウンロードしてしまうものがある。CSS攻撃には、以下のような方法がある。

  参考資料
   情報処理振興事業協会 セキュリティセンター(IPA/ISEC)
   「Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報」:
     http://www.ipa.go.jp/security/ciadr/20011023css.html

イ)盗聴

盗聴とは、ターゲットとなるサーバーまたはネットワークの情報を盗み取るものである。盗聴により入手した情報を基に、侵入攻撃など行うことが可能になる。盗聴には、以下のような方法がある。

 

前のページへ
目次へ
次のページへ
セキュリティ要求の洗い出し
第3章の目次
セキュリティ脅威の洗い出しと評価


Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.