管理者が知っておきたい 攻撃ツールの基礎の基礎(2)「攻撃ツールの種類」 | ScanNetSecurity
2021.07.27(火)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

管理者が知っておきたい 攻撃ツールの基礎の基礎(2)「攻撃ツールの種類」

執筆:株式会社ラック 五島 扶美恵

特集 特集
執筆:株式会社ラック 五島 扶美恵

(※本稿では、脆弱性が存在することを証明する PoC (Proof of Concept) も広義の攻撃ツールとして扱いたいと思います。)

一口に攻撃ツールといっても、様々な種類の攻撃ツールが存在します。古典的なものでは、パスワードクラックツールや盗聴ツール、スパム送信ツールなどがあります。これらのツールは、サーバの設定不備やネットワークの設計上の問題などを狙った攻撃ツールといえます。今回取り上げる攻撃ツールは、これらの古典的攻撃ツールではなく、「プログラムのセキュリティ上の欠陥 (以降、脆弱性)」を悪用するための攻撃ツールを取り上げます。この種の攻撃ツールは、ウイルスやワーム、ボット、スパイウェアなどの不正プログラムにも組み込まれることが多く、インターネット社会に与える影響度が大きいといえます。

■ 攻撃ツールの種類

攻撃の手口は、大別すると「受動的/能動的」の2種類あり、脆弱性毎に「リモートから攻撃可能 / ローカルでのみ可能」のように攻撃の成立条件が異なります。つまり、攻撃ツールとしては、2×2 = 4 種類が存在することになります。

☆能動的攻撃
脆弱性が存在する OS・ソフトウェアに対し、攻撃者が一方的に攻撃ツールを実行することで攻撃が成立することを能動的攻撃と言います。攻撃を受ける側は何の操作も行う必要がなく、ただ脆弱な OS・ソフトウェアが稼動していただけで被害に遭います。

☆受動的攻撃
脆弱性が存在する OS・ソフトウェアを利用するユーザが何らかの操作を行うことで、攻撃が成立することを受動的攻撃と言います。攻撃を成立させるためには…

【関連記事】
管理者が知っておきたい 攻撃ツールの基礎の基礎
(1)「防御の知識だけでは対応できない」
https://www.netsecurity.ne.jp/3_8711.html
(2)「攻撃ツールの種類」
https://www.netsecurity.ne.jp/3_8756.html
(3)「攻撃ツールの特徴」
https://www.netsecurity.ne.jp/3_8801.html
(4)「攻撃ツールの開発言語」
https://www.netsecurity.ne.jp/3_9048.html
(5)「攻撃ツールの自動作成」
https://www.netsecurity.ne.jp/3_9094.html
(6)「攻撃ツールを分析する」
https://www.netsecurity.ne.jp/3_9958.html


●執筆
五島 扶美恵
株式会社ラック( http://www.lac.co.jp/ )
SNS事業本部 JSOC事業部 技術部
ぺネトレーションテストを専門とする。コンサルティング事業部、コンピュータセキュリティ研究所等を経て、現在はラック脆弱性データベース「SNSDB」の情報調査や脆弱性の検証等を担当している。
【関連URL】
JSOC
http://www.lac.co.jp/business/jsoc/
株式会社ラックのペネトレーションテスト
http://www.lac.co.jp/business/sns/consulting/inspection/diagnosis.html
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

複数のOracle製品のクリティカルパッチアップデートについて注意喚起 画像

複数のOracle製品のクリティカルパッチアップデートについて注意喚起
Minecraft Java Edition にディレクトリトラバーサルの脆弱性 画像

Minecraft Java Edition にディレクトリトラバーサルの脆弱性
DELL Client Firmware Update Utility のカーネルドライバにおいて管理者権限の奪取につながる任意のカーネル空間メモリの読み書きが可能な脆弱性(Scan Tech Report) 画像

DELL Client Firmware Update Utility のカーネルドライバにおいて管理者権限の奪取につながる任意のカーネル空間メモリの読み書きが可能な脆弱性(Scan Tech Report)
中国政府を背景に持つAPT40によるサイバー攻撃について日本の見解を発表 画像

中国政府を背景に持つAPT40によるサイバー攻撃について日本の見解を発表
GroupSession にXSSはじめ複数の脆弱性 画像

GroupSession にXSSはじめ複数の脆弱性
JPRS、Windows DNSの複数の脆弱性情報を公開 画像

JPRS、Windows DNSの複数の脆弱性情報を公開

インシデント・事故 記事一覧へ

健康食品販売ECサイトに不正アクセス、約1年3ヶ月間 決済情報流出に気付けず 画像

健康食品販売ECサイトに不正アクセス、約1年3ヶ月間 決済情報流出に気付けず
平日なのに大阪市保健所の代表電話が繋がらず、オリンピック開催に伴う祝日変更を設定し忘れ 画像

平日なのに大阪市保健所の代表電話が繋がらず、オリンピック開催に伴う祝日変更を設定し忘れ
KADOKAWAの台湾子会社へのランサムウェア攻撃、情報流出の痕跡は確認されず 画像

KADOKAWAの台湾子会社へのランサムウェア攻撃、情報流出の痕跡は確認されず
補修材専門店「ECサイトプロショップ匠」に不正アクセス、約2年半分の決済情報流出 画像

補修材専門店「ECサイトプロショップ匠」に不正アクセス、約2年半分の決済情報流出
メール誤送信の再発防止策「BCC の利用を徹底」 画像

メール誤送信の再発防止策「BCC の利用を徹底」
ファッションECサイト「jiggys-shop.jp」「crazy-ferret.jp」に不正アクセス、618名分 カード不正利用確認 画像

ファッションECサイト「jiggys-shop.jp」「crazy-ferret.jp」に不正アクセス、618名分 カード不正利用確認

調査・レポート・白書 記事一覧へ

経産省と総務省、DX時代の企業のプライバシーガバナンスガイドブック公開 画像

経産省と総務省、DX時代の企業のプライバシーガバナンスガイドブック公開
従業員1,100人の企業で1ヶ月約15件のメール関連インシデント発生 ~ バラクーダ調査 画像

従業員1,100人の企業で1ヶ月約15件のメール関連インシデント発生 ~ バラクーダ調査
JPCERT/CC 2021年第2四半期インシデント報告、改ざんサイトから詐欺サイトへの誘導 多数確認 画像

JPCERT/CC 2021年第2四半期インシデント報告、改ざんサイトから詐欺サイトへの誘導 多数確認
日本企業の被害経験:フィッシング 50%、ランサムウェア 53% 画像

日本企業の被害経験:フィッシング 50%、ランサムウェア 53%
CrowdStrike 年次レポート公開 ~ サイバー攻撃は毒か薬か、驚愕の早さ ベトナムの中国への COVID-19 諜報攻勢 画像

CrowdStrike 年次レポート公開 ~ サイバー攻撃は毒か薬か、驚愕の早さ ベトナムの中国への COVID-19 諜報攻勢
HENNGEの情シス対象調査、多要素認証の導入が半数超える 画像

HENNGEの情シス対象調査、多要素認証の導入が半数超える

研修・セミナー・カンファレンス 記事一覧へ

最後の経済フロンティア ~ アフリカのサイバー攻撃、ESETが3つの事例分析 画像

最後の経済フロンティア ~ アフリカのサイバー攻撃、ESETが3つの事例分析
CrowdStrikeの考えるインシデント対応のポイント解説 Webセミナー開催 画像

CrowdStrikeの考えるインシデント対応のポイント解説 Webセミナー開催
今年はオンラインとフィジカル、「CODE BLUE 2021」ハイブリッド開催 画像

今年はオンラインとフィジカル、「CODE BLUE 2021」ハイブリッド開催
電子カルテシステムの脆弱性、米薬害訴訟 オピオイドクライシスきっかけで明らかに 画像

電子カルテシステムの脆弱性、米薬害訴訟 オピオイドクライシスきっかけで明らかに
CrowdStrike、運用負荷を軽減するエンドポイント保護への移行について解説 Webセミナー開催 画像

CrowdStrike、運用負荷を軽減するエンドポイント保護への移行について解説 Webセミナー開催
CSIRTメンバーとしてインシデント対応を疑似体験、NICTが特定講習を開催 画像

CSIRTメンバーとしてインシデント対応を疑似体験、NICTが特定講習を開催

製品・サービス・業界動向 記事一覧へ

トレンドマイクロの研究者「不正送金事犯情報分析プロジェクト」の貢献で警察庁から感謝状 画像

トレンドマイクロの研究者「不正送金事犯情報分析プロジェクト」の貢献で警察庁から感謝状
LogStareのSOCの窓 第3回「ログから見つけたリモート会議の不調の原因」 画像

LogStareのSOCの窓 第3回「ログから見つけたリモート会議の不調の原因」
「Gmail」での BIMI の一般サポート、今後数週間以内にリリース 画像

「Gmail」での BIMI の一般サポート、今後数週間以内にリリース
GSXとKELグループ3社、セキュリスト活用した「セキュリティエンジニア育成プロジェクト」開始 画像

GSXとKELグループ3社、セキュリスト活用した「セキュリティエンジニア育成プロジェクト」開始
さくらインターネットとアントアント提携、セキュリティに特化CMS提供 画像

さくらインターネットとアントアント提携、セキュリティに特化CMS提供
サイバーソリューションズ、自治体向けメール無害化ソリューション「CyberMail-CDR」を提供開始 画像

サイバーソリューションズ、自治体向けメール無害化ソリューション「CyberMail-CDR」を提供開始

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×