中島 明日香 講談社
【内容紹介】
あらゆる機器がネットワークにつながるようになった今、誰しもサイバー攻撃と無関係ではいられない。
国際的に活躍する情報セキュリティ研究者が、ソフトの脆弱性を突くサイバー攻撃の原理・方法を平易に解説する。
【著者紹介】
1990年大阪府生まれ。慶應義塾大学環境情報学部卒業。NTT入社、セキュアプラットフォーム研究所配属。
女性セキュリティ技術者団体「CTF for GIRLS」を設立・運営。
簡単そうに感じて手に取ってみたが、私にはやはり難解で途中で放棄した。
後は流し読みした。
用語の勉強にはなった
「マルウェア」 悪意のあるソフトウェア Malicious Software
●「脆弱性」を放置すると
ユーザがソフトウェアアップデートなどの対策を取らずに放置していると、
ソフトウェアの脆弱性の情報はインターネット上ですぐさま広まります。
さらには、その脆弱性を突いて他人のコンピュータを攻撃するためのコード(攻撃コード)が作られ、
これもインターネット上に出回り始めます。
攻撃者は、インターネット上に出回っている攻撃コードを利用して、簡単にコンピュータに侵入してしまいます。
攻撃者はパッチ適用までの時間差を狙ってユーザを攻撃するのです。
利用しているソフトウェアのパッチが配信された場合、できる限り早急に適用すべきです。
「CUI」 Character User Interface キーボードを用いた入力からテキストの出力を得るソフトウェアの様式
「GUI」 Graphical User Interface ボタンやパネルのようなグラフィックな入力からテキストの出力を得るソフトウェアの様式
● サイバー犯罪者が逮捕される割合は5%程度と言われている。
● 次々に開発されるExploit Kit
サイバー犯罪市場では、高度な技術を持たない攻撃者でも使える、サイバー攻撃用のためのツールキット
Exploit Kitは値段も手ごろで、日本円にして数万〜数十万円で購入できる。
これを高いと感じる方もいるかも知れないが、将来的に何十万〜何百万も稼げると思えば「安上がり」かも。
犯罪市場にも競争原理が働きます。
現在の市場には数十種類以上の競合ツールキッドが出回っている。
なんとSaaS版ができており、Exploit as a Service (EaaS)が現れている。
→ ?然
○ 脆弱性報奨金制度
今はなきNetscape社が1995年に開始したものだが、現在、グーグル、マイクロソフト社などに広まっている。
◎ サイバー空間は「第五の戦場」
2011年、アメリカ国防総省が「サイバー空間」を
陸、海、空、宇宙空間に次ぐ「第五の戦場」であると正式に定義した。
● DDoS攻撃 Distributed Denial of Service attack 分散型サービス妨害攻撃 一斉に大量の通信や接続要求を仕掛けるもの
● サイバー兵器「Stuxnet」 イランの核施設を攻撃したマルウェア USBメモリを利用して感染