平成24年度春期情報セキュリティスペシャリスト試験午後I問2を題材に、O社のECサイトで発生した情報漏えいインシデントを徹底解説します。サクラ先輩とももちゃんと一緒に、呪文のようなHTTPアクセスログから4つのサイバー攻撃を読み解きましょう。SQLインジェクションや不正ログインの手口から、自作暗号の危険性、そして最新のパスワードレス認証まで、セキュリティの基礎と最新技術を学べる動画です。 本動画で学習できる重要なセキュリティ用語や概念について詳しく説明します。まず代表的な攻撃手法であるSQLインジェクションは、攻撃者が入力フォームなどにデータベースを操作する悪意のあるコマンドを紛れ込ませ、情報を不正に引き出す手法です。HTTPアクセスログの中にデータを取得するselectなどのコマンドが含まれている場合、この攻撃による情報窃取が疑われます。次に不正ログインに関する知識も非常に重要です。同一のIPアドレスから一つの会員IDに対して様々なパスワードを連続して繰り返し入力する痕跡は、典型的な不正ログイン試行の兆候です。有効な防御策として、連続してログインに失敗した際にそのIDを凍結するアカウントロックが挙げられます。また、Webサイトの改ざんを通じたマルウェア感染のメカニズムも解説しています。攻撃者が改ざんしたバナーでユーザーを外部サイトへ誘導し、ブラウザのプラグインが持つ脆弱性を突いてマルウェアに感染させる手法です。現代ではプラグインに依存しない仕組みが普及していますが、歴史的背景として重要な概念です。さらに、ログから画面表示を直接書き換える不審なスクリプトを発見した場合、偽の入力画面を表示させてユーザー自身に情報を入力させる巧妙な手口が疑われます。暗号化技術についても深く掘り下げて解説しています。文字の並べ替えを行う転置や別の文字に置き換える換字を組み合わせた独自の自作暗号アルゴリズムは、CRYPTRECなどの公的な機関による安全性の評価を受けていないため推奨されません。攻撃者が好きな平文を登録して生成された暗号文と比較することで法則を暴く選択平文攻撃に対して極めて脆弱だからです。現代の安全な保存の常識としては、強力なハッシュ関数とソルトを利用することが必須であり、さらには生体認証と公開鍵暗号方式を組み合わせたパスキーなどによるパスワードレス認証の仕組みを導入することがベストプラクティスとされています。最後にインシデント対応の観点として、パスワードが漏えいした際は、多くのユーザーが複数サイトで同じ情報を使い回している実態を考慮する必要があります。自社サイトの対応だけでなく、他サイトでの使い回しによる二次被害を防ぐための迅速な変更の呼びかけを行うことが求められます。これらの概念を理解することでログ解析からインシデント対応までの実践的な知識を身につけることができます。 www.youtube.com