連載
» 2017年04月28日 09時00分 UPDATE

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる (2/3)

[中山順司,ねとらぼ]

SQLインジェクション

SQLインジェクション

 データベースの管理・操作を実行するプログラミング言語であるSQLを悪用して、データベースのデータ破壊、抜き取り、上書き不正な操作を行うハッキング行為。


中: 「中に送り込むんだろ……相手チームの投手に下剤入りジュースを飲ませて試合に出られなくさせる。どう? あってる?」

エ1: 「全然違う」

エ2: 「これはどう? 試合の当日、スタメン票は必ず監督が審判に渡すという取り決めがあるとする」

中: 「うんうん」

エ2: 「監督がメンバー票を直に渡さなくてはいけないから、監督以外ではダメ。そこで、監督にウソのメンバー票を渡し、監督が中身を確認しないまま審判に提出してしまう」

中: 「監督の脆弱性を突く行為だ」

エ1: 「なんか違う気がするな……」

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)

 攻撃者が、サイト利用者のブラウザ上で任意の操作を実行できる脆弱性。サイト訪問者を強制的に別のサイトへ飛ばし、ウイルスをダウンロードさせたり、お問い合わせフォームなどの入力時にキーボードの入力内容をキャプチャーしたりして、外部送信することも可能。


中: 「中二病を刺激するかのようなネーミングだね」

エ1: 「昔は掲示板の書き込みからされてたね」

エ2: 「投稿するときにJavaScriptを混ぜて、JavaScriptを被害者本人に実行させる。例えばCookieを盗んだり」

中: 「だまされた側は、気付かずにやらされるわけだ。ピッチャーに催眠術をかけて……あなたは甘いボールを投げたくなーる……と信じ込ませて打たれまくられるようにする行為でどう?」

エ1: 「違うな」

エ2: 「敵チームのサイン票があったとしよう。カーブはこれ、スライダーはこれ、みたいなのがビッシリ書き込まれているの」

エ1: 「ドキュメントになってんの……? 速攻で流出しそう」

エ2: 「そのサイン票を不正にデタラメに書き換える。例えば、『投球直前に1回動きを止めて、それから投げましょう』というウソの指示を書く」

中: 「選手はそれに従ってボークを連発し、押し出しで延々と失点を重ねる……これは恐ろしいハッキング」

エ2: 「監督の指示だからと、忠実に指示に従ってしまうことでだまされるわけ。指示を書き換えられる脆弱性が残っていることを突く……あってるよね?」

エ1: 「やっぱり、たとえられていない気がする……」

クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ(CSRF)

 Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法を指す。掲示板や問い合わせフォーム等を処理するWebアプリケーションが、本来ならば拒否すべき他サイトからのリクエストを誤って処理することで被害が起きる。


中: 「中二病を超えて、黒魔術のような名称になってきた」

エ1: 「よくあるのが、攻撃者が掲示板などに興味を引くような文言と一緒にURLを貼ってクリックさせる手口ね」

エ2: 「意図しない書き込みや操作をしてしまうという攻撃。構造はクロスサイトスクリプティングに似てる」

中: 「説明が抽象的すぎてイメージできないな」

エ1: 「Amazonにワンクリックで買えるボタンあるでしょ? あれって、Amazonの商品ページだけに存在すべきだよね」

エ2: 「全然他のサイトでクリックされたものが、購入とカウントされていたら怖くない?」

中: 「どういうこと?」

エ1: 「悪意ある人が不特定多数の人に意図しない買い物をさせ、買った覚えのない商品を送り付けられてしまう……」

中: 「怖い怖い。野球にたとえるとどうなる?」

エ2: 「ピッチャーが頑張って三振を獲りまくっているのに、球場のスコアボードにそれがカウントされず、他球場のカウントが増えてしまう」

中: 「スコアボート管理者の脆弱性を突く行為か」

エ2: 「審判にスコアボードだけを見て、『あれ? スリーアウトだと思ったけど、まだツーアウトか……じゃあプレイ再開!』と勘違いさせてしまう」

中: 「そんな状況、起こり得るのだろうか」

エ1: 「野球として1ミリも成立してないぞ」

ソーシャルエンジニアリング

ソーシャルエンジニアリング

 ネットワークに侵入するためのパスワード等を、デジタル技術を使わずアナログな手法で盗み出す方法。人間の心理的な隙や行動のミスにつけ込んで行う。


中: 「ハッキング感を感じさせない一般用語風だけど、これもハッキング手口?」

エ1: 「企業のネットワーク管理者から,その企業の社員を装ってIDとパスワードを電話で聞き出しちゃう」

エ2: 「制服、警察、警備員の格好で油断させるってこともある」

中: 「思い込み、人の意識の甘さ、行動特性、感情、心理の隙につけ込む方法か……」

エ1: 「アナログでウェットな手段だけど、何気に効果はあって、いまも横行しているよ」

中: 「野球にたとえると?」

エ2: 「そうだな……予告先発の仕組みがない前提になるが……敵の先発ピッチャーが誰か知りたい。それを事前に知ることができれば、試合を有利に進められるから」

エ1: 「監督行きつけのバーのママに裏でつながって、スタメン投手の名前を聞き出してくれたらお金を払うってことにすれば……」

エ2: 「監督がぽろっと口を滑らせたらもうけもの。これは今もどこかで行われていてもおかしくないね」

中: 「ようやく野球にうまくたとえることができたね」

エ1: 「いや、例えられていない。野球界におけるソーシャルエンジニアリングの事例を単に紹介しただけだ(笑)」

Copyright© 2018 ITmedia, Inc. All Rights Reserved.