管理者が知っておきたい攻撃ツールの基礎の基礎(1)「防御の知識だけでは対応できない」

執筆：株式会社ラック五島扶美恵

■ 犯罪者が溢れている仮想社会

数年前までは、予想もしていなかったことが起こっています。書店にセキュリティ関連の書籍が平積みされるようになり、教育機関ではセキュリティに関する講義まで行われるようになりました。それだけ、セキュリティが世間一般に認知されるようになったということでしょう。

さて、セキュリティが世間一般に認知されると、どのようなことが想定できるでしょうか。従来、セキュリティは一部の識者だけが考えれば良い領域だったように思います。しかし、時代は変わり、現在は知識を持ち合わせていなくても、「Webブラウザを起動するための機器」と、「Google検索技術」だけ持ち合わせていればクラッキング行為は容易に出来てしまうのが現状です。

このようなインターネット環境において、最も被害を被る確率の高いユーザは誰になるでしょうか。一般的には、インターネット電子商取引を行っている民間企業などの公開サーバです。前述した、知識を持ち合わせていない攻撃者（スクリプトキディ）たちは、多くの場合は愉快犯的に無差別に攻撃を行います。その攻撃量は、JSOCレポート（http://www.lac.co.jp/business/sns/intelligence/jsoc_report.html）や@Policeの統計グラフ（http://www.cyberpolice.go.jp/detect/observation.html）を参考にすると、一目瞭然です。現在、私達はこのような危険な環境でビジネスを行っているといえます。

■ 対応策の第一歩は相手の手の内を知ること

攻撃者達のクラッキング行為から、どのように安全を確保したら良いのでしょうか…

【関連記事】
管理者が知っておきたい攻撃ツールの基礎の基礎
(1)「防御の知識だけでは対応できない」
https://www.netsecurity.ne.jp/3_8711.html
(2)「攻撃ツールの種類」
https://www.netsecurity.ne.jp/3_8756.html
(3)「攻撃ツールの特徴」
https://www.netsecurity.ne.jp/3_8801.html
(4)「攻撃ツールの開発言語」
https://www.netsecurity.ne.jp/3_9048.html
(5)「攻撃ツールの自動作成」
https://www.netsecurity.ne.jp/3_9094.html
(6)「攻撃ツールを分析する」
https://www.netsecurity.ne.jp/3_9958.html

●執筆
五島扶美恵
株式会社ラック( http://www.lac.co.jp/ )
SNS事業本部 JSOC事業部技術部
ぺネトレーションテストを専門とする。コンサルティング事業部、コンピュータセキュリティ研究所等を経て、現在はラック脆弱性データベース「SNSDB」の情報調査や脆弱性の検証等を担当している。
【関連URL】
JSOC
http://www.lac.co.jp/business/jsoc/
株式会社ラックのペネトレーションテスト
http://www.lac.co.jp/business/sns/consulting/inspection/diagnosis.html
──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec