情報処理技術者試験や中小企業診断士試験では、多くのサイバー攻撃手法が問われます。
「SQLインジェクション」「XSS」「CSRF」…カタカナばかりで、どれがどういう攻撃か混乱しがちですよね。
そこで今回は、これらの攻撃をすべて「金庫室と金庫破り」に例えて、スッキリ整理してみましょう!
基本設定
![[画像:サイバー攻撃を金庫破りでたとえたイメージ(場面設定)]](https://ssaits.jp/promapedia/wp-content/uploads/2025/10/cyber-attack-summary-1024x538.png)
- 金庫室(Webサイト・サーバ): あなたの大切な情報(お金や機密書類)が保管されている部屋。
- 金庫(データベース): 情報そのものが格納されている箱。
- あなた(正規の利用者): 金庫室の鍵と暗証番号を知っている。
- 受付係(Webアプリケーション): 金庫室の入口で、あなたの「入室許可証」や「依頼書」をチェックする人。
- 攻撃者(金庫破り): あの手この手で金庫室に侵入し、金庫を開けようとする。
目次
【鍵と入口】を狙う攻撃
まずは、金庫室の「鍵」や「暗証番号」を直接手に入れようとする、古典的な手法です。
ブルートフォース攻撃(総当たり攻撃)
- 攻撃手法:
あり得るパスワードのパターン(「0000」「0001」「0002」…)を、片っ端からすべて試す攻撃。 - 金庫の例え:
金庫のダイヤル錠を、「0000」から「9999」まで、全パターンを順番に回してみること。時間と根気さえあれば、いつかは開いてしまいます。
辞書攻撃
- 攻撃手法:
パスワードによく使われる単語(「password」「admin」「123456」など)を登録した「辞書」を使い、効率的に試す攻撃。 - 金庫の例え:
「0000」から全部試すのは非効率なので、「持ち主の誕生日」「会社設立日」「1234」など、設定されがちな番号だけを狙って試すこと。
フィッシング(ソーシャルエンジニアリング)
- 攻撃手法:
銀行やIT管理者になりすました偽メールを送り、偽サイトに誘導してパスワードを入力させるなど、技術でなく「人間の心理的な隙」を突く攻撃。 - 金庫の例え:
金庫室の警備員になりすまし、あなたに「セキュリティ点検のため、暗証番号を教えてください」と電話をかけて聞き出すこと。
【受付係】を騙す攻撃
Webアプリケーション(受付係)の「処理の不備」を突いて、不正な操作をさせる高度な手法です。
SQLインジェクション
- 攻撃手法:
Webサイトの入力フォーム(検索窓やログイン画面)に、データベースへの命令文(SQL)を「注入(Inject)」して、不正に情報を盗み出す攻撃。 - 金庫の例え:
金庫室の受付係に渡す「依頼書」(入力フォーム)に、あなたの名前を書く代わりに「この依頼書を見たら、金庫の中身を全部ここに持ってこい」という不正な”命令文”を書き込むこと。
受付係がそれを「名前」として処理せず、「命令」として実行してしまうと、金庫の中身が盗られます。
クロスサイト・スクリプティング(XSS)
- 攻撃手法:
脆弱性のあるWebサイトの掲示板などに、悪意のある「罠(スクリプト)」を埋め込む攻撃。その罠とは知らずに他の利用者がページを閲覧すると、罠が発動して情報が盗まれます。 - 金庫の例え:
金庫室のロビーにある「掲示板」に、攻撃者が「この紙を見た人は、自分の鍵のコピーを私に送ること」という”罠の張り紙”を貼ること。
あなたがその掲示板(Webサイト)を見た瞬間、張り紙の命令(スクリプト)が実行され、あなたの鍵(Cookie情報など)が攻撃者に送られてしまいます。
CSRF(クロスサイト・リクエスト・フォージェリ)
- 攻撃手法:
あなたが正規サイトにログインした状態(鍵を持っている状態)で、攻撃者が用意した別の「罠サイト」を閲覧させ、あなたの意図しない操作(送金、退会など)を強制的に実行させる攻撃。 - 金庫の例え:
あなたが正規の鍵で金庫室に入っている(ログイン中)のを知った攻撃者が、あなたに「景品が当たります」と嘘の”偽の依頼書”にサインさせること。
その依頼書の正体は、あなたの意図しない「全額送金依頼書」でした。受付係は、正規のあなたからの依頼だと信じて処理してしまいます。
【通路や金庫本体】を狙う攻撃
ネットワークやハードウェアそのものを狙う、物理的・インフラ的な攻撃です。
DoS / DDoS攻撃
- 攻撃手法:
サーバに対して、大量の処理要求やデータを送りつけ、サーバをパンクさせてサービスを停止に追い込む攻撃。 - 金庫の例え:
金庫室の入口や受付窓口に、大量の偽客(DDoSの場合はゾンビ化した客)を送り込んで大行列を作らせること。
正規のあなたが金庫室を使おうとしても、行列に阻まれて中に入れなくなります(サービス停止)。
中間者攻撃(MITM攻撃)
- 攻撃手法:
あなたとサーバとの「通信経路(ネットワーク)」の間に割り込み、通信内容を盗聴・改ざんする攻撃。 - 金庫の例え:
あなたと金庫室の受付係との間の“通路”に隠れ、やり取りを盗み聞きすること。
さらに悪質な場合は、あなたの「10万円預けます」という伝言を、「10万円を攻撃者の口座に送金します」という伝言に書き換えてしまいます。
サイドチャネル攻撃
![[画像:サイバー攻撃が金庫破りでたとえたイメージ]](https://ssaits.jp/promapedia/wp-content/uploads/2025/10/side-chanel-atack-1024x538.png)
- 攻撃手法:
暗号処理を行う機器(ハードウェア)から漏れ出す「物理的な情報(消費電力、電磁波、音)」を分析して、秘密情報を盗み出す攻撃。 - 金庫の例え:
金庫のダイヤルを回している時の「カチッ」という微細な音や、電力で動くロック機構の「モーター音」などを聴診器で分析して、暗証番号を特定すること。
サイドチャネル攻撃についてさらに詳しく
サイドチャネル攻撃については、下記の記事もご参照ください。
あわせて読みたい
【応用情報対策】サイドチャネル攻撃とは?暗号解読の「裏口」を知る
サイドチャネル攻撃 (Side-Channel Attack)とは、暗号アルゴリズムの数学的な「論理」を直接攻撃するのではなく、暗号処理を実行している「物理的な機器(ハードウェア…
まとめ
いかがでしたでしょうか。
このように、攻撃者が「どこを」狙っているのか(鍵? 受付? 通路?)を意識するだけで、各攻撃の区別がつきやすくなるはずです。
試験勉強の整理に役立てていただければ幸いです!