セキュリティ分野は用語の数に圧倒されがちです。○○攻撃、△△攻撃、□□攻撃…。 でも1つずつ暗記する必要はありません。「その攻撃は何をしたいのか」という動詞で分類すると、 バラバラだった用語が地図になります。
攻撃を4つの動詞で分ける
| 動詞 | 狙い | 代表例 |
|---|---|---|
| 盗む | 情報を手に入れる | 盗聴、スキミング、キーロガー |
| 騙す | 人を操作して情報や操作を引き出す | フィッシング、ソーシャルエンジニアリング |
| 成りすます | 正規の利用者のふりをして侵入する | パスワードリスト攻撃、セッションハイジャック |
| 止める | サービスを使えなくする | DoS攻撃、DDoS攻撃 |
新しい攻撃名に出会ったら、まず「どの動詞か」を考えてください。 分類できれば、対策もだいたい決まります。盗むなら暗号化、騙すなら教育と確認手順、 成りすますなら認証強化、止めるなら冗長化と流量制限です。
ただし、この4分類は入口の地図であって全域図ではありません。 データやWebページを書き換える「改ざん系」の攻撃のように、 複数の動詞にまたがるものや収まりにくいものもあります。 当てはまらない用語に出会ったら、無理に押し込まず自分の地図に新しい枝を足してください。
混同しやすい3兄弟: 総当たり・辞書・リスト
パスワードを破る攻撃は3つが混同されやすく、違いがそのまま出題されます。
| 攻撃 | 試すもの | イメージ |
|---|---|---|
| ブルートフォース | 全組み合わせを機械的に | 1番から9999番まで全部試す金庫破り |
| 辞書攻撃 | ありがちな単語のリスト | 「よく使われる暗証番号ベスト1万」から試す |
| パスワードリスト攻撃 | 他所で流出した本物のID・パスワードの組 | 盗んだ合鍵を別の家で試す |
ポイントは、リスト攻撃だけが「本物の認証情報」を使うことです。 だから試行回数が少なく、アカウントロックだけでは防ぎきれず、 パスワードの使い回しをやめることが本質的な対策になります。 この論点は実際の問題で確認できます。
守る側の3本柱
- 認証を強くする — パスワードに「持っているもの(スマホ等)」や「本人自身(生体)」を組み合わせるのが多要素認証。 知識・所持・生体の異なる要素を組み合わせることが「多要素」の条件です。
- データを守る — 通信は暗号化、保存するパスワードはハッシュ化+ソルト。 ソルトを付けると同じパスワードでも保存されるハッシュ値が利用者ごとに変わるため、 事前に計算しておいた逆引き表(レインボーテーブル)が使いものにならなくなります。 この論点は頻出です(この問題で確認できます)。
- 権限と入り口を絞る — 必要最小限の権限だけ与える(最小権限の原則)、不要なポートは閉じる。 侵入されても被害を広げない発想です。
学び方: 用語カードではなく地図を育てる
セキュリティは「今日はこの5用語」と暗記するより、 問題を解くたびに上の地図のどこに載る用語かを確認するほうが定着します。 間違えたら、混同した相手と「違いを一言で」言えるまで比べる — これは誤答復習の記事で書いた通りです。
演習はセキュリティカテゴリからどうぞ。 科目Bでも情報セキュリティは大きな柱なので、ここへの投資は二重に回収できます。