企業データを狙う15の手口、Verizonが紹介 - ITmedia エンタープライズ(情報元のブックマーク数)
こういう順位は確かに大切で、この順位を考慮に入れながら情報漏えい対策を進める必要があるのかな。
米Verizon Businessは12月9日、企業のデータ侵害事件にみられる15種類の特徴的な攻撃の手口を発表した。データ保護対策の参考にしてほしいと説明している。
企業データを狙う15の手口、Verizonが紹介 - ITmedia エンタープライズ
キーロギングとかスパイウエアってのは多いんですねぇ。まぁパスワードとかか、バックドア・・・このあたりはウイルス対策ソフトに担保か。SQLインジェクションはアプリ。ふむふむ。
企業データを狙う15の手口、Verizonが紹介 - ITmedia エンタープライズ
順位 手口 内容 1 キーロギングとスパイウェア システムユーザーの動作を密かに収集し、監視し、記録するように特別に設計されたマルウェア 2 バックドアまたはコマンド/コントロール 感染システムへのリモートアクセスまたは制御、あるいはその両方を可能にし、密かにシステムを実行できるように設計されたツール 3 SQLインジェクション投入 Webページがバックエンドのデータベースと通信する方法を悪用するために使用される攻撃テクニック 4 システムアクセス/権限の乱用 企業が個人に付与したリソース、アクセス、または権限を、意図的かつ悪意をもって乱用すること 5 デフォルトの信用証明による不正アクセス 攻撃者が標準のユーザー名とパスワードを使用して、保護されたシステムまたはデバイスにアクセスすること 6 許容用途およびそのほかのポリシー違反 許容用途に関するポリシーを偶然または意図的に無視すること 7 アクセス制御リスト(ACL)の脆弱性またはミス設定を利用した不正アクセス ACLに脆弱性またはミス設定があると、攻撃者はリソースにアクセスし、被害者が意図しない動作を実行できる 8 パケットスニファー ネットワークを行き来するデータを監視し、取り込む 9 盗んだ信用証明による不正アクセス 攻撃者が有効な信用証明を盗み、保護されたシステムまたはデバイスへのアクセスを取得すること 10 プリテキスティングまたはソーシャルエンジニアリング ソーシャルエンジニアリングテクニックでは、攻撃者はターゲットを促したり、操ったり、またはだましたりして、何らかの行為や情報漏えいをさせるシナリオを考案する 11 認証迂回 通常の認証メカニズムを迂回して、システムへの不正アクセスを取得する 12 資産の物理的盗難 資産を物理的に盗むこと 13 ブルートフォースアタック 実存するユーザー名/パスワードの組み合わせを見つけ出すまで、繰り返し行われる自動プロセス 14 RAMスクレーパー システム内のRAMからデータを取り組むよう設計された、比較的新しいタイプのマルウェア 15 フィッシング(「〜ishing」型) 不正な電子的コミュニケーション(多くの場合は電子メール)を使用して、受信者をだまし、情報を漏えいさせるソーシャルエンジニアリング的方法
