こんにちは、20号です。
はじめてのブログ記事となります。
本日は以前より気になっていた「サイバー攻撃」を体験できるツールに関して書きたいと思います。
インターネットが広まりスマートフォンが普及した昨今、「情報漏洩」「コンピュータウィルス」「サイバー攻撃」などの言葉をテレビ報道やネットニュースでよく耳にするようになりました。
多くの方は「知らない人からのメールに添付された資料は開封しない」や「よく分からないバナーはクリックしない」など気を付けていらっしゃるのではないでしょうか。
私もIT業界に携わるにあたり、「情報セキュリティ」なるものを知らなければと勉強したことがあります。
IPA 情報処理推進機構 さんが実施している 「情報セキュリティマネジメント試験」 です。
情報セキュリティの基礎知識から管理能力までバランス良く習得するのに役立つ国家試験
パンフレットにこのように書かれている通り、テレビ報道やネットニュースではあまり聞かない用語など、様々な「情報セキュリティ」に関することを知ることができます。
しかし、勉強していて思いました。
「文章で覚えても、実際はどういったものかを知らないと理解しにくいな。」
「そもそも、サイバー攻撃ってどうやって行われているの?」
せっかく勉強したのであればもう少し中身も知ってみたいと思い調べました。
そして、調べてみるとこのように書かれていたりします。
クロスサイトスクリプティング(XSS)とは、攻撃対象のWebサイトの脆弱性を突き、攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けることで、サイトに訪れるユーザーの個人情報などを詐取する攻撃
なるほど、、、
さらには、
SQLインジェクションとは、アプリケーションの脆弱性により本来の意図ではない不当な「SQL」文が作成されてしまい、「注入(injection)」されることによって、データベースのデータを不正に操作される攻撃
ふむふむ、、、
どちらもよく分かりません。。。
いや、分からないと言うよりイメージが湧きません。
具体的に何を、どうやって、どうなるのか、というのが分からないといった感じでしょうか。
実際に「クロスサイトスクリプティング(XSS)」はどのように行われるのか? グーグル先生に教えていただき、誰かのサイトに仕掛けてみよう!!!
なんてことをしてよい訳もありません。。。
調べているとIPAさんがこんなものを用意してくれているではありませんか。
「~突いてみますか?脆弱性!~」、、、なんともポップでキャッチーなコピーではありませんか。
対義語としては「~セコム、してますか?~」といったところでしょうか。
どのようなものか読んでみると、
脆弱性体験学習ツール「AppGoat」は、脆弱性の概要や対策方法等の脆弱性に関する基礎的な知識を実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。
なんと、”体系的に学べる” の一言が!
内容を確認すると、IPAさんに利用申請をしてそこからダウンロードするというシステム。
つまり、申請が通らなけれが利用できないということですね。
審査基準はよく分かりませんが、とにかく申請してみます。
申請用のテンプレートも用意してくれており、申請自体はとても簡単に行えました。
私の場合、5分後くらいにはダウンロード用のURLが返信されてきました。
URLからAppGoatのzipファイルをウンロードした後の手順としては、
-
AppGoatの解凍
-
AppGoatの起動
-
AppGoatを利用する上での遵守事項の確認および実施
-
ランタイムのインストール
-
学習開始
といった手順となりますが、こちら「脆弱性体験学習ツール AppGoat (個人学習向け):ツール概要」で親切に解説してくれてます。
学習できる項目は盛りだくさん!
画面の作りはとても簡素で無駄のないデザインでした。
クロスサイトスクリプティング(XSS)を学習してみましたが、とても分かりやすかったです。
実際に文章だけではなかなか理解しきれない部分も、イラスト見て手を動かして体系的に学ぶとまた理解が深まって面白いですね。
学習の内容を細かく書けるのか?と考えましたが、内容が内容だけに詳細は控えたいと思います。
ただ覚える知識としてではなく、「サイバー攻撃」を体系的に学びたいという方にはとてもよい教材だと思います。
興味のある方はぜひ申請されてみてはいかがでしょうか。