XSS(クロスサイトスクリプティング)
起きること
ブラウザで悪意JSが実行され、情報窃取・偽フォーム・不正リダイレクト。
兆候
対策
・出力時はコンテキスト別エスケープ(HTML/属性/URL/JS/JSON)
・CSP(まずは Report-Only)でスクリプト許可先を絞る
・不要な入力欄やコメント等は閉じる/ボット対策を入れる
やさしい解説
XSSは「ページに悪いスクリプト(小さなプログラム)を混ぜられる」ことで起きます。
その結果、勝手に別サイトへ飛ばされたり、入力した情報が盗まれたりします。
どんなときに関係ある?
コメント・検索・問い合わせなど人が文字を入力する欄があるとき
バナーや外部スクリプトを読み込む設定があるとき
何が起きる?
勝手に遷移:見知らぬ広告ページへ飛ばされる
情報盗難:入力したID/パス、Cookieが盗まれる
偽表示:本物に似せたフォームやポップアップが出る
SQLインジェクション
起きること
兆候
対策
・プリペアドステートメント
・ORマッパのバインド必須/入力バリデーション/WAFで典型パターン遮断。
やさしい解説
入力欄に特殊な文字を混ぜると、データベースへの命令が変えられてしまう攻撃です。
どんなときに関係ある?
検索・ログイン・問い合わせなどDBを読む機能があるとき
何が起きる?
データ閲覧:見せてはいけない情報を読まれる
改ざん・削除:データを書き換えられる
改ざん・スパムリンク注入(SEO汚染)
起きること
テンプレ/DB/ビューに不正リンク・スニペットが混入。
兆候
検索結果に怪しい日本語・アダルト/ギャンブル、HTML末尾の謎リンク群。
対策
・差分監視(ファイル&DB)
・定期スキャン/海賊版
・出所不明コードの排除
・バックドア駆除
やさしい解説
ページやテンプレに勝手なリンクや広告を埋め込まれることです。検索結果も汚れます。
どんな時に関係がある?
外部から書き換え可能な場所がある、出所不明のテーマ/スクリプトを使っている
何が起きる?
怪しいリンクが増える、検索結果で変なタイトルが出る
RCE(リモートコード実行)
起きること
兆候
対策
・ファイルアップロードの厳格化(拡張子・MIME・サイズ・保管先分離・実行不可)
・最小権限(RBAC)
・WAF。
やさしい解説
サーバ上で勝手にプログラムを動かされる最も危険な攻撃の一つです。
どんな時に関係がある?
ファイルアップロード機能がある、外部入力を直接実行してしまう設定
何が起きる?
乗っ取り、情報窃取、別の攻撃の踏み台
フィッシング置き場化
起きること
兆候
対策
・常時TLS
・偽ページ即時削除
・ログ保全
・検索エンジンの削除申請
・運用者への注意喚起。
やさしい解説
本物そっくりの偽ページでIDやカード情報をだまし取る手口です。
どんな時に関係がある?
ログイン・支払いページ、問い合わせフォームを装った偽ページが作られる
何が起きる?
情報流出、ブランド毀損、詐欺被害
ブルートフォース(総当たり認証)
起きること
ログイン端点へ大量試行
兆候
失敗ログイン急増、スパイク的な負荷
対策
・MFA
・試行回数制限
・レート制限
・bot/匿名プロキシの遮断
・不要な認証端点は閉じる
やさしい解説
パスワードを何度も総当たりで試される攻撃です。
どんな時に関係がある?
ログイン画面、APIキー入力など
何が起きる?
不正ログイン、アカウント乗っ取り
CSRF(クロスサイトリクエストフォージェリ)
起きること
ログイン中ユーザーに不正操作を踏ませる。
兆候
対策
・CSRFトークン(ノンス)必須化
・SameSite Cookie
・リファラ/Origin検査。
やさしい解説
ログイン中の人に気づかれずに操作させる攻撃です。
どんな時に関係がある?
設定変更・振替・投稿などボタン一つで重要操作ができる画面
何が起きる?
設定改変、意図しない送金・投稿
セッションハイジャック/ Cookie盗聴
起きること
セッションIDを奪取 → なりすまし。
兆候
地理的に不自然な同時ログイン、端末指紋の急変
対策
・HTTPS+HSTS
・Secure HttpOnly SameSite 属性
・短い有効期限
・MFA
やさしい解説
ログイン状態の合鍵(セッションID)を盗まれて、なりすましされる攻撃です。
どんな時に関係がある?
長時間ログインしっぱなしの管理画面
何が起きる?
アカウント乗っ取り、権限乱用
SSRF(サーバサイド・リクエスト偽造)
起きること
兆候
対策
・外部リクエストのホワイトリスト化
・ループバック・リンクローカルの遮断
・URLスキームとDNS再解決対策。
やさしい解説
サーバ自身に内部宛ての通信を出させ、社内やクラウドの裏側をのぞかれる攻撃です。
どんな時に関係がある?
画像URLをサーバが取りに行く機能、外部データのサーバ側取得
何が起きる?
内部情報の露出、別攻撃への踏み台
DDoS
起きること
大量リクエストで資源枯渇。
兆候
帯域・CPU・リクエスト数の急増、5xx率の上昇。
対策
・CDN/WAFのレート制限
・キャッシュ最大化
・高負荷機能の一時停止
・オリジン保護
やさしい解説
DDoSは「大量のアクセスやデータを一斉にぶつけて、正しい人の利用をじゃまする」攻撃です。
悪意のある多数のコンピュータ(ボット)が同時に押し寄せ、サーバや回線の余力を使い切らせることで、サイトやアプリをつながりにくくします。
どんなときに関係ある?
キャンペーン・テレビ紹介・SNS拡散などでアクセス集中が起きやすいサイトやサービス
問い合わせ、検索、APIなど重い処理を提供しているシステム
海外や不特定多数に開かれた公開サイト全般(業種・規模問わず)
何が起きる
つながりにくい/開けない:ページが表示されない、読み込みが極端に遅い
落ちる:サーバ・ネットワーク機器が過負荷で応答しなくなる
他の処理も巻き添え:メール送信や在庫管理など、関連システムにも遅延が波及
XXE(XML外部実体)
起きること
XMLパーサの外部実体解決を悪用して情報漏えい・DoS・SSRF。
兆候
XML処理時のみの高負荷・タイムアウト
対策
・外部実体の無効化
・最新ライブラリ適用
・WAF
やさしい解説
XXEは「XMLという古めのデータ形式を読むときの“設定ミス”」で起きる問題です。
そのミスがあると、見せたくないファイルを勝手に読まれたり、サーバが固まったりします。
どんなときに関係ある?
外部ファイル(XML/RSS/Sitemap/帳票データなど)を取り込む機能があるとき
図面や地図、価格表、カタログ等をXMLで受け取って処理しているとき
何が起きる?
情報が漏れる:サーバの中のファイルをこっそり読まれることがある
止まる/重くなる:わざと読み取りに時間がかかる仕掛けをされ、フリーズやタイムアウトが起こる
踏み台にされる:サーバから社内ネットワークやクラウドの内部アドレスにアクセスさせられる(SSRFの引き金)
エンドポイント型WAF
ルールベース検査