Webアプリ攻撃は入力値や利用者操作、セッションを悪用する攻撃です。SG試験で問われやすいSQLインジェクション、XSS、CSRFなどの違いと判断基準を整理します。

sg sg-security-measures web_security threat_vulnerability

まず結論

  • Webアプリ攻撃は、「何を悪用する攻撃か」で分類すると判断しやすくなります。
  • SG試験では、攻撃名を暗記するだけでなく、入力値・利用者操作・セッション・通信経路のどれが狙われているかを見抜くことが重要です。
  • 特に、SQLインジェクション・XSS・CSRFは名前が似ていなくても、問題文では混同しやすい形で出ます。

全体像

Webアプリ攻撃は、利用者とWebサーバの間で行われる処理のすき間を狙います。

  1. 入力値を悪用して、サーバ側の処理を変える
  2. 利用者のブラウザで、意図しない処理を実行させる
  3. ログイン状態やセッション情報を悪用する
  4. 通信や画面表示を利用して、利用者をだます

つまり、問題文を読んだらまず 「サーバがだまされるのか、利用者がだまされるのか」 を確認します。

主要用語の整理

用語 判断基準
SQLインジェクションとは?仕組みと対策をやさしく理解【SG試験】 入力値にSQL文を混ぜ、データベース処理を不正に実行する攻撃か
クロスサイトスクリプティングとは?スクリプト実行の仕組み【SG試験】 Webページにスクリプトを埋め込み、利用者のブラウザで実行させる攻撃か
クロスサイトリクエストフォージェリとは?なりすまし操作の仕組み【SG試験】 ログイン済み利用者に、意図しないリクエストを送らせる攻撃か
クリックジャッキングとは?見えない操作誘導の仕組み【SG試験】 見えない画面や重ねた画面で、利用者に意図しないクリックをさせる攻撃か
ディレクトリトラバーサルとは?不正ファイルアクセスの仕組みと対策【SG試験】 ../ などで本来見られないファイルへアクセスする攻撃か
セッションハイジャックとは?ログイン乗っ取りの仕組みと対策【SG試験】 セッションIDなどを盗み、ログイン状態を乗っ取る攻撃か
中間者攻撃とは?通信を盗み見る仕組みと対策【SG試験】 通信経路の途中に入り、盗聴や改ざんを行う攻撃か
Man-in-the-Browserとは?ブラウザ内改ざん攻撃の仕組み【SG試験】 利用者のブラウザ内で通信内容や表示内容を改ざんする攻撃か

SG試験でのひっかけポイント

迷いやすい組合せ 切り分けのポイント
SQLインジェクション vs XSS SQLはサーバ側のDB処理を悪用。XSSは利用者ブラウザでスクリプトを実行
XSS vs CSRF XSSはスクリプト実行。CSRFはログイン済み利用者に不正リクエストを送らせる
CSRF vs セッションハイジャック CSRFは本人の認証状態を利用。セッションハイジャックはセッション自体を奪う
クリックジャッキング vs フィッシング クリックジャッキングは画面操作の誘導。フィッシングは偽サイトなどで情報入力を誘導
中間者攻撃 vs Man-in-the-Browser 中間者攻撃は通信経路。Man-in-the-Browserは利用者端末内のブラウザ

おすすめの学習順序

  1. SQLインジェクションとは?仕組みと対策をやさしく理解【SG試験】
  2. クロスサイトスクリプティングとは?スクリプト実行の仕組み【SG試験】
  3. クロスサイトリクエストフォージェリとは?なりすまし操作の仕組み【SG試験】
  4. セッションハイジャックとは?ログイン乗っ取りの仕組みと対策【SG試験】
  5. クリックジャッキングとは?見えない操作誘導の仕組み【SG試験】
  6. ディレクトリトラバーサルとは?不正ファイルアクセスの仕組みと対策【SG試験】
  7. 中間者攻撃とは?通信を盗み見る仕組みと対策【SG試験】

記事一覧

入力値を悪用する攻撃

利用者のブラウザや操作を悪用する攻撃

認証状態や通信を悪用する攻撃

まとめ(試験直前用)

  • SQLインジェクションは、入力値でDB処理を悪用する。
  • XSSは、利用者のブラウザでスクリプトを実行させる。
  • CSRFは、ログイン済み利用者に不正なリクエストを送らせる。
  • セッションハイジャックは、ログイン状態そのものを乗っ取る。
  • 迷ったら「サーバ・ブラウザ・セッション・通信経路」のどれが狙われたかで切る。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る