中間者攻撃

通信を行う2者の間に割り込み、通信内容を盗聴・改ざんする攻撃手法。攻撃者は双方になりすまし、正常な通信を装いながらデータを傍受する。

通信を行う二者間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃。MITB（Man-in-the-Browser）では、マルウェアがブラウザの通信を横取りし、オンラインバンキングの送金先を攻撃者の口座に改ざんするなどの被害が発生する。

通信の当事者間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃。ARPスプーフィング、DNSスプーフィング、不正なWi-Fiアクセスポイント等の手法で実行される。対策としてSSL/TLSによる暗号化、証明書の検証、HSTS等がある。

金融機関やECサイトなど信頼できる組織を装った偽のメールやWebサイトでユーザーを誘導し、IDやパスワード、クレジットカード番号などの個人情報を詐取する攻撃手法。スミッシング（SMSを利用）やスピアフィッシング（標的型）もある。

Webアプリケーションの入力値にSQL文の断片を挿入し、意図しないSQL文をデータベースに実行させる攻撃手法。データの不正取得、改ざん、削除が可能になる。プレースホルダ（バインド変数）の使用やエスケープ処理が主な対策。

Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込み、閲覧者のブラウザ上で実行させる攻撃手法。XSSと略され、Cookie窃取やセッションハイジャックに悪用される。入力値のサニタイジング（エスケープ処理）が主な対策。

大量のリクエストや不正なパケットを送りつけ、サーバやネットワークのリソースを枯渇させてサービスを停止に追い込む攻撃。複数の踏み台から同時に攻撃するDDoS（Distributed DoS）攻撃はさらに防御が困難。

特定の組織を標的として、高度な技術を用いて長期間にわたり執拗に攻撃を継続する脅威。初期侵入、権限昇格、内部偵察、情報窃取と段階的に進行する。標的型メール攻撃が侵入の起点になることが多く、多層防御と監視の強化が対策。

ソフトウェアの脆弱性が発見されてからセキュリティパッチが提供されるまでの間に、その脆弱性を悪用して行う攻撃。修正プログラムが存在しない（0日）段階での攻撃のため、従来のパッチ適用では防御できず、IPS等による検知が重要。