ATTACK-TECHNIQUES
攻撃手法
フィッシング、マルウェア、Webアプリ攻撃など主要な攻撃ベクタを「原理と防御」の視点で解説します。
8 レッスン
約 240 分
— 完了
0%
- 偵察(Reconnaissance) — 攻撃前のステルス情報収集戦略 MITRE ATT&CK TA0043「偵察」の解説。OSINTツールを活用したプロフェッショナルな情報収集の手法と、それを封じる最新のAttack Surface Management(ASM)について学ぶ。
- ソーシャルエンジニアリング — 「人間の脆弱性」を突くハッキング AIによる自動化とディープフェイクで劇的に高度化したフィッシング、ビッシング、クイッシングの手口。システムではなく「人」をハッキングする攻撃の全貌と、組織の防衛戦略を学ぶ。
- パスワード攻撃 — 辞書からスタッフィング、ハッシュ解読まで 単なる総当たりではない現代のパスワード攻撃戦略。Hashcatによるオフライン解析や、ボットネット・住宅用プロキシを悪用したクレデンシャルスタッフィングの脅威とモダンな防御について学ぶ。
- Webアプリケーションへの攻撃 — OWASPが警告する普遍的脅威 SQLインジェクション、XSS、CSRF といったWeb特有の脆弱性のメカニズムを解説。攻撃者の視点と、セキュアコーディング・CSP・SameSite属性を用いた現代的な防御アーキテクチャを紐解く。
- 権限昇格 — ポストエクスプロイトの核心と「SYSTEM/root」の奪取 単なる侵入から「完全な支配」へ。Linux(SUID、cron)とWindows(UACバイパス、DLLハイジャック)のローカル権限昇格メカニズムと、EDR回避の攻防を学ぶ。
- ラテラルムーブメント — 内部ネットワーク浸透の実態 攻撃者が「足場」から「ドメイン支配」へと至る横展開(ラテラルムーブメント)の手法。Pass-the-Hash、Kerberoasting、DCSyncの実態と、Active Directoryを守るためのアーキテクチャを学ぶ。
- AIを悪用したサイバー攻撃 — 攻撃インフラセットの自律化とLLM兵器化 WormGPT等の「Dark LLMs」によるマルウェア生成、ディープフェイクを用いた高度なBEC詐欺、そしてOWASP Top 1に君臨するプロンプトインジェクションの脅威を解剖する。
- サプライチェーン攻撃 — 信頼という名の最大の脆弱性 SolarWindsからXZ Utils、Polyfill.ioまで。自組織の境界防御が完璧でも防げない「依存関係の裏口」のメカニズムと、SBOM・署名検証によるゼロトラスト防衛を学ぶ。
