サイバー攻撃とは、インターネットやデジタル機器を絡めた手口で個人や組織を対象に、金銭の窃取や個人情報の詐取あるいはシステムの機能停止などを目的として行われる攻撃です。
1.サイバー攻撃の定義・目的
サイバー攻撃は、コンピュータシステムやネットワークに不正にアクセスしてデータの窃取・改ざん・破壊などを行う行為と定義されています。攻撃者は、ソフトウェアの脆弱性を突いたり、ユーザを欺いたりすることによりそのシステムに侵入して色々な被害をもたらします。 サイバー攻撃は、個人のプライバシーを侵害するだけでなく、企業や組織の機密情報を盗み出してその企業などに経済的な損失を与えることもあります。
サイバー攻撃の目的は多岐にあるかと思いますが、主なものは次の通りになります。
・金銭的利益の追求:
攻撃者が個人や企業の金銭的な利益を得ることを目的とする場合があります。例えばランサムウェアを用いて、システムを暗号化し・解除と引き換えに金銭を要求するなどの手口が良く知られています。
・情報の窃取:
攻撃者が個人情報や企業の機密情報を盗み出し、それを悪用したり・売買したりすることを目的とする場合があります。
・システムの破壊:
攻撃者が単にシステムを破壊し、業務を妨害することを目的とする場合があります。
・政治的・思想的な目的:
国家や組織が、政治的・思想的な目的でサイバー攻撃を行う場合があります。例えば、他国の重要インフラを攻撃し、社会的混乱を引き起こすことなどが考えられます。
2.サイバー攻撃の代表例
サイバー攻撃には色々な手口があります。代表的なサイバー攻撃の事例を説明致します。
2-1 ランサムウェア
ランサムウェア(英語表記:Ransom)とは、日本語では身代金を意味します。ランサムウェアに感染しますと、所有するデータが攻撃者によって暗号化されてします。攻撃者はそのデータの複合と引き換えに、金銭などを要求します。暗号化されたデータ(情報)が機密情報・顧客の個人情報であればその被害は深刻な状況になります。さらに「ダブルエクストーション(二重の脅迫)」といわれる搾取したデータを公開するなどの脅迫を行う手口も増えています。
ランサムウェアへの対策は主に次の5つがあります。
・セキュリティソフトの導入
・OSやアプリケーションのアップデート
・怪しいメールやURLなどへの注意喚起・啓蒙
・データのバックアップ
・パスワードポリシーの徹底や多要素認証の導入
セキュリティソフトの導入など一般的なセキュリティ対策はもちろんのこと、万一に備えてデータのバックアップを行うことが重要な事です。
2-2 標的型攻撃
標的型攻撃とは特定の組織を狙ったサイバー攻撃の事です。標的型攻撃の際に使用されるメールは極めて巧妙に偽装されているものが増加しています。事前に不正に取得した情報をもとに、その組織内で実際に用いられている役職名を使用して、業務に関係する内容を記載する場合もありますので受信者(攻撃側)は判別が難しくなります。またURLをクリックしただけでマルウェアに感染(ドライブバイダウンロード)するケースもあります。
標的型攻撃は一般的なセキュリティ対策だけでなく、その組織の従業員への啓蒙やトレーニングも非常に重要な事です。攻撃を迅速に検知して被害を最小限に抑えるための対策も有効な対策です。
その他の対策としましては一般的な事になりますが。
・情報システムの設計を再考
・標的型メールを想定した訓練やトレーニング
・攻撃遭遇時における被害最小化のための対策
2-3 リモートワークを狙った攻撃
コロナ禍で普及しましたリモートワークを狙った攻撃も増加傾向にあります。2020年には国内大手通信会社がリモート接続を経由した不正アクセスに遭遇してVDI用のサーバーなどを経由したアクセスです。この事件では約700社の取引情報が外部へ流出しています。
リモートワークを狙った攻撃への対策には次の方法があります。
・リモートワークの際のルールを明確化して周知を徹底す
・セキュリティソフトの導入
・VPNやクラウドサービスの利用
・パスワード管理の徹底や多要素認証の取入れ
2-4 サプライチェーン攻撃
サプライチェーンとは商品やサービスなどの製造から、消費者へ提供されるまでの一連のプロセスのことです。一般的にサプライチェーン上には販売店・開発元・物流など複数の企業が関与しています。このようなサプライチェーンの弱点を狙う攻撃をサプライチェーン攻撃です。
サプライチェーン攻撃の対策は、委託先や再委託先などサプライチェーン全体のセキュリティについて把握することが必要となります。 その上で責任範囲を明確にして各々が責任をもって実施しることが重要です。
2-5 ビジネスメール詐欺(BEC)
ビジネスメール詐欺とは取引先や組織内の関係者などに偽装したメールを送りつけ、金銭の詐取などを狙った詐欺行為です。 近年はバラマキ型のビジネスメール詐欺だけでなく、先に(2-2項)紹介した標的型のビジネスメール詐欺も増えています。一例としまして親会社の代表者の名を騙り、複数のグループ会社の代表宛てに攻撃が行われました。 こうした詐欺によって実際に入金してしまうケースも少なくないです。
ビジネスメール詐欺は年々巧妙化し見分ける事が難しくなってきています。
対策の一つとしまして、「メール以外の方法で確認をとる」特に振り込みなど金銭のやりとりや機密性の高い情報のやり取りの場合には、デジタルの現在ですがアナログ的な「電話などで本人に確認を行う」の様な方法も有効なひとつであります。
2-6 Dos攻撃/DDoS攻撃
DoS攻撃とは「Denial of Service attack」の略の頭文字です。日本語に訳すと「サービス拒否攻撃」です。DDoS攻撃は「Distributed Denial of Service attack」の略で「分散型サービス拒否攻撃」と日本語訳になります。いずれも、Webサイトやサーバーに負荷をかけてダウンさせることでサービスを妨害する攻撃のことです。
Dos攻撃/DDoS攻撃の対策はサービス供給者側とユーザ側で異なってきます。
・サービス供給者側:WAFやIPS・CDNといった仕組みで攻撃に対処する方法があります。
・ユーザ側:使用しているユーザのパソコンやスマホがマルウェアなどに感染することでDDoS攻撃に加担することを防止しないといけません。
(*)WAF:(Web Application Firewall):いわゆるファイヤーウォールです。
(*)IPS:(Intrusion Prevention System):不正侵入防止システム
(*)CDN:(Content Delivery Network):分散して配置されたサーバーからコンテンツを配信するネットワーク技術です。
2-7 ネットバンキングの不正送金
ネットバンキングのログイン情報や口座情報などを不正に入手し、他者になりすますことで送金を行うことです。
ネットバンキングの不正送金リスクを抑制するには、次のような対策が挙げられます。
・セキュリティソフトの導入(常に最新版への更新)
・パスワード管理の徹底と多要素認証の導入
パスワードをディスプレイに付箋などで張るのは論外ですね。
2-8 不正アクセス
不正アクセスとはアクセス権限のない第三者がシステムやサービスに不正にログインすることです。 企業を狙う事で注目を集めがちですが、個人のパソコンを標的とするものも少なくありません。 企業が不正アクセスを受けた場合、顧客の個人情報などが漏えいすることにより、二次被害に発展することもあります。
不正アクセスを防ぐためには基本的なセキュリティ対策はもちろんですが、特にパスワードの認証情報の管理や認証の強化が重要となります。
具体的には
・複雑で推測しにくいパスワードの使用
・パスワードの使いまわしを避ける。パスワードマネージャーの使用の検討。
・多要素認証の導入
(*)多要素認証:アクセス権限を得るのに必要な本人確認のための複数の種類の要素(証拠)をユーザに要求する認証方式です。
3.まとめ
このような手口がある事を知る事でも防止(抑止)になるかとおもいます。
まずは手口を知りそれを少しでも理解することから始めることが第一歩かと思います。