昨今、様々なサイバー攻撃が増えています。7PAYなどのセキュリティ・インシデントも非常に目にするようになってきたのではないでしょうか?正しいセキュリティ対策をするために、この記事では守るべきサイバー攻撃の種類を解説します。
サイバー攻撃とは
サイバー攻撃とは、サーバーやPC・Webサイトをターゲットにして、情報の改ざんや漏洩、盗取、システムの破壊などを行うことです。以前のサイバー攻撃はシステムにウイルスが入り込み、データの改ざんや盗みが目立っていました。しかし、SNSやスマートフォン、IoT機器など多数のデバイス機器の登場により、サイバー機器の攻撃方法も多彩になり、被害規模も大きくなっています。
法人企業の被害総額は直近5年間の平均値で2億円以上を超えており、企業規模に関わらずセキュリティ対策を整えることが急務な状況です。
攻撃者の目的
多種多様です。個人情報や企業の取引先データを盗み、情報売買をすることで得られる金銭的盗取が代表的な目的として挙げられますが、その他にも様々な狙いが潜んでいます。個人、企業、国家で想定される内容や影響を下記にまとめました。
| 攻撃内容 | 影響 | |
| 個人 |
|
|
| 企業 |
|
|
| 国家 |
|
|
攻撃者の種類
犯罪者やスパイ、ハッカーなどが挙げられます。最近ではデジタル機器の扱いに慣れた、若年層によるサイバー攻撃が目立っているのが特徴です。
特定の企業を狙う標的型攻撃
標的型攻撃の概要
顧客データや技術データの入手など、攻撃者が目的を達成するまでに何度も攻撃を繰り返すことを指します。例えば、社員へのウイルスが付いたメール送付、エクセルやワードへのリンク埋め込みなど多彩なパターンで攻撃を仕掛けてくるため、見破ることが非常に困難です。
ランサムウェア
システムやPCを使用不能な状態にして、多大な身代金を要求する非常に危険なウイルスです。例えば、個人の使用しているPCに侵入し、インターネットバンキングの銀行口座を暗号化して、システムダウンさせます。使える状態に戻す代わりに身代金を要求するパターンです。
一方企業では、社員がPC上に保存しているファイルが開けなくなったり、突然警告表示が出されて操作不能な事態に陥ります。システムやファイルを元の状態に戻す代わりに、多額の身代金を犯人側は要求します。金銭を払わなかった場合、システムやネットワークの復旧に時間とコストをかけることになるため、一定数の企業が身代金を払っていました。
実際ランサムウェアの攻撃を受けた企業は、平均1億5000万円の損害を受けています。個人よりも企業の方が多額な金銭を得られることもあり、世界中の企業が多大な被害を受けている状況です。過去に被害をもたらしたウイルス名は、Reveton、CryptoLocker、WannaCryなどです。
サプライチェーン攻撃
ターゲット企業に直接攻撃するわけではなく、取引先の企業を経由して攻撃する形です。サプライチェーンは、原料や部品の調達・仕入、製造、流通、販売、消費者という一連の流れを指す言葉になります。つまり、年々セキュリティ対策を強化してガードが固くなっている大企業を狙うよりも、セキュリティ対策への意識が甘く、脆弱性が目立つ中小企業を風穴にして、ターゲット企業の情報盗取や金銭的盗取を狙った方が成功する可能性が高いという狙いです。
サプライチェーン攻撃には2種類があり、上記のような脆弱性を突いた攻撃と開発中のシステムやソフトから情報流出を狙う方法があります。新たなシステムやソフトを開発している企業にマルウェアを感染させ、ソフトやシステムを使用するたびにデータ破壊や流出を起こします。
近年サプライチェーン攻撃が急速に増えており、中小企業もセキュリティ対策の整備を急ぐ必要があります。他人ごとではありません。仮に自社のセキュリティの脆弱性を突かれて、取引先が被害を受けた場合、損害を与えた「加害者」として、損害賠償を要求される形になります。最悪の場合は、取引停止も十分に考えられるでしょう。
取引先からすれば、「普段からセキュリティ対策をしていれば、こんな事態にはならなかった」という、言い分が予想されます。かつては大企業や国家レベルで目立っていたサイバー攻撃ですが、現在は中小企業もターゲットにされていることが分かりました。
ビジネスメール詐欺
自社の経営層や取引先になりすまして社員に偽メールを送り、金銭的被害をもたらす詐欺方法です。業務メールをベースにメールの本文、ドメイン名や件名は本物と酷似しており、見分けがつきにくいのが特徴です。日本の企業では2017年にJALがビジネスメール詐欺にあっており、金融機関の関係者になりすました犯人に、約3億6,000万円を失っています。他にも仮想通貨取引所のコインチェックなどもこの攻撃が原因だったと言われています。
不特定多数を狙う攻撃
フィッシング詐欺
フィッシング詐欺とは犯人が企業や銀行などになりすまして、銀行口座の情報やクレジットカードなどの個人情報を盗もうとする行為です。ユーザーに偽メールやメッセージを使って偽のサイトに誘導する姿が、釣り(fishing)と巧妙さ(sophisticated)を連想させることから、phishingと言われています。主に金融機関での被害が多く、メガバンクや地方銀行、インターネットバンキングでの被害が多発しています。
スキミング
クレジットカードのカード番号や有効期限などの情報を読み取り、不正利用することです。被害内容は、全く同じ情報が書かれているコピーカードをもう1枚作り利用するパターンやATMでのキャッシングによる現金流出が考えられます。クレジットカードの持ち主が、請求書が届いて初めて被害に気付くといったパターンが多く、不正利用が気づかれにくいのが特徴です。
被害が多い場所は、ATMやホテルやレストランでの会計時に多くの被害が報告されていました。対策としては以下のことが挙げられます。
- クレジットカードをIC化する
- コンビニでのATM利用を控える
- 盗難補償を付ける
- クレジットカードの使用回数を減らす
中間者攻撃
中間者攻撃とは2者間で行われているデータ通信の間に不正に侵入し、データの盗聴や改ざん、すり替えを行うことを指します。暗号化されていないメッセージ内容や個人情報だと簡単に意味が解読できてしまうため、注意が必要です。セキュリティ対策が十分に取れていない無料のWi-Fiスポットや脆弱性の目立つアプリケーションを利用していた場合は、特に狙われやすい傾向にあります。
被害の実例としては、ビジネスメールの内容を盗み見られたり、パスワード流出によるインターネットバンキングを悪用しての不正送金などの被害が、報告されていました。
ブルートフォース攻撃
「総当たり攻撃」とも呼ばれる、パスワード解読のためにあらゆる方法や組み合わせを試して解読する方法です。原始的な方法ではありますが、短いパスワードだと処理能力の高いPCが簡単に解読するため、「最も確実な方法」だと言われていました。ちなみに過去には7PAYの事件でも言及されたパスワードリスト型攻撃というものが非常に強力になっており、2段階認証の対策が必須となってきています。
対策としては、英数字と文字、記号の組み合わせ条件や文字数を長く設定し、組み合わせの種類を増やすことで、解読に時間をかけることができます。また、何度か間違ったパスワード入力をするとログインできない仕組みを設定することで、攻撃のリスクを軽減することが可能です。
不可をかける攻撃
Dos攻撃
Dos攻撃(Denial of Services attack)は、ターゲットであるサーバーやWebサイトに多大な負荷をかけて、正常に稼働できない状態に追い込む攻撃です。Dos攻撃は単独のIPから攻撃を行うため、DDoS攻撃と比べると対策や発見がしやすくなっています。Dos攻撃は、フラッド攻撃と脆弱性攻撃の2種類に分けることができます。
フラッド攻撃
データ送信やメールをFlood=洪水のごとく大量に送り、サーバーに負担を掛けて機能停止の状態に追い込む攻撃です。大量のデータやメールを処理するために、コンピューターリソースを割くことになり、他のサービスやデータ処理にリソースが足りず、システムやサーバーがシステムダウンに陥ります。
脆弱性攻撃
サーバーやアプリケーションの脆弱性を突き不正な処理をさせることで、システムエラーや不具合を起こさせるのが特徴です。代表的な例が、キーボードのF5ボタンを連打して、サイトにページ更新の処理を何度もさせてシステムダウンに追い込む「F5アタック」になります。
DDoS攻撃
DDos攻撃(Distributed Denial of Service attack)は、複数のPCから対象のサーバーやWebサイトに攻撃を仕掛ける方法です。DDos攻撃には2種類の方法があり、いずれもDos攻撃よりもターゲット対象に大きな負担をかけられる攻撃になります。Dos攻撃の進化版と考えてください。
協調分散型DoS攻撃
他人のPCを踏み台(=乗っ取って)にして、ターゲット対象にサイバー攻撃を仕掛けていくため、特定先を割り出すのが非常に困難です。
DRDoS攻撃
攻撃者がターゲット対象のサーバーやWebサイトになりすまし、攻撃を送るPCにメールやデータ送信を送ります。何らかのアクションを受けた複数のPCがターゲット対象に返答するので、ターゲット対象のサーバーやWebサイトに大きな負担がかかり、システムダウンに陥ります。多くのPCを踏み台にする必要がなくても、実行可能な攻撃となっており、通常のアクセスと比べても見分けがつきにきくいのが特徴です。
脆弱性を狙う攻撃
ゼロデイ攻撃
脆弱性が発見されたアプリケーションやソフトウェアが、修正プログラムが配布される前に再度攻撃をされることです。脆弱性を修正する作業を「ワンデイ」と数え、修正前に攻撃を受けるので「ゼロデイ」と呼ばれています。修正プログラムを配布する時間が間に合わず、ゼロデイ攻撃に対する予知情報もないため、対策もほとんど無い状態です。
さらに怖いのが、マルウェアが検知されないまま、数か月間アプリケーションやソフトウェア内に潜んでいるので、再び攻撃を受ける可能性が十分に考えられます。現在、サイバー攻撃の中で最も深刻な脅威を与える攻撃の一つだと言われています。
クロスサイトスクリプティング
TwitterやYahoo!知恵袋といった掲示板やコメントを表示するアプリケーション内に、スクリプトを貼って罠をしかけます。攻撃者が貼ったスクリプトに、ユーザーがクリックをすると偽サイトに飛び、何個もポップ画面が出たり、操作していないのに自動で勝手にコメントをするなど、悪影響を及ぼします。
アプリケーションの脆弱性を狙った手口で、ユーザーに偽サイトに情報を入力させて、ユーザーIDやパスワードなど個人情報を盗むのが特徴です。
サイバー攻撃の事例
日本年金機構
2015年に外部からの不正アクセスによって、年金情報管理システムから約125万件の個人情報が流出しました。サイバー攻撃の種類は、ビジネスメール詐欺を利用したウイルス感染です。職員がメール内に貼られていた不正なリンクをクリックしたことによって、システム全体に感染が拡大したとみられています。
また、調査を進めていくうちに、流出した125万件の個人情報のうち55万件でパスワード設定がされておらず、セキュリティ対策が十分でなかったことがわかりました。非常に大規模な情報流出だったため、当時大変話題になった事件です。
三菱電機
三菱電機は、2019年に中国拠点のウイルス対策管理サーバーが、不正アクセスによりシステム侵入を受けました。その結果、従業員や退職者など合計8,122人の個人情報の漏洩と防衛・電力・鉄道に関する機密情報や取引情報などが流出したとされています。特に防衛分野に関しては、防衛省とのやりとりの情報も含まれており、非常に影響度の大きい事件でした。
原因としてはVPN装置の脆弱性を突いた不正アクセスと考えられています。VPN装置を経由して社内システムに侵入し、情報漏洩をさせた可能性が高く、VPNに関するセキュリティ対策の強化が一層求められています。実際、米国国家機関でもVPNには多要素認証が必要であることが明確に叫ばれました。
トヨタ
2019年3月に東京トヨタ自動車株式会社など、トヨタ東京販売ホールディングス株式会社傘下の8社が不正アクセスにより、最大310万件の個人情報が流出した可能性があると発表しました。顧客のクレジットカード情報は流出していないとのことです。
トヨタは子会社も含めて日本でもトップクラスの知名度と信頼度を誇るだけに、各企業に警鐘を鳴らす意味でも、非常に大きな大きな事件でした。不正アクセスの拠点は、ベトナムの「APT32」と呼ばれるハッカー集団の仕業と見られており、国外からのアクセスに対するセキュリティ対策や国外拠点においての情報管理の取り締まりを、各企業が一層強化する必要があります。
サイバー攻撃の統計
警察庁が発表しているサイバー攻撃の統計に関する一部のデータをまとめました。特徴は以下の4点になります。
- サイバー犯罪数が毎年増加
- 標的型メールも3年間で1.5倍以上増加
- 仮装通貨による被害総額が増加
- インターネットバンキングによる不正は減少傾向
顕著に増えているのが、仮装通貨による被害です。1年間で660億以上被害総額が上がっています。仮装通貨の認知度や取引量が急激に増えたことが原因と考えられ、今後も同様の傾向が続くことが予想されます。
| 内容/時期 | 平成30年 | 平成29年 | 平成28年 | 平成27年 |
| サイバー犯罪検挙数 | 9,040件 | 9,014件 | 8,324件 | 8,096件 |
| 標的型メール攻撃 | 6,740件 | 6,027件 | 4,046件 | 3,828件 |
| インターネットバンキング被害額 | 4億6,100万円 | 10億8,100万円 | 16億8,700万円 | 30億7,300万円 |
| 仮装通貨関連の被害総額 | 677億3,820万 | 6億6,240万 | 言及なし | 言及なし |
