サイバー攻撃による被害がたびたびニュースになっていますが、被害に遭うのは大企業や官公庁などで、「自社のWebサイトは大丈夫だろう」と安心してはいませんか? インターネット上に存在する限り、すべてのWebサイトやWebサービスがサイバー攻撃に遭う危険性があります。実際、軽微な攻撃を毎日のように受けているWebサイトは多いと言えます。大きな被害に遭う前に、サイバー攻撃の基本を理解し、必要な対策を施しておきましょう。この記事では、「サイバー攻撃の種類」と「基本的な対策」について説明します。
サイバー攻撃対策の重要性
サイバー攻撃対策を行うには、まず「その重要性」について十分に認識しておく必要があります。
サイバー攻撃とは
サイバー攻撃とは、サーバー、パソコン、システム、 Web サイトや Web サービスなどに対してアタック(攻撃)することを指します。サイバーテロ、サイバーアタックなどと呼ばれる場合もあります。
サイバー攻撃の定義は至ってシンプルですが、その内容は幅広いものです。具体的には、不正アクセス、データ搾取・改ざん、システムの改変・破壊などが挙げられます。また、その目的は、機密情報の搾取をはじめ、企業のイメージダウン、金銭目的、愉快犯、政治的理由、怨恨(えんこん)などさまざまです。対象を特定しない無差別攻撃もあれば、企業や政府など特定のターゲットに対する明確な悪意を持つサイバー攻撃もあります。
サイバー問題は、「サイバー攻撃」と「その被害や対策など」を総合的に見たものです。近年はサイバー攻撃が複雑化・多様化しており、さらに被害件数も増加しているため、サイバー問題が深刻化しています。小さな Web サイトや Web サービスであっても十分な対策が必要です。
サイバー攻撃の加害者になるケースも
十分な対策を施していない企業は、サイバー攻撃の加害者になってしまうケースも十分にあり得ます。例えば、ある企業(他社)のサービスに被害を与えたサイバー攻撃が、攻撃経路をごまかすために別の Web サーバーを踏み台にすることもあります。このとき、自社の Web サイトや Web サービスを踏み台にして攻撃が行われれば、自社は「被害者」でありながら「加害者」にもなってしまいます。
Web サイトや Web サービスを運用している企業は、「自社が被害を受けないため」だけでなく、「踏み台にされないため」にも十分な対策が必要です。
サイバー攻撃の種類
企業のセキュリティを脅かす攻撃は、その手法に応じて次の3種類に分けることができます。
- 「不正アクセス」や「なりすまし」
- マルウェア
- サーバーやシステムをダウンさせる攻撃
これらの手法は、さらに細分化することができます。続いては、それぞれの手法について詳しく紹介していきます。
「不正アクセス」や「なりすまし」
「不正アクセス」や「なりすまし」は、他人が本人を装って認証を受けログインを行い、パソコンやサーバーにアクセスする手法です。データの改ざんや流出、不正利用など、さまざまな攻撃のベースとなり、次のような手法が多く使われています。
- パスワードリスト攻撃
悪意のある第三者がパスワードを破って、不正にサーバーやシステムにアクセスする手口です。パスワード突破を試みるときに、 ID やパスワードのリストを利用するため、このように呼ばれています。
攻撃に用いられるリストには、過去に漏洩したアカウントをもとに「使われていることが確定している既存のパスワード」や「使われやすいパスワード」が集められています。このため、 ID とパスワードを使い回しているユーザーは、被害に遭う確率が高いと言えます。リスト型攻撃、辞書攻撃、アカウントリスト攻撃と呼ばれる場合もあります。 - 総当たり攻撃
ブルートフォースアタック( Brute-force attack )とも呼ばれ、 ID やパスワードに対して多くの組み合わせを試して、不正アクセスを試みる手口です。 1 つの ID に対して多くのパスワードを試すのが一般的ですが、「 123456 」、「 qwerty 」、「 password 」などのよく使われるパスワードに対して多くの ID を試す、というケースもあります。 - フィッシング
大手通販業者や金融機関などを装った偽装サイト(フィッシングサイト)へ誘導し、個人情報を詐取する手口です。その多くは偽装メール(フィッシングメール)を経由して、名前やクレジットカード情報を盗み取ります。最近のフィッシングメールやフィッシングサイトは非常に精巧で、見抜きにくいものが多くなっています。
その他、セッションハイジャックやセッションフィクセーションなどの手法もあります。
マルウェア
マルウェア( Malicious software )は悪意のあるソフトウェアのことで、有害な挙動を引き起こすために作成されたソフトウェアの総称です。次のようなものが知られています。
- ワーム
- バックドア
- トロイの木馬
- ランサムウェア
最近よく話題になっているランサムウェア( Ransom ware )もマルウェアの一種です。不正なプログラムにより機器の動作をロックし、マシンやデータを「人質」にして身代金を要求します。ランサムウェアに感染すると、データやシステムが暗号化され、使用できなくなります。
マルウェアは、 Web サービスやメールだけでなく、スマートフォンアプリからの感染事例もあります。
サーバーやシステムをダウンさせる攻撃
サーバーに負荷をかけて、サーバーやシステムをダウンさせたり、閲覧しにくくさせたりする手口です。 DoS 攻撃や DDoS 攻撃が代表です。
DoS 攻撃や DDoS 攻撃は、特定の Web サイトに短時間に大量のアクセスを行い、多大な負荷をかけます。攻撃を受けた Web サイトは、閲覧に大きな時間がかかるようになったり、システムダウンしたりします。 DoS 攻撃は 1 台のコンピューターから、 DDoS 攻撃は(何らかの方法で乗っ取られた)不特定多数のコンピューターから攻撃を行います。手法としては非常に単純なものであり、古くから行われてきたインターネット攻撃です。
「標的型攻撃」と「無差別攻撃」
サイバー攻撃は、「特定のターゲットを狙っているか?」により、「標的型攻撃」と「無差別攻撃」に分けることができます。先ほど説明した「不正アクセス」や「なりすまし」、「マルウェア」は、標的型攻撃にも無差別攻撃にもなり得ます。「 DoS 攻撃/ DDoS 攻撃」は、標的型攻撃になります。
標的型攻撃
特定の企業、団体、個人などをターゲットにします。事前にターゲットのことをよく調査して、取引先を装った偽装メールを作成するといったように、計画的で緻密なものが多く、発見しにくいものです。ほかへの攻撃の踏み台にされるケースもあります。
- 標的型メール攻撃
特定の企業、団体、個人などをターゲットにして、メールや添付ファイルを使ってマルウェアに感染させたり、危険なリンクを踏ませたりする攻撃です。添付ファイルは仕事で使うファイルを偽装しているケースが多く、発見しにくくなっています。 - 水飲み場攻撃
ターゲットがよく閲覧する Web サイトを改ざんし、マルウェアを埋め込む方法です。特定の Web サイトにアクセスすると、マルウェアが自動的にインストールされます。自社の Web サイトが改ざんされてマルウェアを配布する加害者になるケースもあります。 - SQLインジェクション
特定のデータベースに不正な SQL を投入することで、データベースを改ざんしたり、データを搾取したりする手口です。脆弱性攻撃のひとつとして、よく見かけられます。原因となる脆弱性は、ソフトウェアのアップデートにより修正されていくのが一般的です。
その他、バッファオーバーフロー攻撃、バックドアの設置などがあります。
無差別攻撃
ターゲットを限定せずに、不特定多数に向けて無差別に攻撃を行うサイバー攻撃です。
- ゼロデイ攻撃
多くの脆弱性は、発見されてからしばらくたつと、修正プログラムが発表されます。ゼロデイ攻撃は、修正プログラムの発表前に脆弱性を攻撃する手口です。修正されていない脆弱性を攻撃されるため、防御策がなく対策しにくい、というのが難点になります。 - 中間者攻撃
通信中に盗聴してログイン情報を搾取したり、情報を引き出したり、改ざんしたりします。通信の暗号化やサイトの SSL 化により対策が可能です。
そのほか、最近は、スマートフォンや IoT 機器を狙ったサイバー攻撃も増えています。
サイバー攻撃対策の基本
すべての Web サイトや Web サービスで対策が必要です。次のような基本的な対策をしっかりと行いましょう。
ログ監視の強化
アプリケーションの動作履歴や稼働状況を記録します。特に、ログイン、アクセス、ファイルの更新・削除の履歴は重要です。ログを解析してパソコンやユーザーの動きを可視化することで、悪質なデータの侵入、不正アクセスの試行、ネットワーク攻撃などに気づくことができます。
OSやアプリケーションのアップデート
OS やアプリケーション、システム、スマートフォンなどは、セキュリティパッチを目的としたアップデートが定期的に実施されています。アップデートはこまめに行いましょう。サポート切れの OS やアプリケーションは脆弱性対策が行われていない状態になるため、業務に使用するのは推奨できません。
ウイルス対策ソフトの導入
ウイルス対策、アンチウイルスなどと呼ばれるソフトウェアをインストールします。ウイルス攻撃やマルウェアの侵入を未然に防ぐだけでなく、ハッカーの攻撃検知、感染されたファイルの隔離など、さまざまな機能が提供されています。ライブラリをこまめにアップデートし、ほかの対策と併用していく必要があります。
フィルタリングによるアクセス制限
不要なサービスや怪しい Web サイトへのアクセスを制限することで、サイバー攻撃のリスクを減らす対策です。特定の Web サイトのみを閲覧不可にする「ブラックリスト方式」と、特定の Web サイトのみを閲覧可能にする「ホワイトリスト方式」があります。一般的には、個別の Web サイトではなく、カテゴリごとにアクセス制限を指定するカテゴリフィルタリング方式が使われます。
社員のリテラシー教育
社員の人為的ミスが「情報漏洩」や「サイバー攻撃」の引き金になるケースもあります。具体的には、違法サイトにアクセスする、パスワード管理が甘い、フィッシングメールに引っかかる、などの行動が問題になります。これらの問題を防ぐには、ネットリテラシーやセキュリティ意識を高める社員教育が求められます。また、二要素認証を使ってログインさせるというような、より強力な認証方法を利用するのも効果的です。
二要素認証については「 二要素認証とは?二段階認証よりも強力、安全性の高いサービスに 」で詳しく解説しています。あわせてご覧ください。
セキュリティ管理者スタッフを用意
情報システム部門にセキュリティ管理を専門に担当するスタッフを置くことで、イントラネット内部への侵入対策を強化することができ、社員教育にも効果的です。情報システム部門だけでなく、社外の第三者からのセキュリティチェックも導入すると、より厳しい対策を行うことができます。侵入されたときに被害を最小限に抑えるための対策も準備しておきましょう。
そのほか、セキュリティ対策の実施には、独立行政法人 情報処理推進機構(経済産業省)のガイドラインも参考になります。
政府機関等の対策基準策定のためのガイドライン(平成30年度版)
「サイバーセキュリティ経営ガイドライン Ver 2.0」
まとめ:サイバー攻撃の被害に遭わないためには十分な理解と対策が必要
サイバー攻撃の被害は増える一方で、手段も複雑化しています。中小企業の Web サイトだからといって安心はできません。 Web サイトや Web サービスを運営している企業は、常にサイバー攻撃の危険性を意識する必要があります。サイバー攻撃によく使われる手段やその対策について十分に理解し、実践することで、被害に遭う確率を減らし、被害を小さくすることができます。
Web サービスや IT システムを自社だけで安全に運用することに不安が残る場合は、セキュリティに関するソリューションを利用するという方法もあります。 CTC エスピー株式会社では、エンドポイントセキュリティに関するさまざまなソリューションを提供しています。安全な IT の運用に不安がある場合は、ぜひご相談ください。
