知っててよかったセキュリティ対策(第1回)

サイバー攻撃対策は何が必要?攻撃の目的や種類を把握して対策を考えよう

 インターネットの普及でサイバー攻撃や犯罪が多様化の一途をたどっています。その手法は年々巧妙化しており、ランサムウェアやDDoS攻撃など、企業活動を妨害する攻撃も後を絶ちません。サイバー攻撃の目的や種類を通じて、企業が行うべきセキュリティ対策を紹介します。

◆目次
サイバー攻撃の目的とは
サイバー攻撃の種類
サイバー攻撃の事例
サイバー攻撃への対策
まとめ

サイバー攻撃の目的とは

 サイバー攻撃とはコンピュータやネットワークを対象に行われる攻撃の総称です。インターネットの普及を背景に、国際問題にも発展する事例が発生しています。個人から国家まで大小問わずに被害を受けており、企業のリスク管理や対策を行う上で攻撃の種類や手口の理解が求められます。

 サイバー攻撃の主体は定義や種類もさまざまです。愉快犯や悪意のある個人、産業スパイ、サイバー犯罪組織。このような個人や組織が金銭、政治・社会的メッセージの発信、事業妨害などを目的にサイバー攻撃を行います。

サイバー攻撃の種類

 サイバー攻撃の種類は多岐にわたります。ここでは代表的な攻撃を5つに分類して紹介します。

標的型攻撃

 標的型攻撃は特定の個人や組織だけを対象にしたサイバー攻撃です。攻撃の対象者に電子メールを送信するなどして、攻撃を開始します。一般的に企業の内部ネットワークとインターネットの境界にはファイアウォールが設置されており、内部への侵入は容易でありません。そのため攻撃者はフィッシングサイトやコンピュータウイルスを従業員経由で感染させようと試みます。上記以外にも標的型攻撃では以下のような攻撃手法が用いられます。

ランサムウェア

 ランサムウェアは特殊な暗号化プログラムを内包しており、感染したシステムのアクセス権を制限します。この制限解除のために、攻撃者は高額な身代金の支払いを被害者に要求します。

サプライチェーン攻撃

 サプライチェーン攻撃は攻撃の対象となる企業の子会社、取引先を狙った攻撃です。セキュリティが厳重な企業であっても、その子会社や取引先も同水準のセキュリティ対策をしているとは限りません。セキュリティが手薄な関連組織を踏み台にしてネットワーク内部に侵入することで、連鎖的な攻撃が行われます。

水飲み場攻撃

 水飲み場攻撃は、まず特定の組織や個人が頻繁に利用するWebサイトの改ざんを行います。改ざんされたサイトを閲覧するだけで、マルウェア感染を引き起こします。「水飲み場」という名称は、砂漠のオアシスに来る動物を待ち伏せて攻撃することが由来です。

不特定多数を狙った攻撃

 標的型攻撃と異なり、サイバー攻撃には不特定多数の人を狙った攻撃があります。フィッシング詐欺やゼロクリック詐欺が代表的な攻撃です。これらの攻撃の特徴は、インターネット上に罠のようにサイトが設置されていることです。被害者の多くは訪れたサイトが詐欺サイトと気づかないまま、クレジットカードやパスワードなどの個人情報を入力してしまいます。このようなサイトから流失した情報は、闇サイトなどで販売されたり、さらなる攻撃の手口として利用されます。

 他にも不特定多数を狙った攻撃として、ディープフェイク攻撃が有名です。AI技術を用いて偽の動画や音声を作成し、インターネット上で公開します。政治家や経営者などが実際に行っていない言動が、公開された動画内であたかも真実のように流されます。

Webサイトに負荷をかける攻撃

 DoS攻撃・DDoS攻撃はWebサイトに負荷をかける代表的な攻撃です。DoS攻撃では単一、DDoS攻撃では複数台のマシンを用いて攻撃が行われます。攻撃を受けたサイトはサーバーの処理が負荷に耐えきれず、サービスが利用できなくなります。

 攻撃者は不正に乗っ取ったコンピュータやサーバーを踏み台にしているため、特定は容易でありません。このような攻撃の対策としては、特定のIPアドレスからのリクエスト回数の制限や特定の国からのアクセスを遮断するなどが考えられます。

サーバーやWebサイトの脆弱性に対する攻撃

 サーバーやWebサイトの脆弱性が発見されると、修正プログラムの配布や企業による対応が行われます。しかし世の中には、まだ発見されていない脆弱性も多く、攻撃者はそのような抜け穴を常に探しています。

 ゼロデイ攻撃は脆弱性の発見から対処が行われるまでの期間に、発見された脆弱性に対して行われる攻撃です。公開されている脆弱性に対して、管理者のできる対策が限られていることもあり、被害が甚大になる可能性もあります。

 脆弱性を狙った攻撃には他にも、有名なものがあります。

SQLインジェクション

 SQLはデータベースを操作する言語です。SQLインジェクションはWebサービスの脆弱性からシステムが想定しないSQLを実行、不正な操作を行います。データベースを直接操作されるため、データの改ざんや個人情報の流失など非常に危険性の高い攻撃と言われています。

クロスサイトスクリプティング

 クロスサイトスクリプティングはWebサイトの脆弱性を用いて、ブラウザ上で不正なスクリプトを実行する攻撃です。スクリプトが埋め込まれたサイトでフォーム送信ボタンを押すと、強制的に偽サイトに遷移させられます。偽サイトは巧妙に作られており、被害者は偽サイトに気づくことなく情報を入力してフォームの送信を行ってしまいます。

セッションハイジャック

 セッションハイジャックはブラウザとサーバーの間でやりとりされる通信内容から認証情報を傍受します。攻撃者はその情報を用いて本人になりすまし、不正を行うのです。金融システムなどでセッションハイジャックが行われると、預金の不正出金やクレカの不正利用など、大きな被害につながります。

パスワードを狙った攻撃

 ブルートフォースアタックは別名総当たり攻撃とも呼ばれます。考えられるすべてのパターンでパスワード認証を試す攻撃で、時間さえあれば確実にパスワードが割り出されます。同様にパスワードを狙った攻撃としては、パスワードリスト攻撃も代表的な攻撃の一つです。パスワードリスト攻撃は、同一のパスワードを使い回す人が多いことを狙った攻撃です。攻撃者は流出したユーザーIDとパスワードの組み合わせを複数サービスで試し、個人情報や金銭の奪取を試みます。

サイバー攻撃の事例

 サイバー攻撃の事例は国内外問わず数多く存在します。ここでは近年発生した2つの攻撃について紹介します。

大手ゲーム会社の個人情報流出

 2020年11月に国内の大手ゲーム会社でランサムウェアによる攻撃が発生しました。攻撃は該当企業の北米子会社経由で行われ、個人情報と企業情報の流失が確認されました。攻撃を受けた企業は警察や大手セキュリティ専門企業と協力し、事態の収拾と調査報告を発表しています。

大手ECサイトを装ったフィッシングメール

 Amazonをはじめとする大手ECサイトを偽ったフィッシングメールが近年増加しています。件名や本文は公式サイトからのメールが巧妙に再現されており、攻撃を知らない人からすると一見迷惑メールと気づけません。

 大手ECサイトを装ったメールでは未納料金の請求やアカウントの更新依頼に誘導されます。このメールではよく見るとメール本文のURLリンクがAmazonのドメインとは異なります。またURLをクリックして遷移したサイトについても、見た目はAmazonと一緒でもURLが違っているのです。

サイバー攻撃への対策

 サイバー攻撃への対策は個人、組織それぞれで、できることが異なります。前述した攻撃や被害に遭わないために、個人と組織で行うべき対策について紹介します。

個人(従業員)の対策

 不特定多数へのサイバー攻撃の対策では個人のITリテラシーの差で被害を受ける可能性が大きく変化します。ここでは個人単位で行うべき代表的な3つの対策について紹介します。

OSやアプリの最新版への更新

 OSやアプリは定期的に最新バージョンが配布されます。最新バージョンへの更新プログラムには、直近で発見された脆弱性の対応などが含まれます。そのため、OSやアプリを更新しないままにしておくと、発見された脆弱性を攻撃者に狙われるリスクが高まるのです。

推測されづらいパスワードや多要素認証の利用

 総当たり攻撃やパスワードリスト攻撃の対策という点で、推測されづらいパスワードの利用が推奨されます。また定期的にパスワードを更新することもサイバー攻撃対策となります。

 パスワードの流失リスクに備えるという点では、多要素認証も効果的です。多要素認証ではIDとパスワードの組み合わせの後に、別の認証が求められます。2つ目以降の認証では、SMSやメールへの期限付きのパスワード送信、生体認証などが用いられます。そのため万が一パスワードが流出しても、攻撃者は2つ目以降の認証を突破できず、攻撃が失敗に終わるのです。

フィッシングメールや怪しいサイトの警戒

 フィッシングメールや怪しいサイトへの警戒は個人のITリテラシーに依存します。これらの攻撃手法を知らないままにインターネット利用をしていると、攻撃者はその隙をついて巧妙な罠を仕掛けてきます。

 クレジットカードの情報入力を行う際に、URLが公式サイトと一致しているかを確認する、怪しいメールについては開かずに削除する。このような基本的な対策を行うだけでも、サイバー攻撃の被害リスクを減らせるのです。

企業の対策

 企業でのサイバー攻撃対策では、予算を使った外部ツールの使用や専門機関への依頼が可能です。情報漏えいやサービス障害などを発生させないために、検討するべき4つの対策について紹介します。

統合型セキュリティ対策ソフトの導入

 統合型セキュリティ対策ソフトには、企業ネットワーク向けのファイアウォール、ウイルスチェック、フィッシングサイト検知などの機能が搭載されています。サイバー攻撃に対する総合的な対策を、一つのソフトウェアを導入するだけで実現できます。また運用者の観点でも、異なるツールを導入すると不正検知や原因追求で横断的な分析が必要です。しかし統合型セキュリティ対策ソフトでは、そのような分析・可視化を効率的に行えます。

外付け記憶機器(USB/HDD)やWebサイト閲覧の制限

 企業から端末を貸与している場合、システム管理者は端末の外付け記憶装置の利用制限を行うことがおすすめです。外付け記憶装置は物理的に、他人に気づかれることなく持ち込みやすい機器です。そのため攻撃者が営業先を装って、外付け記憶装置経由で内部ネットワークへのマルウェア感染を仕掛けてくる可能性も否めません。

 また企業の端末や、企業内Wi-Fi環境における、特定のWebサイトの閲覧制限も有効な対策です。万が一従業員がフィッシングメールのURLをクリックしても、サイトを開く前にアクセスを止められます。

外部機関・業者によるセキュリティアセスメントの実施

 外部機関によるセキュリティアセスメントを行うことで、自分たちだけでは気づけないセキュリティリスクを洗い出せます。また定期的なセキュリティアセスメントの実施は、協業先との信頼関係構築にも繋がります。

セキュリティルールの策定や従業員への啓もう

 情報資産の管理、権限範囲の設定、パスワードに利用する文字列、協業前のセキュリティチェックなどについて、社内で守るべきルールを定めておくことで、サイバー攻撃の糸口を減らせます。また定期的に社内でセキュリティ研修を行うなど、従業員自身の意識づけも大切です。

Webサービス運営事業者の対策

 Webサービスを運営する事業者の場合、顧客情報をサーバー上で管理することになります。また一般的なWebサービスはURLさえわかれば誰でもアクセスができてしまい、攻撃を受けるリスクが高くなります。このようなWebサービス運営事業者が行うべき2つの対策を紹介します。

セキュアコーディング

 セキュアコーディングはサイバー攻撃に耐えうる、堅牢なプログラムを書くことです。たとえばWebサイトのフォームについて、入力内容をチェックして、特定の文字列のみ許容するようにコーディングするなどです。セキュアコーディングが必要な要素は領域によって異なるため、自社にあった指針を定めましょう。また開発者間でレビューを行うことも効果的です。

Web Application Firewallの導入

 Web Application FirewallはSQLインジェクション、パスワードリスト攻撃などWebアプリケーションに特化した防御システムです。ここ数年で導入コストが下がり、ECサイトやSaaSを運営する企業などで導入が進んでいます。サーバーにインストールするものや、クラウドサービス上で利用できるものなど、種類もさまざまです。

まとめ

 インターネットやスマートフォンの普及で、サイバー攻撃の脅威は年々増加しています。さらに攻撃自体も複雑化してきており、対策に求められる知識や技術も高度化が進んでいるのです。

 NTT東日本ではこのような背景から、ウイルス対策ソフトや専門家によるサポートサービスの提供を行っています。自社のサイバー攻撃対策を導入する際に、ぜひ弊社サービスをご検討いただければと思います。

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る