昨今の“サイバー攻撃”は以前のような愉快犯的な犯行は減少傾向にあり、その多くが金銭や機密情報の搾取目的で行われています。
それらのサイバー攻撃は高度化・多様化する傾向にあり、日々進化するサイバー攻撃への対策は困難を極めています。
本記事では、現存する代表的なサイバー攻撃の種類や影響を整理し、具体的な対策について解説していきたいと思います。
コンピュータセキュリティの情報を収集しセキュリティ関連情報の発信などを行う“一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)”が取りまとめた2016年第3四半期のセキュリティインシデント調査報告によると、総合で3,137件と前四半期に比べ33%減少しています。
出典:一般社団法人JPCERTコーディネーションセンターウェブサイト https://www.jpcert.or.jp/pr/2016/IR_Report20161012.pdf
報告件数の減少だけを見れば安心しても良い数字かもしれませんが、国内インターネットバンキングを狙ったファーミングと呼ばれる高度な攻撃など新たな脅威も目立ち始めていたり、高度化したサイバー攻撃に気づいていない企業や組織も数多く存在していると言われています。サイバー攻撃の深刻さは依然として改善しないままと言えるでしょう。
事実、本年も昨年以上に大規模な情報漏洩事件は起きており、今こうしている間にもどこかでサイバー攻撃による事件が発生しているのです。
サイバー攻撃の種類は非常に多く、企業はそのすべてに対しセキュリティ対策を講じる必要があります。
ここでは攻撃を受ける可能性の高い代表的なサイバー攻撃をご紹介します。
標的型攻撃とは、金銭や知的財産などの重要情報の不正取得を目的として、組織内の特定の構成員に対して行われる攻撃です。
標的型攻撃にはいくつかの手法がありますが、もっとも代表的な手法として「フィッシングメール(偽装メール)」と「不正プログラム」の組み合わせがあげられます。攻撃者はなんらかの形でターゲットとなるメールアドレスを取得し、その特定ターゲットに対して関係性の高い内容でフィッシングメール(偽装メール)を送信します。そして、メール本文で巧妙に仕組まれたフィッシングサイトへ誘導し不正な情報取得を行おうとします。また、マルウェアの仕込まれた添付ファイルを開かせることで、不正プログラムをインストールさせて情報を盗み出そうとする場合もあります。メールの送信元は、一見すると正当に見えますがIPアドレスを調べると全く関係ない地域からの送信だったりします。
標的型攻撃は、近年最も深刻化しているサイバー攻撃であり、先の日本年金機構や大手旅行会社による情報漏洩事件もこの標的型攻撃が原因だとされています。
APT(Advanced Persistent Threat)攻撃は、標的型攻撃の一種とされるサイバー攻撃です。「高度な(Advanced)」「持続的(Persistent)」「脅威(Threat)」の頭文字からもわかるように、特定のターゲットに狙いを定めて、あらゆる方法や手段を用いて侵入・潜伏します。潜伏後、数ヶ月から数年をかけて継続的に攻撃を行うため企業にとっては大きな脅威となります。
ゼロデイ攻撃とはシステムセキュリティにおける脆弱性が発見されてから、修正プログラムや対応パッチが適用されるまでの期間に実行されるサイバー攻撃を言います。攻撃はパッチ提供前のため脆弱性を改善する手段がなく、もっとも深刻な脅威ともされています。
マルウェアは、情報搾取などを目的に不正に動作させる悪意あるプログラムの総称です。ウイルス、トロイの木馬、スパイウェア、ワーム、バックドアなどが存在し、種類によって感染経路や被害はさまざまです。ここ最近では特に“ランサムウェア”と呼ばれる身代金要求型マルウェアが横行し、各セキュリティ機関が注意を呼び掛けています。
特定のネットワークやサーバーに対して、過剰な負荷をかけたり脆弱性をつくことでサービスの正常な動作を妨害しサービス停止状態へと追い込むサイバー攻撃です。Dos攻撃は、攻撃者のPCから直接、対象のリソースに対してトラフィックを送ります。一方、DDoS攻撃は攻撃者が複数の無関係なサーバーに侵入して、そこから一斉に攻撃を行います。
外部公開しているWebサイトであれば、標的になりうる可能性の高い脅威であるため、あらゆる企業や組織がこの攻撃に対して対策を取る必要があります。
ブラウザーを介してWebアプリケーションに“不正なSQL文”を入力することで、動作不良を起こさせ、データベースを不正に操作したり個人情報や機密情報を搾取する攻撃です。この攻撃手法を用いるとデータベースに対してデータの削除や追加、変更、取得などを自由に操作することが出来るようになります。さらにデータベースからOSコマンドの実行などが可能であるケースもあり、企業や組織は甚大な被害を被る可能性があります。OSに対する不正コマンドの実行を“OSコマンドインジェクション”と言います。
OSやアプリケーションプログラムのデータ処理に関するバグを利用し、コンピュータを不正に操作しようとする攻撃です。実行中のプログラムのメモリーに対して不正プログラムが送り込まれて実行されます。メインメモリーのスタック領域上で行われる攻撃が一般的ですが、その他にヒープ領域などで行われる攻撃もあります。
攻撃対象となるWebサービスとは別のサイトから取得したIDやパスワードのリストを用いて、攻撃対象となるWebサービスで不正アクセスを試みる攻撃です。複数のWebサービスで同一IDやパスワードを利用している場合は簡単に情報搾取を許してしまいます。アカウントリスト攻撃などと言われる場合もあります。
クライアントとサーバーの正規セッションに割り込み、セッションIDやセッションCookieを盗むことで攻撃する「なりすまし」の一種です。
一般的にはHTTPにおける“Webセッションハイジャック”を指すことが多い攻撃です。
攻撃対象となるコンピュータのTCP、あるいはUDPのポートに接続を試み、システムに脆弱性がないかを確認します。
発見された脆弱性を突いて不正アクセス、情報搾取、サービス停止への追い込みなどを行います。
包括的セキュリティソリューション&サービスNSSEINTとは
上記でいくつかのサイバー攻撃をご紹介させていただきました。
それでは企業や組織は、どのようなセキュリティ対策を講じれば良いのでしょうか。いくつかご紹介していきます。
深刻化する各サイバー攻撃に対しては、セキュリティ対策ソリューションの導入が有効です。近年では革新的なソリューションも多くリリースされ、多層的に企業システムを防御することが可能です。
システムセキュリティにおけるソフトウェアの脆弱性は“いつどこで”発生するのか予測がつかないものです。従ってシステムのモニタリングによる脆弱性の把握と、迅速なパッチ適用が重要な対策となります。
不正アクセスに対してはファイアウォール、アンチマルウェア、IDS/IPS(不正侵入検知防御システム)、あるいは多層防御システムによる不正アクセスのブロックがまずは重要です。サイバー攻撃の母数を減らすことができれば、それだけ情報漏えいに繋がるリスクが低減します。
サイバー攻撃に対するセキュリティ対策の現状として、すべての攻撃を100%ブロックするのは不可能だと言われています。従って侵入されたことを前提としたインシデントレスポンス体制を構築し、あらゆる侵入に対応する必要があります。
さらに、通信制御や操作ログの取得などによる出口対策(エンドポイントセキュリティ)を取ることで、万が一、内部対策において不正アクセスを取りこぼした場合も情報漏えいを防ぐことが重要になります。
セキュリティ対策の十分な大企業が情報漏えいを許してしまう原因として、セキュリティ性の低いサードパーティーからの不正アクセスなどが大きな理由として挙げられます。従ってサードパーティーのセキュリティ要件確認や、必要に応じてセキュリティスタンダード取得の要求などが求められます。
メールやWebサイト改ざんなどを利用した標的型攻撃では、組織全体のセキュリティ意識を向上させるだけでもリスクを大幅に低減することができます。“覚えのないメールは開封しない”、“業務に関係のないWebサイトにアクセスしない”といった姿勢を徹底させることが重要です。
企業を取り巻くセキュリティ環境は日々変化しています。そのような中で脅威に対して個別にパッチワークを繰り返すことは、非効率的であると言えるでしょう。今、多くの企業が情報システム全体の脅威への研究、監視、分析、対策を講じる専門組織セキュリティオペレーションセンター(SOC)を設置する傾向にあります。
2015年に発見されたゼロデイ脆弱性は週に1件報告されています。そして人気の高いWebサイトの実に4分の3は、なんらかの脆弱性を抱えると言われています。高度化・多様化しながら増え続けるサイバー攻撃に対して企業は継続的な対策を求められますが、IT人材確保の難しさもあり、自社内だけで行うことは困難になってきています。調査会社であるガートナー社のレポートによれば、2020年までに企業のセキュリティ支出の80%がアウトソーシングになると報告されています。セキュリティ運用のプロフェッショナルとともに高度なセキュリティレベルを維持・強化することを考慮することが課題解決の一歩になるでしょう。
