セキュリティ

サイバー攻撃の仕組みと被害とは?セキュリティ対策の方法を事前にチェック

家庭使用からビジネス利用まで、インターネットの重要性がますます高まる一方で、インターネットを介したサイバー攻撃による被害も増加しています。ここでは、被害を防ぐためにサイバー攻撃の基本的な仕組みや被害の事例、サイバーセキュリティの基本となる5つの対策方法を紹介します。

サイバー攻撃とは?

サイバー攻撃の概要や、近年の発生状況をお伝えします。

サイバー攻撃の定義

サイバー攻撃とは、コンピューターネットワークを対象にして行われる攻撃のことです。特に国家や社会に重大な悪影響を及ぼす場合は、サイバーテロと呼ばれることもあります。主に行われるのは、「データの破壊」・「改ざん」・「窃取」・「システムの機能不全を起こさせる」などの犯罪行為です。

サイバー攻撃に使われる仕組みはさまざまであり、日々のセキュリティ対策が極めて重要です。

サイバー攻撃の目的

サイバー攻撃を行う目的は、多岐にわたることが特徴です。かつては、技術を見せつけるための愉快犯的な攻撃や、私怨(しえん)による嫌がらせなどを目的したものが大半でした。しかし、現在では金銭目的の犯行や、国家レベルのテロ活動など、明確な悪意を持った犯罪が増加しています。

ターゲットも個人を狙ったものから企業・団体・政府組織を狙ったものまで幅広く、家庭用から企業・団体用まで、あらゆるネットワークが狙われています。

サイバー攻撃の発生状況

警察庁が2018年3月に公表した資料によると、インターネットバンキングの不正送金の発生状況は、ピークである2014年度に比べ4分の1にまで低下しました。しかしその一方で、無差別に攻撃を行うのではなく、特定のターゲットを狙って周到な計画を立てて行う「標準型攻撃」などの手口も登場しており、巧妙化が進んでいます。

標的型メール攻撃の報告件数は6,027件であり、さらに増加傾向にあります。また、2017年度のサイバー攻撃検挙数は9,014件であり、こちらも2016年度から引き続いて増加傾向です。

さらに探索行為を感知するセンサーには、1日・1IPアドレス当たり1,893件の反応があり、こちらも増加傾向にあります。このセンサーは、通常のインターネット利用ではありえない不審な接続を感知するものであり、これらの接続はサイバー攻撃を試みる探索行為などを含んだものです。これらのデータから、サイバー攻撃の脅威はますます高まっていくことが予想されます。

参考:平成29年中におけるサイバー空間をめぐる脅威の情勢等について

サイバー攻撃で生じる損害

日本ネットワークセキュリティ協会が発表した、2018年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデント分析調査の速報版によると、個人情報漏えいに伴う想定損害賠償総額は2,684億5,743万円でした。インシデントとは、事故や事件のことを指しています。
調査対象となったインシデント件数は443件で、個人情報漏えいインシデント1件当たりの平均想定損害賠償額は6億3,767万円でした。つまり、1度の個人情報漏えいで平均6億以上の損害賠償がなされているということです。同調査の2017年のデータでは、漏えい件数が386件、想定損害賠償総額が1,914億2,742万円、1件当たりの平均想定損害賠償額は5億4,850万円でした。1件当たりの漏えい人数は1万4,894人から1万3,334人と減っているものの、個人情報漏えいの危険性と損害賠償が企業に与えるダメージは年々増しているといえます。

漏えい原因は「紛失・置き忘れ」116件、「誤操作」109件に続き、「不正アクセス」が90件と主要な原因となっています。不正アクセスを原因とした個人情報漏えいは2017年は67件でした。2015年以降、不正アクセスによる漏えいが急激に増え、その件数は年々増加しています。つまり、サイバー攻撃の脅威とその結果生じる損害は年々増しているのです。

参考:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)
参考:2017年情報セキュリティインシデントに関する調査報告書(速報版)

サイバーテロの主犯はどんな人?

ここでは、サイバーテロを仕掛けている人についてご紹介します。最近では、サイバー攻撃のためのツールをネット上で簡単に入手することが可能になりつつあるため、攻撃者の低年齢化が進んでいるようです。

国家機関

ネットワークが高度に発達した現代の情報社会では、サイバーテロが与える被害は大きく、実際のテロが与える被害にも匹敵します。そのため、国家主導でサイバーテロの戦闘スキルを高めている国もあります。サイバーテロは、軍備を強化するよりも少ない予算と短期間で強化できるため、軍事に多額の予算を費やせない国家でも力を入れやすいという特徴があります。

 

金銭を狙う犯罪者

情報やデータを盗み他の企業などに売り、商売を行ったり金銭を得たりする目的でサイバーテロを行う犯罪者もいます。ファイルのデータをスマートフォンなどにコピーして持ち出すなど、比較的単純な手口での犯行が多い点がこの主犯の特徴です。

 

ハッカー集団

複数人でサイバーテロを行っているハッカー集団も存在します。サイバーテロを行う目的はサイバー集団によってさまざまです。

 

例えば、メディアに取り上げられる機会の多いハッカー集団のひとつが「アノニマス」です。アノニマスは主に透明性を求め、検閲制度に反対する目的で特定の団体や、政治家、企業などに大規模なサイバーテロを仕掛けることで著名です。IS(イスラム国)に向けて攻撃宣言をし、サイバーテロを仕掛けた際はメディアで大々的に報道されました。

 

 

サイバー攻撃の主な種類と仕組み

1.マルウェア

マルウェアとは、ウイルスソフトやスパイウェアなどの悪意のあるソフトウェアの総称です。不正プログラムと呼ばれることもあります。サイバー攻撃の代表的な例であり、他のサイバー攻撃を行う土台としても使用されているため、特に念入りな対策が必要です。近年ではPCにロックをかけ、解除と引き換えに金銭を要求する「ランサムウェア」などの被害が増加しています。特に2017年には「WannaCry」と呼ばれるランサムウェアが、日本を含め世界中で猛威を振るいました。

2.パスワードの窃取・解析

コンピューターのログインパスワードや、ネットバンキングなどのパスワードを盗み出し、悪用する方法です。アカウントを乗っ取られてしまい、不正出金や個人情報漏えいなどの被害につながります。パスワード窃取の中でも代表的な方法は、正規サービスのふりをしてIDやパスワードを盗み出す「フィッシング詐欺」です。

その他にも、別サイトで使われているパスワードのリストを窃取して、同じパスワードを使っているアカウントを芋づる式に乗っ取る手口があります。「総当たり攻撃」と呼ばれる仕組みもあり、名前の通り総当たりで解析する方法です。コンピューターの解析ツールを使用するため、人力では不可能に思えるパスワードでも、簡単に破られてしまいます。

また、よくあるパスワードのパターンを組み合わせて解析する「辞書攻撃」という方法とあわせて使用することもよくある手口です。

3.ビジネスメール詐欺

取引先や自社の経営層、弁護士などから送信されたビジネスメールになりすまし、金銭や情報をだましとる詐欺です。急なトラブルにより通常の口座が使用できなくなったなどの口実を使い、別の口座に資金を振り込ませます。こうした口座は日本の捜査が及びにくい海外口座などが使用されており、一度引っかかってしまうと回収困難な悪質な詐欺です。

さらに、ビジネスメール詐欺の恐ろしい点は、一見偽物と気づかないほど巧妙に偽装していることです。マルウェアやフィッシングなどの仕組みを組み合わせ、普段から業務でやり取りしているビジネスメールを盗み読みし、本物のメールそっくりになりすまします。

以前は海外での詐欺が中心であり、主に英文メールが使用されていました。しかし、2018年7月には立行政法人情報処理推進機構(IPA)から、初の日本語メールによる被害が報告されているため、今後より一層の警戒が必要です。

参考:【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報):IPA 独立行政法人 情報処理推進機構

4.データ・サイトの改ざん

ウェブサイトを運用しているサーバーに不正アクセスを行い、データを改ざんしてしまう方法です。例えば、ウェブサイトの情報を書き換えたりマルウェアの感染源にされたりする被害が発生し、代表的なものはメインターゲットがよく訪問するサイトを改ざんし、マルウェアを仕込む「水飲み場型攻撃」です。ライオンが水場で獲物を待ち構える姿から、この通称がつけられました。

自社だけではなく、ウェブサイトを訪れた人にも被害を与えてしまう危険なサイバー攻撃です。他にもいたずらや思想的な目的で、サイトに掲載されている情報が書き換えられてしまうこともあります。

5.DoS攻撃

ウェブサイトやサーバーに強い負荷をかけて、システムをダウンさせる攻撃です。大量のデータを送りつけて負荷をかける仕組みと、システムの脆弱性を突く仕組みの2種類に分類されています。サイバー攻撃の中でも比較的簡単な方法です。代表的な方法は、ブラウザを何回もリロードしてリクエストを送信し、サイトに不可化をかける方法で「F5攻撃」と呼ばれています。

ブラウザの読み込みにはキーボードのF5キーを使うことが由来です。DoS攻撃の中でも1台のコンピューターではなく、複数のコンピューターから攻撃をする仕組みは、「DDoS攻撃」(分散型DoS攻撃)と呼ばれています。主にマルウェアを使って他のPCを乗っ取り、同時に複数のPCからデータを送りつけることで、強い負荷を与えるサイバー攻撃です。

6.IoT機器への侵入

コンピューターネットワークというとサーバーやPCを想像しがちですが、マルウェアや不正アクセスの侵入経路はそれだけではありません。近年では、サーバーやPCではなく、IoT機器から侵入される事例も増えています。IoTとは「Internet of Things」=「モノのインターネット」の略称です。サーバー・PC・スマートフォンなどの通信機器だけではなく、家電製品や産業機械など、身近なものがインターネットにつながる仕組みのことを指しています。

企業の場合、複合機やテレビ会議システムなどが狙われやすい機器です。対策が十分でない場合、送信したFAXの内容や会議の内容が抜き取られる危険性があり、他にもこれらのネットワークを通して他の機器やPCに侵入される危険性もあります。

7.ゼロデイ攻撃

PCで使用するさまざまなソフトウェアから、悪意のある攻撃者から狙われてしまうような脆弱性が発見されることが多々あります。このような脆弱性は発見され次第修正対応が行われますが、発見から対応までの期間を突いて攻撃が行われることがあり、これをゼロデイ攻撃と呼びます。

脆弱性が発見されると、その危険性を周知するために公表されますが、情報の悪用のほうが早かった場合にゼロデイ攻撃が成功します。

8.仮想通貨の不正マイニング

インターネット上の通貨である仮想通貨の一部は、PCやサーバーを使って「マイニング」と呼ばれる作業を行うことで増やすことができます。

不正マイニングは、自身のPCやサーバーを使わず、他者のPCやサーバーを不正に操作して仮想通貨を増やすサイバー攻撃です。

マルウェアを侵入させてPCやサーバーを直接操作するタイプや、Webサイトの閲覧者に不正なスクリプトを読み込ませてPCやサーバーの作業領域を奪うタイプがあります。後者は、Webサイトに広告を表示しない代わりに、閲覧者に同意を得て合法にマイニングを行うケースもあります。

不正マイニングでは通常、情報の取得やデータの改ざんなどは行われませんが、作業領域を不正に使用するため動作が重くなったり停止したりといった被害が発生します。

9.モバイルマルウェア

先にご紹介したマルウェアのモバイル版で、スマートフォンを狙ったサイバー攻撃です。

安全で役に立つアプリを装ってアプリストアに登録し、スマートフォンにインストールさせることでパスワードを盗む、不正マイニングを行うなどの被害をもたらします。ある調査では、2017年の第3四半期だけで1,600万件ものモバイルマルウェア感染が確認されているとのことです。

10.ソーシャルエンジニアリング

ネットワークやPCなどの技術的な部分を介さず、パスワードなどの情報を盗み取ることをソーシャルエンジニアリングといいます。

例えば、管理者を装って電話でパスワードを要求する、パスワードを入力しているところを肩越しに盗み見る、などの方法があります。

一見引っかかりにくく思えるかもしれませんが、電話の場合はなんらかの方法で入手したユーザー名を出して信憑性を高めるなど、ソーシャルエンジニアリングでは心の隙を突いた巧妙な手口を使ってきます。

サイバー攻撃による被害事例

サイバー攻撃は、深刻な被害をもたらすことがあります。近年、サイバー攻撃によって発生した被害事例を紹介します。

ウクライナの電力会社で停電被害発生

2015年12月、マルウェアを使った不正な侵入によって引き起こされた被害です。変電所のスイッチやブレーカーを制御するシステムが乗っ取る仕組みで、約25万人分の電力供給が遮断され、大停電が発生しました。さらに、ウクライナでは政府組織やインフレを狙った犯行が相次ぎ、省庁機関や鉄道会社のサーバーが、サイバー攻撃により被害を受けています。

不正アクセスによる情報流出・高知県立大

2018年8月、不正アクセスにより、内部情報の一斉送信やパスワードの変更などの被害が発生しました。早朝に全教職員あてに、不祥事対応の協議記録などの内部情報が送信されたことで発覚。調査の結果、学内のメールが外部に流出し、管理者パスワードが変更され、約20人分のユーザー登録が削除されていることが判明しました。

サイバー攻撃を念頭に置くこと

サイバー攻撃はいつでも起こりえます。法人・個人に関わらず、インターネット環境下では常に影響を受ける可能性があるということを念頭に置いておかなければなりません。サイバー攻撃を他人事と考えているユーザーやセキュリティの甘いシステム、サービスであるほどハッカーによる攻撃を受けやすくなります。まずは「サイバー攻撃についていかに無知か」ということを知り、十分に対策をすることが重要です。企業では、膨大な量の個人情報や機密情報を取り扱っているはずです。サービスやシステムに関わる全員のセキュリティ意識の向上に努めるほか、セキュリティ管理の専門の担当者や部署を設置することも大切です。

他人事と思わず、サイバー攻撃を受けるかもしれないという危険を常に意識して、被害にあう前に各自でできる対策をすることが肝心です。

 

 

サイバー攻撃の対策方法

サイバー攻撃を未然に防ぎ、被害を最小限に抑えるためには、日頃からの対策が必要です。今回は、個人向けと組織向けそれぞれの基本的な対策方法を紹介します。

1.セキュリティソフトの導入

マルウェアの侵入を防ぐためには、セキュリティソフトの導入が不可欠です。一般的なセキュリティソフトは、ネットワークに侵入するマルウェアを防ぐファイアウォール機能と、マルウェアを検知して駆除する機能が搭載されています。しかし、こうした機能が搭載されていても設定が不十分だったり、リストのアップデートが行われていなかったりすると、十分な効果を発揮できません。そのため、セキュリティソフトがきちんと機能しているか見直しことも大切です。

また、セキュリティソフトを入れていても100%、マルウェアの侵入を防げるとは限りません。より確実に未知の脅威にも対抗するためには、最新型のセキュリティシステム「AppGuard」の導入がおすすめです。

従来のセキュリティソフトの主流だった、マルウェアを検知して排除する仕組みではなく、アプリケーションをコンテナ化し、通常の動作以外は行えないようにする仕組みを採用しています。この仕組みにより、マルウェアが侵入してしまっていても不正な動きをさせません。大企業はもちろん、中小企業や個人でも導入件数が増えています。

2.OS・ソフトウェアのアップデート

サイバー攻撃は、PCのOSやソフトウェアの脆弱性を突いてネットワークに侵入し、破壊や改ざんを行います。こうした脆弱性を突かれないためには、組織での利用・個人での利用を問わず、OSやソフトウェアの開発元が提供しているアップデートを適用することが必要です。アップデートの発表後はなるべく間を置かずに、すぐに適用することが求められます。

システムの脆弱性が判明し、アップデートパッチが配布されている時点で、その情報を知った悪意を持つハッカーも新たな仕組みを開発する可能性があるためです。アップデートの更新を行い、最新の環境を整えましょう。

3.機器設定の見直し

ネットワークへの侵入は、インターネット接続を介したものだけではなく、外部機器の接続によって起きることもあります。代表的な例は、USBメモリなどの持ち運びが容易な記録媒体です。近年ではPCにUSBで接続して電力を供給する卓上扇風機を無料で配布し、そこからウイルスを感染させるという仕組みも登場しています。USBなどの外部機器は、安全が確認されたものだけを使用し、定期的にウイルスチェックを行うように、社内で周知を行うことが重要です。また、個人で利用する際にも同様の注意をしましょう。

その他にも、無線LANやクラウドも、外部からアクセスできるようになっていないか、確認する必要があります。

4.パスワード管理の徹底

パスワードの解析を防ぐためには、長く複雑なものにすることが重要です。必ず数字と英文字、記号を組み合わせた意味のない文字列にして、最低8桁以上のパスワードにするようにしましょう。また、複数のサービスで同じID・パスワードを使いまわさないことも重要です。さらに、パスワードをみだりに明かしたり共有したりしないように気をつける必要があります。

社員同士や家族同士であっても、パスワードの貸し借りや、個人パスワードでログイン済みPCの共用を控えるように周知を徹底していきましょう。また、パスワードなどの機密情報を入れた記録媒体の盗難や紛失などの過失にも注意が必要です。

5.バックアップをこまめに行う

サイバー攻撃に備えるためには、侵入を防ぐだけではなく、万が一の可能性を考えてデータのバックアップをとっておくことも重要です。被害の状況によってはデータが破壊されてしまったり、ウイルスを取り除くためにデータをリセットしてOSを再インストールしたりしなければならない場合もあります。こうした事態に備え、組織でも個人でもバックアップはこまめにとっておくことが重要です。

また、サイバー攻撃だけではなく、災害や事故からデータを守るためにも、バックアップ設定はしっかり行っておきましょう。

6.個人ですべき対策

個人では、企業などが行うような大掛かりなセキュリティ対策が難しくなります。そのため、少しでも不審に感じた場合はクリックしないことを徹底しましょう。心当たりのないメールやメッセージは開かず、違法なダウンロードができるサイトや、違法なファイルが閲覧できるサイトは訪問しないように自衛してください。個人情報の登録が必要なサービスに登録するときには、本当にそのサービスが必要なのかを熟考してから登録するなど、みだりに個人情報をばらまかない工夫も必要です。

利用するパスワードやアドレスを限定してしまうと、一度サイバー攻撃を受けてしまうと芋づる式に被害が拡大してしまう可能性もあるため、パスワードやアドレスは複数のものを使い分けましょう。

7.組織ですべき対策

組織の場合も、不審なメールやメッセージに触らない、違法なサイトにアクセスしないといった対策は同じです。企業に対するサイバー攻撃は、取引先からのメールを装うなど個人あての不審メールよりも巧妙に偽装されています。個々人のセキュリティ意識を高く持つとともに、運用アカウント管理の徹底、ログ監視の強化、セキュリティ管理者の設定など、セキュリティシステムの構築が必要不可欠です。

サイバーテロが可視化できるツールについて

サイバーテロの危険性を知ったうえでも現実味がわかないという方は、実際に世界中で「サイバーテロがどの程度起きているのか」の可視化が可能なツールを利用すると良いでしょう。

可視化ツールとして著名なもののひとつが「Atlas」です。こちらの可視化ツールは純日本製で、リアルタイムでサイバーテロが横行する状況を確認することが可能です。ウイルスやマルウェアなどからの不正アクセスが「ダークネット」という「使用可能だが、だれも利用していないIPアドレス」に到達した場合、Atlasにアニメーション表示されます。ダークネットへのパケットの到達を観測することで不正な活動の傾向を把握することも可能ですし、単純にサイバーテロのリアルタイムな状況を視覚的に認知することも可能です。

参考:Atlas

 

サイバー攻撃は日々の対策が重要

さまざまな機器がインターネットに接続されている現代では、サイバー攻撃はいつ発生してもおかしくはありません。そのため、何かが起きてから対処するのではなく、普段から対策をとっておくことが必要です。社内のセキュリティ意識を高め、サイバー攻撃を未然に防いでいきましょう。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

関連記事

  1. セキュリティ

    IoT普及の落とし穴、 セキュリティ問題から考える新たな企業課題

    工場や店舗を始めとして、活用シーンが広がり続けるIoT。センシング…

  2. セキュリティ

    ランサムウェアの事例7選|世界的な大規模感染事例から国内事例まで

    悪意をもってPC内に侵入し不正を行うマルウェアのうち、PCをロック…

  3. セキュリティ

    他人事ではない標的型攻撃!具体的な事例と被害に遭わないための対策

    悪意をもってPCやサーバーに攻撃を加えるサイバー攻撃には、さまざま…

  4. セキュリティ

    セキュリティ担当者必見!情報資産を守る三大要件「CIA」とは

    情報セキュリティは企業において重要な取り組みと言えますが、情報セキ…

  5. セキュリティ

    もし万が一感染してしまったら?マルウェアの具体的な特徴と駆除の方法

    PCを使用するうえで気をつけたいのは、悪意をもってなんらかの被害を…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。