サイバー攻撃者のタイプと手口とは
企業を攻撃する犯罪者は、「金銭目的の犯罪者」「スキルを誇示したい犯罪者」「思想や主義に基づく犯罪集団」「国家の諜報活動」の4つに分類できます。
金銭目的の犯罪者(窃盗犯)
これが最も多い犯罪者あるいは集団です。情報を売って商売や小遣い稼ぎをしようとします。手口としては実に単純で、例えばスマホにファイルデータをコピーして持ち出すといったものが挙げられます。
スキルを誇示したい犯罪者(愉快犯)
かつてサイバー攻撃の犯罪者はほとんどこのタイプでした。今でも若い世代に多く見られ、例えば、あるホームページに不正ログインしWebページを改ざんするといったものです。
このような若年層の犯罪が成立する背景には、サイバー攻撃用の無料アプリの存在があります。他人の無線LANにただ乗りするツールもIDやパスワードを盗み出すツールも公開されています。
同じ思想や主義に基づく犯罪集団
愉快犯を通り越し、同じ思想を持つ犯罪者が集団化して、特定の企業や機関を攻撃する例が目立っています。最も有名な集団がアノニマス(Anonymous)です。日本でも捕鯨反対を目的に自治体のホームページにDDoS攻撃をしかけています。
また以下の記事ではアノニマスについて詳しく解説しています。アノニマスの概要や日本における攻撃事例について知りたい方は参考にしてください。
国家の諜報活動
敵対する国の機密情報を盗み出そうとする国家やそれに準ずる組織がこれに該当します。このレベルになると、仮想空間の戦争状態です。IoT時代と呼ばれる現代において、データの価値はますます高まるとともに国家レベルの諜報活動としてサーバー攻撃が行われることがあります。
サイバー攻撃者が狙う情報とは?
これまでサイバー攻撃者の種類について確認してきました。それでは攻撃者はどのような情報を狙って攻撃するのでしょうか?ここではサーバー攻撃で狙われる情報について解説します。
マイナンバー
現在の日本で、最も狙われやすい情報はマイナンバーでしょう。この背景としては、政府がマイナンバーの利用範囲を金融や医療分野などへと拡大することを想定し厳重な管理を要請していることにあります。特に意図的な情報漏えいには「4年以下の懲役若しくは200万円以下の罰金または併科」が処されるほど厳重な管理を呼び掛けています。
また、意図的な漏えいではなくても、無防備に扱っていたがためにマイナンバーを盗まれ、犯人から金銭を要求されるといったケースが出てくる可能性もあります。意図しないマイナンバーの漏洩で被害を受けないためにも万全の対策が求められています。
個人情報
メールアドレスや口座情報、クレジットカードナンバーや住所などの個人情報もターゲットになりやすいです。
とくに、口座番号やクレジットカードの番号は流出すると金銭的にダメージを受けることもあるため、厳重なセキュリティ対策をしておくことが重要でしょう。
次にサイバー攻撃がどこを狙って攻撃してくるかを確認してみましょう。
サイバー攻撃者が狙う場所とは?
これまでサーバー攻撃者が狙う情報について解説してきました。それでは狙った情報をどこでどのように入手するのでしょうか?ここではサイバー攻撃で狙われる場所について解説します。
1. ネットワークの入口
ネットワークには基本的に入口と出口が存在します。またそれら玄関口(ゲートウェイ)には、複数のネットワーク機器や通信機器がまとめられています。
そして外部ネットワークから攻撃を仕掛けるためには、ネットワークの入口に設置されている、これらの機器を突破して内部ネットワークに侵入する必要があります。つまり攻撃者はこれらの機器の特性や脆弱性を熟知しており、巧妙に侵入を試みるということです。
また狙われる場所はネットワーク機器の脆弱性だけではありません。「人間の油断」も利用されることがあります。特にIDやパスワードを使いまわしている場合や、簡単に推測できるパスワードを利用している場合は、ログイン操作を機械的に繰り返すことでパスワード探り当て簡単に侵入されてしまします。
そして仮に侵入できなくても、想定以上のデータを転送して、回線を逼迫し正常な転送を妨害したり、回線から流れ出る電波を傍受して解読し、重要なデータを盗む出される可能性もあります。
2. パソコンやスマートフォンなどの端末
「自分のパソコンには、機密データなんて保存されていないから」と楽観している方もいることでしょう。しかし重要なデータが入っていなくとも、攻撃者は従業員の使っているパソコンを執拗に狙ってきます。目的はそのパソコンではなく、社内ネットワークに接続されたパソコンから目的とするシステムに忍び込むためです。
いかにもありそうな関係者名でマルウェアを仕込んだ添付ファイル付きのメールを送付し、ユーザがそのファイルを開くことでパソコンにマルウェアを侵入させます。そして侵入したマルウェアはバックドアといわれる通信の入口を勝手につくったり、IDやパスワードなどを盗み出したりします。
こうして外部から遠隔操作できるようなった社内のパソコンから簡単に重要な機密情報を盗み出すことができます。パソコンが社内ネットワークや社内システムに接続されていれば、それで十分なのです。
3. サーバなどデータの処理・保存の場所
攻撃者はネットワークやパソコンを介してサーバやデータベースを狙います。以前のウィルスを無差別にばらまく愉快犯のような攻撃と現在のサイバー攻撃は、その目的がまったく違います。攻撃者にとって価値のある情報を盗み出すことが目的なのです。これは侵入ハッキングを誇示することはなく、長期間にわたって侵入を気づかれないようにすることを意味します。
また対策としては、以下で紹介するようなサーバやデータベースの特徴を踏まえてそれぞれ専用の防御システムを構築することが大切です。
データベースサーバ
システムの頭脳となる極めて重要なデータを格納し処理しています。攻撃者はここに格納されている情報を盗むのが目的で忍び込んできます。データベースへのリクエストに使われる「SQL」などのデータベース言語を悪用して、情報を盗み出そうとします。
そのため、重要なサーバを守れるようにセキュリティ機器などで隔離する方法が最善です。またデータベース専用のセキュリティシステムもあります。しかし、強固なセキュリティと日常の利便性は相反することもあるためバランスも意識しつつ対策することが大切です。
Webサーバ
Webコンテンツが格納されているサーバです。サーバ内にある個人情報などを盗み出すだけではありません。多くの人が利用するWebサービスのコンテンツ内に不正なプログラムを書込み、利用者から様々な情報を盗み出したり(水飲み場型攻撃)、偽のサイトに誘導することもあります。このようなWebコンテンツの不正な書き換え(改ざん)も、しばしばニュースとして取り上げられています。
Webサーバは外部に対して公開することを前提としているため、外部から隔離されている社内サーバと比べると攻撃を受けやすく、防御するためにはWAFなどの特別な防御システムが必要になります。
また水飲み場型攻撃やWebコンテンツの改ざんといった標的型攻撃について以下の記事で解説しています。標的型攻撃から社内ネットワークを守りたい方はぜひ参考にしてください。
サイバー攻撃対策対策とは
これまでサイバー攻撃者の特徴や手口についてみてきました。このようにセキュリティリスクは日に日に増加しており、業務停止、個人情報漏えい、金融詐欺、企業スパイ活動など被害の大きさや深刻さも増大しています。またこれらの対策のために、様々なサイバー攻撃対策製品・サービスが提供されています。
それでは次にサーバー攻撃対策について詳しく解説していきます。なお、製品選定に際しては、一見別の用途に思えても、実は自社の対策に対応していることがありますので、慎重に検討を進めていくことをお勧めします。
対策1:メール管理
標的型メール攻撃などメールを悪用したサイバー攻撃が後を絶ちません。手口は常に巧妙化しており、単にユーザー教育を実施するだけでは防ぎきれなくなっています。そこで、メールの形式・文面・添付ファイル等をチェックし、メール攻撃による被害を未然に防止できるツールが登場してきました。
こうしたツールでは、大容量メールや大量のメール(スパムメール)のブロック、添付ファイルにウィルスやマルウェアが存在しないかのチェック、知的財産や機密情報などのメール経由での漏えいの防止が可能です。さらに、メッセージヘッダーと本文の整合性をチェックしたり、埋め込まれたリンクの危険性を検証したり、様々な機能も持っています。
対策2:データベース管理
外からの攻撃ではなく、内部からの情報漏えいに備えるツールです。データベースのアクセス制御とユーザー統制(権限の付与、権限グループの設定など)、ユーザー登録・削除・情報変更などのワークフロー統制の機能を持ちます。
複数の種類のデータベースを所持する企業が、それらへのアクセスを一元管理したいときに威力を発揮します。最近の傾向としては、個人情報保護機能を強化しています。
対策3:端末(エンドポイントデバイス)管理
ユーザーのパソコン、プリンタ、通信機器、外部媒体(USBメモリなど)の利用を管理・制御するための製品・サービスです。
不正な端末仕様を防止するために利用時間や操作ログを取得したり、許可されたプログラムや操作以外の実行を防止したり、USBメモリなどを自動スキャン・利用制限する機能を備えています。また、ウィルスやマルウェアの対策だけでなく、分析用のログを残すなど包括的な管理も可能です。
対策4:攻撃検知対応
従来のセキュリティ製品は、ファイアウォール、IDS(Intrusion Detection System)など、侵入防止用のツールが主なものでした。
しかし、標的型攻撃やゼロデイ攻撃などの手口が巧妙化してきたため、万全を尽くしてもなお侵入されることを前提にサイバー攻撃対策を考えることが必要となってきています。
そのため、侵入をいち早く検知して、ネットワークの遮断などの対策を自動的に実行して、管理者にアラートを送る機能を持つツールが登場しました。中には、ファイルの改ざんやフォルダの作成・削除などを瞬間的に復旧するツールもあります。
対策5:セキュリティ関連サービス
セキュリティ対策は、リスクが大きいためある程度のコストをかける必要がありますが、それ自体が売上や利益につながるわけではないため、リソースを費やしたくないと考えがちです。このような背景から、最近需要が高まっているのがセキュリティ関連サービスです。
セキュリティポリシーの設定やツール選定の支援をするコンサルティングサービスから、ツール導入・設定、マニュアル化や教育、導入後の運用(24時間365日の監視や障害時対応、月次レポートや運用定例会議への出席など)といった支援サービスがあります。またコンサルティングなど、それぞれの分野に特化したサービス事業者と、全てをワンストップで提供するサービス事業者があります。
攻撃者を想定し、それに合った対策を!
「敵を知り、己を知れば百戦危うからず」という古いことわざもあります。好んで挑む戦いではありませんが、防戦は必須です。狙われる情報が自社にないか、どのようなサイバー犯罪者に狙われるかを想定し、対策を検討しましょう。
