Introduction
甚大な金銭的損害や社会的信用失墜を招くサイバー攻撃は、企業にとって大きなリスクとなる犯罪被害です。その手法は多様化しており、対策を講じるためには、サイバー攻撃の概要を理解しておく必要があります。
この記事では、サイバー攻撃の種類や日本での被害事例、対策について詳しく解説します。
目次
サイバー攻撃とは?
サイバー攻撃とは、防衛省・自衛隊の『自衛隊のサイバー攻撃への対応について』によると、以下のように定義されています。
サイバー攻撃
情報通信ネットワークや情報システム等の悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃(分散サービス不能攻撃)等
サイバー攻撃の目的は、金銭盗取や機密情報の窃取、産業スパイ活動など多岐にわたります。また、近年ではシステム環境の多様化に伴い、標的となるシステムや攻撃者の手法も増えています。
近年におけるサイバー攻撃の特徴
警視庁の調べによると、令和4年に検挙されたサイバー犯罪は12,369件で、過去5年間の最高数に達しています。
サイバー攻撃のうち、ランサムウェア被害を受けた企業・団体を対象にした調査では、調査・復旧費用の総額として、1,000万〜5,000万円を要したとの回答が最多の33%を占める結果です。5,000万円以上との回答も13%あり、金銭的に甚大な被害がおよぶ犯罪であることがうかがい知れます。
また、近年のサイバー攻撃で用いられる手法は、警視庁の『サイバー攻撃』によると以下のとおりです。
近年のサイバー攻撃で用いられる手法
攻撃対象のコンピュータに複数のコンピュータから一斉に大量のデータを送信して負荷を掛けるなどして、そのコンピュータによるサービスの提供を不可能にするDDoS攻撃や、セキュリティ上のぜい弱性を悪用してコンピュータに不正に侵入し、又は不正プログラムに感染させることなどにより、管理者や利用者の意図しない動作をコンピュータに命令する手法等
代表的なサイバー攻撃の種類
サイバー攻撃にはさまざまな手法があります。ここでは、代表的な手法や注意すべき攻撃について攻撃の狙いや手口、考えうる被害について解説します。
マルウェア
マルウェアとは「malicious software(悪意があるソフトウェア)」 の略語です。端末に不具合を起こすことを目的に、意図的につくられた悪質なソフトウェアを広範囲にマルウェアと呼びます。一見無害に見えるファイルやアプリケーション、フリーウェアなどを介して、パソコンに入り込む手口が用いられています。
マルウェアについてはこちらもご覧ください。
>>マルウェア対策とは?特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介のページへ
ランサムウェア
ランサムウェアとは、警視庁の『マルウェア「ランサムウェア」の脅威と対策(脅威編)』によると、以下のように定められています。
ランサムウェア
身代金という意味を持つ英単語の「Ransom(ランサム)」と、コンピュータウイルス等を含むコンピュータに何らかの処理を行うプログラムなどを指す「Software(ソフトウェア)」を組み合わせた造語
感染させた端末内のデータを利用できない状態にし、データと引き換えに金銭を要求することを目的とします。さらに、盗んだデータを公開するという脅迫行為も行う「二重恐喝」が仕かけられる場合が多いことも特徴です。
ランサムウェアについてはこちらもご覧ください。
>>ランサムウェアとは?種類や被害事例、感染を防ぐための対策まで詳しく解説のページへ
DoS攻撃・DDoS攻撃
DDoS攻撃とは、警察庁の『DDoS攻撃への対策について(概要)』によると、以下のように定めています。
DDoS攻撃
攻撃者などが不正に操作した多数のパソコンなどから、攻撃目標に一斉に多量の問い合わせなどを行い、攻撃対象の反応が追いつかず利用できない状況にする攻撃
DoS攻撃は、同様の攻撃を1台のデバイスで行うものであり、被害の規模はDDoS攻撃の方がより大きいです。
DoS攻撃・DDoS攻撃を受けると、サーバーダウンによるサービス停止やほかの不正アクセス・ウイルス感染へのリスク拡大などの被害が生じます。サービス停止による売上機会の損失や原因調査・復旧のための費用などにより、大きな経済的被害も発生します。
標的型攻撃
標的型メール攻撃
業務に関連した正当な電子メールを装い、市販のウイルス対策ソフトでは検知できない不正プログラムを添付した電子メール(標的型メール)を送信し、受信者のコンピュータを不正プログラムに感染させる
標的型攻撃は、機密情報を盗みとることなどを目的としています。無差別に拡散させるマルウェアに比べ、相手を絞り込んで攻撃する精度の高い手法です。
サプライチェーン攻撃
サプライチェーン攻撃とは、警視庁の『サプライチェーン攻撃篇』によると、以下のように定義しています。
サプライチェーン攻撃
大企業を攻撃のターゲットとする際、直接攻撃するのではなく、比較的セキュリティの甘い関連企業を経由して攻撃をする
サプライチェーン攻撃は、マルウェアや標的型攻撃、人的ミスなどを介して行われます。サプライチェーン攻撃のリスクとしては、製品やサービスの製造・流通プロセスにおける情報漏洩、システム侵害などがあげられます。
Emotet
Emotetとは、警視庁の『Emotet対策』によると、以下のように定義しています。
Emotet
主にメールの添付ファイルを感染経路としたマルウェア(不正プログラム)
過去にやりとりしたメールの返信メールを装い、添付ファイルの開封を促すメールを送信します。添付ファイルを開封すると端末がマルウェアに感染し、メールアカウント、パスワード、メール本文などの情報が窃取されます。感染したアカウントのメールアドレスとパスワードを変更しない限り、社内外に被害が広がりつづける悪質な手法です。
ゼロデイ攻撃
ゼロデイ攻撃とは、OSやソフトウェアの新たな脆弱性を狙った攻撃です。問題の公表や修正プログラムの提供前に攻撃されるため「0日=ゼロデイ」と呼ばれています。ゼロデイ攻撃は、主にメール添付ファイルやWebサイトの改ざんなどにより行われます。
ゼロデイ攻撃により不正アクセスやなりすましが行われると、ほかの端末を攻撃したり、顧客の情報が流出したりするなど、社会的な信用に関わる被害につながってしまうのです。
パスワードリスト攻撃
パスワードリスト攻撃とは、警視庁の『IDとパスワードの適切な管理』によると、以下のように定義しています。
パスワードリスト攻撃
何らかの方法で不正に入手したID・パスワードの組み合わせをリスト化し、他のサービスにも不正アクセス
IDとパスワードの入手方法としては、フィッシングメールや脆弱なWebサイトからの漏洩などがあります。ログイン情報を悪用した金銭盗取や、顧客情報の流出などの被害が起こるリスクがあります。
フィッシング詐欺
フィッシングとは、警視庁の『フィッシング対策』によると、以下のように定義しています。
フィッシング
実在のサービスや企業をかたり、偽のメールやSMS(携帯電話のショートメッセージ)で偽サイトに誘導し、IDやパスワードなどの情報を盗んだり、マルウェアに感染させたりする手口です
フィッシングにより情報が盗まれると、アカウント乗っとりによる金銭被害や、端末内にある電話帳などの情報の窃取 が生じることがあります。
SQLインジェクション
SQLインジェクションとは、警視庁の『特集II:安全・安心で責任あるサイバー市民社会の実現を目指して』によると、以下のように定義しています。
SQLインジェクション
SQL(Structured Query Language)というプログラム言語を用いて、企業等が管理するデータベースを外部から不正に操作する行為
攻撃を受けると、データベースの情報が盗まれたり、改ざんや消去が行われたりするなどの被害が生じます。企業の機密情報や個人情報の流出につながり、企業活動にも甚大な被害を招く攻撃です。
SQLインジェクションについてはこちらもご覧ください。
>>SQLインジェクションとは?手口や被害事例、対策をわかりやすく解説のページへ
OSコマンドインジェクション
OSコマンドインジェクションとは、Webアプリケーションの脆弱を突いた攻撃のことです。Webサイト上のフォームなどを通して、攻撃パターンを含む入力データを送信し、OSコマンドを不正に実行します。
OSコマンドの不正実行により、サーバー内ファイルの閲覧、改ざん、削除や不正プログラムのダウンロードなどが可能です。結果として、情報漏洩やほかのシステムへの不正アクセスといった被害につながります。
クロスサイトスクリプティング
クロスサイトスクリプティングは、Webサイトに悪意のあるコードを送り、ページを閲覧した不特定多数のユーザーにスクリプトとして実行させる攻撃です。掲示板やショッピングサイトなど、ユーザーの入力内容が表示されるタイプのサイトで多く発生します。
ユーザーが不正スクリプトを実行すると、偽のログインフォームに入力したパスワードやユーザー情報、保存されたcookieが盗まれるなどの被害が生じます。
クロスサイトスクリプティングについてはこちらをご覧ください。
>>クロスサイトスクリプティング(XSS)とは?手口や被害事例、対策をわかりやすく解説のページへ
国内におけるサイバー攻撃の被害事例
サイバー攻撃の被害事例は、国内でも数多く見られます。ここでは、以下3つの事例を解説します。
病院を狙ったランサムウェア攻撃
某県立病院では、ランサムウェアに感染している端末を院内ネットワークに接続したことが原因で、ランサムウェア攻撃を受けました。放射線撮影装置による再撮影事案が発生し、ウイルス感染の発見と特定に至りました。
大学を狙ったSQLインジェクション
某国立大学では、サーバーにデータを送り、脆弱性を攻撃するSQLインジェクションの被害を受けました。システムへの不正アクセスにより、約2,000件のメールアドレスが漏洩した可能性があるとしています。
Emotetの感染拡大
メールをばらまく手法「Emotet」は、日本を含む200ヶ国以上で拡大しており、被害総額は25億ドル にのぼるといわれています。
2021年11月には、正規でやり取りしていたメールに「RE:」をつけ、割り込んで返信する手法で大規模なメールのばらまきが行われました。また、年末には12月賞与、2020年1月には新型コロナウイルスを題材にしたメールが確認されており、社会的な関心事に便乗した手口が用いられています。
サイバー攻撃の被害にあわないための対策
サイバー攻撃の被害にあわないためには、攻撃者の手法や狙われやすいシステムの構造を理解し、対策をとることが重要です。ここでは、サイバー攻撃に有効な5つの対策を解説します。
メールに書かれたURLを安易に開かない
サイバー攻撃には、メールに添付された不正ファイルを介した種類のものがあります。不審なメールに書かれたURLは安易に開かないようにしましょう。やりとりなかの返信のように見えても、メール内に不自然な点があれば 警戒が必要です。
OS・ソフトウェアをつねに最新のバージョンに保つ
OS・ソフトウェアのベンダーは、脅威やセキュリティ上の脆弱性が見つかると随時修正を行い、ユーザーに最新バージョンへのアップデートを促します。つまり、アップデートしないと、セキュリティの脆弱性を放置していることになります。アップデートの通知は、すぐに対応するようにしましょう。
IDやパスワードの管理を厳重にする
端末やウェブサービスで使用するIDやパスワードの管理は、厳重に行うことが大切です。IDやパスワードが流出すると、不正利用や機密情報への侵入などにつながります。パスワードは推測されにくいものを選択し、他人の目に触れない場所に管理しましょう。
セキュリティソフトを実装する
サイバー攻撃は日々新たな手法が生まれており、OS標準のセキュリティソフトだけでは最新の脅威に対応できない場合があります。それで、標準搭載のものに加え、別途セキュリティソフトを導入するのがおすすめです。
高頻度かつ定期的なセキュリティ診断を受ける
セキュリティ診断とは、端末やアプリケーション、OS・ミドルウェアなどに疑似攻撃を行い、脆弱性を調べるものです。摘出した脆弱性に対して対策を講じ、リスクを回避できます。サイバー攻撃の手法はつねに進化しているため、セキュリティ診断も高頻度かつ定期的に行う必要があります。
関連サービスについて
脆弱性診断サービス資料
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
SHIFTの脆弱性診断は、ホワイトハッカーの診断プロセスを徹底的に標準化した、手動でもブレのない高い品質水準を誇る診断です。この資料では、脆弱性診断の課題やそれを解決するSHIFTのサービス、選ばれる理由などをまとめています。
まとめ
この記事では、サイバー攻撃の種類や日本での被害事例、対策について解説しました。
サイバー攻撃は多様な手法があり、金銭や情報の窃取など、企業に多大の被害をもたらす犯罪です。業務に端末やウェブシステムを利用することの多い企業では、サイバー攻撃対策は必須であるといえます。
SHIFTでは、ホワイトハッカーの診断プロセスを徹底的に標準化した、高い品質水準を誇るセキュリティ診断サービスを提供しております。セキュリティ診断の実施をご検討中でしたら、お気軽にお問い合わせください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ