情報セキュリティ突破、サイバー攻撃の全手口

サイバー攻撃といっても、最近注目されている身代金要求型の不正プログラム「ランサムウェア」から、ネットワークコンピューター社会の興隆当初から存在する「DDoS攻撃」(標的企業の複数のクライアントから大量のパケットを送信するように仕掛けサーバ機能を麻痺させる)まで、さまざまです。サイバー攻撃の手法について整理して俯瞰してみることが大切です。

サイバー攻撃の全容

サイバー攻撃の手口について、攻撃の種類とその目的、犯人像について考察してみましょう。

深刻な被害が予想される「標的型攻撃」

標的型攻撃はまず、ターゲットにした企業のシステムについて事前調査をし、取引先や関連団体(協会や管轄省庁)の名前の偽装メールを送ります。そして、添付した不正プログラムから目的のデータまで段階的にたどり着き、必要な情報を入手します。転売で金銭が得られる個人情報の入手が主な目的で、計画的で巧妙であるため発覚に時間を要することも少なくありません。ターゲット企業とパートナー関係にある協力会社のセキュリティの脆弱さを利用し、「踏み台(不正プログラム等の最初の感染経路)」にして、侵入することもあるので厄介です。

サイバー攻撃の主な分類
大分類 中分類 攻撃対象 攻撃内容 犯人像
標的型 標的型サイバー攻撃 特定の企業や団体にターゲットを絞った攻撃 個人情報などの転売を考えた金銭目的 金銭などが目的の組織犯や単独犯
データベースの改ざんなど、かく乱を目的にする
不特定目標攻撃 不特定の多数の攻撃を目指す 不特定多数からの個人情報や金銭目的のための情報入手
その他 DoS/DDoS攻撃など 攻撃対象は絞られるが選定の明確な基準がない。 企業や団体のシステムダウン 個人や特定目的の集団や愉快犯
Webページの改ざん
  • 参照
    (独)情報処理推進機構の資料をもとに作成

サイバー攻撃の可能性の高い不正プログラムを潜ませたメールについては件数が上昇中です(下グラフ)。許可されていないメディア(USBのような外部メモリ)のパソコンへの接続や、業務外のWebサイトへのアクセスは禁止できても、メールについては利用者が真偽を見分けなければならないので防ぐのは難しいです。例えば、関連団体や取引先を装ったものなら開封してしまう確率は高いでしょう。

標的型メール攻撃の件数の推移

フィッシングメールやランサムウェア

このように不正プログラムを仕込んだメールを不特定多数に送ったり、偽のWebサイトに誘導したりして不正プログラムに感染させたりするなどのサイバー攻撃の被害件数は増加中です。昨年から被害が報告されている不正プログラム「ランサムウェア」(感染した機器をロックし解除に金銭<身代金>を要求する)も、不特定多数を攻撃目標としています。データを暗号化させてしまうといったランサムウェアも見られ、企業のサーバ上のデータが被害に遭うと、個人のようにデータを消去して回復させるというわけにはいかないので深刻です。

ばらまき型とそれ以外の標的型メール攻撃の割合
ばらまき型 ばらまき型以外
2015年上半期 92%(1,347件) 8%(125件)
2015年下半期 92%(2,161件) 8%(195件)
2016年上半期 85%(1,667件) 15%(284件)
  • 引用
    警視庁「平成28年上半期におけるサイバー空間をめぐる脅威情勢等について」

今も猛威をふるうDDoS攻撃

DDoS攻撃は、複数のコンピューターから特定のネットワークへアクセスを集中させ、通信容量を超えさせることでシステムをダウンさせます。これまではある主義主張のためや、腕前を誇示するための目的などが中心でした。近年は、オンライン・システムの障害によって大きな被害を受ける金融機関などを対象に、攻撃停止を条件に金銭を要求する例も見られます。その背景にはDDoSの技術がそのような目的をもった人たちの間で一般化していることがあります。腕前を誇示するかのように公共の団体や有名企業を襲う例が後を絶ちません。

攻撃の変化と予測

サイバー攻撃の技術や手口、犯人の目的は常に変化していることを念頭に置きましょう。

標的型サイバー攻撃の増加と高度化

「標的型サイバー攻撃」は、APT(Advanced Persistent Threat)という英訳のとおり、Advanced(進歩的)でPersistent(執拗)な攻撃になってきます。目的は、金銭目当ての個人情報の入手ですが、特定の企業を狙って事前の調査を経て、目的が達せられるまで何度も行われます。犯人も、組織力を活かしたプロフェッショナルであるため、セキュリティの突破力も隠ぺい策も巧妙です。犯行後に発覚を遅らせ、足跡を消す手法も確立されており、一度侵入を許すと損害は未曾有の規模になる危険があります。

金銭以外の目的も

また、目的を個人情報の不正入手とせず、データを改ざんするにとどめる攻撃もあります。その結果、企業が業務に大きな混乱をきたしてから、ようやく気づくといったケースが起こりうるとされます。例えば、もし顧客情報の購入金額などがそれぞれ微妙に書き換えられていたら、発覚が遅れるだけでなく、被害の範囲を把握するのも難航します。情報を盗まれることによって膨大な検査・修復コストがかかるリスクがあるのです。そのほか、企業の機密情報や顧客情報などを公表するかたちで被害を与える犯罪も増えてくると見られています。
サイバー攻撃の目的はこのように、金銭目当ての個人情報入手から、その企業の存在自体を危うくさせることにまで広がると想定されます。個人情報を保有している・していないにかかわらず、どの業種・業態の企業であってもターゲットにされる危険があると考えるべきでしょう。

近い将来を見据えた定期的な対策の見直しの必要性

これまで述べてきたように、サイバー攻撃の分類や目的は多様化しています。

サイバー犯罪の検挙件数の推移
漏えい原因 2011年 2012年 2013年 2014年 2015年 2015年上 2016年上
不正アクセス禁止法違反 248件 543件 980件 364件 373件 116件 285件
コンピュータ・電磁的記録対象犯罪、不正指令電磁的記録に関する罪 105件 178件 478件 192件 240件 76件 222件
ネットワーク利用犯罪 5,388件 6,613件 6,655件 7,349件 7,483件 3,545件 3,740件
5,741件 7,334件 8,113件 7,905件 8,096件 3,737件 4,247件
  • 引用
    警視庁「平成28年上半期におけるサイバー空間をめぐる脅威情勢等について」

攻撃される側はいろいろな目的の攻撃者を想定し、備えなければなりません。これらの攻撃に対しては、メールやWebサイトへのアクセスなど、不正プログラムなどの入口となる水際対策がまず重要であり、かつ、データへのアクセスや金融機関での不正な引出しの監視など、感染後を前提とした出口での対策も求められます。
定期的な見直しはもちろん、現在のシステムの妥当性を診断する機会も重要です。業務プログラム開発の委託先にセキュリティもそのまま任せている場合は、第三者のセカンドオピニオン的な診断を受けるのもひとつの方法です。

診断 現在のシステムの耐性を診断 セキュリティの耐性を診断、不正プログラムのあるファイル、標的型メールの調査。
対策 新種の攻撃を含めた耐性の強化 Webフィルタリング、不正プログラム検知、標的型メールに対する従業員の教育。
運用 緊急時の対応計画の策定、定期的なセキュリティ教育、標的型メールに対する対応訓練。

多様化するサイバー攻撃の対策としては、システムによる対策の強化と同時に、従業員の訓練の必要性もあります。これまで社員へのセキュリティ教育は、ID/パスワードの管理やデータを持ち出した際の注意など、紛失・漏えい事故に対するものが中心でした。今後は、外部からの攻撃についての情報共有と実際的な対応訓練も求められるようになるでしょう。

お問い合わせはこちら

当社はセキュリティ保護の観点からSSL技術を使用しております。

ページの先頭へ