高度化・巧妙化し続けるサイバー攻撃。その目的は？対策は？

警察庁が昨年９月に公表した広報資料（平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について）によれば、日本におけるサイバー犯罪は増加傾向にあるとのことです。

テクノロジーの進化に比例してサイバー攻撃の手口も年々高度化してきています。2019年はAI技術の発展やIoT製品の増加にともなって、それらに乗じたサイバー攻撃の増加が予想されています。また、リオデジャネイロオリンピック（2016年）や平昌オリンピック（2018年）の際に、大会ウェブサイトや組織委員会、関連する企業や団体などを狙ったサイバー攻撃が報告されたように、2020年に開催される東京オリンピックをターゲットとした大規模なサイバー攻撃が行われるのではないかと危惧されています。

今回は、改めてサイバー攻撃の概要を押さえておきましょう。ここでは、おもに企業などの組織に対するサイバー攻撃に焦点を当ててご紹介します。

サイバー攻撃とは

サイバー攻撃とは、サイバーテロともよばれ、ネットワークを通じてコンピューターシステムに侵入し、データの窃取や破壊、改ざんなどを行うことを指します。

冒頭でも触れましたが、警察庁が2018年9月20日に発表した (平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について）によれば、昨年上半期のサイバー犯罪の検挙件数は4,183件、サイバー犯罪等に関する相談件数は61,473件でした。これらの件数は、2013年の調査開始時から増加傾向にあり、2018年上半期は2017年の上半期に比べ減少しているものの依然として高い水準にあります。

サイバー攻撃の目的

サイバー攻撃は、政治的な主張や技術力のアピールを目的とした「愉快犯」、「経済的利益を目的とした攻撃」、そして特定の企業や組織が保有する情報を狙うサイバー攻撃、いわゆる「標的型攻撃」の３つに大きく分類されます。

「愉快犯」には、アノニマス、UGナチなど主義主張を発信し注目を集めようとするハッカー集団のほか、ハッキングのスキルを試すために攻撃を行い自己顕示する個人ハッカーも含まれます。

「経済的利益を目的としたサイバー攻撃」には、例えば、オンラインバンキング口座の認証情報を窃取して不正送金を行ったり、ランサムウェアと呼ばれるマルウェアに感染させてＰＣのデータを暗号化するなどして使用不能な状態にし、復元の見返りとして金銭を要求したりする手口などが有ります。狙われる対象が十分な対策を施していれば、攻撃者は攻撃の利益とコストを勘案し、攻撃対象を変更する可能性が有ります。

しかしながら、「標的型攻撃」においては、攻撃対象の対策の実施状況に関わらず、目的とする情報を窃取するまで執拗に攻撃を繰り返すという特徴があります。機密情報や知的財産を窃取するスパイ活動、ECサイトやWebサービスのサーバーをダウンさせたりデータを破壊したりして営業妨害や業務妨害を行い、その見返りとして金銭を受け取ったりしています。

サイバー攻撃の種類

①標的型メール攻撃

添付ファイルやメール本文のリンク先にマルウェアを仕込み、開かせることで感染させる手口です。近年、実在する組織のメールアドレスを模した発信源を使用したり、個人やフリーランスの仕事関係者を偽装してフリーアドレスから発信したり、転送や再送を偽装するなりすましメールの確認を装ったりするなど巧妙化しており、受信者がそれと気づかずに開封したりURLリンクをクリックしたりしてしまいやすいものになっています。

なお、同じ件名・文面の標的型メールが複数個所（警察庁の定義では10ヵ所以上）に送られるものは「ばらまき型攻撃メール」とよばれます。この場合、不審なメールの件名・文面を社内またはネット検索で確認することで、サイバー攻撃かどうかをある程度判断することができます。

②脆弱性に対する攻撃

ソフトウェアの脆弱性（設計ミスや実装ミスにより、本来はできないはずの操作ができたり、第三者に見えてはならない情報が見えてしまったりする）や、セキュリティ対策の甘さを突いて攻撃する方法です。パッチリリースやアップデート情報などの脆弱性情報を悪用した「既知の脆弱性攻撃」と、公表前の脆弱性を狙う「ゼロデイ攻撃」があります。また最近では、パッチ公開直後を狙う「ハーフデイ攻撃」と呼ぶものもあります。

狙われる脆弱性としては、バッファオーバーフロー、シェルショック、ハートブリード、SQLインジェクション、OSコマンドインジェクション、クロスサイトスクリプティング、DNSキャッシュポイズニングなどがあります。

近年、IoT機器数が増加していることから、これらの脆弱性に対する攻撃も増加しています（参考：NICTER観測レポート2017 ）。IoT機器に使用されているソフトウェアは、既存のOSやアプリケーションをベースに独自開発しているものが多く、容量の少ないデバイスにインストールするためセキュリティ面の配慮が不十分であることが少なくないため、攻撃者にとって狙いやすいのです。

③DoS攻撃・DDoS攻撃・DRDoS攻撃

これらは、基本的にWebサービスに対して行われるサイバー攻撃で、サービスを提供不能にしてしまいます。

DoS攻撃（Denial of Service attack）には、フラッド型、F5攻撃、脆弱性攻撃型、メールボムがあります。それぞれ、対象が処理しきれないほど大量のデータやリクエスト、メールなどを送信したり、脆弱な部分に高負荷をかけたりすることで機能を麻痺させます。

DDoS攻撃（Distributed Denial of Service attack）は2つに分けられます。一つは協調分散DoS攻撃とよばれます。DoS攻撃が攻撃者のコンピューターと対象者のコンピューターが1対1なのに対し、DDoS攻撃では、攻撃者が大量の踏み台のコンピューターを不正に乗っ取ったうえで一斉に攻撃をしかけることで高負荷をかけます。

もう一つがDRDoS攻撃（Distributed Reflective Denial of Service attack）です。まず、攻撃者は対象者のコンピューターになりすまし、大量のコンピューターに一斉にリクエストを送信します。すると、対象者は大量のコンピューターから一斉にリクエストの返答を受けるため、高負荷がかかってしまい、サービスを継続できなくしてしまいます。

また上記のように攻撃の手法ではなく、大量のデータを対象に送信することで「通信帯域を枯渇させる攻撃」や「コンピューターのリソースを枯渇させる攻撃」に分類することも可能です。

④水飲み場型攻撃

ターゲットがよく訪れるWebサイトに悪意のあるコードが埋め込まれ、訪れたユーザーにマルウェアを感染させる手法です。

⑤ブルートフォースアタック

総当たり攻撃ともよばれ、ツ－ルを使ってIDとパスワードのすべての組み合わせを試して認証の突破を試みる方法です。これにより、金銭や情報の窃取、Webサイト改ざんなどが行われます

⑥クリックジャッキング

Webページ上に、透明で見えない状態にしたリンクやボタンをかぶせてクリックさせ、悪意あるWebサイトへ誘導したり、Webカメラやマイクを作動させたり、非公開にしていた情報を意図せず公開させたりします。

近年では、ただ閲覧しただけでマルウェアがダウンロードされたり、そのままインストールされたりする方法が主流です。

⑦ドライブバイダウンロード

Webサイトを訪れたユーザーに不正プログラムをダウンロードさせるよう改ざんしておく手法です。なかには、改ざんされたWebサイトから、さらに不正プログラムが設置された別のWebサイトに誘導されて、そこでダウンロードさせられるという手の込んだタイプもあります。

内通者による情報漏えい

攻撃者が対象組織の内部に内通者を作り、内通者から攻撃に必要な情報を受け取って機密情報や金銭を搾取したり、Webサイト改ざんなどを行ったりする手法です。

すでに内部にいる人を勧誘したり退職者を内通者としたりするケースがありましたが、近年では、最初から内通者として人を雇い、組織内に送り込む手口が現れています。

サイバー攻撃の事例

ここで、実際に国内でサイバー攻撃の被害に遭った事例をいくつかご紹介します。

【標的型メール攻撃】日本年金機構（2015年）

2015年5月、日本年金機構の年金情報管理システムサーバーから、氏名と基礎年金番号など約125万件の個人情報が流出しました。原因は、2度にわたる標的型メール攻撃と、機構内の個人情報運用管理体制の甘さにあったとされています。

1回目の標的メールは、外部公開しているメールアドレスに宛てられた「『厚生年金基金制度の見直しについて（試案）』に関する意見」というタイトルのメールで、添付ファイルを開けたことにより感染し、外部からの指摘により3時間後に処置が完了。2回目は10日後に非公開のメールアドレスに対し100通以上のメールが送られ、そのうちの1通を開封したことで感染しました。システムでつながれた部署内のPC10台以上に感染が広がりました。

【ドライブバイダウンロード】JR東日本など（2009年）

何らかの不正アクセスによってWebサイトを改ざんし、ドライブバイダウンロードにより閲覧者のPCをマルウェアに感染させFTPアカウントを盗み、盗んだFTPアカウントを使い、さらにWebサイト改ざんを行い、閲覧者に同種のマルウェアをダウンロードさせるGumblar（ガンブラー）という攻撃手法により、2009年12月頃からJR東日本、ホンダ、ローソン、京王グループ、ハウス食品など多数の大手企業が被害を受けました。

【DDoS攻撃】警察庁（2010年）

2010年9月、「中国紅客連盟」を名乗る者が、尖閣諸島の中国領有を主張する民間団体「中国民間保釣連合会」のWebサイト上で日本政府に対するサイバー攻撃を呼びかけ、16～18日にかけて3回にわたりDDoS攻撃が実行されました。その結果、警察庁のWebサイトが一時閲覧できない状態になりました。

その後の警察庁の調査によると、攻撃の発信元のうち国内からのものは踏み台として利用されたもので、国外からの攻撃のうち9割が中国経由だったことがわかりました。

【水飲み場型攻撃】中央省庁など（2013年）

2013年8月、日本のある情報提供サイト上で、国内の中央省庁や重要インフラなどの組織のIPアドレスからのアクセスに対してのみ攻撃コードをダウンロードさせる水飲み場型攻撃が仕掛けられました。攻撃コードは当時未知だったIEの脆弱性を悪用したゼロデイ攻撃だったといいます。

実被害には至らなかったものの、その後の調査により、攻撃コードが実行されれば、標的のPCを遠隔操作し、ファイルの窃取なども簡単に行える状態になってしまう危険性があったことが判明しました。

【脆弱性攻撃】本田技研工業（2017年）

2017年6月、本田技研工業の世界の複数拠点が「WannaCry（ワナクライ）」に感染した影響で、狭山工場（埼玉県狭山市）で自動車1,000台が生産できなくなる事態に追い込まれました。

WannaCry は、WindowsのSMBv1（サーバー・メッセージ・ブロック・バージョン1…Windowsのネットワーク上でファイル共有やプリンタ共有などを行うための通信プロトコルのひとつ）の脆弱性を利用して感染するランサムウェアで、ビットコインでの身代金支払を要求するものです。150ヵ国、23万台以上のコンピューターに感染したといわれています。