たぷるとぽちっと|ITに関するお役立ち情報サイト > 高度化・巧妙化し続けるサイバー攻撃。その目的は? 対策は?
ITお役立ち情報
2019/03/12

高度化・巧妙化し続けるサイバー攻撃。その目的は? 対策は?

たぷるとぽちっと|ITに関するお役立ち情報サイト

警察庁が昨年9月に公表した広報資料(平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について)によれば、日本におけるサイバー犯罪は増加傾向にあるとのことです。

 

テクノロジーの進化に比例してサイバー攻撃の手口も年々高度化してきています。2019年はAI技術の発展やIoT製品の増加にともなって、それらに乗じたサイバー攻撃の増加が予想されています。また、リオデジャネイロオリンピック(2016年)や平昌オリンピック(2018年)の際に、大会ウェブサイトや組織委員会、関連する企業や団体などを狙ったサイバー攻撃が報告されたように、2020年に開催される東京オリンピックをターゲットとした大規模なサイバー攻撃が行われるのではないかと危惧されています。

 

今回は、改めてサイバー攻撃の概要を押さえておきましょう。ここでは、おもに企業などの組織に対するサイバー攻撃に焦点を当ててご紹介します。



サイバー攻撃とは

 サイバー攻撃とは、サイバーテロともよばれ、ネットワークを通じてコンピューターシステムに侵入し、データの窃取や破壊、改ざんなどを行うことを指します。

 

冒頭でも触れましたが、警察庁が2018年9月20日に発表した (平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について)によれば、昨年上半期のサイバー犯罪の検挙件数は4,183件、サイバー犯罪等に関する相談件数は61,473件でした。これらの件数は、2013年の調査開始時から増加傾向にあり、2018年上半期は2017年の上半期に比べ減少しているものの依然として高い水準にあります。

 

サイバー攻撃の目的

サイバー攻撃は、政治的な主張や技術力のアピールを目的とした「愉快犯」、「経済的利益を目的とした攻撃」、そして特定の企業や組織が保有する情報を狙うサイバー攻撃、いわゆる「標的型攻撃」の3つに大きく分類されます。

「愉快犯」には、アノニマス、UGナチなど主義主張を発信し注目を集めようとするハッカー集団のほか、ハッキングのスキルを試すために攻撃を行い自己顕示する個人ハッカーも含まれます。


「経済的利益を目的としたサイバー攻撃」には、例えば、オンラインバンキング口座の認証情報を窃取して不正送金を行ったり、ランサムウェアと呼ばれるマルウェアに感染させてPCのデータを暗号化するなどして使用不能な状態にし、復元の見返りとして金銭を要求したりする手口などが有ります。狙われる対象が十分な対策を施していれば、攻撃者は攻撃の利益とコストを勘案し、攻撃対象を変更する可能性が有ります。


しかしながら、「標的型攻撃」においては、攻撃対象の対策の実施状況に関わらず、目的とする情報を窃取するまで執拗に攻撃を繰り返すという特徴があります。機密情報や知的財産を窃取するスパイ活動、ECサイトやWebサービスのサーバーをダウンさせたりデータを破壊したりして営業妨害や業務妨害を行い、その見返りとして金銭を受け取ったりしています。

 

 

サイバー攻撃の種類

①標的型メール攻撃

添付ファイルやメール本文のリンク先にマルウェアを仕込み、開かせることで感染させる手口です。近年、実在する組織のメールアドレスを模した発信源を使用したり、個人やフリーランスの仕事関係者を偽装してフリーアドレスから発信したり、転送や再送を偽装するなりすましメールの確認を装ったりするなど巧妙化しており、受信者がそれと気づかずに開封したりURLリンクをクリックしたりしてしまいやすいものになっています。

なお、同じ件名・文面の標的型メールが複数個所(警察庁の定義では10ヵ所以上)に送られるものは「ばらまき型攻撃メール」とよばれます。この場合、不審なメールの件名・文面を社内またはネット検索で確認することで、サイバー攻撃かどうかをある程度判断することができます。

 

②脆弱性に対する攻撃

ソフトウェアの脆弱性(設計ミスや実装ミスにより、本来はできないはずの操作ができたり、第三者に見えてはならない情報が見えてしまったりする)や、セキュリティ対策の甘さを突いて攻撃する方法です。パッチリリースやアップデート情報などの脆弱性情報を悪用した「既知の脆弱性攻撃」と、公表前の脆弱性を狙う「ゼロデイ攻撃」があります。また最近では、パッチ公開直後を狙う「ハーフデイ攻撃」と呼ぶものもあります。

 

狙われる脆弱性としては、バッファオーバーフロー、シェルショック、ハートブリード、SQLインジェクション、OSコマンドインジェクション、クロスサイトスクリプティング、DNSキャッシュポイズニングなどがあります。

 

近年、IoT機器数が増加していることから、これらの脆弱性に対する攻撃も増加しています(参考:NICTER観測レポート2017 )。IoT機器に使用されているソフトウェアは、既存のOSやアプリケーションをベースに独自開発しているものが多く、容量の少ないデバイスにインストールするためセキュリティ面の配慮が不十分であることが少なくないため、攻撃者にとって狙いやすいのです。


 

③DoS攻撃・DDoS攻撃・DRDoS攻撃

これらは、基本的にWebサービスに対して行われるサイバー攻撃で、サービスを提供不能にしてしまいます。

 

DoS攻撃(Denial of Service attack)には、フラッド型、F5攻撃、脆弱性攻撃型、メールボムがあります。それぞれ、対象が処理しきれないほど大量のデータやリクエスト、メールなどを送信したり、脆弱な部分に高負荷をかけたりすることで機能を麻痺させます。

 

DDoS攻撃(Distributed Denial of Service attack)は2つに分けられます。一つは協調分散DoS攻撃とよばれます。DoS攻撃が攻撃者のコンピューターと対象者のコンピューターが1対1なのに対し、DDoS攻撃では、攻撃者が大量の踏み台のコンピューターを不正に乗っ取ったうえで一斉に攻撃をしかけることで高負荷をかけます。

 

もう一つがDRDoS攻撃(Distributed Reflective Denial of Service attack)です。まず、攻撃者は対象者のコンピューターになりすまし、大量のコンピューターに一斉にリクエストを送信します。すると、対象者は大量のコンピューターから一斉にリクエストの返答を受けるため、高負荷がかかってしまい、サービスを継続できなくしてしまいます。

 

また上記のように攻撃の手法ではなく、大量のデータを対象に送信することで「通信帯域を枯渇させる攻撃」や「コンピューターのリソースを枯渇させる攻撃」に分類することも可能です。


 

④水飲み場型攻撃

ターゲットがよく訪れるWebサイトに悪意のあるコードが埋め込まれ、訪れたユーザーにマルウェアを感染させる手法です。


 

⑤ブルートフォースアタック

総当たり攻撃ともよばれ、ツ-ルを使ってIDとパスワードのすべての組み合わせを試して認証の突破を試みる方法です。これにより、金銭や情報の窃取、Webサイト改ざんなどが行われます


 

⑥クリックジャッキング

Webページ上に、透明で見えない状態にしたリンクやボタンをかぶせてクリックさせ、悪意あるWebサイトへ誘導したり、Webカメラやマイクを作動させたり、非公開にしていた情報を意図せず公開させたりします。

近年では、ただ閲覧しただけでマルウェアがダウンロードされたり、そのままインストールされたりする方法が主流です。


 

⑦ドライブバイダウンロード

Webサイトを訪れたユーザーに不正プログラムをダウンロードさせるよう改ざんしておく手法です。なかには、改ざんされたWebサイトから、さらに不正プログラムが設置された別のWebサイトに誘導されて、そこでダウンロードさせられるという手の込んだタイプもあります。


 

内通者による情報漏えい

攻撃者が対象組織の内部に内通者を作り、内通者から攻撃に必要な情報を受け取って機密情報や金銭を搾取したり、Webサイト改ざんなどを行ったりする手法です。

 

すでに内部にいる人を勧誘したり退職者を内通者としたりするケースがありましたが、近年では、最初から内通者として人を雇い、組織内に送り込む手口が現れています。

 

 

サイバー攻撃の事例

ここで、実際に国内でサイバー攻撃の被害に遭った事例をいくつかご紹介します。


【標的型メール攻撃】日本年金機構(2015年)

2015年5月、日本年金機構の年金情報管理システムサーバーから、氏名と基礎年金番号など約125万件の個人情報が流出しました。原因は、2度にわたる標的型メール攻撃と、機構内の個人情報運用管理体制の甘さにあったとされています。

 

1回目の標的メールは、外部公開しているメールアドレスに宛てられた「『厚生年金基金制度の見直しについて(試案)』に関する意見」というタイトルのメールで、添付ファイルを開けたことにより感染し、外部からの指摘により3時間後に処置が完了。2回目は10日後に非公開のメールアドレスに対し100通以上のメールが送られ、そのうちの1通を開封したことで感染しました。システムでつながれた部署内のPC10台以上に感染が広がりました。

 

【関連記事】

・開封率は約50%!ほんとに自分は大丈夫?~「標的型メール攻撃訓練」の結果~
・たった一通のメールを開封しただけで...。『標的型攻撃メール』の脅威

 

【ドライブ バイ ダウンロード】JR東日本など(2009年)

何らかの不正アクセスによってWebサイトを改ざんし、ドライブ バイ ダウンロードにより閲覧者のPCをマルウェアに感染させFTPアカウントを盗み、盗んだFTPアカウントを使い、さらにWebサイト改ざんを行い、閲覧者に同種のマルウェアをダウンロードさせるGumblar(ガンブラー)という攻撃手法により、2009年12月頃からJR東日本、ホンダ、ローソン、京王グループ、ハウス食品など多数の大手企業が被害を受けました。

 

【DDoS攻撃】警察庁(2010年)

2010年9月、「中国紅客連盟」を名乗る者が、尖閣諸島の中国領有を主張する民間団体「中国民間保釣連合会」のWebサイト上で日本政府に対するサイバー攻撃を呼びかけ、16~18日にかけて3回にわたりDDoS攻撃が実行されました。その結果、警察庁のWebサイトが一時閲覧できない状態になりました。

その後の警察庁の調査によると、攻撃の発信元のうち国内からのものは踏み台として利用されたもので、国外からの攻撃のうち9割が中国経由だったことがわかりました。


【水飲み場型攻撃】中央省庁など(2013年)

2013年8月、日本のある情報提供サイト上で、国内の中央省庁や重要インフラなどの組織のIPアドレスからのアクセスに対してのみ攻撃コードをダウンロードさせる水飲み場型攻撃が仕掛けられました。攻撃コードは当時未知だったIEの脆弱性を悪用したゼロデイ攻撃だったといいます。

 

実被害には至らなかったものの、その後の調査により、攻撃コードが実行されれば、標的のPCを遠隔操作し、ファイルの窃取なども簡単に行える状態になってしまう危険性があったことが判明しました。

 

【脆弱性攻撃】本田技研工業(2017年)

2017年6月、本田技研工業の世界の複数拠点が「WannaCry(ワナクライ)」に感染した影響で、狭山工場(埼玉県狭山市)で自動車1,000台が生産できなくなる事態に追い込まれました。

 

WannaCry は、WindowsのSMBv1(サーバー・メッセージ・ブロック・バージョン1…Windowsのネットワーク上でファイル共有やプリンタ共有などを行うための通信プロトコルのひとつ)の脆弱性を利用して感染するランサムウェアで、ビットコインでの身代金支払を要求するものです。150ヵ国、23万台以上のコンピューターに感染したといわれています。

 

 

 

サイバー攻撃への対策

こうしたサイバー攻撃に対し、どんな策を取れば良いのでしょうか?

一般的に、サイバー攻撃対策は①入口対策、②出口対策、③内部対策の3段階で捉えられます。

 

 

①入口対策(侵入させない)

サイバー攻撃では初期段階として、メールや不正アクセスなどの手段で対象者のデバイスに侵入しようとします。これをファイアウォールや不正侵入検知ソフトなどを活用して侵入させないように対策します。

アイネスでは、IPS(Intrusion Prevention System…侵入防止システム)機能やマルウェアを振る舞いで判断するサンドボックス機能を搭載した「Palo Alto Networks PAシリーズ」を提供しています。

詳しくは、下記ページをご覧ください。

 

次世代ファイアウォールマネージドサービス Palo Alto Networks PAシリーズ

 

ただ、サイバー攻撃の侵入手口は高度化が進んでおり、入口対策のみに重点を置いたサイバー攻撃対策は現実的ではありません。

 

 

②出口対策(外部と通信させない)

近年、サイバー攻撃手法は高度化・巧妙化しているため、強固な入口対策を施していても攻撃者に突破されてしまう危険性があります。そのため、入口対策と併せて、攻撃者に外部と通信させない出口対策が重要です。外部と通信できなければ、情報を持ち出されるのを防ぐことができます。

具体的には、外部送信データのチェックや、不正通信の遮断などを行います。

 

「Palo Alto Networks PAシリーズ」ならこれらの出口対策を実現することも可能です。

 

詳しくは、下記ページをご覧ください。

次世代ファイアウォールマネージドサービス Palo Alto Networks PAシリーズ

 

 

③内部対策(活動させない)

入口対策、出口対策のほか、内部対策としてエンドポイント端末でのウイルス対策・脆弱性対策、データの暗号化、ログ管理のほか、世代管理バックアップなどを行っておくと安心です。

 

 

アイネスでは、AIを活用し未知のマルウェアも検知・防御可能な次世代マルウェア対策ソフト「CylancePROTECT」、Webサイトの改ざんをリアルタイムで検知し、瞬時に復旧するサービス「Peacock tail」を提供しています。

 

詳しくは、下記ページをご覧ください。

 

次世代マルウェア対策ソフト CylancePROTECT 

Webサイト改ざん検知/瞬間復旧ソリューション Peacock tail(ピーコックテイル)

 

サイバー攻撃対策について、お気軽にお問合せください。