“産業化”するサイバー攻撃をどう防ぐ? サイバーセキュリティの基礎から解説:セキュリティのWhy(2)
セキュリティの素朴な疑問を、話題のトピックスを交えて解説する本連載。第2回は、「サイバー攻撃のHow」をテーマに、セキュリティの基礎を紹介する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
今回はまず「5W1H」の観点で紹介したサイバー攻撃(連載第1回を参照)の「How」(どうやって)について掘り下げます。2022年9月、日本政府のWebサイトなどが親ロシア派のハッカー集団「キルネット」からサイバー攻撃を受けたという報道がありましたが、その手口はWebサイトやサーバーに大量のデータを送りつけて機能不全にする「DDoS攻撃」でした。近頃はサイバー攻撃側も組織化され分業体制になっているといわれています。記事後半ではサイバーセキュリティの脅威動向と今すぐ着手できる対応策の検討についても紹介します。
サイバー空間の未来はディストピア?
ITが登場して半世紀あまり。私たちの生活やビジネスはもはやITなくしては成り立たなくなりました。半面、それに法制度や体制が追い付いていない面があります。その端的な例がサイバーセキュリティです。サイバー攻撃を受けても、ITのさらなる進化でそれを止められると良いのに……と思ってしまいますが、実際はITの進化とともにサイバー攻撃が巧妙化し、対策となるITソリューションが普及するころにはまた別の攻撃が活発になるという、いたちごっこが続いています。
また将来、超高速で計算ができる量子コンピュータが実用化すれば、今の暗号化は通用しなくなり、サイバー攻撃の脅威はさらに高まるといわれています。つまり、どれだけコンピュータやITが進化しようとも、悪意のあるハッカーが存在する限りは、サイバーセキュリティ対策が不可欠なのです。
サイバー攻撃のHow(どうやって)
下表は情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」の2022年版です。左右に個人、組織の立場を並べて、特に注意したいセキュリティの脅威をランキング形式で並べています。これを基にしながら、どのようにサイバー攻撃を受けるのかを見ていきましょう。その際、表にあるサイバー攻撃を系統立てて理解できるよう、(1)標的、(2)経路、(3)手段の3つの観点から説明します。
観点1:標的
まず、標的の設定です。攻撃の相手は誰でも良いのか、特定の誰かなのか。
組織の第2位にある「標的型攻撃」は、特定の誰かを標的にした攻撃を指し、その反対は「無差別攻撃」「総当たり攻撃」となります。近年は標的型攻撃の増加が問題視されています。例えば情報通信や金融、電力など重要インフラが標的になり攻撃を受け、業務停止にでもなれば、社会経済的なダメージは甚大だからです。
標的型攻撃の場合、理由があって狙っている、長期間にわたって調査、検討した上で狙う、組織にとっての晴れ舞台になるタイミングを狙って攻撃を仕掛けるなど、攻撃者が目的を最大化するため、ターゲットの組織に執着する傾向にあります。
観点2:経路
次に、攻撃の経路です。被害をもたらしたい標的に直接アクセスして攻撃するのか、サプライチェーン攻撃のように標的につながる別組織を攻撃し、そこを踏み台にするのか。
サプライチェーン攻撃とは、サプライチェーン(供給網)においてセキュリティ対策が弱い部分、サイバーセキュリティ対策に手が回っていない小規模事業者や子会社、グループ会社に侵入し、そこからビジネス上の経路をたどって親会社や大企業に侵入し、攻撃を試みるものを指します。
あるいは「内部不正」という形で攻撃を受けることもあります。悪意のある従業員や元従業員が機密情報などを持ち出そうとする事案です。常駐する社外スタッフということもあります。データの持ち出しは転職するタイミングに多いといわれています。
観点3:手段
最後は手段です。具体的にどのような技術、手口を使って攻撃をするか。
例えばマルウェア。組織に侵入して不正プログラムを仕掛けるものですが、特徴によってコンピュータウイルスやトロイの木馬、スパイウェア、ワームなどがあります(表1参照)。
用語を整理しますと、マルウェアは「malicious software」(悪意のあるソフトウェア)の略語で、悪質なプログラムやソフトウェアの総称です。そのためコンピュータウイルスやトロイの木馬などもマルウェアの一種です。一方、ランサムウェアは「ransom software」(身代金ソフトウェア)で、事業継続に必要なデータを人質に取って金銭を要求するマルウェアの総称です。ランサムウェアについては後述します。
マルウェアに感染してしまうかどうかは、個人のサイバーセキュリティ能力(セキュリティ意識)にも関係します。マルウェアはメールやSNS、ショートメールなどを使って、PCやスマートフォンに入り込もうとするからです。着信したメールやメッセージを「不正なもの」と見抜けるかどうか、その判断にかかっています。
取引先や社内の経営陣などになりすましたメールを使うビジネスメール詐欺(BEC:Business Email Compromise)やクレジットカード会社などを名乗ったメールを送るフィッシング詐欺などがありますが、最近では容易に見抜けないものも登場しており、日頃から注意喚起されている最新情報を収集し、自衛策を講じなければなりません。
Webサイトへの攻撃という手段もあります。例えば、ネットワーク負荷を掛けてサービスの停止を狙うDoS攻撃、DDoS攻撃が挙げられます。また、Webアプリケーションのデータベースを不正に操作するSQLインジェクション攻撃やWebサイトの脆弱(ぜいじゃく)性を突くクロスサイトスクリプティングなど、複数の攻撃手法があります。
表1:攻撃の目的とその主な方法(筆者作成)
| 攻撃の 目的 |
主な攻撃種類 | 攻撃の概要 |
|---|---|---|
| 組織に侵入する | マルウェア | 組織に侵入して不正プログラムを仕掛け、組織内に種々の不具合をもたらす |
| ……コンピュータウイルス | 何も実行操作をしない場合には影響しない類いの不正プログラムを指す | |
| ……トロイの木馬 | 一度侵入すれば、内部で拡散や不正動作を行い、個人情報の外部漏えいやさらなる不正攻撃の踏み台にする | |
| 個人を だます |
フィッシング | 実在する金融機関、ショッピングサイトをかたったメールを送り、偽サイトに誘導して重要な情報を窃取する |
| スピアフィッシング | 特定の標的に対してフィッシングサイトに誘導する | |
| スミッシング | ショートメールを使ってフィッシングサイトに誘導する | |
| ビジネスメール詐欺(BEC)Business Email Compromise | 取引先企業や経営者を装って担当者を欺き、金銭や情報を奪取する詐欺行為を指す | |
| サービスを 停止させる |
DoS(Denial of Service Attack) | 単体の端末が過大なネットワーク負荷を掛けて、Webサイト、サービスの停止などを狙う |
| DDoS(Distributed Denial of Service Attack) | 複数の端末が過大なネットワーク負荷を掛けて、Webサイト、サービスの停止などを狙う | |
| SQLインジェクション | データベースを狙った攻撃で、不正なメッセージを送って、不正操作や個人情報等を抜き出す | |
| クロスサイトスクリプティング | Webサイトの脆弱性を突き、そこに悪質なサイトへ誘導するスクリプトを仕掛けることで、個人情報などを詐取する | |
当然ながら、サイバー攻撃はこれが全てではありませんが、ご紹介したように標的設定、経路、技術的手段によって分類したり、表1のように攻撃の目的に分けて整理したりすると、巧妙化するサイバー攻撃も分かりやすく捉えることが可能です。
産業化、サービス化するサイバー攻撃
サイバー攻撃の中でも現在特に警戒されており、情報セキュリティ10大脅威でも1位になっているランサムウェア攻撃について、もう少し紹介します。
ランサムウェアは身代金を要求するマルウェアの一種で、組織に侵入して重要な情報を暗号化するなどしてその復旧と見返りに身代金を要求してきます。最近はそれだけでなく、身代金を支払わない場合は窃取した情報を世の中に暴露すると2段階で脅迫してくる二重脅迫型(暴露型ともいわれる)ランサムウェアが主流です。
身代金といえば、人を監禁して釈放との引き換えに要求するイメージがありますが、これを人ではなく情報、システムに置き換えていると捉えてください。なぜ、ランサムウェアがはやっているのかで言えば、これはサイバー攻撃者がもうかるからだといえます。
認証情報を不正入手してランサムウェアを開発する。それを使って実際に攻撃を行い、身代金を要求、交渉、受け取りを行う――。変な言い方ですが、サイバー攻撃を仕掛けるにも手間がかかります。ランサムウェアは身代金を得ることで手間がかかっても確実に稼げる手法として確立されていったのでしょう。
さらに最近では手間も省けるようになってきています。サイバー攻撃者側も高度にサービス化された組織構造になっているのです。まず、誰かが認証情報を不正に入手し、それをダークマーケット上で販売します(AaaS:Access As A Service、サービスとしてのアクセス権)。次にランサムウェア開発者がそれを購入、入手した認証情報を使って別の実行部隊に攻撃させます。ランサムウェア開発者は身代金を要求し暗号資産などで金銭を得て、実行部隊に分け前を与えます。この他に依頼主がいる可能性もあるでしょう。これをRaaS(Ransomware As A Service、サービスとしてのランサムウェア)と言います。工程を分割、専門化することでランサムウェア攻撃を行うハードルが低くなっているのです。
ランサムウェア攻撃の被害にあった組織は、要求された身代金を支払っているのでしょうか? とある資料では、日本企業の42%が直近12カ月でランサムウェア攻撃を受けたと回答しており、そのうちの31%が身代金を支払っている(2020年調査)と紹介していました。
当然のことながら身代金は支払うべきではありません。犯罪組織に資金を提供していることになるからです。支払ったことが知れ渡れば、その組織の社会的信用は損なわれるでしょう。そもそも、身代金を支払うことで暗号化されたデータが必ず復号できるという保証もありません。また、身代金の支払いによってランサムウェア攻撃という高コスパビジネスの継続に加担してしまうことになります。
有事に向けた平時の備え
ではどうすべきなのでしょうか。
ランサムウェア攻撃に限らず、サイバー攻撃には「有事に向けて平時のうちに備えておくこと」が重要です。これは危機管理やリスクマネジメントの鉄則です。例えば、その第一歩として表2のような対応を検討してみましょう。
表2:リスクマネジメントの基本ステップ(筆者作成)
| リスクマネジメントの 対応 |
アプローチ |
|---|---|
| 組織の環境分析 | ・自分たちのビジネス、競争優位性、評判(レピュテーション)を認識する、など |
| リスク特定 | ・自分たちが攻撃者だったら、どこからどうやってサイバー攻撃を仕掛けるかを想像する、など |
| リスク分析 | ・サイバー攻撃によって、どんな事態になることを恐れるのかを想像する、など |
| リスク評価 | ・自分たちの現状と攻撃を防ぐために必要な状態のギャップを明確にする、など |
| リスク対応 | ・攻撃を受けていない平時にどんな予防的な対応を取ると良いかを考えて、対応する ・攻撃を受けている有事(緊急時)にどんな動き方をして早期に復旧するかを考えて、対応する ・有事の対応はなかなか経験できないので、訓練、演習をして疑似体験する、など |
基本的に、ビジネスを手広くやっているほどリスクが大きく、狙われる可能性も高くなります。
また「これまで大丈夫だったし、今後も大丈夫」という希望的観測を捨てて、すでに多くの組織が被害に遭っている事実から目を背けないことです。客観的に見て自分たちの何を狙ってくるのか、どうすれば防げるのかを考えることが重要です。
有事での対応は、時間がない中で合格必須な試験を立て続けに受験するようなものです。もし慌てたりパニックになったりして時間を失えば、その分だけ被害が拡大します。時間があるうちに「有事に向けた平時の備え」で対応力を高めることをお薦めします。
次回は「ポストコロナのセキュリティ」をテーマに、できるだけ分かりやすく皆さんにご紹介します。お楽しみに。
関連記事
セキュリティトレンドレポート:エキスパートが語る、いまある危機と対策――ITmedia Security Week 2022夏 徳丸氏/セキュリティリサーチャーズ基調講演まとめ
人気記事を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第95弾は、ITmedia Security Week 2022夏の「未来へつながるセキュリティ」ゾーンの2つの基調講演レポートをeBookにまとめてお送りする。
MITRE ATT&CK(マイターアタック)とは? 「今のサイバー攻撃って何してくるの?」が分かる6つの利用方法
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解説する連載。初回は、概要や6つ使用方法について、具体例を挙げて解説する。
SaaS利用やテレワークの拡大で高まるセキュリティリスク、どう対応すべきかをMenlo Securityに聞いた
国内外問わずさまざまな組織が被害を受けるランサムウェア。被害が多発する背景には、どのような攻撃手段があるのか、それらの攻撃にどう対処すればよいのかをMenlo SecurityのAmir Ben-Efraim氏とPoornima DeBolle氏にインタビューした。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。