日々の暮らしやビジネスにおいて、インターネットに接続するデジタル機器が当然のように使用されるようになった。そうしたことも背景にサイバー攻撃は増加している。特に近年では、愉快犯的な犯行よりも、金銭の窃取を目的としたサイバー攻撃が増加している。この記事ではサイバー攻撃とは何か、その代表的な手法と対策について解説する。
サイバー攻撃とは何か
サイバー攻撃とは、インターネットやデジタル機器を絡めた手口で、個人や組織を対象に、金銭の窃取や個人情報の詐取、あるいはシステムの機能停止などを目的として行われる攻撃である。組織を対象にした攻撃は、不正アクセスにより企業が保有する機密情報や顧客情報を窃取する、あるいはWebサービスやシステムをダウンさせるなどして何かしらの被害を与えることを目的に行われる。また、個人を対象にした攻撃とは、IDやパスワードの詐取による不正ログイン、なりすましによるクレジットカードの不正利用などが該当する。
インターネットやスマートフォン(以下、スマホ)の普及で、買い物や口座取引をはじめとして、多くのことがパソコンやスマホなどのデジタル機器で完結できるようになった。こうした変化は、裏を返すと、サイバー攻撃を企む攻撃者にとって新たな可能性が生まれていることに等しい。
このような背景もあって、サイバー攻撃はその規模と対象範囲を拡大している。また、AIなどのIT技術の進化に歩調を合わせるように、サイバー攻撃も高度化しており、ランサムウェアをはじめ、金銭の窃取・詐取を目的とした攻撃は世界中で後を絶たないのが実情だ。
サイバー攻撃の対象
前述のとおり、サイバー攻撃の対象は大きく、個人と組織に分けられる。組織には企業や団体だけでなく、国家や行政機関なども含まれる。攻撃の類別も、特定の組織を標的とした攻撃と不特定多数を狙う攻撃が存在する。
サイバー攻撃の目的
サイバー攻撃を行う目的は攻撃者により異なる。愉快犯的な犯行や自身が持つ技術力を見せつけたいといった自己顕示欲を満たす目的のものも少なくない。近年では金銭の収奪を目的とするもの、特定組織の機密情報を窃取する産業スパイなど組織犯罪に類するものが増加傾向にある。また、ハッキングの手法を通じて、政治的な主張を行うことを目的とする「ハクティビスト」と呼ばれるグループの存在も確認されている。
近年のサイバー攻撃の動向と歴史
経済産業省が発表した資料によると、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター:サイバーセキュリティの情報を収集し対応支援を行う団体)へのインシデント相談報告件数は、2020年3月以降、急激に増加している。中でも、ランサムウェアやメールを介したマルウェア「Emotet(エモテット)」の相談件数が大幅に増加することが予想される。
メールを介して感染するマルウェアEmotetは、メールの文面を巧みに偽装するためマルウェアと気づきにくく、2019年には世界的な感染拡大が起こった。その後、活動は停止していたものの、2021年11月以降、活動を再開。IPA(独立行政法人 情報処理推進機構)などの団体が注意喚起を行うなど、国内だけでなく世界各地で被害が確認されている。
インターネットの黎明期からこれまでの間、さまざまなサイバー攻撃が展開されてきたが、時間の経過とともに愉快犯的な動機から計画的かつ組織的な犯行へと変遷してきている。
1)1990年代中盤から2000年代
インターネットが普及し始めた1990年代中盤から2000年代のサイバー攻撃は愉快犯が多くを占めた。その一方で、「Melissa(メリッサ)」と呼ばれるマクロを用いたマルウェアや「Code Red(コードレッド)」、「Nimda(ニムダ)」、「Gumblar(ガンブラー)」の被害も当時、メディアを賑わせた。ほかにもWeb改ざん、DDoS攻撃によるシステムダウンなどもたびたび起こっていた。
2)2010年代
2010年代以降、スマホの普及やデジタル技術の進展、ダークウェブの出現などといった環境の変化もあり、サイバー攻撃は単なる愉快犯から収益を上げるためのビジネスへと変貌していく。フィッシング詐欺や大手企業のWebサイトへの不正アクセスなども増加していき、情報漏えいの規模も大きくなっていった。IoT機器の普及に伴って、2016年には「Mirai(ミライ)」と呼ばれるマルウェアがIoT機器の脆弱性を狙って大規模に攻撃を行ったことで被害が広がった。
2017年に起こった、「WannaCry(ワナクライ)」に代表されるランサムウェアを用いた攻撃をはじめ、特定の企業を狙い巧妙な手口を用いる標的型攻撃が確認されるなど、犯行の手口もより巧妙で複雑なものへと変わっていった。
3)2020年以降
2020年以降のコロナ禍においては、急速に普及したリモートワーク環境の脆弱性を狙ったサイバー攻撃が多発。個人を狙う攻撃として、新型コロナウイルス感染に関連した支援や注意喚起に偽装したフィッシング詐欺なども多く確認されている。また、ランサムウェアによる攻撃も増加する傾向にあり、その被害額も1つの企業で数億円を超えるものもある。
代表的なサイバー攻撃の手口と事例、その対策
サイバー攻撃にはさまざまな手口が存在する。以下、代表的なサイバー攻撃の手口と事例、その対策を解説する。
1)ランサムウェア
ランサムウェアの「Ransom」とは、日本語で身代金を意味する。ランサムウェアに感染すると、所有するデータが勝手に暗号化されてしまう。攻撃者はそのデータの復号と引き換えに、金銭を要求する。暗号化されたデータが機密情報であったり、顧客の個人情報であったりする場合、被害はより深刻になる。さらに、「ダブルエクストーション(二重の脅迫)」と呼ばれる、窃取したデータを公開すると脅迫を重ねる手口も増えている。
2020年11月には国内の大手ゲーム会社がランサムウェアの被害に遭遇。攻撃者がVPN装置の脆弱性を悪用し、システムへ不正アクセスしたことに起因する。この事件で約15,000人分の個人情報が漏えいしたことがわかっている。
ランサムウェアへの対策は以下の5つが挙げられる。セキュリティソフトの導入など一般的なセキュリティ対策はもちろん、万一に備え、データのバックアップを行うことが重要である。
- セキュリティソフトの導入
- OSやアプリケーションのアップデート
- 怪しいメールやURLなどへの注意喚起・啓蒙
- データのバックアップ
- パスワードポリシーの徹底や多要素認証の導入
2)標的型攻撃
標的型攻撃とは、特定の組織を狙ったサイバー攻撃である。2015年には国内の特殊法人が狙われ、125万人分の個人情報が窃取された。標的型攻撃の際に使用されるメールは極めて巧妙に偽装されているものが増えている。事前に不正に取得した情報をもとに、組織内で実際に用いられている役職名を使い、業務に関係する内容を記載する場合もあるため、受信者は判別が難しくなる。また、URLをクリックしただけでマルウェアに感染(ドライブバイダウンロード)するケースもある。
標的型攻撃は一般的なセキュリティ対策だけでなく、従業員への啓蒙やトレーニングも非常に重要となる。攻撃を迅速に検知し、被害を最小限に抑えるための対策も有効だ。
- 情報システムの設計を再考
- 標的型メールを想定した訓練やトレーニング
- 攻撃遭遇時における被害最小化のための対策
3)リモートワークを狙った攻撃
コロナ禍で普及した、リモートワークを狙った攻撃も増加傾向にある。2020年には国内大手通信会社がリモート接続を経由した不正アクセスに遭遇。VDI用のサーバーなどを経由したアクセスだったことがわかっている。この事件では約700社の取引情報が外部へ流出したとされる。
リモートワークにおける対策は以下のようなものが挙げられる。
- リモートワークの際のルールを明確化して周知
- セキュリティソフトの導入(BYOD端末を含む)
- VPNやクラウドサービスの活用
- パスワード管理の徹底、多要素認証の導入
特にルールの策定・周知やBYODも対象としたセキュリティソフトの導入は重要である。そのほかにも関連記事で詳しく紹介しているので確認しておくことをおすすめする。
4)サプライチェーン攻撃
サプライチェーンとは商品やサービスなどの製造から、消費者へ提供されるまでの一連のプロセスのことである。一般的にサプライチェーン上には販売店や開発元、物流など複数の企業が関与する。こうしたサプライチェーンの弱点を狙う攻撃がサプライチェーン攻撃である。2021年5月には国内の大手サービス会社がサプライチェーン攻撃による不正アクセスに遭遇。同社が導入していた開発用ツールの提供元が不正アクセスを受けたことを発端に、同ツールを導入している複数の企業に影響を与えた。
サプライチェーン攻撃を防ぐには、委託先や再委託先などサプライチェーン全体のセキュリティについて把握することが必要となる。その上で、責任範囲を明確にすることが重要だ。
5)ビジネスメール詐欺(BEC)
ビジネスメール詐欺とは取引先や組織内の関係者などに偽装したメールを送りつけ、金銭の詐取などを狙った詐欺である。近年はバラマキ型のビジネスメール詐欺だけでなく、先に紹介した標的型のビジネスメール詐欺も増えている。ある企業では親会社の代表者の名を騙り、複数のグループ会社の代表宛てに攻撃が行われていた。こうした詐欺によって実際に入金してしまうケースも少なくない。
ビジネスメール詐欺は年々巧妙化しており、見分けるのが難しくなっている。対策の1つとしては「メール以外の方法で確認をとる」という方法が挙げられる。特に振り込みなどの金銭のやり取りや機密性が高い情報のやり取りが生じる場合は、電話などで本人確認することで詐欺が判明する場合もある。
6)DoS攻撃/DDoS攻撃
DoS攻撃とは「Denial of Service attack」の略であり、日本語に訳すと「サービス拒否攻撃」となる。DDoS攻撃は「Distributed Denial of Service attack」で「分散型サービス拒否攻撃」と訳される。いずれも、Webサイトやサーバーに負荷をかけてダウンさせることでサービスを妨害する攻撃である。2020年3月には自治体の公式サイトがDDoS攻撃を受け、閲覧できなくなるという事件が発生した。サーバーに対して大量のアクセスが集中したことが原因とされている。
DoS攻撃やDDoS攻撃の対策は、サービス提供側とユーザー側で異なる。サービス提供側はWAFやIPS、CDNといった仕組みで攻撃に対処する方法が挙げられる。ユーザー側では、自身のパソコンやスマホがマルウェアに感染することでDDoS攻撃に加担してしまうことを防がねばならない。
7)ネットバンキングの不正送金
ネットバンキングのログイン情報や口座情報などを不正に入手し、他者になりすますことで送金を行う。2020年には大手通信会社の金融サービスにおいて不正利用が行われ、身に覚えのない出金などの被害が相次いだ。このインシデントによる被害額は約3,000万円とされる。
ネットバンキングの不正送金リスクを抑制するには、以下のような対策が挙げられる。後述するフィッシング詐欺を介して口座情報などが盗み取られることもあるため、細心の注意が必要だ。
- セキュリティソフトの導入
- パスワード管理の徹底と多要素認証の導入
- フィッシング詐欺への注意、対策
8)不正アクセス
不正アクセスとは、アクセス権限のない第三者がシステムやサービスに不正にログインすることである。企業を狙うものが注目を集めがちだが、個人のパソコンを標的とするものも少なくない。企業が不正アクセスを受けた場合、顧客の個人情報などが漏えいすることで、二次被害に発展することもある。例えば、2020年6月大手金融サービス企業が不正アクセスを受け、顧客のメールアドレスなどが漏えい。ドメイン登録サービスの登録情報を不正に書き換えるなど、巧妙な手口であったことがわかっている。
不正アクセスを防ぐためには基本的なセキュリティ対策はもちろん、特にパスワードの認証情報の管理や認証の強化が重要となる。具体的には以下のような対策が挙げられる。
- 複雑で推測しにくいパスワードを使用
- パスワードマネージャーなどを利用してパスワードの使い回しを避ける
- 多要素認証の導入
9)フィッシング詐欺
フィッシング詐欺は、大手ECサイトなどの名を騙ったメールなどを送り、偽のWebサイトに誘導して詐欺を働こうとする行為である。偽のWebサイト、つまりフィッシングサイトは本物そっくりに偽装されており、クレジットカードなどの個人情報を入力するよう促す。2021年6月には大手ECサイトの大型セールイベントに便乗したフィッシング詐欺が発生。毎年恒例のイベントのため、ユーザーの認知度が高かったことが詐欺被害の拡大につながった。
フィッシング詐欺への対策は大きく以下の3つである。フィッシング詐欺対策機能を搭載しているセキュリティソフトの導入は有効な対策となる。
- セキュリティソフトの導入
- 攻撃者の手口を把握
- 不審なメール内のURLをクリックしない
10)音声やSMSを使った詐欺
スマホの普及により、メール以外にSMSを使ったフィッシング詐欺も増加している。SMSを使ったフィッシング詐欺はスミッシングと呼ばれる。ほかにも、特定の組織や機関になりすまして電話をかけるビッシングといった手口も出てきている。コロナ禍においてはワクチン予約を騙り、マルウェアをインストールさせたり、個人情報を盗み取ったりするスミッシング攻撃も発生した。
スミッシングもフィッシング同様、「攻撃者の手口を把握すること」と「セキュリティソフトの導入」が重要だ。常に被害に遭う可能性があるという認識のもと、警戒と情報収集を怠らないようにしておきたい。
サイバー攻撃への適切な備えを
IT技術の進化と普及によってサイバー攻撃は増加し、危険性を増している。企業であれ、個人であれ、セキュリティに関する知識を深めて対策を講じるなど、常に注意を怠らないことが重要だ。以下の対策は基本的なものだが、今一度徹底できているかどうかを確認するようにしてほしい。
1)OSやソフトウェアのアップデート
OSやソフトウェアはその特性上、必ず脆弱性が発生する。最近のサイバー攻撃では「ゼロデイ脆弱性」と呼ばれるように、脆弱性が発覚する前や修正される前にその脆弱性を狙ってくる。OSやソフトウェアベンダーもそうした状況を見越して、迅速なアップデート提供を行っている。ユーザーとしても、速やかに提供されたアップデートを行うようにしたい。
2)IDやパスワードなどのアカウント情報の厳格な管理
デジタル機器、Webサービスやアプリを利用する際には、IDやパスワードの利用が前提となる。万一、不正に利用、侵入された場合に被害が大きくなってしまうため、アカウント情報の管理は厳格にすべきだ。パスワードを複雑で推測されにくいものに設定することや、使い回しをしないことも基本的な対策となる。
3)セキュリティソフトの導入
セキュリティソフトはサイバー攻撃対策の基本中の基本だ。最近のセキュリティソフトには、ウイルスチェック以外にも、フィッシング詐欺や迷惑メール対策など多様な機能を搭載している。パーソナルファイアウォールなどを搭載しているものもあり、外部からの不正アクセス対策も可能となっている。
4)セキュリティ意識の向上
先述のように、新たな攻撃手法が開発されるなど、サイバー攻撃は日々巧妙化の一途をたどっている。過去の常識に頼っているだけではそうした攻撃に対応できないだろう。防御の要はまず、敵とその手口を知ること。セキュリティを専門に取り扱うWebメディアやSNSなどを利用して積極的に情報収集を行うことも重要だ。サイバーセキュリティ情報局のTwitterアカウントでは、最新のセキュリティ情報を配信しているので、参考にしてほしい。