サイバー攻撃の目的とは？過去と現在で比較する

サイバー攻撃は企業が頭を悩ませる事柄のひとつとなっています。
昨今、サイバー攻撃の勢いは増すばかりで留まることを知らず、企業にとって最重要課題の一つと言えるでしょう。
サイバー攻撃の手法や目的は時代の移り変わりとともに変化してきました。
なぜ、攻撃者たちは企業にサイバー攻撃を仕掛けるのでしょうか？
今回は企業を狙うサイバー攻撃の目的について解説します。

サイバー攻撃の誕生はインターネットの誕生とほぼ同じと言って良いでしょう。
インターネットが概念として定義されたのが1960年代、その後1980年代にインターネットは世に送り出されました。

1988年にとあるコーネル大学の学生であったロバート・T・モリスによって世界初のワームが放たれました。モリスワームと呼ばれるこのワームは6万台のコンピュータに感染し、そのうち約6,000台をクラッシュさせたと言われています。
本来の目的はインターネットの規模を測るためであったのですが、コードに含まれる致命的なミスによって数多くのコンピュータに危害を加えるマルウェアになってしまったのです。

その後、インターネットが一般化することによりセキュリティの被害は拡大していきます。

1990年代になり、専門的な技術を持たなくてもインターネットを利用できるようになりました。
インターネットの一般化に伴い、セキュリティの脅威が増大します。
いままでは専門的な技術や知識がなければならなかったものが、すこし調べたり勉強するだけで簡単に攻撃出来るようになってしまったのです。

ここで、攻撃者の多くは自己顕示欲を満たすために攻撃を仕掛けるようになります。
基幹システムに侵入されたとしても、大きな損害を生むような被害は発生せず、侵入したWebサイトにおかしな言葉や画像を表示させたり、データを改ざんするといった遊び半分のようなものばかりです。
こういった攻撃はテレビのニュースで取り上げられ、攻撃者たちの欲を満たしていきます。

2000年代以降、インターネットは爆発的に発展しました。
2000年代後半スマートフォンをはじめとしたモバイルデバイスが普及し始めました。
大人も子供もインターネットに繋がった端末を持っているという時代の突入です。
攻撃者たちの目的にも変化が現れ、多様化してきました。
遊び半分で行われていたサイバー攻撃が、組織的かつ計画的なものに変化してきたのです。

現代の攻撃の目的はどういったものなのでしょうか。

現代のサイバー攻撃の目的は以下のようなケースが挙げられます。

代表的な攻撃の目的として、金銭の要求が挙げられます。
サイトやサービスを人質として脅し、金銭の要求を飲めない場合はサイバー攻撃をすると脅すパターンです。
場合によってはサイバー攻撃をすでにされていて、金銭の要求を飲めば攻撃を中止するといったものもあります。
一方的な攻撃だけでなく、ソーシャルエンジニアリングの手法やヒューマンエラーを利用した手法を駆使するなど、手口は年々巧妙化しています。

標的となる企業・組織に不満があり、組織が運営するシステムにダメージを与えて損害を発生させることを目的とします。
こういった場合、攻撃の主犯格は企業に不満を持つ従業員や元従業員である可能性があります。
安易にアカウント情報を共有する、使わなくなったアカウントをそのままにしておくなど、アカウント管理がずさんだとダメージが深刻になります。

ハクティビストと呼ばれる特定の思想を持つ人々が、その思想の主張のためにサイバー攻撃を行います。
過去のケースとして、反捕鯨団体が日本の捕鯨に関連する組織のウェブサイトに対して攻撃が仕掛けられ、声明文が発信されたこともありました。

インターネット上には簡単に攻撃をしかけられるツールやサービスが公開されています。
無料かつ、簡単に攻撃ができるようなツールを用いて、面白半分で攻撃します。
スクリプトキディと呼ばれる彼らは、普通の学生であったり社会人であったり様々です。
興味本位であるが故に、当人に罪の意識があまりないことも非常に問題といえます。

いままでは不特定多数に向けたサイバー攻撃が多く見受けられていたのですが、目的の変化に合わせて攻撃対象にも変化がありました。

確実に利益を得るために、攻撃の対象となる企業などの情報収集を徹底的に行うようになりました。
攻撃者だと気が付かないような標的型攻撃、偽装メールなどが増加しています。
企業にとってどこが弱点になっているのか、対策が取れていないところはどこなのかなど、ありとあらゆる情報を収集し、時が満ちたタイミングで攻撃を仕掛けます。
事態が深刻化する頃にはどうしようもなくなっている、といったことがあるかもしれません。

企業の担当者は攻撃者たちがこういった目的を持ってサイバー攻撃を仕掛けてきていると理解する必要があるでしょう。そのうえで、効果的な対策を行っていかなければなりません。

攻撃者の思惑通りにならないためにも、価値のあるセキュリティ対策を行いましょう。
標的型攻撃への対策として、定期的な疑似テストメールの送信、社員へ向けたセキュリティ教育が効果的です。
標的型攻撃がどういったもので、だまされやすいのか見分けるにはどうすれば良いかを、社員のノウハウとして蓄積しましょう。

Webセキュリティにおいては、WAFを導入することでサイバー攻撃のリスクを抑えらるでしょう。
WAFはファイアウォールやIPS/IDSでは防ぐことができないWebアプリケーション層へのサイバー攻撃をブロックします。中でもクラウド型WAFは、機器購入も専任の技術者も不要でWAF対策できるサービスのため、小規模のWebサイト・Webサービスへも導入し易いサービスです。また、クラウド型WAF攻撃遮断くんは、業界最安値・最短翌営業日から導入することができます。
ぜひこの機会に自社のセキュリティ対策を見直してみてはいかがでしょうか。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
 

https://www.shadan-kun.com/
 

（2018/3/1 執筆、2019/9/22修正・加筆）