インターネットでサーバーに対して、悪意のある攻撃を仕掛け、多大なる被害を引き起こす犯罪の要因となるのがサイバー攻撃です。インターネットに囲まれた生活・ビジネス環境はサイバー攻撃の脅威にさらされていると言っても過言ではありません。
国家を狙った大規模なサイバーテロもあれば、企業や官公庁、webページやサービスを狙ったもの、または不特定多数の個人を狙うものまで様々です。
webセキュリティを考える上で、サイバー攻撃の種類や方法について知識を蓄えておくことは必須と言えます。企業でセキュリティ対策を考えている方には把握すべき優先度が高いものと言えるでしょう。
今回はサイバー攻撃の種類と起こり得るインターネット利用の被害についてご説明します。
みなさんはサイバー攻撃、サイバーテロと聞いた時に何を思い浮かべるでしょう。
ニュースで見かけるものでは公的機関のwebページの改ざんや企業などで起きた個人情報の流出、国家へのサイバーテロや仮想通貨を狙うような攻撃を想像されると思います。
そのため、個人であればサイバー攻撃とは無縁ではないか?と考えている方もいるのではないでしょうか。
しかし実際には法人、個人、国家を問わず、インターネットで繋がっている全ての人たちが攻撃を受ける可能性があるのです。
では誰がどのような目的で、どのような対象に向けたものがあるのか少しずつ見てみましょう。
サイバー攻撃を行うのは「悪意のある第三者」と呼ばれることが多く、高い技術を持ち、匿名性を維持しながら遠隔での攻撃が可能な人物と見られています。
悪意のある第三者は対象に向けて様々な形で攻撃を仕掛けることで、金銭的な損害から心理的な被害まで様々です。
例としてアメリカの公的機関がサイバー攻撃を受け、システムの復旧に時間が掛かるため、紙ベースでの作業を行ったというケースも存在します。
サイバー攻撃の特徴として攻撃を与えることそのものが目的である場合もあり、企業や官公庁、特定のサービスに被害を与えることで何らかの利益を享受している可能性もあると考えられています。
国や銀行、企業などのwebサービスがサイバー攻撃を受ける場合もあることから、一個人だからと言って安心することはできません。
個人情報と紐づけされたメールアドレスやパスワード、クレジットカードの情報が流出すれば、そのデータを元に被害を受ける可能性もあるのです。近年問題となっている「なりすまし」不正ログインの原因にもなっています。
国家や企業などの大規模なサーバに対するサイバー攻撃だけではなく、スマホやご自宅のパソコンでも攻撃を受ける場合があります。
フィッシングメールや偽サイト、架空請求や詐欺など、インターネットで繋がってる画面を通じて被害に遭う恐れもあるのです。
サイバー攻撃は、システムやプログラムによる遠隔で自動化された大規模なものから、webページやメール、ウィルスなどでエンドユーザー・個人を騙したり、不安にすることで悪影響を与えるもの、または金銭的被害が発生するものまで大小様々です。
そこでサイバー攻撃の種類や基本的な項目について理解するために、IPA情報処理推進機構が2018年度に発表した資料の中から「情報セキュリティ10大脅威 2018」を抜粋しました。
1位 インターネットバンキングやクレジットカード情報等の不正利用
2位 ランサムウェアによる被害
3位 ネット上の誹謗・中傷
4位 スマートフォンやスマートフォンアプリを狙った攻撃
5位 ウェブサービスへの不正ログイン
6位 ウェブサービスからの個人情報の窃取
7位 情報モラル欠如に伴う犯罪の低年齢化
8位 ワンクリック請求等の不当請求
9位 IoT機器の不適切な管理
10位 偽警告によるインターネット詐欺
IPA「情報セキュリティ10大脅威 2018」を元に作成
https://www.ipa.go.jp/security/vuln/10threats2018.html
IPA情報処理推進機構による2018年の個人に対する脅威として発表された順位を見ると、ニュースなどでも一度は聞いたことのあるワードばかりだということがわかりますね。
インターネットバンキングやクレジットカードの不正利用は直接的な被害となりますし、ランサムウェアと呼ばれるファイルをロックし人質として金銭を要求するようなプログラム、また、SNSなどの誹謗中傷や炎上など、物理的にも精神的にも被害が及ぶものが殆どです。
2-1-1.インターネットとデバイスの普及と進化
インターネットの普及だけでなく、スマートフォンの技術が進んだことで、誰でも気軽に、そして簡単にwebの情報を得られるようになったのもサイバー攻撃による被害が増えた要因の一つです。Iot端末と呼ばれるネット接続できる機器が増えていることもサイバー攻撃の増加に拍車をかけています。
同時に、webセキュリティやリテラシーへの知識や理解がないままネット接続できる機器が普及してしまったことも現実であり、危険性がわからなくても使えてしまう、世界と繋がることができてしまうことが問題にもなっています。
2-1-2.心理的な不安を誘う詐欺や騙しの手口も多い
個人を狙うサイバー攻撃・脅威は、詐欺、騙し、個人情報の悪用による脅迫など、プログラムやウィルスというよりも心理的不安を誘うことで被害を受けてしまうものが多く、知識がないこと、また誰にも相談できないことで被害が拡大しているのも事実です。
スマートフォンだけでなくIoT機器などの物理的なデバイスから不正アクセスなどを受けることもあり、専門的な方でない限りは気が付くことがないまま被害を受けている可能性もあります。
1位 標的型攻撃による被害
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺による被害
4位 脆弱性対策情報の公開に伴う悪用増加
5位 脅威に対応するためのセキュリティ人材の不足
6位 ウェブサービスからの個人情報の窃取
7位 IoT機器の脆弱性の顕在化
8位 内部不正による情報漏えい
9位 サービス妨害攻撃によるサービスの停止
10位 ”犯罪のビジネス化
(アンダーグラウンドサービス)”
IPA「情報セキュリティ10大脅威 2018」を元に作成
https://www.ipa.go.jp/security/vuln/10threats2018.html
標的型攻撃では特定の企業に対しての攻撃、ランサムウェアによって企業データをロックされてしまうことで起こる金銭的被害、個人情報の漏えいや流出、サービスの妨害や公式ページの改ざんなど個人と同様に様々な形で被害に遭う恐れがあります。
2-2-1.サイバー攻撃によって不正に機密データにアクセスする
サイバー攻撃は基本的に本来意図しない処理をサーバーにさせることで、脆弱性を作り、または脆弱性を利用して本来アクセスできない領域に侵入するのを目的としたものが多いです。
例えばシステムの管理者権限を持つユーザーIDとパスワードの奪取、不正な方法でなければアクセスできない領域にあるデータの閲覧や削除、または改ざんなど、情報資源に対する攻撃を主とします。
2-2-2.本来意図しない処理を引き起こされる
システム権限が奪われてしまえば、あとは悪意のある第三者の思い通りとなり、文字通り好き放題されてしまいます。
企業や公的機関などの組織が持つ情報資源・データの量は膨大であり、また個人を特定しうる個人情報を抱えているからこそ、悪意のある攻撃を受けているとも言えます。
2-2-3.データの改ざんや削除で信頼性を著しく損ねる恐れ
データの改ざんをされた場合、個人や企業、公的機関が誤ったデータのまま処理を進めてしまうことで、二次的な被害を発生するほか、信頼性を著しく損ねる恐れもあります。
また、近年では仮想通貨など、一個人が気軽に、そして興味を持ちやすいものも増え、銀行やクレジットカードではない形での金銭的被害も急増しています。
サイバー攻撃のイメージは、映画やドラマなどではAIが人を襲う、企業のサーバーをダウンさせる、国家機関に対する挑戦のようなものもありますが、実際には直接的に被害を受けてしまうことが理解できたのではないかと思います。
また、サイバー攻撃を脅威として捉えるべき理由として、いつでも・どこでも・誰でも・どこからでも攻撃を受けてしまう可能性があることも覚えておくべきです。
なぜ、いつでも・どこでも・誰でも・どこからでも攻撃ができるのか。それはインターネットによって個人と繋がることができてしまう、IT・情報処理技術の根幹、情報の共有という部分が奇しくも原因となっていることも否めません。
サイバー攻撃の種類と起こり得る被害や対策についてご説明しました。
ネット環境やスマートフォンなどのデバイスの普及によって、企業や公的機関への攻撃だけでなく、直接個人に対してサイバー攻撃がされていることに驚かれた方もいらっしゃるでしょう。インターネットに依存する環境になっている現代はサイバー犯罪とは無縁ではいられません。
被害に遭われる方の多くは「知らなかった」というのが一番の理由であり、webセキュリティやリテラシーに対する知識を持ち合わせないこと、また学ぶ機会がないままにITに触れられてしまうことが問題になっているのです。
サービスを提供する側として、またサービスを受ける側としてだけでなく、一個人でもサイバー攻撃に遭うことを理解し、webセキュリティに対する意識を持ち、少しでも知識を蓄える姿勢を持ち、被害に遭わないように取り組むことも大切です。
webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
(2018/3/29 執筆、2019/12/15修正・加筆)
この記事と一緒に読まれています
2019.12.02
セキュリティ対策
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策
2019.08.20
セキュリティ対策
2020.02.14
セキュリティ対策
2019.12.08
セキュリティ対策
2020.01.10
セキュリティ対策