企業であれ個人であれ、悪意を持ったサイバー攻撃を受けるリスクというのはますます高まっています。その実際の被害は年々増加する傾向にあり、被害金額や被害者の数も増えています。しかも、その手口も巧妙化していて、全社を挙げてセキュリティー対策をしているような企業でも被害が起こるケースもよく見られます。そのため、サイバー攻撃から守るためには、ハッカーたちが使う手法を知り、警戒をすることがとても重要です。実際にどんな手口を使っているのかをチェックし、日々の対策に生かすようにしましょう。
ウェブサイトにしても企業の業務システムにしても、設計上のミスやコーディングのミスがあるとセキュリティー上の問題を生みます。一つの脆弱性となってしまい、そこを突かれてシステムの中に侵入されてしまう危険性があるのです。ハッカーは侵入に当たって、システムの構造や内容を精査して、どこかに不備な点、セキュリティーが弱い部分がないかを探ります。もし脆弱性を見つけることができれば、直接不正アクセスをします。そして、システムの中のデータベースから個人情報を抜き取ったり、システム自体を不正操作したりします。特に企業の場合は、経営に関わる重要な情報を持っていることもありますし、大事な顧客情報も管理しています。不正にこうした情報を入手されてしまうと、会社の経営をゆるがす大きな問題になりかねません。
対象となる企業や個人にウイルスを送りつけて感染させる方法を採ることもよくあります。このウイルスはシステムに侵入するためのバックドアとなり、ユーザーの知らぬ間にハッカーが侵入できるようになります。ウイルスに感染させる手段はいくつもあります。よくあるのがメールを相手に送信して、そのメールや添付ファイルを開くと自動的にウイルス感染してしまうというものです。相手にメールを開封させるために、有名企業の名前をかたったり、いかにも重要そうな内容であると見せかける件名を付けたりします。
また、物理的な手段でウイルスに感染させることもあります。社員のUSBメモリなどを奪い、そこにウイルスを仕込んだ状態で元に戻します。その後社員がメモリをパソコンに入れると、そこからウイルスが入り込んでしまうことになります。こうした感染ルートを絶つために、セキュリティーに厳しい企業などでは、パソコンにUSBメモリを使用するのを禁じていたり、物理的にUSBを挿せないようにパソコンを改造していたりすることもあります。
こうしたウイルスの送信は、特定の相手を対象とすることもありますし、不特定多数の人に送信することもあります。不特定多数の人にばらまく場合は、スパムメールのような形でメールを送信し、ウイルス感染したパソコンが出てきたらそこに侵入するという手段を採ります。特定の相手に不正アクセスを試みる場合は、メールでの送信だけでなく、いろいろな手段を組み合わせて目標のパソコンやシステムへの感染が成功するまで行います。
ECサイトを含むホームページにしても企業の業務システムにしても、ユーザーが利用する際にはログインアカウントとパスワードが必要となるケースがほとんどです。逆に言うと、外部の人間であってもユーザー名とパスワードが分れば、容易に不正アクセスができることになります。そこで、ハッカーは対象となるシステムを使っているユーザーのアカウント名とパスワードを盗むことに神経を集中します。ユーザーが使っている他の一般的なサービスにおいて、流出してしまった情報があれば、それを使って同じパスワードが使用されていないかを確認します。もしくは、ログキー追跡ツールなどを使って、入力した文字列の読み取りを試みることもあります。
現実問題として、いろいろなサイトで使用しているユーザー名やパスワードが流出している可能性はとても高いと言わざるを得ません。それほどセキュリティーレベルが高くないサイトに攻撃が仕掛けられ、個人情報が流出してしまうと、その情報がリスト化されて販売されていることさえあります。そのため、重要なシステムにログインする場合には、日常生活の中でよく使っているパスワードとは別のものを使うなどの対策が必要となります。もしくは、企業全体でワンタイムパスワードや二段階認証のシステムを導入するなどして、万が一社員のパスワードが流出しても大丈夫なように対策を採っておくべきです。
ハッカーがフィッシングサイトを作り、そこからユーザーのパスワードなどの情報を盗むこともあります。フィッシングサイトとは、知名度の高いブランドや企業のフェイクサイトを作り、そこに誘導してユーザーに個人情報を入力させることを意図したものです。フィッシングサイトでパスワードなどを入れてしまうと、その情報が筒抜けとなり他のシステムに入るために利用されてしまうことがあります。
また、情報の窃取だけでなく、フィッシングサイトを通してウイルスに感染させるという手口を取ることもあります。フィッシングサイトにアクセスして、何らかのアクションを取ると自動的にパソコンやスマホにウイルスプログラムがダウンロードされてしまい、感染するのです。非常によくできたフェイクサイトが作られているケースもあり、一見すると正規のホームページと間違ってしまうほどです。こうしたことから、いつも使っているサービスのサイトはブックマークして、そこからしかアクセスしない、いつもと違う内容のメールにあるリンクからはアクセスしないなどの注意をする必要があります。
ユーザーのパスワードを使い、なりすましをするという方法は、前述のような個人情報の窃取がなされていなくても起こりえます。パスワードを推測して入力するという手口がその一つです。規則性のある数字の羅列や生年月日、ユーザー名をもじった英字などを使っていると、推測によって不正ログインされてしまう危険性があります。また、パスワードを総当たり方式、つまり考えられるすべての数字や文字列を順番に入力してアタックするという方法もあります。非常に手間がかかりますが、時間をかければ成功することも多い手段です。こうした手口を防ぐためには、パスワードを英数字、大文字、小文字をランダムに含ませるなどして、難度の高いものとすることが大事です。また、総当たりに対処するために、一定回数以上誤ったパスワードを入力したら、ログインを一時凍結するなどのシステムを入れることが大事です。
不正アクセスの手口は非常に巧妙で多様化しています。そのため、企業としてシステムにログインする際のセキュリティー体制を強化したり、ウイルス対策を万全にすることは欠かせません。同時に、社員一人一人が安易に見知らぬ相手からのメールを開封しない、USBメモリを使用しないなどの意識を持つことも大事です。企業全体としてのシステム管理、そしてユーザーの意識向上というダブルの対策をすることによって、不正ログインの被害を未然に防ぐことができます。ハッカーが取る手口をよく知り、危機管理体制を充実させるようにしましょう。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
WordPressのセキュリティ対策で最低限抑えておきたいポイント
2019.10.02
セキュリティ対策
ポートスキャンの特徴と種類、その対策方法についてまとめてみた
2019.09.20
セキュリティ対策
2020.03.11
セキュリティ対策
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策
2020.06.23
特集