サイバー攻撃の攻撃者といえば、高いITスキルを持つハッカー集団と想像する人が多くいるでしょう。昔はそうだったかもしれませんが、今では誰でもサイバー攻撃を実施できるような時代になっています。
専用ツールやマニュアルを使えば、ITスキルがあまりない人でもサイバー攻撃を簡単に実行できます。しかも、ツールの値段は月額1,000円の安価なものもあります。
誰でもサイバー攻撃ができる時代だからこそ、対策を怠ってはいけません。この記事では、サイバー攻撃によく使われるツールの仕組みやそれぞれの対策についてわかりやすく解説します。
誰でもできるサイバー攻撃|その背景とは?
サイバー攻撃を実施するには高いITスキルが必要と思っている人が多いかもしれません。でも実は、この状況が近年変わりつつあります。
闇サイトともよばれるダークウェブの普及はその要因のひとつです。サイバー攻撃用のツールやマニュアルが、ダークウェブで数千円〜数万円の低価格で販売されています。例えば、ランサムウェアを生成する「RaaS」(Ransomware as a Service)やフィッシングに対応する「PhaaS」(Phishing as a Service)です。
また、DDoS攻撃の代行サービスもリリースされていたりします。
こういったサービスやツールを利用すれば、たとえ高度なスキルがなくても定められた手順に従うことで、誰でもサイバー攻撃ができてしまいます。
しかしながら、サイバー攻撃は犯罪で不正アクセス禁止法違反や電子計算機損壊等業務妨害罪などの罪に問われます。興味本位で実施した場合でも逮捕・検挙されてしまうことを忘れてはいけません。
よくあるサイバー攻撃の4種類
ここでは、専用ツールの利用によって実行できる4種類のサイバー攻撃を紹介します。
ランサムウェア
ランサムウェアとは、パソコンやサーバのデータを攻撃者しか読めないように暗号化する悪質なプログラムで、マルウェアのひとつです。暗号解除のために身代金が要求されることから、ランサムウェアとよばれています。
ランサムウェアを作るにはRaaS(Ransomware as a Service)というサービスがあり、数クリックだけランサムウェアを生成できます。さらに、被害者の感染状況の確認や身代金の交渉代行などの「カスタマーサポート」もあります。
フィッシング
フィッシング(Phishing)とは実在する企業を偽装しメールやSMSなどを個人に送付して個人情報を騙し取る攻撃です。国や官庁、金融機関、ECサイトなどを偽装したものが多く見られます。
フィッシングを実施するには、PhaaS(Phishing as a Service)が利用されることがあります。フィッシングサイトやメール・SMS文面の作成だけでなく、フィッシングで得た個人情報もPhaaSの管理画面で一元管理・販売できます。
ブルートフォース攻撃
ブルートフォース攻撃とは、可能な組み合わせを1つずつ試して正しいパスワードを当てる攻撃です。ブルートフォースアタックや総当たり攻撃とよばれることもあります。
人の手で実施するのが時間かかりすぎるため、BOTによってブルートフォース攻撃を行うことが増えています。BOT(ボット)とは、一定のタスクや処理を自動的に行うアプリケーションやプログラムのことをいいます。
パスワードの文字制限数や利用可能文字を条件としてBOTに入れるだけで、ブルートフォース攻撃の実行ができます。相手が特定されている場合、その個人情報をBOTに入れることも可能です。
さらに、攻撃元が特定されにくくするため、攻撃者のIPアドレスを毎回変更したりパスワードの入力速度を落としたり上げたりするBOTもあります。
DDoS攻撃
DDoS(Distributed Denial of Service)攻撃とは、複数のIPアドレスから一斉にDoSを仕掛ける攻撃です。他人のパソコンを乗っ取り、踏み台として行われるDDoS攻撃が多いです。さらに、防犯カメラやルーターなどの機器が乗っ取られるケースもあります。
DDoS攻撃を代行するサービスが中国やロシアなどに多く存在しています。トレンドマイクロ株式会社の調査によると、ロシア語圏のダークウェブで月額5,400円ほど(40ドル)でDDoS攻撃の代行サービスが提供されています。さらに、1時間1,000円程度のサービスも散見されます。
※出典:トレンドマイクロ株式会社 IoT関連のアンダーグラウンドビジネス概況
サイバー攻撃への対策方法
よく見かけるサイバー攻撃を認識したあと、それぞれの対策方法も知っておきましょう。
メールセキュリティの強化
ランサムウェアを対策するために、メールセキュリティの強化が重要です。なぜなら、メールはランサムウェアの主な感染経路となるからです。
送信元がわからないメールは開かず削除しましょう。メールボックスの迷惑メール受信防止機能を利用して怪しいメールを仕分けたほうが安心できます。
そして、怪しいURLや添付ファイルはクリックしてはいけません。添付ファイルをダウンロードする前にアンチウイルスツールでスキャンするように心掛けましょう。
そのほか、バックアップを頻繁に取ることやマルウェア対策ソフトの導入などもランサムウェアに対する有効な対策です。
Webブラウザのセキュリティの強化
Webブラウザのセキュリティ対策は大きく2つあります。
まず、脆弱性がないようにWebブラウザを常に最新バージョンにアップデートしましょう。Webブラウザの脆弱性を狙ったサイバー攻撃があるためです。
脆弱性とは、プログラムの不具合やバグ、設計上のミスによって発生するセキュリティ上の欠陥のことをいいます。
そして、個人情報やクレジットカード情報などを入力する前に、WebサイトのSSLサーバ証明書を確認しましょう。SSLサーバ証明書がある場合、WebサイトのURLがhttpではなくhttpsから始まります。また、ブラウザのアドレスバーの手前に鍵マークが表示されます。
SSL(Secure Socket Layer)とはインターネットで使われるセキュア通信のプロトコルです。SSLの使用が認証局(CA)によって認証されるとWebサイトにSSLサーバ証明書が発行されます。
SSLが導入されている場合、ブラウザとWebサーバ間の通信データがSSLによって暗号化されます。第三者がその通信内容を読み取れないため、盗聴やデータ改ざんされたりする可能性や、偽サイトの可能性も低いので、ユーザーとしても安心してそのWebサイトにアクセスできます。
パスワードのセキュリティの強化
ブルートフォース攻撃を防ぐには、複雑なパスワードを利用することがおすすめです。数字だけでなくローマ字や記号もパスワードに入れましょう。また、パスワードを9文字以上にすることが推奨されます。
一方、他人に推測されやすいパスワードの利用を控えることが必要です。例えば、名前や誕生日などの個人情報や「password」「admin」など英単語、日本語の単語などは当てられやすいです。同じ文字の繰り返しやわかりやすい並びの文字列のパスワードも控えましょう。
パスワードを強化するほか、二要素認証やシングルサインオンなどの導入も不正ログインに有効な対策です。
DDoS攻撃対策ツールの導入
特定のIPや国からのアクセスを制限するという対策において、DDoS攻撃の影響を軽減することができますが、根本的にDDoS攻撃を防ぐにはDDoS攻撃の対策ツールを導入することがおすすめです。
専用対策ツールのほか、DDoS攻撃対策機能付きのWAF(Web Application Firewall)もあります。WAFとは、Webサイトを含めたWebアプリケーションへの通信の内容を細かく確認し、不正アクセスを検知・遮断するツールです。
まとめ
誰でも簡単にサイバー攻撃ができてしまう時代になりつつあります。ダークウェブで数千円ほどで専用ツールやマニュアルを購入すれば、あまりスキルがなくてもサイバー攻撃を実行することができます。
そのため、ブルートフォース攻撃やDDoS攻撃などのサイバー攻撃の数も増加しています。
増加しているサイバー攻撃を対策するために、適切な対策を講じる必要があります。また、ファイアウォールやWAF(Web Application Firewall)などのセキュリティツールの導入も大事です。