サイバー攻撃の種類や事例、有効な対策について解説

サイバー攻撃の種類や事例、有効な対策について解説

(2021年3月23日掲載)

目次

近年、高度化・多様化しているサイバー攻撃。政府機関や企業をターゲットとしたサイバー攻撃が多発する中、重要な機密情報を流出させる、あるいは社内システムを機能不全に陥れ企業活動を妨害するその脅威は、全ての企業にとってひとごとではありません。いつ降りかかるか分からない脅威に備えるためには、サイバー攻撃がどういったものであるのかを理解し、自社に適したセキュリティシステムの導入を検討する必要があります。本稿では、サイバー攻撃の主な種類や攻撃者の傾向を解説した上で、有効な対策について考えます。

サイバー攻撃の目的

サイバー攻撃の目的はさまざまですが、代表例として、金銭の要求が挙げられます。不正アクセスなどで盗み出した個人情報や企業の機密情報を暗号化やアクセスできない状態にし、解除するために金銭を要求します。他にも、不満を持つ企業や組織が運営するシステムにダメージを与えて、損害を発生させることを目的としたサイバー攻撃もあります。

サイバー攻撃の主な種類

現代では、サイバー攻撃の手法が多岐にわたるため、幅広い脅威に備えなければなりません。ここでは、主な攻撃の種類を確認しておきましょう。

マルウェア

マルウェアは、標的となる組織や個人のコンピュータ、ネットワークに被害を与えることを目的に作られた不正なソフトウェアの総称です。マルウェアに感染すると、コンピュータが起動できなくなる、動作が遅くなる、ハードディスク内のデータが消去されたり勝手に外部に送信されたりするなど、さまざまな不具合が生じます。代表的なマルウェアは以下の通りです。

ウイルス
ウイルスは、コンピュータに侵入する不正プログラムで、利用者がメールの添付ファイルを開くことやWebサイトを閲覧することで感染します。

ワーム
ワームは、コンピュータに感染して有害な動きをする点ではウイルスと同じですが、人がファイルを開くなどの動作をしなくても、侵入に成功すると爆発的な勢いで拡散してしまいます。さらに自己複製できる機能を持っているのが特徴で、メールソフトの連絡先に登録されている全てのアドレスにワームの複製が送信され、被害が拡大していくというケースもあります。

トロイの木馬
トロイの木馬は、「こっそりと悪さをする」プログラムを指します。一般的に、アプリケーションやスクリーンセーバ、文書ファイルなど、害のなさそうなプログラムを装い、利用者にダウンロードさせることでコンピュータに侵入します。感染に気づかれにくく、コンピュータに長期間侵入し続け、個人情報を盗んだり外部サイトを攻撃したり、勝手に大量のスパムメールを送信したりと、不正な動作を繰り返します。

スパイウェア
スパイウェアは、悪意を持ってコンピュータ内の情報や行動を盗み取り、別の場所に送るプログラムを指します。企業がマーケティング情報として利用するために、利用者の許諾を得た上で、閲覧履歴や購入履歴といった情報を取得しているものがあります。これはあくまでも消費者のニーズに合わせた商品・サービス情報を届けるためのもので、スパイウェアと呼ばれるものではありません。スパイウェアとされるのは、悪意を持って個人情報やWeb閲覧データなどを盗み、外部に送信するケースを指します。スパイウェアは、感染してもコンピュータの機能に不具合が生じることがなく、ウイルス対策ソフトでも検知されにくいため、被害が長期化する恐れがあります。

ランサムウェア
「身代金要求型不正ウイルス」「身代金要求型不正プログラム」と呼ばれることもあります。コンピュータに不正に侵入して機能をロックする、データを暗号化するなどをした後、制限や暗号化を解除することと引き換えに身代金を要求します。

SQLインジェクション

SQLとは、データベースに蓄積したデータを取得・検索するためのデータベース言語のことです。「structured(組立)」「query(命令文)」「language(言語)」の略で、「データベースを操作するための命令文」と言い換えることができます。データベースと連携した多くのWebサイトでは、利用者がWeb上のフォームに入力した情報をもとに、SQLを組み立て、データベースに命令を発します。

悪意のある第三者が、セキュリティの甘いWebサイトのフォームに、SQLの断片だと受け取られるコマンドを入力します。それにより不正な命令文を「インジェクション(注入)」するサイバー攻撃を、SQLインジェクションと呼びます。その結果、データベースの情報が漏えいしたり、改ざん・消去されたりする場合があります。

パスワードリスト攻撃

ユーザID、パスワードを何らかの方法で入手し、そのユーザIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。利用者になりすましてアクセスするため、見破りにくいのが特徴です。また、Webサービスを利用する時にユーザIDとパスワードを使い回す人が多いため、ツールを使って多数の単語を組み合わせて不正ログインするような攻撃法と比べると、パスワードリスト攻撃の成功率は高くなってしまいます。この攻撃を受けると、個人情報の流出やWebサイトでの不正購入といった被害が生じる可能性があります。

標的型攻撃

主に機密情報を入手することを目的に、特定の企業を狙うサイバー攻撃のことを標的型攻撃と言います。手口はさまざまですが、マスメディアからの取材依頼、採用に関する問い合わせなど、受信者が思わず開いてしまうような内容のメールにウイルス付きのファイルを添付する方法が主です。受信者のコンピュータが感染すると、攻撃者はそこからネットワークに関する情報を盗み、さらに他のコンピュータへの不正アクセスを繰り返します。最終的には重要な機密情報が流出する可能性があります。

ゼロデイ攻撃

一般的に、OSやアプリケーションなどのソフトウェアにセキュリティ上のバグ(欠陥)が見つかると、販売元企業は、バグを修正するためのアップデート版を利用者に提供します。アップデート版が配布される日を1日目(ワンデイ)とした場合に、0日目(ゼロデイ)、すなわちまだ修正プログラムがない時期に、第三者によってソフトウェアの脆弱(ぜいじゃく)性を突いて行われる攻撃を「ゼロデイ攻撃」と呼びます。

攻撃者はソフトウェアの脆弱性を利用するマルウェアを開発し、標的に添付ファイル付きのメールを送信してマルウェアに感染させます。その他に、特定のWebサイトに不正プログラムを組み込んで、サイトを訪れる不特定多数の利用者を感染させるというばらまき型の手口もあります。ソフトウェアを使った利用者のコンピュータがマルウェアに感染する、標的とされた企業のシステムがコントロールされる、企業の機密情報が流出するといった被害が考えられます。

セッションハイジャック

Webアプリケーションは、Webサイトにアクセスした利用者を識別するため、個別にセッションIDという情報を付与しています。攻撃者がこのセッションIDを何らかの方法で入手したり推測したりして、利用者に代わってWebサイトに不正にアクセスすることを「セッションハイジャック」といいます。セッションハイジャックを受けると、個人情報やクレジットカードの情報を盗まれる恐れがあります。

バッファオーバーフロー攻撃

コンピュータのメモリの容量以上のデータを不正に送りつけ、不具合を起こさせる攻撃のことです。プログラムの管理者権限を奪われて機密情報が流出したり、ほかのWebサイトへの攻撃の踏み台にされたりすることもあります。

DoS

DoS攻撃とは、「Denial of Service attack」の略称で、直訳すると「サービス妨害攻撃」という意味になります。攻撃者が、WebサイトやWeb上のサービスに対し、メールを大量に送信する、F5キーを何度も押してページを繰り返し再読み込みするなどの方法で過大な負荷をかけ、システムの動作や機能を停止させる攻撃です。

DDoS攻撃

「Distributed Denial of Service attack」の略称で、「分散型サービス妨害攻撃」を意味します。標的のWebサイトやサービスに負荷をかけてサービスを妨害する点ではDoS攻撃と同じですが、DoS攻撃がひとつの端末から行われるのに対し、DDoS攻撃は、まず多数のコンピュータや機器に侵入し、それらの機器から一斉に攻撃が行われます。攻撃者を特定しづらく、攻撃の規模がより大きくなります。

APT攻撃

「APT」は「Advanced Persistent Threat」の略称で、「高度かつ継続的な脅威」を意味します。APT攻撃とは、特定の組織に対して継続的に行われるサイバー攻撃のことです。さまざまな手法が使われますが、大きく分けると、標的のシステムに侵入するための「共通攻撃手法」と、情報を改ざん・盗むことを目的とした「個別攻撃手法」の2つがあります。APT攻撃には、その他のサイバー攻撃に多く見られる金銭目当ての犯罪行為は少なく、国家ぐるみのスパイ行為または妨害工作が中心だと考えられています。ロシアによる2016年のアメリカ大統領選挙に対するサイバー攻撃も、APT攻撃ではないかといわれています。

サプライチェーン攻撃

サプライチェーンとは、原材料の調達から製造、在庫管理、配送、販売までの、製品が消費者に届くまでの一連の流れを指します。「サプライチェーン攻撃」とは、このサプライチェーンに対するサイバー攻撃のことをいいます。例えば、標的とする大企業のセキュリティが強固で攻撃が難しい場合に、攻撃者は、まずセキュリティの甘い取引先を攻撃し、そこから標的企業へと攻撃を広げていくという方法です。ほかに、標的企業が使うソフトウェアの製造段階で不正プログラムを仕込んでおくという方法もあります。

サイバー攻撃を巡る最近の動向

サイバー攻撃の発生件数、被害規模は拡大しつつあります。その大きな要因は、インターネットの普及に伴ってスマートフォンやIoT機器が急激に増え、システム環境が多様化したことです。インターネットを使ったサービスやインターネットに接続できる機器が増えるほど不正に侵入できる入口が増え、サイバー攻撃の脅威も増しているのです。また、手口も高度になり、目立ちにくく手の込んだ攻撃を仕掛けられるために、被害が拡大・長期化しがちです。

新型コロナウイルス感染症の流行を契機に、企業や行政機関の間でテレワークの導入やDX(デジタルトランスフォーメーション)が広がりつつあります。 こうした動きにより社外からのアクセスが増え、インターネットを介した業務へのセキュリティ対策の必要性も高まっています。企業の重要なデータを保存している環境に社外の端末からアクセスすることは日常業務のなかで頻繁に行われます。こうした社外からのアクセスに交じって悪質な不正アクセスも増加する可能性が高まっていると言えます。

サイバー攻撃の被害事例

近年、国内外で起こった代表的なサイバー攻撃の事例をいくつか紹介します。

三菱電機、NECなど、防衛関連企業への不正アクセス

2020年の日本は、防衛関連企業へのサイバー攻撃が次々と発覚した年でした。

まず1月、大手電機メーカの三菱電機は、社内ネットワークが不正アクセスを受け、8,000人以上の従業員らの個人情報や、防衛や電力、鉄道関連の重大な機密情報が漏えいした可能性があると発表しました。

同じく1月に大手電機メーカであるNECも、社内サーバ内の約2万8,000件のファイルが不正アクセスを受けたことを明らかにしています。そのなかには潜水艦センサの技術に関するものなど、防衛に関する情報も含まれていました。さらに2月には、鉄鋼メーカの神戸製鋼所と、航空測量を行うパスコにおいても、防衛関連の情報への不正アクセスがあったことが分かっています。防衛省とも関わりのあるこれらの企業から機密情報が流出すれば、国の安全保障を揺るがしかねません。国と関連企業が連帯してセキュリティ対策を徹底していくことが求められています。

カプコンへのランサムウェアによる標的型攻撃

ゲームの開発・販売を行っているカプコンは、2020年11月に、第三者からのオーダーメイド型ランサムウェアを使った不正アクセスに見舞われ、個人情報流出の発生が確認されました。 もともとランサムウェアは、悪意ある第三者から送られたメールを介し、不特定多数のコンピュータに無差別に広がっていくマルウェアとして知られていたものですが、カプコンのケースでは、ランサムウェアを用いて、特定の組織に狙いを定めた標的型攻撃が行われました。攻撃したサイバー犯罪グループは、カプコンが保有するデータを暗号化し、その解除に約11億円の身代金を要求。

しかしカプコンは身代金の要求に応じなかったため、実際に多くの機密情報が、「ディープウェブ」と呼ばれる闇サイトで公開されました。流出した可能性のある情報は最大で約35万件に及ぶと見られています。

同様の犯行は世界中で報告されていますが、最近では日本国内の大企業はもちろん、中小企業も被害を受けています。

Dyn社へのマルウェア「Mirai」を使ったDDoS攻撃

DDoS攻撃の典型的な事例として、2016年10月にアメリカでDNS(ドメインを管理・運用するシステム)サービスを提供するDyn社が、IoT機器に感染するマルウェア「Mirai」による大規模なDDoS攻撃を受けました。

Dyn社の事例では、コンピュータやスマートフォンに比べてセキュリティが甘かったネットワークカメラといったIoT機器、ルータといったネットワーク機器が狙われ、10万台もの機器から同社のシステムに一斉に攻撃が仕掛けられました。インターネットのインフラであるDNSサービスを提供する企業の機能が停止したことで、TwitterやAmazon、PayPal、Netflixなど、Dyn社のサービスを利用していた企業でもサービスに不具合が起こりました。影響は多方面に連鎖し、世界中を騒がせる大きなニュースとなったのです。

最近では、標的企業のシステムに一度に高い負荷を与えて機能を停止させるのではなく、長期間にわたって低い負荷をかけ続けることでパフォーマンスを下げるDDoS攻撃が増えています。そのため、被害に気づきにくく、影響が長期化しやすい傾向があります。

サイバー攻撃から企業を守るための対策方法

企業には、社内ネットワークやシステムはもちろん、サプライチェーンや関連企業を含めたセキュリティ対策が求められています。では、日々進化を遂げて多様化・高度化していくサイバー攻撃から身を守るためには、どうしたらいいのでしょうか。ここからは、企業に求められる対策の方法を紹介します。

ソフトウェアの最新化

社内で使っているOSやブラウザ、アプリケーションなどのソフトウェアのバグを第三者に利用されることがないよう、ソフトウェアのアップデート版や修正プログラムが提供されたら、できる限り早く適用して最新の状態を保つ必要があります。WindowsのOSであれば、通常は自動的に修正プログラムを適用するアップデート機能が備わっているので、この機能を有効にしておきましょう。

従業員へのセキュリティ教育の実施

従業員のセキュリティへの意識が低いままだと、多数のWebサービスを利用する時に同じID・パスワードを使う、不審なメールに気づかず添付ファイルを開く、セキュリティに信頼の置けないWi-Fiを使って社外から社内ネットワークにアクセスする、といったリスクの高い行動をとる恐れがあります。不正アクセスやマルウェア感染のリスクを減らすためには、まず情報セキュリティポリシー(セキュリティに関する指針)と社内ルールを策定し、従業員への周知とセキュリティ教育を徹底していく必要があります。

統合型セキュリティ対策ソフトの導入

大規模なシステムと膨大な機密情報を抱える企業において、セキュリティ対策ソフトの活用は欠かせません。従来はアンチウイルスソフトとも呼ばれるウイルス対策ソフト、近年はマルウェア対策以外の機能もあわせ持つ統合型セキュリティソフトが主流となりつつあります。例えば、送受信されるデータを監視して通信を制限するパーソナルファイアウォール機能を含むソフトを使えば、万一コンピュータがマルウェアに感染しても、通信をブロックしてデータ流出を防ぐことができます。さらに、利用者がフィッシングサイトにアクセスした場合に警告してくれるフィッシング対策機能、危険度の高いWebサイトの閲覧を制限するフィルタリング機能を備えたソフトもあります。

一般的なウイルス対策ソフトや統合型セキュリティソフトは、パターンファイル(ウイルス定義ファイル)という既存のマルウェアの情報が入ったリストのようなファイルをもとに、マルウェアを検知しています。新しいマルウェアが発見されると、このパターンファイルに追加されていきます。ところが、せっかくセキュリティ対策ソフトを導入しても、パターンファイルが更新されず古いままになっていると、ソフトは最新のマルウェアを検知することができません。統合型セキュリティソフトを導入した場合は、パターンファイルを最新の状態に保つことを心がけましょう。

EDRソリューションの活用

最新の優秀なセキュリティ対策ソフトを使っても、次々と開発される未知のマルウェアの侵入を完全に防ぎきることはできません。また、スマートフォンやタブレット端末、IoT機器など、通信機器の種類が大幅に増え、従来のゲートウェイセキュリティだけでは社内ネットワークへの侵入を防ぐことが難しくなってきています。

そこで注目されているのが、エンドポイントを常時監視し、マルウェアの侵入といった異常を検知するEDR(Endpoint Detection and Response)です。エンドポイントとは、PCやスマートフォン、タブレット、サーバなど、通信ネットワークの末端にある端末・機器を指します。マルウェアの侵入をいち早く察知し、対応することで、被害の拡大を防ぐことができます。ここでは、最新のEDRソリューションである「Cybereason」と「zIPS」を紹介します。

エンドポイントセキュリティプラットフォーム「Cybereason」

Cybereasonは、エンドポイント全体の利用状況やデータ通信を監視し、マルウェアが侵入した場合にサイバー攻撃の兆候を早期に検知するクラウド型のデータ解析プラットフォームです。一般的なセキュリティ製品は侵入の防御を目的としているため、未知のマルウェアの侵入を防げず、被害を受けてしまう可能性があります。Cybereasonは、攻撃を成立させないことを目的としていて、システムに侵入したマルウェアによる管理者権限の奪取、機密情報データの外部への送信といった悪意ある動きを複数の要素から検知し、すぐに管理者に知らせます。そのため、高度な攻撃や未知のマルウェアにも有効性が期待できます。

さらに、インストールが簡単で導入しやすい点に加え、エンドポイント上で監視エージェントが稼働しても、システムへの負荷は最小限になるよう設計されているため、従業員が使用する端末や社内ネットワークへの影響が少ない点も特長です。また、管理画面では、攻撃の兆候の解析結果が時系列で図解化されて表示されるため、速やかに状況を把握することができます。

モバイルデバイス向けセキュリティアプリ「zIPS」

新型コロナウイルス感染症の流行以降、テレワークの急拡大に伴い、スマートフォンやタブレット端末といったモバイルデバイスが業務に使われるシーンが大幅に増えています。これらのモバイルデバイスにはマイクやカメラが備わっているため、遠隔操作で企業機密を盗聴・盗撮されるリスクもあります。

こうしたモバイルデバイスのセキュリティ対策に有効なのが、iOS・Android 向けのセキュリティソリューション「zIPS」です。「zIPS」はイスラエルで創業し、アメリカに拠点を置くZimperium(ジンペリウム)社が開発したモバイルデバイス向けのアプリケーションです。

AIにより未知の攻撃にも対応することが特長で、「デバイス」「ネットワーク」「アプリケーション」という3ポイントでリスクを検知します。また、デバイス上のエンジンで全ての検知を行うため、インターネットに接続していない環境下でも作動します。さらに統合エンドポイント管理(UEM)サービスとの連携によって、遠隔操作による端末のロックや初期化、マルウェアの自動削除といったより強固な追加セキュリティ設定が可能です。

※対応しているUEMサービスは、VMware Workspace ONE® UEM、MobileIronおよびMicrosoft Intune、ビジネス・コンシェル デバイスマネジメントです。

どんな環境下でも事業を継続できるよう、幅広い脅威への備えを

企業が生産性を維持し続けるためには、緊急時やトラブル発生時にも損害を最小限に抑え、事業を継続し続けることが重要です。近年のサイバー攻撃の手口は多様化・巧妙化しているため、企業は、幅広い脅威に対して防御・対策をし、常にセキュリティシステムを最新の状態に更新しておくことが求められます。自社だけで高いセキュリティレベルを維持するのは困難ですが、セキュリティ事情に精通した専門企業の力を借りれば、最適な環境を整備することができます。自社の現状をチェックし直し、早急に対策をはじめましょう。

関連リンク

Cybereason

Zimperium