攻撃者の視点から読み解くサイバー攻撃手法 ~取るべきセキュリティ対策~

セキュリティ

(2021年5月27日 掲載)

サイバー攻撃の対象になるのは大企業ばかりではありません。重要な情報を持っていたり、あるいは大企業のサプライチェーンに属している中小企業への攻撃は現実に起きています。 本ブログでは、セキュリティコンサルタントの株式会社CISO那須慎二氏が2021年5月に登壇したウェビナーから、中小企業も標的になりうるサイバー攻撃の手口や、対策の第一歩としてのセキュリティ診断を紹介します。

目次

サイバー攻撃は誰が行っているのか

サイバー攻撃者の種類は概ね6つに分けられます。攻撃者の動機や目的を知ることがセキュリティ対策においても重要です。


1.自分の能力を誇示したい愉快犯
2.政治的な意思を示したいテロリスト
3.企業の機密情報やデータの破壊を狙う産業スパイ
4.ネットバンキングの不正送金などを強要する金銭強奪犯
5.恐喝や脅しなどで金銭を巻き上げる反社会的組織
6.情報を外部に漏らす社内の犯罪者

サイバー攻撃の手段

最も多く用いられるサイバー攻撃の手段は、ウイルスなどを添付した電子メールです。次いでWebサイト。ネット上に公開されているWebサイトは、脆弱性があればあっという間に攻撃の対象となります。
攻撃者の手口は年々巧妙化しています。見知った人を装ったメールを送付して攻撃したり、対象のWebサイトにウイルスを仕掛けて閲覧者のPCを乗っ取って被害を拡大させる事件が起きています。攻撃者の手段について知り、サイバー攻撃に備えましょう。

攻撃者が狙うWebサイト

攻撃者は企業のWebサイトを入念にチェックしています。例えば採用ページは個人情報の宝庫です。また取引先企業をWebサイトに掲載している企業がありますが、ターゲット企業がその中にリストされている場合、そこを足掛かりに攻撃をすることがありますので、掲載情報には気を付けましょう。また近年利用が拡大しているSNSでは、社員が企業の情報を無断で公開し問題になるケースが報告されています。
攻撃者はこのようにWebサイトから情報を蓄積していきます。企業のWebサイトにはなるべく関係者の実名を公開しないこと、社員にはSNSに企業のメールアドレスなどの不掲載を徹底させることなどの対処が必要です。

標的型攻撃

企業などの機密情報をターゲットとして実行されるサイバー攻撃の総称を標的型攻撃と呼び、例えばソーシャルエンジニアリング×ランサムウェア×ファイルレス攻撃などの掛け合わせで構成されています。ここではそれらの攻撃についてご紹介いたします。

ソーシャルエンジニアリング

人間心理の裏をついて情報を入手する手法です。電話や覗き見、紙ゴミの取得や構内侵入などが該当します。必ずしもテクノロジーを利用した手口ばかりではなく、PCやネットワークとは異なるセキュリティ対策にも目を向けることが必要です。

ランサムウェア

ランサムウェアは身代金ウイルスとも呼ばれ、PC内のデータを勝手に暗号化します。攻撃者はその上で、元に戻してほしければ金銭を払えと脅迫します。データが丸々失われることもあるので、常にバックアップを取ることが重要です。

ファイルレス攻撃

ウイルスを使わずに行う、Windowsの標準プログラム(Powershellなど)を対象に潜入する攻撃手法です。標準機能であるためウイルス対策ソフトは反応せず、長期に渡り潜伏して情報を奪い続けるケースもあります。

サイバー攻撃の被害に遭わないために

サイバー攻撃の脅威から企業を守るためには、まず「知る」ことが重要です。手口や被害の実態について調べ、自社のセキュリティ対策の現状をしっかり把握して、目指すべきゴールとのギャップを埋めていきましょう。
また、セキュリティレベルの診断はノウハウなどの面から自社で十分に行うことは難しいため、プロのセキュリティ企業への依頼を推奨します。

CISO社の診断項目

1.エンドポイント(社員のPCなど)
2.スマートフォン
3.サーバ・クラウド
4.ネットワーク
5.Webサイト
6.物理セキュリティ(盗難などに備えているか)
7.ルール規定

サイバー攻撃のより詳細な情報はアーカイブ動画で視聴できます

当記事で概要をお伝えした那須氏のウェビナーは、アーカイブ動画で視聴が可能です。記事では紹介していないハッキングによるPC乗っ取りなど、攻撃を再現したデモンストレーション動画により、更に詳しくサイバー攻撃の手口を知ることができます。
また、記事でも触れたセキュリティ診断についても詳細なレポートを紹介していますので、この機会に動画を視聴し、サイバー攻撃への備えを始めてみてはいかがでしょうか。

(文:永沼)

ソフトバンクでも、お客様のセルフ診断に役立つセキュリティチェックシートをご用意しています。 概要は下の案内動画でご確認下さい。 チェックシートのダウンロードリンクもございます。


サイバーセキュリティ強化