コラム一覧へ戻る

5分で解説!気になるIT用語

2019年8月13日

サイバー攻撃1

第3回 「サイバー攻撃」

 テレビ、新聞などでも頻繁に取り上げられるようになった「サイバー攻撃」。

 サイバー攻撃とは、コンピュータやネットワークに侵入し、データの取得・改ざん、システムそのものを破壊する行為を指す。「サイバーテロ」とも言う。その攻撃対象は、個人、組織・企業から国家そのものだったり、目的が金銭目当てや愉快犯的行動、軍事活動の一部を狙ったり多岐にわたる。当然、攻撃者の種類も個人、犯罪者組織など広範にわたる。

 また、米国や中国では軍にサイバー戦争用の部隊が存在することを公式に認めており、日本でも2014年に自衛隊所属の「サイバー防衛隊」が創設された。

 サイバー攻撃にはさまざまな種類があり、数もどんどん増えている。今回はその一部を紹介しよう。

  • ①標的型攻撃
  •  特定の組織、個人に絞って行われるサイバー攻撃。攻撃者は取引先や知人、配達業者などを装って悪意のあるURLに誘導したり、不正なファイルを添付したメールを送信したりする。そのファイルを開いたり、Webサイトにアクセスしてしまったりすると、ウイルスに感染や個人情報を盗まれるなどの被害を受けることになる。
     日本においては、最近特にテレビで取り上げられるなど、注意喚起されているのが、佐川急便を装ったショートメッセージ(SMS)。「佐川急便です。お荷物をお届けにあがりましたがご不在でしたので持ち帰りました。詳細は下記(リンク)からご確認ください」という内容のSMSが届き、Webサイトにアクセスすると、佐川急便の公式サイトそっくりの偽サイトが表示され、スマートフォン用の不正アプリをインストールするよう誘導される。
     これを誤ってインストールしてしまうと、電話番号や連絡帳に登録している情報などが盗まれた上、連絡帳の相手にも感染を広げようと、端末から勝手にメッセージが送信される(被害者が今度は加害者になってしまう)仕組みになっている。

  • ②ドライブバイダウンロード攻撃
  •  特定のWebサイトを訪問した際、自動的に(ユーザーの同意なく)不正なプログラムをダウンロードさせるサイバー攻撃。まず、アクセスするユーザーの多い企業などのWebサイトが攻撃者によって改ざんされ、悪意のあるWebサイトに誘導されるようになる。そこにユーザーがアクセスしてしまうと、自動的に不正なプログラムをダウンロードさせられてしまうという仕組みになっている。前回の用語「脆弱性」の被害事例で「Adobe Flash Player」について触れたが、この脆弱性を突いてドライブバイダウンロード攻撃がよく使われた。
     「脆弱性」関するコラムはこちら

  • ③ゼロデイ攻撃
  •  これも前回の「脆弱性」で触れたが改めて説明する。OSやソフトウェアに脆弱性が発見されると、大抵は開発メーカーが更新プログラムを作成し提供する。しかし、脆弱性があったことが発表されてから、実際に更新プログラムが提供されるまでには数日~数週間程度のタイムラグがある。
     その間に該当する脆弱性を突いたサイバー攻撃を「ゼロデイ攻撃」という。脆弱性を解消する手段がない状態で脅威にさらされるため、攻撃を防ぐことは非常に困難。場合によっては、一時的なサービス停止を余儀なくされることもある。
    この他にも、データベースと連携しているWebサーバを攻撃する「SQLインジェクション攻撃」、他人のセッション(Webサイトにアクセスして行う一連の行動)を盗み、その相手になりすます「セッションハイジャック」などがある。

 こうしたサイバー攻撃への対策は、次のようなものになる。

サイバー攻撃2

  • ①セキュリティ意識の向上
  •  まずは自らの、また企業ならば各従業員の「セキュリティに対する意識が足りない」場合、その向上を目指すべきだろう。たとえば、前述の佐川急便を装った標的型攻撃であれば、公式サイトにも記載があるとおり「佐川急便からショートメッセージが届くことは絶対にない」と知っているだけで防ぐことができる。
     また、「12345678(数字を順番に繋げただけ)」「taroyamada(氏名をそのまま)」のような、外部から容易に推察できるパスワードを使用しない、ソフトウェアを常に最新のバージョンにする、定期的なバックアップ、データ保存機器の紛失時のガイドラインを作る、と言った基本的な管理・運用がきちんと行われているかどうかも重要だ。

  • ②セキュリティソフトウェア・サービスを利用する
  •  さすがにウイルス対策ソフトを導入していないPCはないだろうが、それだけでは未知のウイルスや、未対応の脆弱性を利用するゼロデイ攻撃は防ぐことができない。
     近年では、こうした新たな脅威、未知の脅威への対応をうたうソフトウェアも出てきている。
     また企業であれば、セキュリティ専門の部署・管理者を置く、外部のセキュリティ専門企業に依頼するなどして、24時間の監視体制やインシデント(事件)発生時の対応環境を整えておくことが重要になってくるだろう。

  • ③保険に加入
  •  セキュリティ体制をどれだけ整えても、残念ながらサイバー攻撃を100%防げるわけではないのが現状だ。
     企業の場合、第三者に被害に与える、データを消失するといったことを起こしてしまうと、賠償などで莫大な損失が発生してしまうことが予想されるため、侵入されることを前提として保険に加入しておくのも手だ。

 では最後に、実際にサイバー攻撃によって起こった被害事例を紹介しよう。

    ■ランサムウェア「WannaCry」

     ランサムウェアとは不正プログラムの一種で、感染したコンピュータのシステムを使用不能にして、その状態を解除するために身代金(ransom=ランサム)を要求するというもの。その中でも、2017年に世界的被害をもたらしたのが「WannaCry」だ。

     WannaCryはWindows の脆弱性を利用しており、メールに添付されたファイルを開くといった行為で感染、端末内のファイルを暗号化して実行できなくさせ、身代金(ビットコイン)を要求するメッセージを表示する。
     さらに、端末と繋がっているネットワーク(社内LANなど)を介して、別の端末も自動的にWannaCryに感染させるという機能を持っていたため、爆発的に被害が広がった。
     ※身代金の支払いに応じたところで暗号化されたファイルの復元は行われなかった。

     特に甚大な被害を受けたのがイギリスで、国民保険サービスが攻撃を受けた結果、約40の医療施設でシステムが使えなくなった。患者の情報にアクセスできなくなってしまったため、手術の中止、診察のキャンセル、救急患者の受け入れ不能といった事態に陥った。

     脆弱性を突いた攻撃ということで、ここまでに何度か触れたゼロデイ攻撃を連想するかもしれないが、実はこの脆弱性に対するWindows 更新プログラムはWannaCryの登場前に公開されていた。

     つまり、被害にあったのはこの更新プログラムをインストールしていないコンピュータか、サポート終了のために、そもそも更新プログラムを使えないWindows XP などを使っていたコンピュータだった(=ゼロデイ攻撃ではなかった)。

     OS・ソフトウェアを常に最新のバージョンにしておくことが、いかに大事かわかる事例と言えよう。

     マイクロソフト社は被害の大きさを鑑みて、サポートが終了していたWindows XP やWindows Server 2003用の更新プログラムも配布するという対応を行った。また、各種ウイルス対策ソフトも検知に対応しているため、現在はWannaCryに感染する可能性は低い。

関連サービス

この記事は2019年8月13日時点のものです。

コラム一覧へ戻る