インターネット環境や情報システムが発展を遂げるにつれて、ビジネスの効率は大きく躍進しました。デジタルテクノロジーは日進月歩で発展し、今ではAIやIoTといった先進的技術も当たり前のように活用されつつあります。ところが、そうしたIT業界・デジタルテクノロジーの発展と比例するように、サイバーリスクも増大していることも忘れてはいけません。いわゆる「サイバー攻撃」という名の脅威です。この脅威はあらゆる企業や組織においてリスクとなっています。
ここでは、そうしたサイバー攻撃の脅威を再認識していただくためにも、サイバー攻撃の種類やその特徴について解説します。
サイバー攻撃の種類とその特徴
マルウェア感染①(メール経由)
マルウェアとは「悪質なソフトウェア」の総称で、日本ではウイルス(コンピューターウイルス)と言った方が馴染み深いでしょう。ただし正確には、ウイルスもマルウェアの一種です。感染経路として最も多いのがメールであり、マルウェアが仕込まれた添付ファイルを展開してしまうと端末が感染し、情報漏洩やシステムファイルの破壊活動などを行います。
マルウェア感染②(ウェブ経由)
ウェブを経由したマルウェア感染は「ドライブバイダウンロード」という手口により、ウェブサイトにアクセスしたユーザーの端末に自動的にマルウェアをダウンロードさせ、感染させます。中には全く気づかないままマルウェアをダウンロードさせてしまうケースもあるため、不審なウェブサイトへのアクセスは控えなければいけません。
マルウェア感染③(USB経由)
英セキュリティ会社のSophosがブログに発表した調査結果によると、電車内に置き忘れられていたUSBメモリを調査すると約2/3がウイルスに感染していたそうです。
参考:忘れ物のUSBメモリ、3分の2がマルウェアに感染――相当量の個人情報も
USBメモリ経由のマルウェア感染は近年増加傾向にある手口であり、落とし物の中身を覗きたくなるという人間の心理を突いた巧妙なサイバー攻撃です。
標的型攻撃①(メール型)
標的型攻撃とは、特定の人物にターゲットを絞ったサイバー攻撃です。サイバー犯罪者は何かしらの調査を行った後に、ターゲットに対して既存顧客や新規顧客、政府関係者、サプライヤーなどを装ってメールを送信し、マルウェアを仕込んだ添付ファイルを巧みに開かせます。高度なものは実際のビジネスで関係のあるメールとして展開されるため、標的型攻撃と気付くことも困難です。
標的型攻撃②(ウェブ型)
ウェブを介した標的型攻撃は通称「水飲み場攻撃」と呼ばれ、多くの動物の水飲み場となっている湖の陰で獲物を待っている肉食動物にちなんで名付けられています。サイバー犯罪者はターゲットがよくアクセスするウェブサイトを調査した上で、そのサイトにマルウェアを仕込むか偽サイトを用意するかして、ターゲットが訪れるのを密かに待っています。
ジュースジャッキング
公共機関や街中のカフェなどにおいて充電サービスを提供している場所は年々増加傾向にあります。私たちもスマートフォンのバッテリーがなくなりかけている際に、これらから提供されるUSBポートを目にすると救われたような気持ちになります。しかし、その中には接続したデバイスの情報を抜き取る攻撃が仕掛けられている可能性があります。それがジュースジャッキングです。見た目には通常と変わらないUSBポートなので、サイバー攻撃と気付くことは難しいと言えます。
クリックジャッキング
ジャッキングつながりでもう1つご紹介します。クリックジャッキングとは、ウェブサイト上のボタンやリンクの上に「透明に細工されたボタンやリンク」を設置し、それらをクリックしたユーザーを偽サイトへ誘導するサイバー攻撃です。
サプライチェーン攻撃
セキュリティ対策が堅固な大企業を狙うよりも、セキュリティが脆弱な中小企業を踏み台として大企業のシステム内に侵入する方が効率的と言われています。サプライチェーン攻撃は、大企業を取り巻くサプライチェーンの中のセキュリティに脆弱な企業を踏み台にして、大企業のシステムへ侵入を試みるサイバー攻撃です。
ビジネスメール詐欺(BEC)
ビジネス上でやり取りされているメールを盗聴し、タイミングを見計らって一方の本人に成りすましマルウェアを仕込んだ添付ファイルをメールで送信する方法です。ごく自然なタイミングですり替わっている場合は気付くことが困難であり、添付ファイルを展開してしまう可能性が高く危険です。
スミッシング
スミッシングはスマートフォンなどモバイルデバイスのSMS(ショートメッセージサービス)機能)を悪用し、不正サイトへ誘導するサイバー攻撃です。最近ではSMSを使ったサービス認証が増えていることから、サイバー犯罪者はSMSを使って不正サイトへの誘導メッセージを送信します。いわゆる「フィッシング詐欺サイト」へ誘導し、そこで個人情報やクレジットカード情報を不正に取得しようとします。
ゼロデイアタック
パソコン等にインストールされているソフトウェアには一般的に常に何かしらの脆弱性(セキュリティ上の欠点)が存在しています。そして、サイバー犯罪者は常にそのソフトウェアの脆弱性を探しています。もちろん、ベンダー側も脆弱性発見へ積極的に取り組み、セキュリティパッチを提供していますが、当然のことながらサイバー犯罪者に先を越されると、全く対策がないまま被害を被ることになります。これがゼロデイアタックです。
SQLインジェクション
データベースサーバーを使用して会員情報などを管理しているウェブサイトでは、必ず情報漏洩の危険性があります。アプリケーションが想定しないSQLを実行することでデータベースを不正に操作し情報を搾取する攻撃です。
[SMART_CONTENT]サイバー攻撃対策として今すぐできること
ここでご紹介したサイバー攻撃の種類はまだまだ一部です。サイバー犯罪者もあらゆる手法で攻撃を仕掛けており、その手口は年々高度化、多様化しています。セキュリティ対策は一見して「取り組みが難しい」「コストがかかり過ぎる」といったイメージを持たれがちですが、会社組織(社員)のセキュリティ意識を高めることが最も重要であると言われています。その意識向上は悪意、過失問わず、内部犯行の防止にも役立ちます。ぜひこの機会に現在のセキュリティ体制をしっかりと見極め、堅固なセキュリティ体制を検討してみてはいかがでしょうか。
