サイバー攻撃やサイバーテロという言葉を耳にすることが多くなりました。小説や映画、ドラマなどでサイバー攻撃が印象的に描かれたり、サイバー攻撃そのものを題材にした作品もあります。サイバー攻撃は現実にも発生しており、インターネット利用の拡大に比例するように企業や個人の安全を脅かすことも増えてきています。今後ますます身近な脅威として意識する必要があるでしょう。ここでは、サイバー攻撃とはどのようなものか、被害例なども交えて説明します。
1:サイバー攻撃とは
1-1 概要
サイバー攻撃とは、サイバー空間を経由する、あるいはサイバーの手法による攻撃のことで、コンピュータに不正侵入したり、コンピュータの不正操作をしたりするクラッキング行為を指します。「サイバーテロ」と呼ばれることもあります。
サイバー(コンピュータやインターネット)な世界、手法で行われる攻撃がサイバー攻撃で、これらを介した犯罪のことをサイバー犯罪と呼びます。
1-2 攻撃者とその目的
サイバー攻撃は、個人が行うケース、組織化されたサイバー犯罪者が集団で行うケースのほか、しばしばニュースなどでも言及されるように国家単位で行われるケースもあります。また、いわゆるサイバー犯罪者や産業スパイのような外部からの攻撃だけではなく、組織の関係者による内部犯行のケースもあります。その目的も様々で、技術力を誇示するためや私怨のために行ったり、情報・金銭の搾取、データの破壊などのために行ったりします。自らの主張を知らしめる(注目を浴びる)ために行うケースなどもあります。
2:サイバー攻撃の種類
2-1 マルウェアによる攻撃
サイバー攻撃のほとんどは、メールやWebを経由します。最も一般的な手法はマルウェア(悪意のあるソフトウェア)の利用ですが、これをメールにファイル添付したり、メールの本文にあるリンクからマルウェアに感染させるようなWebサイトへ誘導します。マルウェアの中でも悪質なものには、パソコン上のファイルを暗号化して使えなくさせ、暗号化を解除するために金銭を要求するランサムウェアや、利用者のオンラインバンキングの操作を乗っ取って不正送金を行うバンキングマルウェア、仮想通貨のマイニングを勝手に行うマイニングマルウェア、遠隔操作を可能にするRAT(Remote Access Tool)などがあります。
2-2 フィッシング
特定のサービスになりすましてメールを送ってくる「フィッシング」は、新たなセキュリティ対策を有効にして欲しい、不正なログインを検知したのでアカウントを停止した、あるいは購入確認、宅配便の再配達などを装う文面で、本文にあるリンクをクリックさせようとします。リンク先は正規のサービスとまったく同じ見せかけのログイン画面になっていて、IDとパスワードを入力させて、盗み出します。銀行やクレジットカード会社を装うケースもあり、ログイン情報やクレジットカード情報を盗まれてしまうと、大きな被害を受けることもあります。
2-3 BEC(ビジネスメール詐欺)
メールを使った攻撃では、最近では「BEC:Business Email Compromise(ビジネスメール詐欺)」と呼ばれるメール詐欺が話題になっています。BECは、社長などのふりをして送金指示のメールを送る手法で、企業の買収や大きな契約など、大金が動くタイミングを見計らってBECを行います。サイバー攻撃者は、あらかじめ企業のメールシステムに侵入したり、メールのログイン情報を盗み出して、やり取りされるメールを盗み見している可能性も考えられます。
2-4 不正アクセス
企業などの組織内部に、インターネット経由で侵入する不正アクセスも、サイバー攻撃者の常套手段です。不正アクセスは、フィッシングによって入手したログイン情報を使用したり、システムの脆弱性を悪用したりして、内部のネットワークに侵入、組織が持つ重要な情報を盗み出します。標的型攻撃という、非常に巧妙かつ高度な技術を使ったサイバー攻撃もあります。また最近では、組織の業務プロセスを管理する機器など対象にしたサイバー攻撃、「BPC:Business Process Compromise(ビジネスプロセス詐欺)」も確認されています。業務プロセスを乗っ取られてしまうリスクもあり、海外では金融機関の送金システムが被害を受けたケースもあります。
2-5 Webサイトの改ざん
企業や自治体、官公庁などのWebサイトを改ざんするサイバー攻撃もあります。一時期は、ハクティビストによるWebサイト改ざんが多発しました。ハクティビストは、ハッカーとアクティビスト(積極行動主義者)を組み合わせた言葉で、社会的・政治的、あるいは宗教的な思想によりサイバー攻撃を行う集団のことです。ハクティビストは、サイバー攻撃によって正規のWebサイトを自分たちの声明文に書き換えることがあります。また、サイバー攻撃者がマルウェアの感染を目的にWebサイトを改ざんするケースも多くあります。見た目は変わらないものの、脆弱性を悪用するようなスクリプト文が書き加えられており、Webサイトを閲覧するとマルウェアに感染することもあります。
2-6 DoS攻撃・DDoS攻撃
Webサービスや重要なサイトを閲覧不能にしてしまうのがDoS攻撃(Denial of Services Attack , サービス拒否攻撃) およびDDoS攻撃 (Distributed Denial of Service Attack,分散型サービス拒否攻撃) です。アクセスが集中してWebサイトが表示されづらくなるケースなどがありますが、これと同じことを意図的に行う攻撃です。DoS攻撃は、攻撃側のサーバと標的のWebサーバが1対1の関係ですが、DDoS攻撃はサイバー攻撃者が持つボットネットワークを使って大量のアクセスを発生させます。また最近では、PCではなくIoT機器を活用することで攻撃台数を増やしています。さらに、DNS(Domain Name System)の仕組みを悪用するなどして、送ったパケットが増幅されて返ってくる問い合わせを行うことで、より大きな効果を狙うDRDoS攻撃(Distributed Reflection Denial of Service 、DoSリフレクション攻撃)も多く発生しています。
2-7 インフラへの攻撃
映画などでは、サイバー攻撃によって交通信号機を自由に操作したり、携帯電話を圏外にさせたり、天然ガス工場を爆破させるなど、生活に重要なインフラを攻撃するシーンが出てきます。これらは空想の話と思いがちですが、多くの攻撃が実現可能であり、実際に似たようなサイバー攻撃も発生しています。例えば、イランの核関連施設を狙った標的型攻撃が有名です。ネットワークに接続されていない制御機器に特別なマルウェアを感染させ、ウラン濃縮遠心分離機の動作を停止させました。ウクライナでは、サイバー攻撃によって電話通信網や電力網が被害を受けています。
2-8 IoT機器への攻撃
IoTの時代を迎え、すでに多くの電化製品がインターネットにつながるようになっています。インターネットに接続されている以上、何らかの対策を講じないと、インターネット側からアクセスされる可能性があります。これはすでに現実の脅威となっています。また、IoT機器が増えているのは家庭だけではありません。ビルや鉄道、自動車など様々な場所に設置されています。具体的にどのような脅威があるかは現時点では推測の域を超えない部分もありますが、効果があるとなればサイバー攻撃者が放っておくことはないでしょう。
3:大規模なサイバー攻撃の事例
3-1 Webサイトへのサイバー攻撃
しばしばニュースで報道されるサイバー攻撃に、Webサイトへのサイバー攻撃による情報漏えいが挙げられます。たとえば、Webアプリケーションの脆弱性を狙ったサイバー攻撃は深刻な被害を招くケースも少なくありません。特に、外部からコマンドを実行できるような脆弱性の場合は、情報漏えいにつながる可能性も高くなります。
3-2 不正アクセスによるサイバー攻撃
不正アクセスによるサイバー攻撃も後を絶ちません。事例としては、脆弱性を悪用して、ホームページを改ざんしたり、情報を盗み出すケースが多くなっています。ただし、不正アクセスは内部の人間による事例も少なくありません。従業員や委託先の社員がその立場を利用して情報を盗んだり、社内でより高い権限を持つアカウントに侵入する事例もあります。
3-3 サイバー攻撃による大規模停電
サイバー攻撃によって停電が引き起こされた事例は、2016年12月に東欧ウクライナで起きています。首都であるキエフの変電所がサイバー攻撃に遭い、大規模な停電が発生。10万人以上が影響を受けました。変電所はサイバー攻撃を受けた後、手動操作に切り替えて復旧を行い、約1時間強で送電が再開されています。このサイバー攻撃では、変電所のシステムを狙ったマルウェアが使用されており、設備を操作することで停電が発生したとみられています。
3-4 サイバー攻撃で対応が遅れたパイプライン事故
トルコでは、2008年8月に原油のパイプラインが爆破されるという事故が起きています。これにより、原油の輸送が停止しました。爆発そのものはサイバー攻撃によるものではなさそうですが、サイバー攻撃者は警報システムや監視システムにサイバー攻撃を行っており、このため原油パイプライン制御室のオペレータは40分間にわたって事故に気づくことができませんでした。このパイプラインでは、インターネットに接続する方式の監視カメラを導入していましたが、このカメラのソフトウェアには脆弱性が存在しており、サイバー攻撃者はこの脆弱性を悪用したとみられています。
4:まとめ
サイバー攻撃は特別なものではなく、私たちが気付く・気付かないにかかわらず日々発生しています。そして、サイバー攻撃を受けてしまうと、企業などでは情報漏えい、個人では金銭の窃取といった被害にもつながってしまいます。まずはサイバー攻撃について正しい知識を持ちリスクを理解することが大切です。
著者:マカフィー株式会社 マーケティング本部