サイバー攻撃とは、機密情報などを盗むために行われる、インターネット上の犯罪のことです。
規模は個人間のものから、国家規模のものまであり、目的や手段も様々です。
この記事では、サイバー攻撃とは何か、具体例を用いて会話形式で説明しています。
はじめに
ねぇ、Tさん!「サイバー攻撃」とかって言葉、よく聞くけど、具体的にどういう攻撃があるの?ニュースとかでよく見るけど、詳しいところまでは説明してくれないから、漠然と「なんか怖い」っていう印象しかもてないんだよね・・・
サイバー攻撃の詳細をニュースの中で紹介するわけにもいかないからね・・・今日は代表的なサイバー攻撃を三つ紹介するから、それを題材に具体的にどういう攻撃が行われるのか、整理してみようか。
今日紹介するのは、「フィッシング詐欺」、「標的型攻撃」、「不正侵入」の三つだぞ。
フィッシング詐欺
フィッシング詐欺は、不特定多数の人に電子メールを発信して、実在する会社かのように装って、個人情報をだまし取る手法だね。
例えば、私もこんなメールを日々受け取ったりするぞ。
え、これってAmazonのメールじゃないの?
ほかにも銀行やクレジットカード会社などを装うこともある。
このメールにしたがってアクセスすると、公式そっくりのログインページなどが表示されて、そこで自分のアカウントの情報などを入力すると、詐欺成功!という作戦だ。
こんなにそっくりに作られちゃうと、見破れようがないね・・・どうしたらいいの?
「怪しいメールのリンクは開かない・・・」というのが昔からの鉄則ではあるけど、ここまで本物そっくりに作られると見破りようがないよね。
「送信元や送信先のドメインをチェックする」というのもよくいわれるけど、焦っているとそこまで気が回らなかったりするからね。
もし僕がITに詳しくない人にアドバイスするとしたら、「個人情報やクレジットカード情報を入力するページが出たタイミングで、一回一呼吸おいて誰かに相談したり、保存しておいたサイトのブックマークからアクセスしなおしてみる」かな。
それって用心するとしか言っていないのでは・・・
URLを確認するだけじゃダメなの?
あたかも公式かのように見せかける”ミスリードURL”という手法があるからね・・・
例えば、www.аpple.com とwww.apple.com。この二つのURLの違いはわかるかな?
・・・んん?この二つ同じじゃないの?
一つ目のURLの”а”はキリル文字という英語とは違う言語のaだぞ。まぁ、こんなのわからないよね・・・
うわぁ、これは見破れないね。
様々なURLのうち、特にミスリードするような文字列ではないフィッシングURLについては約7%の人しか騙されなかったものの、ミスリードURLでは60%の人が騙された、という趣旨の記述があるそうです。
NECのサイトにさらに詳しい記載がありますので、参考にしてください。
標的型攻撃
「標的型攻撃」とは、特定の組織や個人を狙って行われる攻撃のこと。
例えば、ある企業の重要な情報を手に入れたい場合、その企業の社員を狙って偽のメールを送ることがあるんだ。
それって普通のフィッシング詐欺と何が違うの?
攻撃対象が特定されている点が違ってくるね。フィッシング詐欺は不特定多数の人にばらまくから、クレジットカードやショッピングサイトなど、ある程度不特定多数の人間に”刺さる”ような題材を選ぶ必要がある。
標的型は、その名の通り「特定の標的」を狙うから、フィッシングメールよりもさらにシチュエーションを限定して、より”刺さる”題材でだまそうとしてくるんだ。また、添付ファイルとしてウイルスが仕込まれていたりするぞ。
ランサムウェア、といったパソコンをウイルスで使えないようにして、身代金を要求する攻撃もこの攻撃に含まれるな。
攻撃する対象が違うのね。
例えば、以下のような文面が想定されるぞ。
ターゲットは購買部門の社員・・・
複数の会社から請求者が日常的に送られてきている部署だから、こういう請求書もつい開いてしまうだろう、という狙いだな。
確かにこういう文章だと、身に覚えがなくてもついURLを開いて、内容を確認したくなるかもね・・・もしかすると宛先が間違っているかもしれないし。
それが攻撃者の狙いだな。URLをクリックさせれ攻撃としては大成功だ。もしウイルスをダウンロードしなくても、生きているメールアドレスということさえわかれば、違う攻撃の方法も試せるからね。
仕事している時にこういうメールを受け取ったらどうしたらいいの?
もし会社にセキュリティの部署があったらそこに報告、もしなければ上司に相談するのがいいかな。
もし万が一ファイルをダウンロードしてしまったりしたら、すぐにLANケーブルを抜いたり機内モードにしたりすることで、ウイルスの拡散が防げるから、覚えておいてね。
不正侵入(入門編)
最後に「不正侵入」とは、システムやネットワークに許可なく侵入することだ。これがおそらく、企業がもっともお金をかけて対策するところだな。
これだけさっきの二つと毛並みが違うね。より専門的な感じが・・・
単純な攻撃手法としては、IDとパスワードの組み合わせを攻撃者が推測して、利用者のふりをして侵入してくる方法と、ファイアウォールやサーバーの脆弱性をついてくる方法があるぞ。
IDとパスワードって膨大だから、そんなばれないんじゃないのー?
確かになんの材料もなく攻撃しようとするのは難しいね。代表的な手法としては”辞書攻撃”というのがある。ユーザIDを一つ決めて、初期パスワードやパスワードに用いられがちな文言を決めてひたすらログインを試すやり方だ。
ちなみに、日本で2023年現在、一番用いられているパスワードは123456、だそうだ
お父さんのパソコンのパスワードだ・・・
いや、けど、私のパスワードは頑張って考えた複雑なやつを使っているから大丈夫!
その場合、“パスワードリスト攻撃”が心配だな。いろんなサービスでパスワード使い回ししてたりするかな?
うっ、だって、私が考えたサイキョーのパスワードだから・・・
パスワードリスト攻撃では、一つのサービスから漏れたIDとパスワードを用いて、別のサービスに攻撃してきたりするからね。できれば全サービス違うパスワードを考えたほうがいいな。
えーめんどくさい。そんなの無理じゃない?
・・・妥協案としては、クレジットカード情報を抱えていたり、特に重要なアカウント(Googleなど)だけは別のログインIDとパスワードにしておくのは有効かな。
不正侵入(発展)
じゃぁ、単純じゃない攻撃手法は?
もう少し複雑な攻撃手法になると、”セキュリティホール(脆弱性)”をついてくる手法があるぞ?
セキュリティホールって?
ファイアウォールやサーバも人の作っているものだから、悪い人からみると悪用ができるバグなどがあったりする。
ゲームのバグ技を使って、ゲームを簡単にクリアしてしまう、というような動画を見たことがあるかな?
それと同じようなことが、実はサイバー攻撃でもできてしまうことがあるんだ。
けどバグってことは・・・ちゃんと直してくれるんだよ・・・ね?
ソフトウェアを開発している会社は、このセキュリティホールが見つかり次第迅速に直すように動くのが一般的だ。
ただ、その直した後のソフトウェアに世の中の会社がすぐに入れ替えられないことが多いんだよね・・・
うーん、それは残念な感じだね。
一つのシステムを構成するのに無数のソフトウェアが存在して、またそのソフトウェアには無数のセキュリティホールがあるからね。
定期的に見直しができるような仕組みがすでにある会社ならいいけど、そうでない会社は難しかったりするだろうね。
規模が大きい会社だとチェックする余裕があっても、その子会社だと難しい・・・みたいなパターンはありそうだね。
そういった観点から、最終的な標的とする大きな会社をターゲットにするのではなく、セキュリティの手薄な関連会社や取引先企業を通じて不正に侵入するサイバー攻撃、”サプライヤチェーン攻撃“も存在する。
攻撃者からすると、関連会社や取引先側にターゲットとなる会社の情報があれば、目標は達成できるからね。
自分の会社だけ見ていれば大丈夫、とはならないのが難しいところだね。
まとめ
- フィッシング詐欺: 不特定多数の人に電子メールを発信して、実在する会社のように装って、個人情報をだまし取る手法。銀行やクレジットカード会社などを装って、公式に似せたページで情報を入力させる。対策としては、怪しいメールのリンクを開かない、送信元や送信先のドメインをチェックする、個人情報やクレジットカード情報を入力する際に一度一呼吸置いて考える、などがある。
- 標的型攻撃: 特定の組織や個人を狙って行われる攻撃。フィッシングメールとは異なり、特定の標的を狙うため、よりリアルなシチュエーションや情報を使った詐欺メールが送られることが多い。対策としては、怪しいメールが来たらすぐに会社のセキュリティ部署や上司に報告すること。
- 不正侵入: システムやネットワークに許可なく侵入する行為。脆弱性を突くために、IDとパスワードの組み合わせを推測する辞書攻撃や、漏れたIDとパスワードを使うパスワードリスト攻撃などの手法がある。対策としては、パスワードの使い回しを避け、特に重要なアカウントは異なるログインIDとパスワードを設定すること。
コメント