【目次へ】 サイバー攻撃とは? 目的・被害の内容から対策方法までわかりやすく解説
続折々の記へ
続折々の記 2022 ⑧
【心に浮かぶよしなしごと】
【 01 】08/13~ 【 02 】08/15~ 【 03 】08/16~
【 04 】08/17~ 【 05 】08/18~ 【 06 】08/19~
【 07 】08/23~ 【 08 】08/24~ 【 09 】08/27~
――――――――――――――――――――――――――――――
【 02】08/15
サイバー攻撃に使われる「OSINT」とは
2022/08/15
2022.07.27
サイバー攻撃とは?
目的・被害の内容から対策方法までわかりやすく解説
プライベートはもちろん、業務でもインターネットに接続することが当たり前となり、パソコンやスマートフォンなどのデジタル機器やシステムも含めたこの環境は、今や欠かせないものとなりました。その一方、サイバー攻撃は増加・進化しており、ここ数年は金銭を目的としたサイバー攻撃も増えるなど危険性は増し続けています。そこで今回は、サイバー攻撃とは何か、サイバー攻撃の目的や被害内容・そして対策方法などをわかりやすく解説します。
《 目次 》
1. サイバー攻撃とは? その目的は?
2. サイバー攻撃のリスク
3. サイバー攻撃の被害件数と被害額
4. サイバー攻撃の種類
5. サイバー攻撃への対策方法とは
6. まとめ
1. サイバー攻撃とは? その目的は?
サイバー攻撃とはインターネットを介して、個人や組織を対象に金銭や個人情報・機密情報などの詐取や、システム・サーバーの機能停止などを狙い行われる攻撃のことです。
サイバー攻撃の目的には、金銭・政治・社会的メッセージ・知的財産目的・諜報・趣味・知的好奇心などが挙げられます。
企業や組織を対象にしたサイバー攻撃は、「不正アクセスによって、企業の機密情報や顧客情報を盗む」「Webサービスやシステムをダウンさせて何かしらの被害を与える」といった攻撃が主流です。
一方、個人を対象にした攻撃では、「IDやパスワードなどの情報を抜き取り、不正にログインする」「なりすましによるクレジットカードの不正利用」などが主流です。
また近年では、ハッキングの手法を利用し政治的・社会的な主張を行うことを目的とする「ハクティビスト」と呼ばれるグループも出現しています。
2. サイバー攻撃のリスク
サイバー攻撃を受けた場合、どのようなリスクがあるのでしょうか。ここからは、企業がサイバー攻撃によって負うリスクについてご紹介します。
金銭の損失・賠償責任のリスク
お客様から直接お預かりしている個人情報はもちろん、取引先から預かる個人情報や機密情報など、企業内では様々な情報を取り扱っています。万一漏洩させてしまった場合、損害賠償の対応が必要となります。また、原因調査や各種対応に追われ、それらもコストとして発生してしまいます。
顧客・信用の喪失リスク
情報流出は企業の信用を損なう可能性が高く、最悪の場合、顧客離れや取引停止などの事態を引き起こします。一度失った信頼の回復にはかなり時間がかかり、深刻な損失につながりかねません。
事業継続の阻害リスク
業務システムへの攻撃であれば、一時的にシステムを停止させるなどの対応が必要となる場合もあります。その期間業務が滞り、営業機会や売り上げの損失、納期遅延など、事業へ悪影響が生じます。
これらサイバー攻撃のリスクは相互に関連して企業に悪影響を与えます。さらには、従業員の労働意欲低下や離職へもつながってしまいます。
3. サイバー攻撃の被害件数と被害額
サイバー攻撃の被害はどれくらいなのでしょうか。米連邦捜査局(FBI)の発表によると、2021年のインターネット犯罪による被害総額は69億ドルを超え、2020年よりも20億ドル以上増えたことが明かされました。また、2021年のインターネット犯罪は合計84万7376件だったと発表がありました。コロナ禍でインターネットの利用がますます増え、被害件数も被害額も増加しているようです。
【出典】An official website of the United States government FBI
経済産業省は2022年2月に「昨今の情勢を踏まえ、サイバー攻撃事案の潜在的なリスクが我が国においても高まっている」として、サイバーセキュリティ対策への取組を一層強化するよう、企業等に対して注意を促しています。 また注意喚起の中で、国内外の拠点を問わず具体的な対策を実施し、不審な挙動等を検知した場合は経済産業省やセキュリティ関係機関に相談するよう求めています。
【出典】昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います/経済産業省
このような情報からも、サイバー攻撃への備えは日々重要性を増していることが分かるでしょう。
4. サイバー攻撃の種類
サイバー攻撃には様々な種類があります。ここでは、主なサイバー攻撃を8つ紹介します。
ランサムウェア
ランサムウェアはコンピューターウィルスの一種で、身代金要求型ウイルスとも呼ばれています。ユーザーのデータを人質にとって、データ返却のために身代金を要求するマルウェア(悪意のあるソフトウェア)です。
ランサムウェアのほとんどはパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりし、データにアクセスできないようにしてしまいます。ユーザーがデータにアクセスしたら、警告としてアクセスができなくなったことを伝え、復元したければ、お金を払うようにユーザーに要求するものです。
近年ランサムウェアはさらに悪質化し、データ暗号化に加えて、データそのものを盗み取り要求に従わなければデータを公開すると脅す二重恐喝の被害報告もあがってきています。
標的型攻撃
標的型攻撃はターゲットを絞ったサイバー攻撃のことです。特定の組織やユーザーに絞って攻撃が行われます。ターゲットの関連組織や取引先になりすまして、ウイルスのファイルを送ったり、ウイルスサイトに誘導するためのURLを貼り付けたメールを送信したりして、パソコンやスマートフォンなどのデジタル機器をマルウェアに感染させようとする攻撃方法です。
目的を達成するまで、継続して攻撃してくる傾向があります。また、ターゲットのセキュリティ対策が万全である場合は、ターゲットの関連会社から侵入してくる手口もあります。セキュリティが弱い関連会社を探し、そこからターゲットに近づくのです。
サプライチェーン攻撃
大手企業や政府機関など大きな組織で正面突破ができなかった場合、セキュリティ対策が充分できていない取引先や子会社を経由して、サイバー攻撃を仕掛けることをサプライチェーン攻撃と言います。サプライチェーン攻撃の手法には取引先のメールを装ってターゲットに送る、ターゲットである企業で使っているソフトウェア製品の更新プログラムを不正に仕掛けるなどがあります。
ビジネスメール詐欺
ビジネスメール詐欺とは取引先や関係者などになりすましてメールを送り、金銭をだまし取ることを狙った詐欺です。標的型攻撃と似ていますが、標的型攻撃は機密情報を盗むことを目的としています。一方、ビジネスメール詐欺は金銭を盗むことを目的としています。
ビジネスメール詐欺は年々進化しており、見分けるのが難しくなっています。しかし、振り込みなどの金銭のやり取りや情報のやりとりがある際は、電話などで本人確認することで詐欺だと発覚したこともあるので、メール以外の方法で確認することで防ぐことができます。
フィッシング詐欺
フィッシング詐欺とはインターネット上で行われる詐欺行為のことを言います。クレジットカードやネットバンキングなどの正規サービスになりすまし、ユーザーからログイン情報などを盗み出します。フィッシング詐欺の被害に遭うと、クレジットカードを不正利用されて知らぬ前に買い物をされ、ログイン情報が必要なサービスを悪用される恐れがあります。ユーザーの気がつかないうちにパスワードを換えられてしまうと、サービスの解約もできなくなってしまいます。
SMSを使った攻撃
SMSを使った攻撃にはスミッシングがあります。スミッシング(smishing)は、SMSとフィッシング(phishing)の2つの言葉を掛け合わせた造語です。
スミッシングはスマートフォンなどのメッセージ機能のショートメッセージサービスを利用しSMSメッセージの受信者をフィッシングサイトへと誘導する手口のサイバー攻撃です。
最近では、SNSなどのオンラインサービス認証としてSMS認証を使用した二段間認証を導入するものが増えました。スミッシングの攻撃者は、これらのSNSの公式アカウントになりすましてメッセージを送信してくることがあります。メッセージの中にはフィッシングサイトと呼ばれる正規のサイトによく似せて作られたサイトや、不正なスマホアプリをダウンロードさせるページに誘導を促すURLが記載されています。
DoS攻撃/DDoS攻撃
DoS攻撃(ドス攻撃)は、Webサイトやサーバーに大量の情報を送り付けることで、Webサイトやサーバーを正常に稼働できない状態にしてしまうサイバー攻撃です。DDoS攻撃(ディードス攻撃)も攻撃内容は同じですが、DoS攻撃は攻撃する側もされる側も1人なのに対し、DDoS攻撃は複数に分散された攻撃用マシンから一斉に攻撃が行われます。
DDoS攻撃を防御することが難しいのは、複数台の攻撃用マシンの場所が、攻撃が始まるまでどこにあるかがわからない点です。そのため、たくさんの攻撃場所すべてから守ることが困難になっています。また、DDoS攻撃は他人のコンピューターを踏み台にして悪用することが多いのも特徴です。踏み台にされたコンピューターは攻撃の発信源や中継地点として悪用されるため、踏み台となった被害者はサイバー犯罪の犯人として疑われることがあります。被害者なのに疑いがかけられるので、とても悪質な手法になっています。
不正アクセス
不正アクセスは、アクセス権限のない赤の他人がシステムやサービスに不正にログインすることを言います。企業が不正アクセスの被害を受け場合、顧客の個人情報が流出することで二次被害に発展する場合があります。
5. サイバー攻撃への対策方法とは
サイバー攻撃は日々進化しており、新たな攻撃手法も観測されています。企業は、サイバー攻撃にどのような対策をすべきなのでしょうか。ここからはサイバー攻撃に対する具体的な対策方法をユーザーの端末への対策とサーバーやWebアプリケーションへの対策に分けて解説します。
ユーザーの端末の対策
従業員など使用している端末でできる対策には以下のようなものがあります。
■ ユーザーの端末への対策
OSを最新バージョンにアップデートする
利用しているソフトウェアを最新バージョンにアップデートする
怪しいメールは開かない
怪しいサイト・URLはクリックしない
怪しいファイルは開かない
セキュリティソフトを導入する
サーバーやWebアプリケーションへの対策
サーバーやWebアプリケーションは、脆弱性やセキュリティホールを狙って攻撃されやすく、以下のような対策をする必要があります。
■ サーバーやWebアプリケーションへの対策
WEBサーバーで利用しているOSやソフトウェアの脆弱性対策を徹底する
OSシステムファイルやアプリケーション構成ファイルに対する変更監視
WEBサーバーに対する不正な通信の検知・遮断
運用アカウント管理の徹底
各種システムログ、セキュリティログを取得する
ログ監視を強化する
上記を参考にしていただきながら、できるとことからしっかりと対策をすすめていくとよいでしょう。
6. まとめ
サイバー攻撃は増え続けており、今後も増加すること考えられます。まずはサイバー攻撃の現状や自社の対策状況を知ることが大切です。
また、被害を受けた際の影響に鑑みると、サイバー攻撃への対策は単にコストではなく投資として考えるべきといえるでしょう。最新情報のキャッチアップや、会社全体でのセキュリティ意識の向上などと合わせて、ぜひ取り組みを進めてください。
当社では、サーバーセキュリティ・サイトセキュリティに関するお役立ち情報やサービスの提供を行っております。
下記資料では、近年におけるサイバー攻撃の発生状況や専門機関によるレポート、及び政府機関からの注意喚起など、サイバー攻撃対策の必要性に関する情報を提供しています。 さらに、Webセキュリティ対策として有効なソリューション「Imperva App Protect」を紹介しています。興味のある方は、ダウンロードのうえご覧ください。
掲載:2019年02月13日
サイバー攻撃に使われる「OSINT」とは
改訂:2021年10月04日
近年、情報収集の手法として「OSINT(オシント)」が注目されています。OSINTとは本来、国家保障等の専門領域で使われる言葉ですが、OSINTの考え方や手法がサイバー攻撃でも用いられていることから、最近ではサイバーセキュリティ分野でも耳にする言葉となりました。本稿では、OSINTの概要やOSINTを用いたサイバー攻撃、企業として注意したい点について解説します。
目次 ① 公開情報から目的の情報を見つける
② OSINTの手法を見てみる
③ 意図せず公開している情報に注意
④ OSINTから組織を守るには
① 公開情報から目的の情報を見つける
OSINTとはオープン・ソース・インテリジェンス(open source intelligence)の略称です。これは諜報活動の一種で、一般に公開され利用可能な情報を情報源に、機密情報等を収集する手法を指します。一般に公開され利用可能な情報とは、合法的に入手できる情報で、トップに対するインタビュー記事や企業のプレスリリース、書籍、インターネット情報等が挙げられます。これらを合法的に調べて分析することにより、一見、断片的なデータから、意味を持った情報が得られる場合があります。
身近な例から考えると、例えば自社の戦略を考えるために、他社を分析することが挙げられるでしょう。ライバル企業の資料やウェブページ、IR情報等を分析して、ライバル企業が次にどのような戦略を取りうるかを予測するのです。OSINTはこのようにビジネスで有効に活用することもできますが、攻撃者がターゲットの情報をつかむ目的で用いる場合もあるため、注意が必要です。
② OSINTの手法を見てみる
公開情報の収集には様々な手法があります。ターゲット企業の公式サイトや人材採用サイト、会社案内パンフレットや営業資料などは比較的簡単に入手することができます。また、公開情報の収集を補助するツールも世の中には流通しています。ここでは、「theharvester」というツールを例に、OSINTの手法を見ていきます。このツールは検索エンジンなど一般に公開されている情報からメールアドレス等を収集することができるものです。
ターミナルを開き「theharvester -d ドメイン情報 -b google -l 300」と入力します。 エンターを押下するとサーチが始まり検索結果が表示されます。今回、検索したドメイン情報からは2つのメールアドレスを見つけることができました。
このようなツールが、インターネット上には無料で公開されており、その機能を利用して、機密情報やサイバー攻撃の足掛かりを得ることも可能となります。
では実際に、ドメイン情報からメールアドレスが入手されたと仮定して、企業へのサイバー攻撃の可能性を考えてみましょう。メールアドレスが流出すると、以下のような流れでサイバー攻撃の対象となってしまう可能性があります。
上記のフローに従うと、ドメイン情報から、いくつかのパターンで攻撃の糸口をつかむことができます。組織のセキュリティ状況によって攻撃の有効性は変わってきますが、例えば、グループアドレスであれば複数の人が受信して、その内容を確認している可能性があります。従って、攻撃者がグループアドレス宛にマルウェア等を仕込んだメールを送信すれば、複数の人が開き、被害を大きくすることができるかもしれません。
現在、メールは攻撃者のチャンネルの一つになっていることは既知の状況です。フィッシングメールや標的型攻撃メール等、ドメイン情報がわかるだけでも攻撃者へチャンスを与えていることになるのです。
次に、社外秘の情報が調べたいとします。私達が普段から利用している「Google」や「Yahoo!」といった検索エンジンもOSINTでは重要なツールとなります。例えば、次のようなワードを検索エンジンで検索してみます。
【filetype:pdf 社外秘】
検索してみると、次のような結果が表示されました。約8060件程の情報を確認することができます。その中には社名と共に「社外秘」と記された情報もありました。
これが本当に社外秘情報かどうかは実際に確認して信ぴょう性等を判断する必要がありますが、OSINTという観点では何かしらのヒントを得られる可能性があります。
このようにOSINTは何か決まった方法があるというものではなく、利用できるあらゆる手段を用いて、公開情報から様々な情報を収集します。企業機密に関わるような情報が狙われる場合もあり、また、機密情報を得るためのサイバー攻撃等の糸口として利用される場合もあります。前述したような手段以外にも様々な方法があるため、企業としてもその対策が難しいところです。
③ 意図せず公開している情報に注意
企業としてOSINTへの対策を考える場合、「意図して公開している情報かどうか」という判断基準を念頭に置いておくと良いでしょう。
・意図して公開している情報
会社概要や公開資料等、意図して公開している情報は、企業活動として公開が必要です。ライバル企業や攻撃者から分析の対象とされる可能性があったとしても、IRやCSR、CM等、企業が営利活動をするためには公開しなければなりません。そのため、一切公開しないといった対策は難しいと考えられます。
・意図せず公開している情報
OSINT対策で問題になるのは、意図せず公開している情報です。これは、言い換えると企業が管理できていなかった情報でもあり、盲点と言えます。攻撃者はこの盲点に目を付けます。
例えば、WordやExcel等のオフィスファイルには、ファイルを作成した際のプロパティ情報が表示されています。社内で利用するファイルに関しては、誰が作成したのかといった観点は必要ですが、これが公開情報として必要かと問われると、何か理由がない限りは不要でしょう。
ここにある情報が分かれば、「もしかしたら、このファイルの作成者は攻撃対象の企業に属している、または近い立場にいる人物かもしれない」と推測できます。前述したように検索エンジンで企業名と作成者名を検索して、SNS等から個人の嗜好等を調べることも可能です。本人の嗜好が分かれば、より攻撃が届く可能性が高まります。また、ドメイン情報と組み合わせてメールの送信を試すことも可能でしょう。場合によっては本人に直接電話をして、機密情報を聞き出すといったソーシャルエンジニアリングの手法も使えます。
④ OSINTから組織を守るには
このように様々な手段やアイデアを組み合わせて情報を収集することが可能なため、「この対策をすれば問題ない」と断言することはできないのが実情です。しかし、「必要な情報のみを公開しているか」という観点を持つことで、被害に遭う可能性を減らすことはできます。
企業としては、チェックリスト等を作成して、何か情報を公開する前に不必要な情報が含まれていないか確認することを徹底すると良いでしょう。一例として、次のような点に気を付けたいところです。
公開しているファイルのプロパティに個人名等の情報が入っていないかチェックする SNS等に企業内部の情報がわかるような投稿をしない。または投稿時に気を付ける(写真に写っているホワイトボード等)
また、企業だけではなく、個人としても対策が必要です。個人利用しているSNSも例外ではありません。SNSに公開した情報が攻撃者にとって有益な情報になることもありえます。公開していた写真等からパスワードが推測されて、SNSアカウントが不正ログインされた事例もあります。普段、何気なく公開している情報も、その扱いに注意が必要であると言えます。企業が行なっている情報セキュリティ研修等で、従業員に対してSNSや情報の扱いについて啓蒙することも有効でしょう。
情報は扱い方によっては包丁と同じように便利な道具にもなりますし、凶器にもなります。企業としては、OSINTという手法があるということを念頭に置き、公開情報には注意を払いたいところです。