サイバー攻撃

企業を脅かすサイバー攻撃の種類

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_2008

2015年の日本に向けられたサイバー攻撃の件数が、約545億1千万件であったと国立研究開発法人情報通信研究機構(NICT)の調査により判明しました。これは、2014年の約256億6千万件から倍近く増えています。

サイバー攻撃の種類は年々増え、政府や企業のセキュリティ対策が急がれています。ハッカーに個人情報や機密情報を盗まれないためにはあらゆるサイバー攻撃を防ぐ必要性があります。

ここでは、どのようなサイバー攻撃があるのか、種類について解説いたします。

1. サイバー攻撃とは

サイバー攻撃の被害についてコンピュータシステムやネットワークに不正に侵入して、コンピュータに保存しているデータの取得、破壊や改ざんを行うことです。

特定の企業、国家、団体、個人の情報を狙うタイプと破壊行為を行うタイプがあります。また、国家の安全保障を脅かしたりすることを目的とする破壊活動を「サイバーテロ」、国家間で行われる攻撃を「サイバー戦争」とも呼びます。

近年、サイバー攻撃を受ける企業が増えており、その被害は年々増加しています。サイバー攻撃に関連する報道をメディアが取り上げることも増え、セキュリティ面での危うさを実感している方もいるのではないでしょうか。

米国はサイバー空間を「第5の戦場」と考えています。日本は米国やその他先進国に比べ、取り組みは遅れており、サイバー攻撃への対策強化を進めています。

セキュリティ対策ソフト「ノートン」の会社であるシマンテック社が、近年におけるサイバー攻撃の現状を説明している動画がありますのでご覧ください。

サイバー攻撃の具体的な手口としては、ウイルスを添付した電子メールを送信、Webサイトに侵入してデータを改ざん、フィッシングサイトとして利用、大量のアクセスを集中させシステムを機能不能に陥れるなどがあります。

詳しくは、次のサイバー攻撃の種類でご説明します。

2. 増え続けるサイバー攻撃の脅威

国立研究開発法人情報通信研究機構(NICT)の調査によると、2015年に国内外から日本に対して行われたサイバー攻撃は約545億1千万件であったと報告されました。

この数字は、過去最多だった2014年の約256億6千万件から倍増しています。

発信元はコンピュータだけでなく、インターネットに接続された監視カメラなども多くなっています。

3. サイバー攻撃の目的

なぜサイバー攻撃は増えているのでしょうか?それは、情報が”お金になる”からです。

3-1. 個人情報

  • クレジットカード情報、SNS等の利用サイト(交友関係)、電話帳、メールや電話等の通信履歴等。
  • 情報の内容によって価値は変わりますが、1件当たり日本円換算で5,000円~30,000円と言われています。

3-2. 会社の情報

  • 製品の開発情報、取引先の情報(取引額・内容・担当者の情報)等、競合会社が欲しがる情報。
  • 情報の内容によって価値は変わりますが、主に設計データやソースコード等で数十万円。

3-3. その他の目的

  • 競合会社の営業妨害や、風評被害を起こして企業の信用を落としたいなど、情報よりも直接的な被害を与えることが目的となります。

4. サイバー攻撃の種類

サイバー攻撃は1つだけでなく、いろいろな種類があります。どのような種類のサイバー攻撃があるのかを説明いたします。

4-1. 代表的なサイバー攻撃の種類

出典:HACKAMAGEDDON

出典:HACKAMAGEDDON

4-2. SQLインジェクション(SQLi)

SQLインジェクションとは、 Webアプリケーションに対する攻撃手法の1つです。SQLと呼ばれる言語を用いるタイプのデータベースを使用するアプリケーションに対し、改ざんや不正な記述を挿入することで、データベースを操作する攻撃方法のことです。

不正にデータベースの内容を削除・改ざん、本来アクセスできない情報を表示させることができてしまう可能性があります。

4-3. 不正アクセス(Unauthorized Access)

不正アクセスとは、コンピュータへのアクセス権限を認められていない人が、サーバーやコンピュータに侵入を行うことです。その結果、サーバやコンピュータが停止してしまったり、重要な機密情報が漏洩してしまったりと、企業のブランドイメージなどに大きな影響を及ぼします。

不正アクセスの主な手段は、IDやパスワードを盗むことによる本人に「なりすまし」、ソフトウェアの脆弱性をついて侵入するなどがあります。

4-4. DDoS攻撃(DDoS)

DDoS攻撃とは、複数のネットワークに分散する大量のコンピュータを巻き込み、一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃。

大きく分けるとソフトウェアやプロトコルのバグを狙うと、サーバーに過剰な負荷をかける攻撃があります。特に後者の場合、一般の不正アクセスと異なり送信されてくるパケットが不正には見えないので、根本的な解決手段はない。

4-5. マルウェア(Malware)

第三者のデータベースやプログラムへ意図的に被害を与えるプログラムのことをマルウェアといいます。「ウイルス」「トロイの木馬」「ワーム」「ボット」「バックドア」「スパイウェア」もマルウェアの一種です。

マルウェアとは?ウイルスとの違い感染対策について
パソコンやネットワークには、さまざまな脅威があります。たとえば悪意あるクラッカーによる、プロトコルやOSの脆弱性を突いた攻撃や、ユーザー側のうっかりミスで発生...

4-6. ゼロデイ攻撃(0-Day)

修正する手段(パッチ)が提供される前に、アプリケーションやセキュリティホールの脆弱性を狙った攻撃です。ゼロデイの意味は、修正手段(パッチ)が提供された日を1日目と考えると、それ以前に攻撃が始まったという意味でそう呼ばれています。

脆弱性を解決しようと思っても、修正手段(パッチ)が配布されていないため防御することが難しい攻撃といえます。

4-7. クロスサイトスクリプティング(XSS)

クロスサイトスクリプティングは、WEBサイト中で動的にHTMLやJavascriptを生成している部分に、悪意のあるコードを埋め込む攻撃です。

お問い合わせフォームのような動的なページに「悪意のあるコード」を埋め込みます。ここでいうコードとは、Javascriptのことです。入力フォームに「javascript」を埋め込む事が、クロスサイトスクリプティングの基本的な手法です。

コードを埋め込めるということは、クッキーの取得やページの改ざんが可能になることを意味します。

クロスサイトスクリプティング(XSS)とは | 対策と被害事例
Webサイトを運営しているなら、サイトに脆弱性がないかチェックしておくことは必要です。もし、お客様の情報を取り扱っているサイトであればチェックを早急にするべきで...

4-8. 標的型攻撃

他の攻撃のように不特定多数を狙うのではなく、攻撃者が絶対に手に入れたいと思っている金銭や知的財産等の重要情報を狙い撃ちにする攻撃のことです。

ウイルスを仕込んだ電子メールや、端末を不正プログラムに感染させバックドアを設置後、遠隔操作を行ったりする攻撃方法があります。

4-9. リスト型攻撃

リスト型攻撃とは、別のWebサイトなどから入手したIDとパスワードを使って攻撃対象のWebサイトに不正ログインする攻撃方法です。

脆弱性のあるWebサイトからSQLインジェクションなどの方法を用いてIDとパスワードを盗むパターンと、ブラックマーケットで購入する場合があります。

まとめ

サイバー攻撃とは何か?その種類ついて説明しました。シマンテック社の動画でもありましたが、年々被害は増加しています。被害に遭わないために、もしも遭ってしまったときのために、セキュリティに関することは知っておくことは重要です。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

【2017年 脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2017年 脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2017年版 脅威レポート】の内容


1. おもなWebアプリケーション診断項目
2. ペネトレーションテストの内容とは?
-2016年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2016年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新たな脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

無料Ebookを今すぐダウンロードする