企業を脅かすサイバー攻撃の種類

security_2104

2015年の日本に向けられたサイバー攻撃の件数が、約545億1千万件であったと国立研究開発法人情報通信研究機構(NICT)の調査により判明しました。これは、2014年の約256億6千万件から倍近く増えています。

サイバー攻撃の種類は年々増え、政府や企業のセキュリティ対策が急がれています。ハッカーに個人情報や機密情報を盗まれないためにはあらゆるサイバー攻撃を防ぐ必要性があります。

ここでは、どのようなサイバー攻撃があるのか、種類について解説いたします。

1. サイバー攻撃とは

サイバー攻撃の被害についてコンピュータシステムやネットワークに不正に侵入して、コンピュータに保存しているデータの取得、破壊や改ざんを行うことです。

特定の企業、国家、団体、個人の情報を狙うタイプと破壊行為を行うタイプがあります。また、国家の安全保障を脅かしたりすることを目的とする破壊活動を「サイバーテロ」、国家間で行われる攻撃を「サイバー戦争」とも呼びます。

近年、サイバー攻撃を受ける企業が増えており、その被害は年々増加しています。サイバー攻撃に関連する報道をメディアが取り上げることも増え、セキュリティ面での危うさを実感している方もいるのではないでしょうか。

米国はサイバー空間を「第5の戦場」と考えています。日本は米国やその他先進国に比べ、取り組みは遅れており、サイバー攻撃への対策強化を進めています。

セキュリティ対策ソフト「ノートン」の会社であるシマンテック社が、近年におけるサイバー攻撃の現状を説明している動画がありますのでご覧ください。

サイバー攻撃の具体的な手口としては、ウイルスを添付した電子メールを送信、Webサイトに侵入してデータを改ざん、フィッシングサイトとして利用、大量のアクセスを集中させシステムを機能不能に陥れるなどがあります。

詳しくは、次のサイバー攻撃の種類でご説明します。

2. 代表的なサイバー攻撃の種類

サイバー攻撃の手法は1つだけでなく、いろいろな種類があります。代表的なサイバー攻撃を紹介します。

2-1. SQLインジェクション(SQLi)

SQLインジェクションとは、 Webアプリケーションに対する攻撃手法の1つです。SQLと呼ばれるデータベース言語を使用するWebアプリケーションに対し、不正な記述を挿入することでデータベースを操作したり、登録された個人情報などを不正に取得したりする攻撃方法のことです。

不正にデータベースの内容を削除・改ざん、本来アクセスできない情報を表示させることができてしまう可能性があります。

SQL・HTMLインジェクションとは?2つの脆弱性による被害

2016.02.27

2-2. OSコマンドインジェクション

OSコマンドインジェクションとは、ユーザーが入力するデータをもとに、OSのコマンドを用い処理するWebページに不正なコマンドを入力する攻撃手法のことです。

OSとはオペレーティングシステム(Operating System)の略語で、コンピュータプログラムのことです。

OSを呼び出す言語(コマンド)に不正な記述を挿入(インジェクション)することで、任意のファイルの読出し、変更、削除、パスワードの不正取得を実行します。

2-3. HTTPヘッダインジェクション

HTTPヘッダインジェクションとは、ユーザーが入力するデータをもとに、HTTPメッセージのレスポンスを生成するWebアプリケーションに、不正なデータを入力する攻撃手法のことです。

任意のヘッダフィールドやメッセージボディを追加したり、複数のレスポンスに分割したりします。

2-4. メールヘッダインジェクション

メールヘッダインジェクションとは、お問い合わせフォームなどユーザーが入力したデータを送信するメールなどのWebアプリケーションに、不正なメールヘッダを挿入する攻撃手法のことです。

意図していないアドレスに迷惑メールを送信するなど、メール送信機能を悪用します。

2-5. パスワードクラック

パスワードクラックとは、WebサイトやOS、インターネットに接続されたツールに設定されたパスワードを破るために何度もパスワードの解読、ログインを試行する攻撃手法のことです。

何通りものパスワードや流出しているパスワードリスト等をもとに攻撃を仕掛けます。

2-6. DNSキャッシュポイズニング攻撃

DNSキャッシュポイズニング攻撃とは、DNS(ドメイン・ネーム・システム)サーバーが名前解決要求を正当なDNSサーバーに行った際、悪意あるDNSサーバーが不正な名前解決情報を付加して返答します。

そうすることで、DNSのキャッシュを汚染する攻撃手法のことです。

キャッシュが汚染されたDNSサーバーを利用したユーザーは、悪意あるサイトに誘導され、機密情報が盗まれる被害を受けます。

2-7. DoS攻撃

DoS攻撃とは、Webサイトを稼働する、サーバーやネットワークに意図的に過剰な負荷をかけ、正常動作できない状態に陥れる攻撃手法です。

2-8. DDoS攻撃

DDoS攻撃とは、複数のネットワークに分散する大量のコンピュータを巻き込み、一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃です。

大きく分けるとソフトウェアやプロトコルのバグを狙うと、サーバーに過剰な負荷をかける攻撃があります。特に後者の場合、一般の不正アクセスと異なり送信されてくるパケットが不正には見えないので、根本的な解決手段はない。

2-9. ディレクトリトラバーサル攻撃

ディレクトリトラバーサル攻撃とは、ディレクトリの脆弱性を利用し、Webサーバー内の非公開ファイルに不正アクセスする攻撃手法のことです。

ファイル保存場所の1つ上のディレクトリフォルダを表す「../」を利用し、他のディレクトリフォルダにあるファイルを指定します。

2-10. ゼロデイ攻撃(0-Day)

修正する手段(パッチ)が提供される前に、アプリケーションやセキュリティホールの脆弱性を狙った攻撃です。ゼロデイの意味は、修正手段(パッチ)が提供された日を1日目と考えると、それ以前に攻撃が始まったという意味でそう呼ばれています。

脆弱性を解決しようと思っても、修正手段(パッチ)が配布されていないため防御することが難しい攻撃といえます。

ゼロデイ脆弱性の脅威|セキュリティソフトは効果なし!?

2016.03.10

2-11. バッファオーバーフロー攻撃

バッファオーバーフロー攻撃とは、プログラミング言語のC言語やC++言語で書かれたプログラムの脆弱性を狙う攻撃手法のことです。

不正なデータを書き込み、システムへの侵入や管理者権限の取得を試みます。

2-12. 標的型攻撃

他の攻撃のように不特定多数を狙うのではなく、攻撃者が絶対に手に入れたいと思っている金銭や知的財産等の重要情報を狙い撃ちにする攻撃のことです。

ウイルスを仕込んだ電子メールや、端末を不正プログラムに感染させバックドアを設置後、遠隔操作を行ったりする攻撃方法があります。

2-13. リスト型攻撃

リスト型攻撃とは、別のWebサイトなどから入手したIDとパスワードを使って攻撃対象のWebサイトに不正ログインする攻撃方法です。

脆弱性のあるWebサイトからSQLインジェクションなどの方法を用いてIDとパスワードを盗むパターンと、ブラックマーケットで購入する場合があります。

2-14. マルウェア

第三者のデータベースやプログラムへ意図的に被害を与えるプログラムのことをマルウェアといいます。「ウイルス」「トロイの木馬」「ワーム」「ボット」「バックドア」「スパイウェア」もマルウェアの一種です。

マルウェアとは?ウイルスとの違い感染対策について

2016.02.11

2-15. クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)は、WEBサイト中で動的にHTMLやJavascriptを生成している部分に、悪意のあるコードを埋め込む攻撃です。

お問い合わせフォームのような動的なページに「悪意のあるコード」を埋め込みます。ここでいうコードとは、Javascriptのことです。入力フォームに「javascript」を埋め込む事が、クロスサイトスクリプティングの基本的な手法です。

コードを埋め込めるということは、クッキーの取得やページの改ざんが可能になることを意味します。

クロスサイトスクリプティング(XSS)とは | 対策と被害事例

2016.03.16

2-16. クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリとは、Webアプリケーションに存在する脆弱性を突いて、サイト利用者に不正な処理要求を行わせる攻撃手法のことです。

2-17. セッションハイジャック

セッションハイジャックとは、クライアントとサーバーの正規セッションに割り込んで、そのセッションを奪い取る行為です。

3. サイバー攻撃の目的

なぜサイバー攻撃は増えているのでしょうか? それは、情報が”お金になる”からです。

3-1. 個人情報

1. クレジットカード情報、SNS等の利用サイト(交友関係)、電話帳、メールや電話等の通信履歴等。

2. 情報の内容によって価値は変わりますが、1件当たり日本円換算で5,000円~30,000円と言われています。

3-2. 会社の情報

1. 製品の開発情報、取引先の情報(取引額・内容・担当者の情報)等、競合会社が欲しがる情報。
2. 情報の内容によって価値は変わりますが、主に設計データやソースコード等で数十万円。

3-3. その他の目的

競合会社の営業妨害や、風評被害を起こして企業の信用を落としたいなど、情報よりも直接的な被害を与えることが目的となります。

まとめ

サイバー攻撃の種類ついて説明しました。シマンテック社の動画でもありましたが、年々被害は増加しています。被害に遭わないために、もしも遭ってしまったときのために、セキュリティに関することは知っておくことは重要です。

サイバー攻撃に関連する記事

サイバー攻撃は、なぜ日本を狙うのか?
⇒年々進化しているサイバー攻撃ですが、彼らは金銭を目的にしたものが多く、攻撃者はビジネスとしてサイバー攻撃を仕掛けてきます。

インフラへのサイバー攻撃、日本と海外の被害事例
⇒サイバー攻撃の怖さは、個人情報が盗まれて流出することだけではありません。攻撃・侵入される場所によっては、私たちの生活や命まで危険になる恐れもあります。

サイバー攻撃を可視化!リアルタイムに見えるサイト集
⇒世界中では毎日、いずれかの国でサイバー攻撃が発生しているのが現状です。そんななか、リアルタイムでサイバー攻撃を可視化したサイトも登場しています。

security_2104