企業を脅かすサイバー攻撃の種類 | 日本政府の対応は?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_316

2015年の日本に向けられたサイバー攻撃の件数が、約545億1千万件であったと国立研究開発法人情報通信研究機構(NICT)の調査により判明しました。これは、2014年の約256億6千万件から倍近く増えています。

サイバー攻撃の種類は年々増え、政府や企業のセキュリティ対策が急がれています。ハッカーに個人情報や機密情報を盗まれないためにはあらゆるサイバー攻撃を防ぐ必要性があります。

ここでは、どのようなサイバー攻撃があるのか、種類について解説いたします。また、サイバー攻撃に対する日本政府の対応もご紹介します。

目次

1. サイバー攻撃とは

サイバー攻撃の被害についてコンピュータシステムやネットワークに不正に侵入して、コンピュータに保存しているデータの取得、破壊や改ざんを行うことです。

特定の企業、国家、団体、個人の情報を狙うタイプと破壊行為を行うタイプがあります。また、国家の安全保障を脅かしたりすることを目的とする破壊活動を「サイバーテロ」、国家間で行われる攻撃を「サイバー戦争」とも呼びます。

近年、サイバー攻撃を受ける企業が増えており、その被害は年々増加しています。サイバー攻撃に関連する報道をメディアが取り上げることも増え、セキュリティ面での危うさを実感している方もいるのではないでしょうか。

米国はサイバー空間を「第5の戦場」と考えています。日本は米国やその他先進国に比べ、取り組みは遅れており、サイバー攻撃への対策強化を進めています。

セキュリティ対策ソフト「ノートン」の会社であるシマンテック社が、近年におけるサイバー攻撃の現状を説明している動画がありますのでご覧ください。

サイバー攻撃の具体的な手口としては、ウイルスを添付した電子メールを送信、Webサイトに侵入してデータを改ざん、フィッシングサイトとして利用、大量のアクセスを集中させシステムを機能不能に陥れるなどがあります。

詳しくは、次のサイバー攻撃の種類でご説明します。

2. 増え続けるサイバー攻撃の脅威

国立研究開発法人情報通信研究機構(NICT)の調査によると、2015年に国内外から日本に対して行われたサイバー攻撃は約545億1千万件であったと報告されました。

この数字は、過去最多だった2014年の約256億6千万件から倍増しています。

発信元はコンピュータだけでなく、インターネットに接続された監視カメラなども多くなっています。

3. サイバー攻撃の目的

なぜサイバー攻撃は増えているのでしょうか?それは、情報が”お金になる”からです。

3-1. 個人情報

  • クレジットカード情報、SNS等の利用サイト(交友関係)、電話帳、メールや電話等の通信履歴等。
  • 情報の内容によって価値は変わりますが、1件当たり日本円換算で5,000円~30,000円と言われています。

3-2. 会社の情報

  • 製品の開発情報、取引先の情報(取引額・内容・担当者の情報)等、競合会社が欲しがる情報。
  • 情報の内容によって価値は変わりますが、主に設計データやソースコード等で数十万円。

3-3. その他の目的

  • 競合会社の営業妨害や、風評被害を起こして企業の信用を落としたいなど、情報よりも直接的な被害を与えることが目的となります。

4. サイバー攻撃の種類

サイバー攻撃は1つだけでなく、いろいろな種類があります。どのような種類のサイバー攻撃があるのかを説明いたします。

4-1. 代表的なサイバー攻撃の種類

出典:HACKAMAGEDDON

出典:HACKAMAGEDDON

4-2. SQLインジェクション(SQLi)

SQLインジェクションとは、 Webアプリケーションに対する攻撃手法の1つです。SQLと呼ばれる言語を用いるタイプのデータベースを使用するアプリケーションに対し、改ざんや不正な記述を挿入することで、データベースを操作する攻撃方法のことです。

不正にデータベースの内容を削除・改ざん、本来アクセスできない情報を表示させることができてしまう可能性があります。

4-3. 不正アクセス(Unauthorized Access)

不正アクセスとは、コンピュータへのアクセス権限を認められていない人が、サーバーやコンピュータに侵入を行うことです。その結果、サーバやコンピュータが停止してしまったり、重要な機密情報が漏洩してしまったりと、企業のブランドイメージなどに大きな影響を及ぼします。

不正アクセスの主な手段は、IDやパスワードを盗むことによる本人に「なりすまし」、ソフトウェアの脆弱性をついて侵入するなどがあります。

4-4. DDoS攻撃(DDoS)

DDoS攻撃とは、複数のネットワークに分散する大量のコンピュータを巻き込み、一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃。

大きく分けるとソフトウェアやプロトコルのバグを狙うと、サーバーに過剰な負荷をかける攻撃があります。特に後者の場合、一般の不正アクセスと異なり送信されてくるパケットが不正には見えないので、根本的な解決手段はない。

4-5. マルウェア(Malware)

第三者のデータベースやプログラムへ意図的に被害を与えるプログラムのことをマルウェアといいます。「ウイルス」「トロイの木馬」「ワーム」「ボット」「バックドア」「スパイウェア」もマルウェアの一種です。

security_20マルウェアとは?ウイルスとの違い感染対策について
パソコンやネットワークには、さまざまな脅威があります。たとえば悪意あるクラッカーによる、プロトコルやOSの脆弱性を突いた攻撃や、ユーザー側のうっかりミスで発生...

4-6. ゼロデイ攻撃(0-Day)

修正する手段(パッチ)が提供される前に、アプリケーションやセキュリティホールの脆弱性を狙った攻撃です。ゼロデイの意味は、修正手段(パッチ)が提供された日を1日目と考えると、それ以前に攻撃が始まったという意味でそう呼ばれています。

脆弱性を解決しようと思っても、修正手段(パッチ)が配布されていないため防御することが難しい攻撃といえます。

4-7. クロスサイトスクリプティング(XSS)

クロスサイトスクリプティングは、WEBサイト中で動的にHTMLやJavascriptを生成している部分に、悪意のあるコードを埋め込む攻撃です。

お問い合わせフォームのような動的なページに「悪意のあるコード」を埋め込みます。ここでいうコードとは、Javascriptのことです。入力フォームに「javascript」を埋め込む事が、クロスサイトスクリプティングの基本的な手法です。

コードを埋め込めるということは、クッキーの取得やページの改ざんが可能になることを意味します。

security_1111クロスサイトスクリプティング(XSS)とは | 対策と被害事例
「クロスサイトスクリプティング」(略称、XSS)とはどのような脆弱性をご存じですか?Webサイトを運営しているならサイトにこの脆弱性がないかチェックしておくことは...

4-8. 標的型攻撃

他の攻撃のように不特定多数を狙うのではなく、攻撃者が絶対に手に入れたいと思っている金銭や知的財産等の重要情報を狙い撃ちにする攻撃のことです。

ウイルスを仕込んだ電子メールや、端末を不正プログラムに感染させバックドアを設置後、遠隔操作を行ったりする攻撃方法があります。

4-9. リスト型攻撃

リスト型攻撃とは、別のWebサイトなどから入手したIDとパスワードを使って攻撃対象のWebサイトに不正ログインする攻撃方法です。

脆弱性のあるWebサイトからSQLインジェクションなどの方法を用いてIDとパスワードを盗むパターンと、ブラックマーケットで購入する場合があります。

5. サイバー攻撃に対する日本政府の対応

日本政府がサイバー攻撃への取り組みを強化したのは2000年のことです。きっかけは中央省庁のホームページが改ざんされたことでした。

2001年に「e-Japan重点計画」が策定され、情報セキュリティに関わる制度・基盤の整備や、政府部内における情報セキュリティ対策など8項目に及ぶ施策が定められた。

2005年、内閣官房情報セキュリティセンター(NISC)を設立し、国家の中枢を担うインフラを防護対象に指定。安全策の指導やサイバー攻撃を想定した演習なども実施。

20014年、サイバー攻撃の脅威に対応する「サイバー防衛隊」を新たに編制。サイバー空間の安定的な利用を確保するという安全保障上の課題に対処する任務を担う。

このように、サイバー攻撃に対する組織づくりは進んでいる。

しかし、縦割り官僚制度の弊害もあり他の先進国に比べると、まだまだ対応は進んでいません。

まとめ

サイバー攻撃とは何か?その種類と各国がサイバー戦についてどのような対応を行っているかご説明しました。シマンテック社の動画でもありましたが、年々被害は増加しています。被害に遭わないために、もしも遭ってしまったときのために、セキュリティに関することは知っておくことは重要です。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

そのセキュリティトラブル、 早急に解決します。

どのように侵入されたのか、情報流出したのか、していないのか、まだ攻撃は続いているのか、早急に調査、対策します。
そのセキュリティトラブル、すぐに解決します!

 初期調査は無料
 最短、当日打ち合わせ、翌日から復旧作業へ入る事も可能
 キャリア10年以上の経験豊富なエンジニアが調査、対応
 どんな環境や状況の事故にも、柔軟に対応可能
 会見や弁護士対応も可能

お気軽にお問い合わせください(03-6914-2718)。

セキュリティ事故対応お問い合わせはこちら