サイバー攻撃とは、情報端末に対してネットワークを介した攻撃を加えることです。近年は世界中でサイバー攻撃の被害が増加傾向にあり、大企業だけでなく、中小企業やスタートアップをターゲットにした攻撃も少なくありません。

しかし、サイバー攻撃の脅威は理解していても、特に対策していない企業も多いのではないでしょうか。本記事では、よくあるサイバー攻撃の手口と対策について解説します。

サイバー攻撃の定義

サイバー攻撃とは、PCやモバイル機器、サーバーをターゲットに、システムの破壊や情報の改ざんをする行為です。情報の窃取・強奪を目的とする攻撃もあり、情報端末の所有者に深刻な被害をもたらします。

特に企業の場合、サイバー攻撃で機密情報が漏えいする事件も多く、メディアに取り上げられた事例も少なくありません。

情報漏えいは顧客に多大な迷惑が及ぶだけでなく、企業の社会的な評判を損なう原因にもなります。攻撃方法は巧妙化・高度化しているため、最新の手口や動向を把握し、万全な対策を取らなければなりません。

サイバー攻撃の主な目的

企業や個人に対してサイバー攻撃を仕掛けるのは、金銭目的の犯罪グループや愉快犯、ターゲットにうらみを持つ者が考えられます。

攻撃者の属性はさまざまですが、主な目的は情報・金品の強奪や政治的・社会的メッセージの発信、スパイ活動の一環です。代表的な例を見てみましょう。

機密情報を含めた重要な情報や金品を強奪する

企業が保有する機密情報や顧客の個人情報など、情報価値が高いデータの強奪を狙って、サイバー攻撃を仕掛ける犯罪者は数多く存在します。

攻撃者が強奪した情報を金銭に換える仕組みはさまざまです。クレジットカードの情報を窃取して悪用したり、他の犯罪者に情報を売ったりする事例があります。

強奪した情報を暗号化し、ターゲットがアクセスできない状態にした上で、解除と引き換えに金銭を要求する例も少なくありません。ターゲットの業務妨害を目的として、システムの正常な動作を妨げるタイプのサイバー攻撃もあります。

何らかのメッセージを発信する

政治的・社会的なメッセージを発信し、世間に知らしめるためにサイバー攻撃を仕掛ける犯罪者も珍しくありません。

たとえば、有名企業のWebサイトを改ざんして特定のメッセージを発信するケースや、政治的主張の異なるターゲットにさまざまな攻撃をするケースがあります。

社会的な目的のために情報技術を駆使し、サイバー攻撃のような活動をする者はハクティビストと呼ばれ、アノニマスといった集団が有名です。2010年、アノニマスは有名暴露サイトへのサービス提供を中止した企業に対して大規模な攻撃を仕掛けています。

スパイ活動の一環としてインフラを破壊する

スパイ活動の一環として、敵対する国や組織をターゲットにするのもサイバー攻撃の事例として有名です。戦争状態にある国が敵国に対し、サイバー攻撃を通じて相手の情報インフラを破壊したり、犯罪グループを支援して攻撃させたりするケースがあります。

国家がひそかに攻撃者を金銭的にサポートしている場合も多いため、高度な手口や大規模な攻撃になりやすく、防衛にも国家レベルの対策が必要です。

また、自国の産業の発展や技術レベルの向上を目的として、周囲の国に産業スパイを派遣して技術情報を強奪する例もあります。

【情報強奪・金銭狙い】よくあるサイバー攻撃の手口

よくあるサイバー攻撃の手口を具体的に解説します。ターゲットの情報や金銭を窃取・強奪する目的の攻撃は、次の方法が有名です。

• ランサムウェア
• SQLインジェクション
• フィッシング・スミッシング
• マルウェア
• 標的型メール
• サプライチェーン攻撃
• APT攻撃

それぞれの攻撃の概要や特徴を見てみましょう。

ランサムウェア

ランサムウェアは情報端末のデータを勝手に暗号化し、復号化と引き換えに金銭を要求する不正プログラムです。被害者は当該データを使えなくなるため、特に企業の場合、業務に大きな支障が出るおそれがあります。

単に金銭を要求するだけでなく、被害者に「対価を支払わなければ窃取したデータを公開する」と恐喝するケースも少なくありません。いわゆる二重恐喝（ダブルエクストーション）という手口です。

2017年にはランサムウェア「WannaCry」が世界中に広まり、業務を停止した企業が相次ぎました。

SQLインジェクション

SQLインジェクションとは、Webアプリケーションのぜい弱性を利用し、ターゲットのデータベースを操作するサイバー攻撃です。

ぜい弱性のあるアプリケーションはセキュリティホールが発生しやすく、攻撃者はSQLの仕様を悪用してデータベースに攻撃を仕掛け、データの強奪や改ざんを狙います。

機密情報を専用データベースに蓄積している企業は多く、SQLインジェクションによって情報の漏えい・改ざんが発生するおそれがあるため、注意が必要です。

フィッシング・スミッシング

フィッシングやスミッシングは、ターゲットをだまして金銭や情報を引き出す手口です。

フィッシングは情報を窃取する目的のWebサイトを開設し、アクセスした者に情報を入力させて盗み出します。一方、スミッシングはSMSやLINEで緊急のメッセージを送り付け、個人情報を提供させる手口です。

いずれも銀行やクレジットカード会社を装い、ターゲットが情報を提供するように誘導する詐欺として被害が広まっています。

マルウェア

マルウェアとは、コンピューターに何らかの被害をもたらす不正プログラムの総称です。コンピューターウイルスやスパイウェアなど、さまざまな種類があります。

たとえば、無害なプログラムやソフトウェアを装い、ターゲットのシステムに侵入するトロイの木馬が有名です。2020年前後から「Emotet」というトロイの木馬が電子メールを通じて拡散し、多くの企業や団体が被害を受けています。

標的型メール

標的型メール（標的型攻撃メール）とは、特定の組織や個人を標的として、情報の窃取を狙うメールを指します。ターゲットの興味を引いてメールを開封させ、悪意のあるWebサイトに誘導したり添付ファイルを開かせたりして、マルウェアに感染させる手口です。

マルウェアを利用した情報の強奪や業務の妨害が狙いで、メールを開いた時点で感染するケースもあります。

サプライチェーン攻撃

サプライチェーン攻撃とは、ターゲットの取引先といった関連組織のコンピューターを経由して、攻撃する手法です。標的を直接攻撃するのではなく、まずはセキュリティ体制のぜい弱な組織を選んで攻撃し、そこを踏み台に本丸のターゲットに侵入します。

組織間のつながりを利用するため、自社のセキュリティが強固でも不十分なケースが多く、対策を講じにくいのが特徴です。

APT攻撃

APT攻撃は標的型攻撃の一種で、特定の組織に対して継続的に攻撃する手口です。主に有名企業や国をターゲットに、さまざまな手法を複合的に用いて何度も攻撃を仕掛けます。

一般的にサイバー攻撃は金銭や情報を窃取するのが目的ですが、APT攻撃はターゲットに長期にわたって直接的・間接的に損害を与え、活動を妨害するのが狙いです。国家ぐるみのサイバー攻撃に採用される手法でもあります。

【妨害目的】よくあるサイバー攻撃の手口

ターゲットの活動を妨害することを目的としたサイバー攻撃の手口も押さえておきましょう。代表的な手法は次のとおりです。

• DDoS攻撃
• ディレクトリトラバーサル
• DNSキャッシュポイズニング
• DNSハイジャック

上記はターゲットの妨害に加えて、情報強奪を目的とした手口も含まれます。それぞれの特徴を見てみましょう。

DDoS攻撃

DDoS攻撃とは、Webサイトやサーバーに対して複数のコンピューターから大量のデータを送信し、システムの停止を狙う攻撃です。ターゲットのシステムに過剰な負荷をかけることで正常な動作を妨害し、サービスの提供を妨げます。

人気のあるWebサービスはタイミングによってアクセスが集中し、閲覧できなくなったり、ネットワークの遅延が発生したりするケースは珍しくありません。

DDoS攻撃は過剰なアクセスを意図的に発生させる攻撃で、アクセス元が多数存在する場合が多く、対策が難しいのが特徴です。

ディレクトリトラバーサル

ディレクトリトラバーサルとは、Webサイトやアプリケーションの管理者が公開を想定していないファイルに対して不正なアクセスを仕掛ける攻撃です。

システムに保存されたファイルへのアクセス方法は、大きく分けて「絶対パス」と「相対パス」の指定があります。前者はURLで目的のファイルまでの全経路を指定する方法で、後者は閲覧中のファイルから目的のファイルまでの経路を示す方法です。

ディレクトリトラバーサルは、相対パスのぜい弱性を悪用した攻撃で、不正なパスを指定して未公開のファイルにアクセスします。その上で機密情報を窃取したり、データを改ざんしたりする手口です。

DNSキャッシュポイズニング

DNSキャッシュポイズニングとは、キャッシュサーバーを攻撃し、悪意あるWebサイトに誘導する方法です。

Webサイトにアクセスする際、クライアントはキャッシュサーバーに対してドメイン名を問い合わせます。問い合わせを受けたサーバーは、権威サーバーから結果を取得し、クライアントに返すのが役割です。

さらに、キャッシュサーバーは処理の高速化のため、ドメイン情報をキャッシュとして保存します。ここに攻撃を仕掛けて偽の情報を保存させるのが、DNSキャッシュポイズニングです。

攻撃を受けると、クライアントは本来のページにたどり着けず、情報の窃取や改ざんが発生するおそれがあります。近年は従来の攻撃をさらに効率化したカミンスキー攻撃も有名です。

DNSハイジャック

DNSハイジャックとは、Webサイトのドメインを不正に操作し、正規のページにアクセスできないようにする手口です。

いわばドメイン名の乗っ取りで、当該サイトにアクセスしたクライアントは、偽のWebサイトにたどり着いてしまいます。結果的に個人情報の窃取やマルウェアへの感染が発生する場合があるため、ドメイン情報の管理は徹底しなければなりません。

特に企業の場合、自社サイトの訪問者に迷惑をかけるおそれがあり、社会的なイメージの低下を招くこともあります。

さまざまなサイバー攻撃に対する具体的な対策

サイバー攻撃にはさまざまな手口があり、徐々に巧妙化・高度化しています。企業として機密情報の漏えいを防ぐのはもちろん、顧客や取引先に被害を及ぼさないためにも、徹底したセキュリティ対策が必要です。

サイバー攻撃に有効な対策として、最低限抑えておきたい事柄を確認しましょう。

ITリテラシーを高め、セキュリティポリシーを策定

サイバー攻撃の被害に遭わないために、社員のITリテラシーを高めるのに加えて、セキュリティポリシーを策定しましょう。

たとえ高度なセキュリティソフトや管理システムを導入しても、データを取り扱うのは人間です。教育をおろそかにすると、十分な効果は得られません。社内でセキュリティに関する教育を実施し、組織全体のITリテラシーを高める必要があります。

さらに、具体的な規定を設けてセキュリティポリシーとして明文化することが大事です。データの取り扱いや認証にルールを定めて、すべての社員が順守するようにしましょう。

セキュリティを高めセキュリティソフト導入も検討

サイバー攻撃に対応するには、基本的なセキュリティ対策を徹底することが重要です。社員の使用するPCをはじめ、社内のサーバーやルーターといった機器類にセキュリティソフトを導入し、不正なプログラムの侵入や攻撃を防ぐ必要があります。

セキュリティソフトはマルウェアを検知・除去するだけでなく、不審な通信データを遮断する商品もあるため、環境に合ったものを導入しましょう。

VPNや閉域網を使用するなど、セキュリティを高める技術を積極的に活用し、通信の安全性を高める工夫も必要です。

重要なデータは適切にバックアップを取る

重要なデータは適切にバックアップも取りましょう。サイバー攻撃には基本的なセキュリティ対策が必須ですが、どれだけ対策してもリスクをゼロにはできません。

外部に漏らせない機密データはバックアップを取り、オフラインで管理するのが有効です。ランサムウェアによる暗号化や不正アクセスによる情報の強奪を予防できます。

ただし、オフラインバックアップはセキュリティリスクが低減する一方、データの利便性が低下する点に注意が必要です。どのデータをオフラインで管理するか、慎重に取捨選択しましょう。

サイバー攻撃を受けても慌てず対応を

サイバー攻撃のリスクは常にあるため、攻撃を受けたときの対応を知っておく必要があります。被害の拡大阻止を念頭に置きつつ、慌てて不正なプログラムを駆除せずに、証拠の保全を優先することも考えましょう。

証拠を消すと、侵入経路や被害状況の正確な把握が困難になり、法的措置も取りづらくなります。専門家による情報の回収・分析調査（デジタル・フォレンジック）の実施まで、被害状況を維持することも重要です。

アイ・オー・データではセキュリティ強化に役立つランサムウェア対策を提供

アイ・オー・データでは、企業のセキュリティ強化に有効なランサムウェア対策を提供し、NASでの推奨バックアップ方法を紹介しています。

アイ・オー・データのNASは履歴差分バックアップが可能で、外付けHDDに変更した部分の履歴を残せるのが特徴です。データの変更点のみバックアップしておけば、被害に遭ってもスムーズに復旧できます。

不正ファイルの操作検知機能も搭載し、前回のバックアップと内容を比較した上で、状況に応じて管理者にメール送信が可能です。万が一、暗号化が起きた場合も素早く検知し、被害を低減できます。

動画でもランサムウェア対策に必要な情報を提供しているため、チェックしてみましょう。

まとめ

サイバー攻撃には、企業の機密情報の窃取や強奪、社会的メッセージの発信といった目的があります。手口もさまざまで年々高度化しているため、社員のITリテラシーを高めるとともに、セキュリティポリシーの策定・順守を徹底しましょう。

サイバー攻撃を受けた場合に備えて、重要なデータのバックアップを取っておくことも大事です。

アイ・オー・データでは、有効なバックアップの方法について有益な情報を発信するとともに、ランサムウェア対策に役立つ商品をリリースしています。この機会にぜひ導入をご検討ください。