キヤノンMJ/サイバーセキュリティ情報局
近年のサイバー攻撃の具体例について実例を交えて紹介
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「サイバー攻撃の種類にはどういうものがあるのか?種類別に解説」を再編集したものです。
サイバー攻撃という言葉をメディアでよく目にするようになったが、サイバー攻撃にはどのようなものがあるかを具体的に挙げることは難しいかもしれない。一口にサイバー攻撃と言っても、さまざまな種類の攻撃が存在する。この記事ではサイバー攻撃について、種類ごとにその概要や被害事例を解説する。
サイバー攻撃とは
近年、テレビや新聞などのメディアでもサイバー攻撃という言葉を見聞きするようになった。「サイバー」という言葉が持つイメージから、よくわからないもの、あるいはアノニマスのような存在を思い浮かべるユーザーもいるかもしれない。
実際、サイバー攻撃とは「インターネットを介して何かしらの被害を与える攻撃」の総称であり、その範囲は広い。サーバーやパソコン、スマートフォン(以下、スマホ)はもちろん、近年ではIoT機器なども含めてデジタル機器全般を狙う、あるいはそうした機器を用いた攻撃である。
サイバー攻撃は主に、システムやデジタル機器の乗っ取り、情報の改ざん、金銭の窃取などといった被害をもたらす。これまでにも、世界中でさまざまなサイバー攻撃が行われ、多くの被害が生じている。サイバー攻撃の歴史はインターネット誕生以前に遡り、当時主要なコンピューターとして利用されていた、メインフレームなどに対してのコンピューターウイルスを用いた攻撃手法が存在していた。しかし、インターネットが登場したことでネットワークがオープン化し、インターネットに接続するデジタル機器を対象とした攻撃が容易となった。
2010年以降、スマホの利用が加速したことで、これまでパソコンを狙うサイバー攻撃が中心だったのが、スマホも対象となった。デジタル化の進展に伴い、デジタルガジェットをはじめ、IoT機器など、インターネットに接続する機器が爆発的に増加。攻撃者にとってはアタックサーフィス(攻撃対象領域)が広がったことにより、サイバー攻撃が闇ビジネスとして成立するようになった。また、ダークウェブや暗号資産(仮想通貨)の普及により、痕跡が残りづらい換金手法も確立され、闇ビジネスの市場規模拡大を結果的に後押しする形となった。
サイバー攻撃の種類
サイバー攻撃の種類や手口は年々多様化・巧妙化しており、その被害件数も増加の一途を辿っている。また、サイバー攻撃のターゲットは、企業や国家機関だけでなく個人も対象となり得る。特定の対象を狙う攻撃もあれば、無差別に攻撃するものもある。以下に、代表的な12種類のサイバー攻撃を挙げていく。
・マルウェア攻撃
マルウェアとは「Malicious(悪意ある)」+「Software(ソフトウェア)」からなる合成語であり、ITに詳しくなくとも一度は耳にしたことがあるだろう。コンピューターやネットワークに被害を与えることを目的に作られた悪意のあるソフトウェア、プログラムの総称だ。
マルウェアはさらに、その動作の仕組みによって「ウイルス」、「ワーム」、「トロイの木馬」、「スパイウェア」、「キーロガー」などに分類できる。
・ランサムウェア攻撃
ランサムウェアとはマルウェア同様、「Ransom(身代金)」と「Malware(マルウェア)」からなる合成語であり、パソコンに侵入して不正に暗号化したデータを人質とし、その復号に身代金を要求するものだ。
また、最近ではデータを暗号化するだけでなく、データ自体を窃取した上で、それと引き換えに身代金を要求する、ダブルエクストーション(二重の脅迫)と呼ばれる、脅迫を重ねる手法も登場する。三重、四重の脅迫などと、その手口は巧妙化する傾向にある。
・SQLインジェクション攻撃
SQLインジェクションとは、Webサイトの入力フォームなどの脆弱性を利用する攻撃で、フォームに細工したSQL文を入力して実行させることで、データベースを不正に操作し、情報を窃取しようとするものだ。
・パスワードリスト攻撃
何かしらの方法でユーザーIDとパスワードの組み合わせのリストを不正入手し、そのリストに基づいて不正ログインを試みようとする攻撃。ユーザーIDとパスワードの組み合わせリストは、ダークウェブなどで流通している。
・ブルートフォース攻撃
理論的に考えられるパスワードのパターンすべてを入力するのが「総当たり攻撃」だ。時間はかかるが、設定したパスワードの文字数が少ないと現実的な時間で突破されることも多い。類似する攻撃として、パスワードに用いられることの多い言葉を優先的に組み合わせて試していく「辞書攻撃」がある。
・標的型攻撃
特定の企業や個人などを狙うサイバー攻撃の手法。ターゲットの情報を調べ上げ、そのターゲットに対して騙せる可能性の高い文面のメールを送り付ける。そのメールに添付されたファイルをうっかり開いてしまうことで、マルウェアに感染してしまい、金銭の詐取、機密情報の漏えいなどの被害につながる。また、秘密裏にマルウェア経由で外部との通信が行われ、感染が拡大するより巧妙な手法もある。
・DoS/DDoS攻撃
DoS攻撃とは、Webサイトに対して過大な負荷をかけて、サーバーの機能を停止させる攻撃。DDoS攻撃はDoS攻撃を複数の端末からインターネットを介して分散的かつ同時に行う攻撃であり、多くの端末を乗っ取り、それらの端末をボット化して一斉攻撃を行う。
・セッションハイジャック
Webサイトへのアクセスの開始から終了までの一連の通信をセッションと呼び、そのセッションを管理するために使われるのが、セッションIDである。何らかの攻撃手法を用いてセッションIDを不正に入手し、Webサイトに不正アクセスする。
・バッファオーバーフロー攻撃
本来想定される量を超えたデータを入力することで、プログラムを誤動作させ、DoS/DDoS攻撃の踏み台にしたり、管理者権限を盗んだりする手法。
・サプライチェーン攻撃
企業取引におけるサプライチェーン(供給網)の中に紛れ込み、関係先や取引先を経由して行う攻撃手法。サプライチェーンの中で最も攻撃に弱いところを突き、そこを足かがりとして最終的なターゲットへの攻撃を行う。
・フィッシング攻撃
なりすましメールなどを利用して、重要な情報や金銭をユーザーから詐取することを目的とした手法。フィッシングは不特定多数をターゲットにした攻撃だが、攻撃対象を絞り込んだ標的型のフィッシング攻撃はスピアフィッシングと呼ばれる。
サイバー攻撃の主な事例
サイバー攻撃は年々巧妙化し、攻撃も増加傾向にある。日本での主な被害事例 としては以下のようなものがある。
・組織委員会へのDDoS攻撃
2015年11月、東京開催の国際スポーツ競技大会の組織委員会のWebサイトにDDoS攻撃が行われ、サイトが約12時間にわたって閲覧不能となった。
・大手学習塾に対するSQLインジェクション攻撃
2022年1月、大手学習塾のWebサーバーがSQLインジェクション攻撃を受け、メールアドレスが最大で約28万件流出した可能性があると発表された。
・日本年金機構の情報流出
2015年6月、日本年金機構が標的型攻撃を受け、職員が利用する端末がマルウェアに感染。年金加入者の情報、約125万件が流出した。
・大手モバイル決済事業者の情報流出
2020年11月、大手モバイル決済事業者が第三者からの不正アクセスにより管理サーバーが攻撃を受けた。多数の加盟店などの営業情報などをまとめたデータベースの情報、約2,000万件が流出した可能性があると発表された。
・国内暗号資産取引所における暗号資産流出
2018年1月、国内の暗号資産取引所が外部からメールを利用したフィッシング攻撃を受け、580億円相当の暗号資産が流出・盗難される事態に至った。
・自動車部品メーカーへのサプライチェーン攻撃
2022年3月、大手自動車メーカーのサプライチェーンに連なる部品メーカーがサイバー攻撃を受け、マルウェアに感染。これがきっかけとなり、自動車メーカーの14工場28ラインが停止した。典型的なサプライチェーン攻撃であり、日本の基幹産業を支える自動車メーカーが約1万台以上の自動車の生産を見送るという未曾有の事態になった。
・公立病院へのランサムウェア攻撃
2021年10月、公立病院がランサムウェアに感染し、電子カルテの利用ができなくなり、医療、事務で利用していたサーバーもダウン。こうした状況により、外来会計ができない状態に陥った。病院が復旧を依頼した企業に7,000万円を支払い、65日後に電子カルテシステムを再稼働することに成功した。
サイバー攻撃をめぐる近年の動向
コロナ禍やウクライナ侵攻などで混迷を極める世界事情も背景に、サイバー攻撃をめぐる動向は激動の時代を迎えていると言ってよいだろう。国際的な協力で実現したテイクダウンにより、沈静化したように見えたEmotetの活動も再活性化するなど、サイバー攻撃との戦いは終わりなき戦いの様相を呈している。
もちろん、こうした攻撃は遠くの世界だけでなく、身近にも迫っており、いつ自らが被害に遭遇してもおかしくないと捉えるべきだろう。サイバー攻撃からユーザー自身、そして企業や組織を防御することに細心の注意を払うべき時代が訪れている。
サイバー攻撃のリスクを減らすためには事前の準備、および、注意力を高めるための意識醸成、内部対策を適切に行うこと。外部からの攻撃に備え、ゲートウェイやエンドポイントを強固にするセキュリティ対策を講じることに加え、仮に攻撃を受けた場合でも被害を最小限に留めるための事後対策も同時に行う必要があるだろう。