サイバー攻撃とは？その種類と事例、対策

サイバー攻撃（サイバーアタック）とは、システム上で進行中のあらゆる脅威の総称です。脅威には、フィッシング攻撃の犠牲になった内部ユーザーによるものと、Webアプリケーションの脆弱性を見つけてそれを悪用する外部の人間によるものがあります。サイバー攻撃は企業にとって最大の懸念事項であり、万が一、脅威がシステムに侵入してデータを盗むことに成功した場合、収益の損失、ブランドへのダメージ、訴訟費用など、何百万もの損失を被る可能性があります。

攻撃者は日々、インターネットリソースの侵害に力を注いでいます。侵害は大企業から中小企業に至るまで発生していますが、すべての事件が全国的なニュースになるわけではありません。中小企業は自分たちが標的になるとは思っていないことが多いのですが、攻撃者は中小企業が高度な攻撃を検知するのに必要なリソースが不足していることを認識しています。

ここでは、最新のサイバー攻撃についてご紹介します。

• アラスカ州保健局は、住宅、金融、健康、個人情報が流出するデータ侵害に見舞われました。
• Merisボットネットは、Miraiボットネットと同様に、セキュリティ研究出版物のKrebsOnSecurityとロシアの検索エンジンYandexを攻撃し、これまでで最大規模の分散サービス妨害（DDoS）攻撃を行いました。
• ホストプロバイダーであるEpikでは、攻撃者が内部のデータベースから10年分の情報にアクセスし、データ流出が発生しました。
• テキサス州ダラスの学区では、攻撃者が生徒と従業員の個人情報にアクセスするデータ侵害が報告されました。
• ギャンブルサービスのホスティングで知られるネバダの小規模フードチェーンで、攻撃者がシステムにマルウェアをインストールし、顧客の個人情報を盗み出したと報告されました。

これら5つのサイバーインシデントは、1か月の間に発生したものです。毎日新しい脆弱性が発見され、攻撃者がデータを盗むのに必要な力を得ていることを考えると、これは驚くべきことではありません。どのような企業も、自分たちは標的にされていないと思い込んではいけません。すべての企業は、デジタル資産と顧客データを保護するために、サイバーセキュリティを優先させる必要があります。

私たちは、政府機関や何百万人ものユーザーに影響を与える重大な情報漏えいのニュースを見慣れています。しかし、現実には、もっと小さな情報漏えいは日常茶飯事であり、ニュースの見出しに載らないだけなのです。実際、過去数十年の間に、前例のないサイバー攻撃が発生し、標的となった被害者はサイバーセキュリティの重要性を学んでいます。

ここでは、史上最大のデータ流出事件をいくつかご紹介します。

1999年 - NASAとアメリカ国防総省。1999年、NASAは15歳のハッカーにルーターの脆弱性を突かれ、NASAの宇宙ステーションの温度や湿度を制御するソフトウェアのソースコードを盗まれるというデータ侵害に見舞われました。この侵害により、21日間のダウンタイムが発生し、NASAは41,000ドルの損失を被りました。

1999年 – Mellisa virus（メリッサウイルス）。最初の大規模なマスメーリングマクロは、Microsoft WordとOutlookを利用して、被害者のすべての連絡先に電子メールメッセージを送信しました。電子メールメッセージの受信者が添付されたWord文書を開くと、被害者が受信したものと同様のメッセージが表示されました。このウイルスは指数関数的に広がり、全世界で8000万ドルの被害が出ました。

2017年 - WannaCry（ワナクライ）。WannaCryが登場する何年も前からランサムウェアは存在していましたが、世界中のビジネスシステムを瞬く間に麻痺させた、これほどまでに巧妙なサイバー攻撃は世界でも初めてでした。いくつかの亜種を生み出し、現在も多くのランサムウェア攻撃の基礎となっています。

2017年 – Equifax（エクイファックス)。ウェブサーバーに古いソフトウェアをインストールしたまま数か月が経過し、攻撃者が、パッチが適用されていないソフトウェアを悪用し、数百万人の消費者の金融・個人情報を盗むという大規模なデータ侵害がEquifaxで発生しました。Equifax側の不注意により、訴訟と賠償金で数百万ドルの損失を被りました。

2020年 - 世界保健機関。コロナウイルスの研究中、攻撃者は世界保健機関とゲイツ財団の25,000のメールアドレスとパスワードにアクセスしました。攻撃者がどのようにアクセスしたかは不明ですが、フィッシング攻撃から来た可能性があるとみられています。

世界経済フォーラムの「グローバルリスク報告書2020」では、サイバー攻撃は組織にとって5番目に大きなリスクであり、影響と可能性はともに 「非常に高い」「財政的なダメージが大きい 」と評価されました。パンデミックにより、2020年のデータ侵害のコストは386万ドルから424万ドルに急騰し、過去17年間でのデータ侵害の記録的な価格となりました。データ侵害のターゲットとして最も一般的なのは認証情報ですが、サイバー攻撃のターゲットは認証情報以外にも広がってきています。

デジタル犯罪とサイバー攻撃は「ポストパンデミック」に600％増加しましたが、これは主に、個人のデバイスに企業レベルのサイバー防御機能を持たないユーザーが自宅で仕事をするようになったからです。世界的には、2015年の3兆ドルから、2025年には10.5兆ドル超に急増すると推定されています。

サイバー攻撃に関連する損失は深刻で、組織に財政的な負担をかけることになります。考慮すべき間接的な損失には、以下のようなものがあります。

• 収益の損失
• 生産性の低下をもたらすダウンタイム
• 売上低下と成長抑制につながる評判の低下
• 事業継続の問題
• 訴訟と賠償費用

「サイバー攻撃」は、デジタル脅威を表現するために使われる包括的な用語です。これらの脅威は、さまざまなエクスプロイトやベクトルを使用しますが、いずれもダウンタイム、データ損傷、盗難、マルウェアのインストールを引き起こします。脅威の種類によって、脅威を根絶するために必要なインシデントレスポンスの手順は異なりますが、どのような侵害に対しても脆弱性を調査、抑制、除去するために適切な専門家が必要です。

ここでは、組織がサイバーセキュリティ計画を策定する際に考慮すべき、一般的な脅威をいくつかご紹介します。

• フィッシング: 電子メールは最も一般的な攻撃方法ですが、攻撃者はテキストメッセージや音声通話も使ってユーザーを騙し、機密情報を漏えいさせます。フィッシングは、メールセキュリティやフィルタを使用することで回避することができます。
• マルウェア: ネットワーク上に悪意のあるコードや実行ファイルがあると、ランサムウェアのような巧妙なマルウェア攻撃にさらされる可能性があります。攻撃者は、フィッシング攻撃、悪意のあるWebページ、USBデバイスなどを使ってマルウェアをインストールします。
• 中間者（MitM）攻撃: 公共のWi-Fiホットスポットを使用して企業ネットワークに接続する場合、ユーザーは自分のデバイスを中間者（MitM）攻撃のリスクにさらすことになります。VPN接続は、このような攻撃を防ぐのに有効です。
• 分散型サービス妨害（DDoS）: 管理者はDDoSが発生する前に警告を受けることができないため、その迅速かつ突然の攻撃によりリソースが枯渇し、ダウンタイムが発生します。サイバーセキュリティシステムの中には、管理者が迅速に対応できるように、攻撃の初期段階でDDoSを検知するものもあります。
• SQLインジェクション: 入力に注入され、データベースサーバーに送信される不正なSQL文は、データの取得、データベースオブジェクト（テーブルなど）の損傷、権限の昇格に利用される可能性があります。開発者は、常にSQL入力を検証し、文字列やユーザー入力からクエリを作成することを避ける必要があります。

パンデミックによって人々の働き方が変わると、サイバー攻撃の傾向も変化しました。このような変化は、ヒューマンエラーやホームユーザーが自分のコンピュータにインストールしている不十分なサイバーセキュリティを悪用したものです。フィッシング攻撃は、ユーザーをターゲットにして、マルウェアをダウンロードさせたり、ネットワーク認証情報を漏えいさせたりする最も人気のあるベクトルの1つとして、増加の一途をたどっています。これらの方法は、攻撃者が内部のリソースにアクセスすることを可能にし、攻撃者が正規のユーザーであるかのように見える場合、発見が困難となります。

ユーザーは自分のスマートフォンやIoTデバイスを使って仕事をすることが多く、これらのエッジデバイスはネットワークセキュリティにとって脅威となります。攻撃者は、デスクトップPCではアンチウイルスが動作する可能性が高いことを知っていますが、IoTやスマートデバイスには同じレベルの保護がありません。IoTデバイスを標的とすることは、攻撃者にとって人気のある手法です。最大規模のDDoS攻撃は、ハッキングされたIoTデバイスがグローバルネットワークにトラフィックを殺到させるために使用されたことに起因しています。

ランサムウェアは、攻撃者が収益化するための手段を提供します。このマルウェア攻撃は、ペイロードを逆引きする方法がないため、組織にとって最もダメージの大きい攻撃の1つです。ランサムウェアは、暗号学的に安全な暗号（例：AES-256）でデータを暗号化するため、組織はバックアップデータを復元する必要があります。身代金を支払っても組織のデータの返還は保証されないため、バックアップ戦略が不十分な組織では壊滅的な打撃を受ける可能性があります。

サイバー攻撃を防ぐために、すべての組織に戦略が必要です。戦略には、脅威を阻止するために必要なインフラ、ソフトウェア、ポリシー、およびトレーニングが含まれます。戦略によってリスクを100％排除することはできませんが、リスクを大幅に軽減し、組織が迅速に対応・回復する方法を提供することは可能です。

ここでは、企業が情報漏えいや攻撃によるダウンタイムを防ぐための方法をいくつかご紹介します。

• サイバーセキュリティポリシーを作成する: このポリシーは、通常、あらゆるベクトルをカバーするために専門家を必要とします。ポリシーは、フィッシング、ソーシャルエンジニアリング、スパム、物理的脅威（ピギーバッキングなど）など、特定の攻撃への対処方法を管理者や従業員に指示するものです。
• ペネトレーションテストソフトウェア: 本番環境に導入する前に、必ずセキュリティレビューとコードのペネトレーションテスト（ペンテスト）を実施し、脆弱性を検出してください。これらの脆弱性は、導入前に是正しておく必要があります。
• 全社的なセキュリティトレーニングを実施する: すべての従業員が、フィッシングやソーシャルエンジニアリングを検知し、攻撃者に関与するのではなく、報告するようトレーニングを受ける必要があります。Proofpointのセキュリティ意識向上トレーニングは、人を中心とした独自のアプローチにより、フィッシング攻撃やマルウェアの感染を最大90％削減することができます。また、Proofpointのソリューションは、ガートナーのマジッククアドラントにおいて、6年連続でリーダーに選出されています。
• 脅威インテリジェンスと監視アプリケーションを導入する: ほとんどの組織では、SIEM（セキュリティ情報イベント管理）を使用して、イベントを分析し、疑わしいネットワーク活動を管理者に警告するのに役立てています。
• 侵入検知システムを導入する: 侵入検知システム（IDS）は、管理者が潜在的な攻撃を検知し、ブロックするのに役立ちます。IDSは、攻撃者が脆弱性を発見した場合に、予防システムと連携して自動的にアクセスをブロックします。
• 頻繁にバックアップを取る: バックアップは、ランサムウェアやその他のマルウェアがデータやアプリケーションに損害を与えた場合に、究極のフェイルオーバーとなります。バックアップ戦略は、優れた災害復旧計画の一部であり、ビジネスの継続性を向上させます。