はじめに
情報セキュリティマネジメント試験に合格するために、
必要な用語をアウトプットを兼ねて解説します。今回は「サイバー攻撃」について解説します。
様々な手口
振り込め詐欺には、様々な手口が存在します。上司・部下・警察官・弁護士の役を演じた手口がニュースで報道されています。こうした手口を知っておくと、いざ本物の犯人から電話が来た場合、「自分が振り込め詐欺にあっている」と途中で疑うことができ、被害を食い止められるでしょう。しかし、知識がないと、詐欺にあっていることすら気づかず、思う壺になります。
サイバー攻撃も同様です。手を替え品を替え、次々と作り出される攻撃手段を知っておくと、被害を未然に防げます。また、仮に被害にあっても素早く対応できるでしょう。試験でも、サイバー攻撃手法の知識があるかどうかが問われます。
攻撃の動機
攻撃の動機は、金銭奪取・政治的主張・サイバーテロリズム・軍事など、多様化してます。攻撃動機は、次の通りです。
金銭奪取
金銭を奪う目的で、情報を奪ったり、利用者をだましたりします。例えば、企業の従業員が自社の顧客データを盗み出し、名簿業者に販売します。
興味本位
自己顕示欲や好奇心から、サイバー攻撃を行います。例えば、「高いレベルの情報セキュリティ対策をしている」と謳うWebサイトに対し、攻撃者はあえてその脆弱性をついて攻撃し、Webサイトを改ざんします。
ハクティビズム
ハッカー主体の政治的主張・活動です。実社会では、デモ・シンポジウム・選挙での投票などによる政治的主張・活動が行われますが、ハクティビズムはサイバー攻撃により政治的主張・活動を行います。
また、ハクティビズムを行い人をハクティビストと言います。
サイバーテロリズム
政治的主張を目的に、大掛かりなサイバー攻撃を行います。
不正侵入などにより、鉄道:電力・水道・ガスなどの社会インフラを破壊し、大規模な被害を生じさせます。
軍事
陸・海・空と宇宙に続く戦場がサイバー空間です。サイバー戦争に備えた軍隊として、サイバー軍を組織する国が増えています。暗号解除・国家機密の入手:産業技術の入手:伊林市宇佐:通信破壊:諜報(スパイ)活動などを目的にしており、従来の様に武力を使うのではなく、サイバー攻撃によって他国を攻撃します。
攻撃者の種類
攻撃者は、以前は愉快犯が多くいましたが、現在は詐欺犯:故意犯が中心になっています。攻撃者の種類は、次の通りです。
ハッカー
善良な目的か悪意ある目的かに関わらず、高い技術力を活かす人です。悪意ある破壊者の意味と誤用されることがありますが、正確には善悪の意味は含みません。ハッカーが行う行為をハッキングと言います。また、特に善良な目的のハッカーをホワイトハッカーと言います。
クラッカー
悪意ある目的で高い技術力を活かす人です。クラッカーが行う破壊行為をクラッキングと言います。
愉快犯
被害者の醜態や慌てふためく様子を観察したり想像したりして喜ぶことを目的としている人です。
詐欺犯・故意犯
金銭感覚・サイバーテロリズム・軍事など、大きな被害を与えることを目的としている人です。以前のように、手当たり次第に攻撃するだけでなく、ターゲットを絞って事前に周到な計画を練るような周到で巧妙化した攻撃が増えています。
マルウェア
利用者の意図しない動作をするソフトウェア全般のことです。コンピューターウイルスばかり耳にしますが、IPAでは、ウイルスを広義と狭義で2つに分類しています。このうち、講義のウィルスをマルウェアと呼んでいます。
コンピュータウィルス
伝染するマルウェアのことです。ほかのプログラムの一部を置き換えて、自分自身をコピーし、そのプログラム実行時にさらに自分自身を別のプログラムにコピーして増殖します。
ワーム
自己増殖するマルウェアのことです。ウイルスと違い、ワーム自身が独立して実行可能なプログラムのため、別のプログラムを使わず自身を増殖させます。インターネットを通じて、コンピューターのセキュリティホール(脆弱性)を悪用して侵入するケースが多いです。
トロイの木馬
役立つように見せかけて、不正動作するプログラムです。ただし、ウイルスとは異なり、他へ感染しません。トロイの木馬には、潜入してすぐに破壊活動を開始するもの・潜伏し時間がたってから発症するもの・ほかのコンピュータが乗っ取るための窓口として機能するものなどがあります。
トロイの木馬の主な種類は、次の通りです。
ダウンローダー
攻撃するためのプログラムを外部からダウンロードするマルウェア。感染後に、インターネットから不正プログラムをダウンロードして、これを実行することで攻撃する。ダウンローダー自体は、ウイルス対策層とのパターンマッチング法では発見されにくい。
ドロッパー
攻撃するためのプログラムを内部に隠し持つマルウェア。感染後、内部にある不正プログラムを取り出して、これを実行することで攻撃します。
バックドア
一度、不正アクセスできたコンピュータに対して、再び侵入するために仕掛ける裏口のこと。攻撃者が特殊な裏口を作るため、発見が難しい。
ウイルスの機能
コンピュータウイルスは、次の機能を1つ以上持ちます。
自己伝染機能
他のプログラムに自分自身をコピーすることにより、ほかのシステムに伝染する機能。
潜伏機能
発病するまで症状を出さない機能。
発病機能
ファイルの破壊を行う機能・意図しない動作をする機能。
マルウェアの感染経路
マルウェアの代表的な感染経路は、次のとおりです。
電子メール経由
Webアクセス経由
ネットワークアクセス経由
メディア経由
ボット
感染した情報機器を、インターネット経由で外部から操ることを目的とした不正プログラムです。ボットに感染した場合、攻撃者であるボットハーダーが、C&Cサーバー経由でボットネット内のボットに対し指令を出し、遠隔操作されたボットが様々な攻撃を行います。
マクロウイルス
マクロで作られたコンピュータウイルスです。マクロとは、ソフトウェアの処理を自動化するための機能です。マクロウイルスは、オフィスソフト(ワープロソフト・表計算ソフトなど)のマクロ機能を悪用することが多いです。また、正規のソフトウェアのファイル内に格納されているため、存在に気付きにくく、安易にファイルを開き、感染してしまいがちです。
エクスプロイトコード
ソフトウェアやハードウェアの脆弱性を悪用するために作成されたプログラムです。攻撃コードとも呼ばれます。本来は発見された脆弱性を検証・分析するために使われていましたが、近年は悪用されることが増えています。
エクスプロイトキット
複数のエクスプロイトコードや管理機能を統合したソフトウェアです。
偽セキュリティ対策ソフト型ウイルス
正規のセキュリティ対策ソフトに似せたウイルスで、金銭をだまし取ります。
その他のマルウェア
遠隔操舵型ウイルス
情報機器に感染すると、掲示板サイトにマルウェアへと誘導するリンクを書き込む動作を行うマルウェア。通常は、攻撃者が自らリンクの書き込み動作を行うため、攻撃者を特定する手掛かりが残る。しかし、遠隔操作型ウイルスでは、マルウェアに感染した、攻撃者とは無関係の情報機器が掲示板サイトに書き込むため、証拠が残りにくく、攻撃者の追跡が難しくなる。
スパイウェア
感染したコンピュータ内部の利用者の個人情報などを収集するソフトウェア。
語源は、spy(スパイ)+ wareから。
アドウェア
ソフトウェアを無料で提供する代わりに、利用者の広告を見せさせる目的のソフトウェア。通常は無害だが、中には、利用者の承認なく個人情報を収集するスパイウェアもある。
語源は、ad(advertisement:広告) + wareから。
ランサムウェア
コンピュータのファイルやシステムを利用不能にし、その復旧と引き換えに金銭を要求するソフトウェア。
語源は、ransom(身代金) + wareから。
キーロガー
スパイウェアの一種で、コンピュータへのキー入力を監視し記録するソフトウェア。有益な場合もあるが、利用者の入力情報を盗むものもある。その対策として、パスワードを、画面表示されたキーから入力するソフトウェアキーボードがある。画面表示されたキーを毎回異なる並びにすることで、キーロガーにはどのキーが入力されたかがわからなくなる。
語源は、key(キー) + loggerから。
ルートキット
システムに不正に侵入した後で、管理者権限(root)を奪ったり、抜け道を作ったり、侵入痕跡を削除したりするためのプログラム集(kit)。
語源は、root(管理者権限)+ kit(道具一式)から。
ポリモーフィックス型ウイルス
ウイルス対策ソフトのパターンマッチング法によるウイルス検出を免れる目的で、感染のたびに異なる方式で自身のウイルスコードを暗号化するウイルス。これを検出するには、プログラムが行う危険な行動(振る舞い)を検出した時点で、ウイルス対策ソフトは、ウイルスに感染したと判断するビヘイビア法を使う必要がある。
Mirai
IoT機器に感染し、攻撃者がC&Cサーバ経由で指令を受信し、標的に対してDDoS攻撃を行うマルウェア。IoT機器の利用者IDやパスワードがよくあるものだったり、工場出荷時のままだったりすると、感染しやすい。
マルウェアへの対策
マルウェアへの対策は、次のとおりです。
ウイルス対策ソフトを導入する。
マクロウイルスへの対策は、オフィスソフトなどで、「マクロ機能を無効する」に設定する。
パスワードクラック
類推攻撃
利用者の情報をもとに、攻撃者がパスワードを類推する方法です。パスワードが、利用者ID・名前・生年月日・地名・出身校などの場合、攻撃者がパスワードを見破ることがあります。
辞書攻撃
パスワードに単語を使うことが多いことを悪用し、辞書の単語を利用してパスワードを推察する方法です。ブルートフォース攻撃に比べて、見破るまでの効率がいいため、ブルートフォース攻撃の前に、まず辞書攻撃でパスワードの見破りを試みます。
ブルートフォース攻撃
パスワードの可能な組み合わせをしらみつぶしにすべて試す方法です。総当たり攻撃ともいいます。効率が悪い方法のため、人間ならば面倒であきらめる作業ですが、それをコンピュータにやらせてパスワード見破ろうとします。
リバースブルートフォース攻撃
1つの利用者IDに対して、様々なパスワードを試すブルートフォース攻撃とは対照的に、1つのパスワードについて、何度もログインを試す方法です。1つの利用者IDについて、何度もログインを試すわけではないので、アカウントのロックアウトは、対策となりません。
パスワードリスト攻撃
利用者ID・パスワードを使いまわす利用者が多いことから、あるWebサイトやシステムから流出した利用者IDとパスワードのリストを使って、別のWebサイトやシステムへの不正ログインを試みる攻撃です。不正ログインされるWebサイトやシステムに脆弱性がなくても、攻撃が成功します。
レインボー攻撃
予想したパスワードをもとに求められたハッシュ値と、利用者のパスワードのハッシュ値を照合し、パスワードを見破る方法です。パスワードは、通常、そのまま保存されず、パスワードをもとに、ハッシュ関数により計算されたハッシュ値が保存されます。予測したパスワードのハッシュ値を比較することで、パスワードを特定します。
不正アクセス・盗聴
不正アクセス
ネットワークを通じて、機器に接続し、本来認められていない操作することです。侵入行為となりすまし行為に分かれます。
侵入行為
そうとウェアの脆弱性を悪用し、コンピュータに不正侵入することです。
なりすまし行為
攻撃者が正規の利用者ID・パスワードを悪用し、正規の利用者になりすましすることです。
フットプリンティング
攻撃者がサイバー攻撃の前に行う情報収集・下調べのことです。攻撃者は、攻撃対象の弱点やセキュリティ体制などを分析し、攻撃ルートや使用するツールを決定します。
ダークウェブ
一般的な検索結果には表示されず、かつ専用のWebブラウザでのみ接続可能なWebサイトの総称です。
ポートスキャン
不正アクセスを行う前に、接続先のポート番号に抜け穴があるかを調べる行為です。身近な例は、泥棒が侵入する前に、無施錠の住居を探す行為と似ています。
サイバー攻撃の手法としてポートスキャンを行うのでなく、システム管理者が自衛のために、自分のネットワークの脆弱性を調べる目的でも行います。
スニッフィング
ネットワークを流れる通信データを監視・記録する盗聴行為です。また、スニッフィングを行うためにの機器やソフトウェアをスニファといいます。
ウォードライビング
無防備な無線LAN親機(アクセスポイント)を、自動車で移動しながら探し回る行為です。強力なアンテナを持つ無線LAN子機を装備し、セキュリティ設定が甘く、かつ外部に漏れ出た電波を求めて、オフィス街を徘徊します。
サイバーキルチェーン
サイバー攻撃の段階を説明した代表的なモデルです。サイバー攻撃を7段階に区分して、攻撃者の考え方・行動を理解することを目的にしています。このうちのどこかの段階でチェーンを断ち切れば、被害を防げます。
テンペスト
コンピュータのディスプレイから発する微弱な電波を傍受し、表示内容を盗み見することです。
サイドチャンネル
暗号装置が発する電磁波・熱・消費電力・処理時間撫でを外部から観測し、暗号解読の手掛かりにする方法です。
終わりに
今回は、情報セキュリティマネジメントのサイバー攻撃について解説しました。
次回は続きのサイバー攻撃➁を投稿したいと思います。
エンジニアファーストの会社 株式会社CRE-CO 吉川 真史