はじめに
多くの企業や個人は、アンチウイルスやEDRなどのセキュリティソフトを導入しています。
しかし、ニュースでは今でも
- 企業の情報漏洩
- ランサムウェア攻撃
- 大規模データ侵害
などが頻繁に報道されています。
では疑問が生まれます。
セキュリティソフトがあるのに、なぜ侵害されるのでしょうか?
実は、サイバーセキュリティの世界では
「完全な防御は存在しない」 と言われています。
この記事では、その理由をわかりやすく解説します。
人間が最大の弱点
多くの侵害は、技術ではなく 人間の行動から始まります。
代表例は フィッシング攻撃です。
攻撃の流れ:
偽メール送信
↓
ユーザーがリンクをクリック
↓
偽ログインページ
↓
パスワード入力
↓
攻撃者がアカウントを取得
この場合、セキュリティソフトは
ユーザーが自分で入力したパスワードを守ることはできません。
実際、多くの企業侵害はフィッシングから始まっています。
ゼロデイ攻撃
セキュリティソフトは多くの場合
既知の脅威
を検知します。
しかし攻撃者は
未知の脆弱性
を利用します。
これを ゼロデイ攻撃(Zero-day) と呼びます。
例:
新しいソフトウェアの脆弱性
↓
まだパッチがない
↓
攻撃者が利用
この場合、セキュリティソフトでも防げないことがあります。
正規ツールを使った攻撃
最近の攻撃では、マルウェアを使わないケースも増えています。
これを
Living off the Land
と呼びます。
つまり、OSに最初からあるツールを悪用します。
例:
PowerShell
SSH
Python
WMI
これらは正規ツールなので
セキュリティソフトがブロックしにくいのです。
ファイルレス攻撃
昔の攻撃は
ウイルスファイル
を感染させるものでした。
しかし最近の攻撃は
メモリのみで実行
するケースがあります。
例:
PowerShellスクリプト
↓
メモリで実行
↓
ファイルが残らない
これを ファイルレス攻撃(Fileless Attack) と呼びます。
検知が非常に難しい攻撃です。
設定ミス
意外かもしれませんが、多くの侵害は 設定ミスが原因です。
例:
- パスワードなしサーバー
- 公開されたデータベース
- クラウド設定ミス
例えば、クラウドストレージを
Public
に設定してしまうと、誰でもアクセスできる状態になります。
このような問題は、セキュリティソフトでは防げません。
攻撃者も常に進化している
サイバー攻撃者は
- 犯罪組織
- 国家レベルのハッカー
- セキュリティ研究者
など、高度な技術を持つ人たちです。
彼らは
セキュリティソフトを分析
↓
回避方法を研究
↓
新しい攻撃を開発
ということを常に行っています。
つまり
防御と攻撃の「いたちごっこ」
が続いているのです。
セキュリティは確率の問題
セキュリティの目的は
100%防御
ではありません。
実際には
侵害される確率を下げる
ことが目的です。
例えば
防御なし → 侵害確率 80%
防御あり → 侵害確率 5%
このようにリスクを減らします。
まとめ
セキュリティソフトがあっても侵害される理由は次の通りです。
- 人間のミス(フィッシングなど)
- ゼロデイ脆弱性
- 正規ツールの悪用
- ファイルレス攻撃
- システム設定ミス
- 攻撃者の進化
そのため、セキュリティは
防御の重ね合わせ
で成り立っています。
企業では
EDR + SIEM + SOC
などの多層防御を構築して、リスクをできるだけ減らしています。
最後に、セキュリティ業界には有名な言葉があります。
「侵害された企業」と
「侵害されたことに気づいていない企業」
の2種類しかない。
これは、サイバーセキュリティの現実をよく表した言葉です。