はじめに
インターネットやデジタルデバイスが当たり前のように日常生活の一部となった現代、サイバー攻撃のリスクもまた身近なものとなっています。ニュースで「個人情報が流出した」や「ランサムウェアに感染した企業が身代金を支払った」といった話を耳にすることも多いのではないでしょうか。
サイバー犯罪の検挙件数の推移
実際、警視庁のレポートによると、令和6年におけるランサムウェアによる被害件数は197件にのぼり、サイバー事案全体の検挙件数は5,715件に達しています。これらの数字は、近年サイバー攻撃が増加している現状を如実に示しています。これだけ多くの事案が報告される中で、私たち個人も決して無関係ではいられません。
こうしたサイバー攻撃は企業や政府だけでなく、私たちの日常生活にも影響を及ぼす可能性があります。ですが、基本的な知識を身につけるだけでも、多くの被害を防ぐことができるのです。
この記事では、サイバー攻撃の種類とその対策について、初心者の方にもわかりやすい形で解説していきます。複雑な技術的な話に踏み込みすぎず、身近な例を交えながら進めるので、ぜひ最後まで読んでみてください。
弊社Nucoでは、他にも様々なお役立ち記事を公開しています。よかったら、Organizationのページも覗いてみてください。
また、Nucoでは一緒に働く仲間も募集しています!興味をお持ちいただける方は、こちらまで。
サイバー攻撃とは
サイバー攻撃とは、インターネットやネットワークを通じて情報を盗んだり、システムを破壊したりする行為を指します。その目的はさまざまで、金銭の搾取、機密情報の取得、社会的混乱の引き起こしなどが挙げられます。
例えば、あなたが普段使用しているスマートフォンやパソコンが突然使えなくなったり、ネットショッピング中に入力したクレジットカード情報が第三者に盗まれたりする可能性もあります。こうした攻撃は、個人、企業、政府といったあらゆるレベルで影響を及ぼすのです。
また、サイバー攻撃の手口は年々巧妙化しており、気づかないうちに被害を受けるケースも増えています。こうしたリスクを理解し、対策を講じるためには、まず攻撃の種類について知ることが重要です。
主なサイバー攻撃の種類
代社会で注目を集めるサイバー攻撃の中には、その名前をニュースなどで耳にしたことがあるものも多いでしょう。これらの攻撃は、個人や企業に対する深刻な影響を及ぼすだけでなく、時には社会全体を混乱に陥れることもあります。このセクションでは、特に有名なサイバー攻撃の種類について、その仕組みや被害の特徴を詳しく解説していきます。
DDoS攻撃
DDoS(Distributed Denial of Service)攻撃は、ターゲットとなるサーバーやネットワークに大量のリクエストを送り込み、システムを過負荷状態にしてサービスを停止させる攻撃です。この攻撃では、感染したデバイスで構成されるボットネットが利用され、広範囲に分散されたリクエストが一斉に発生します。その結果、正規のユーザーがサービスを利用できなくなる事態が引き起こされます。
DDoS攻撃の目的は、金銭的な要求や競合サービスの妨害、政治的・社会的メッセージの発信など多岐にわたります。さらに、ネットワーク帯域を埋め尽くす「ボリューム攻撃」や、通信プロトコルの弱点を突く「プロトコル攻撃」、特定のアプリケーションを狙う「アプリケーション層攻撃」など、手法も多様化しています。
2016年の「Miraiボットネット攻撃」では、IoTデバイスを利用した大規模なDDoS攻撃により、TwitterやNetflixなどの主要ウェブサービスが一時的に停止しました。この事件は、IoT機器のセキュリティの重要性を浮き彫りにしました。
ランサムウェア
ランサムウェアは、感染したデバイスのデータを暗号化し、その復旧のために身代金を要求するサイバー攻撃です。主な感染経路は、悪意のあるメールの添付ファイルやリンク、脆弱性を悪用した攻撃です。攻撃者は、データが人質となる状況を作り出し、金銭を支払わせることを目的としています。近年では、企業や病院など重要なデータを扱う組織が主な標的となっています。
ランサムウェアの被害は金銭的な損失だけでなく、業務の停止や信用の低下など、幅広い影響を及ぼします。支払いをしてもデータが完全に復旧しないケースも多く、対策の重要性が高まっています。
2017年に世界中で被害を引き起こした「WannaCryランサムウェア事件」では、Windowsの脆弱性を悪用し、数十万台のデバイスが感染しました。病院や企業が標的となり、医療機器や業務システムが停止するなど、社会的にも大きな混乱を招きました。
フィッシング
フィッシングは、偽装されたメールやウェブサイトを利用して個人情報を盗む攻撃手法です。たとえば、銀行やECサイトを装ったメールを送信し、偽のログインページに誘導してIDやパスワードを入力させる手口が典型的です。攻撃者はこれらの情報を使って、不正アクセスや金銭的な搾取を行います。
フィッシングは、巧妙なデザインや緊急性を装う文言を用いてターゲットを欺くため、誰もが被害に遭う可能性があります。そのため、疑わしいメールやリンクを開かないことが重要な対策です。
2020年、新型コロナウイルス関連の給付金を装ったフィッシングメールが報告されました。攻撃者は政府機関を装い、偽の申請サイトに誘導して個人情報を収集していました。多くの被害者が個人情報や銀行口座情報を盗まれる結果となりました。
SQLインジェクション
SQLインジェクションは、ウェブアプリケーションに対して不正なSQLコードを挿入し、データベースを操作する攻撃手法です。この攻撃により、攻撃者はデータベース内の機密情報(顧客データ、パスワード、クレジットカード情報など)を閲覧・改ざんしたり、さらには削除することが可能です。
攻撃者は主に入力フォームやURLに直接不正なSQLコードを挿入することで、この攻撃を実行します。SQLインジェクションの成功は、不適切な入力検証やサニタイズ不足が原因となることが多く、防御にはコードの適切な設計とセキュリティテストが重要です。
2014年に発生した「Sony Picturesハッキング事件」では、SQLインジェクションを用いて内部データが大量に流出しました。この攻撃により、社員の個人情報、未公開映画、さらには経営層の機密文書が公開され、企業に甚大な被害をもたらしました。
ゼロデイ攻撃
ゼロデイ攻撃は、ソフトウェアやシステムに存在する未公開の脆弱性を悪用して行われる攻撃です。この攻撃は、開発者が脆弱性を発見し修正する前に実行されるため、防御が非常に困難です。攻撃者はゼロデイ脆弱性を利用して、システムへの不正アクセスやデータの窃取を行います。
ゼロデイ攻撃は、攻撃者が発見した脆弱性を秘密裏に利用するため、被害者が攻撃に気付くのが遅れることが特徴です。これにより、大規模な情報漏洩やシステムの乗っ取りが発生する可能性があります。ゼロデイ攻撃を防ぐためには、ソフトウェアの定期的な更新やセキュリティソリューションの活用が重要です。
2021年に発生した「Microsoft Exchange Serverのゼロデイ攻撃」では、4つの脆弱性が悪用され、世界中の企業が内部データを流出させる被害を受けました。この攻撃は、中国のハッカーグループによるものとされ、多くの企業が緊急パッチを適用する事態に追い込まれました。
ブルートフォース攻撃
ブルートフォース攻撃は、あらゆる組み合わせを試すことで正しいパスワードを見つけ出す総当たり攻撃の一種です。攻撃者は自動化されたツールを使用し、膨大な数のパスワードを試行してターゲットのアカウントやシステムに侵入を試みます。
短いパスワードや、よく使われる「123456」「password」「qwerty」などの単純なパスワードは、この攻撃に非常に弱いため、被害に遭いやすい傾向があります。強力でランダムなパスワードや多要素認証の導入が重要な防御手段です。
2019年、多くのIoTデバイスがブルートフォース攻撃の標的となり、デフォルトの初期設定パスワードが使用されていたために簡単に乗っ取られる事態が発生しました。この攻撃により、ネットワークカメラや家庭用ルーターがボットネットとして利用され、大規模なDDoS攻撃の一部となったケースも報告されています。
クリプトジャッキング
クリプトジャッキングは、他人のデバイスを不正に利用して仮想通貨をマイニングする攻撃です。攻撃者はデバイスにマルウェアを仕込み、ユーザーに気づかれないまま処理能力を奪います。この攻撃により、被害者のデバイスの動作が遅くなるだけでなく、電力消費が増えるなどの影響が生じます。
クリプトジャッキングは、主に感染したウェブサイトのスクリプトや悪意のあるソフトウェアを通じて実行されます。この攻撃は直接的な金銭被害が発生しないため、被害者が気づきにくいのが特徴です。防御には、セキュリティソフトの導入や、怪しいリンクやファイルを開かないことが有効です。
2018年に報告された事例では、有名なウェブサイトにクリプトジャッキング用のスクリプトが埋め込まれ、多数の訪問者のPCが仮想通貨マイニングに利用されました。この攻撃によって被害者のデバイスが著しく遅くなり、大規模な影響が及びました。
DNSキャッシュポイズニング
DNSキャッシュポイズニングは、DNSサーバーに偽のドメイン情報を注入してユーザーを偽サイトに誘導する攻撃です。この攻撃によって、正規のウェブサイトにアクセスしたはずのユーザーが、攻撃者が用意したフィッシングサイトやマルウェアを配布するサイトに誘導されます。被害者は、個人情報やクレジットカード情報を盗まれるリスクに直面します。
攻撃者は、特定のDNSサーバーを標的にし、そのキャッシュ情報を改ざんします。この改ざんされた情報が広がることで、他のユーザーが同じ偽情報を利用することになり、大規模な被害を引き起こします。対策として、DNSSEC(DNS Security Extensions)の導入や、定期的なキャッシュのクリアが効果的です。
2008年に発覚した「Kaminsky脆弱性」は、DNSキャッシュポイズニング攻撃の危険性を広く知らしめました。この脆弱性を利用した攻撃では、多数のユーザーが偽サイトに誘導され、オンラインバンキング情報やその他の個人データが盗まれる事態が発生しました。
フォームジャッキング攻撃
フォームジャッキング攻撃は、正規のウェブサイトのフォームに不正なコードを挿入し、入力された情報を攻撃者が盗み取る手法です。この攻撃は、特にオンラインショッピングサイトの支払いフォームが標的となり、クレジットカード情報や個人情報が狙われることが多いです。攻撃者は、改ざんされたフォームを通じてデータを自分のサーバーに送信させます。
この攻撃が巧妙なのは、ユーザーが正規のサイトで入力していると認識していることです。そのため、被害に気づくのが遅れる場合が多く、攻撃者にとって効果的な方法となっています。防御には、ウェブサイトの改ざん検知システムや強固なセキュリティ管理が不可欠です。
2018年に報告された「Magecart攻撃グループ」によるフォームジャッキングでは、British AirwaysやTicketmasterのウェブサイトが標的になり、数十万人のクレジットカード情報が盗まれる被害が発生しました。この事件は、企業やユーザー双方に重大なセキュリティリスクを認識させるきっかけとなりました。
知っておきたいサイバー攻撃の種類
これまでに紹介したサイバー攻撃は、特に有名で多くの人がその危険性を耳にしたことがあるものばかりです。しかし、サイバー攻撃の世界はそれだけではありません。ニュースに取り上げられる機会は少なくても、特定の状況や対象に対して効果的な攻撃が数多く存在します。
このセクションでは、より多様なサイバー攻撃の種類について解説していきます。それでは見ていきましょう!
パスワードを狙った攻撃
パスワードを狙った攻撃は、ユーザーアカウントやシステムに不正アクセスするための非常に一般的な手法です。攻撃者は、ユーザーが設定したパスワードを解読するためにさまざまな方法を駆使します。ブルートフォース攻撃、辞書攻撃、パスワードリスト攻撃などの具体的な手法は、それぞれ独自の特徴を持ちながらも、目的は共通してパスワードの突破です。
強固なパスワードを設定し、多要素認証(MFA)を導入することで、これらの攻撃の成功率を大幅に下げることが可能です。
ブルートフォース攻撃
ブルートフォース攻撃についての詳細は主なサイバー攻撃の種類で説明しています。
辞書攻撃
辞書攻撃は、よく使われる単語やフレーズをリスト化した「辞書」を使い、その中からパスワードを推測する手法です。攻撃者は、実際に使用されることが多いパスワードリストを用意し、これをターゲットに対して順番に試します。ブルートフォース攻撃より効率的で、特定の単語やフレーズを使う傾向があるユーザーに対して有効です。
攻撃者が「password123」「qwerty」「letmein」など、一般的に使用されるパスワードのリストを作成し、それを順番に試してアカウントにログインを試みます。これにより、簡単なパスワードを設定しているユーザーが標的になりやすくなります。
パスワードリスト攻撃
パスワードリスト攻撃は、過去のデータ漏洩事件で流出したメールアドレスやパスワードのリストを使用して、他のサービスに不正ログインを試みる手法です。多くのユーザーが複数のアカウントで同じパスワードを使い回しているため、この攻撃は非常に効果的です。
攻撃者が、過去のデータ漏洩事件で流出した「メールアドレス:password」のペアを入手し、それを使ってオンラインショッピングサイトや動画ストリーミングサービスなどに不正アクセスを試みます。たとえば、「user@example.com:password123」という情報をこれらのサービスに入力し、ログインを試します。同じパスワードを複数のサイトで使い回している場合、被害が拡大します。
マルウェア攻撃
マルウェア攻撃は、悪意のあるソフトウェア(マルウェア)を用いてシステムやデバイスに侵入し、不正な操作や情報の窃取を行う攻撃です。マルウェアには、ウイルスやスパイウェア、トロイの木馬など多種多様な種類があります。攻撃者は、マルウェアを使ってターゲットの機密情報を盗む、デバイスを破壊する、またはそのデバイスを別の攻撃の踏み台として利用します。
マルウェア攻撃の目的は、金銭の搾取、情報の盗難、さらには社会的混乱の引き起こしまで多岐にわたります。
マルウェア感染
マルウェア感染は、悪意のあるソフトウェアがデバイスに侵入し、望まない動作を引き起こす状態です。感染経路としては、不正なリンクのクリック、信頼性の低いアプリのインストール、USBデバイスの使用などが挙げられます。感染したデバイスは、情報の窃取やリソースの不正利用、さらには他のデバイスへの感染拡大の起点になる可能性があります。
ユーザーが迷惑メールに添付されたファイルを開き、悪意のあるマルウェアをインストールしてしまうケースがあります。この結果、攻撃者が遠隔でPCを操作し、機密情報を窃取したり、デバイスをボットネットの一部として使用したりします。
ランサムウェア
ランサムウェアについての詳細は主なサイバー攻撃の種類で説明しています。
ルートキット攻撃
ルートキットは、システムに侵入した攻撃者が自らの痕跡を隠し、継続的にシステムを不正利用するために使用するマルウェアの一種です。ルートキットに感染すると、攻撃者はシステムの管理者権限を取得し、バックドアを仕掛けるなどして自由に操作できます。
攻撃者が企業のサーバーにルートキットを仕込んだ場合、セキュリティ監視ツールを無効化しながら、従業員のメールや顧客データを長期間にわたり盗み続けることが可能です。また、外部からの侵入経路を確保するために、バックドアを設置することもあります。このようなケースでは、企業が攻撃に気付くまでに数カ月以上かかる場合があります。
クリプトジャッキング
クリプトジャッキングについての詳細は主なサイバー攻撃の種類で説明しています。
人間の心理や操作を狙う攻撃(ソーシャルエンジニアリング)
ソーシャルエンジニアリング攻撃は、人間の心理的な隙や不注意を狙って情報を盗む手法です。このタイプの攻撃では、システムの脆弱性を突くのではなく、人の行動や判断を利用します。攻撃者は巧みに信頼を得たり、相手を混乱させたりすることで、パスワードや個人情報といった重要なデータを引き出します。
このような攻撃を防ぐには、セキュリティ対策ツールだけでなく、利用者自身が怪しいリンクやメールに慎重になることが大切です。
フィッシング
フィッシングについての詳細は主なサイバー攻撃の種類で説明しています。
フォームジャッキング攻撃
フォームジャッキング攻撃についての詳細は主なサイバー攻撃の種類で説明しています。
クリックジャッキング
クリックジャッキングは、ウェブページに透明なボタンやリンクを重ね、利用者が意図せず不正な操作を行うよう仕向ける攻撃です。攻撃者はこの手法を使い、知らないうちに被害者に情報を送信させたり、悪意ある行動を取らせたりします。
SNSで「いいね!」ボタンを押したつもりが、実際には攻撃者が仕掛けた「個人情報送信」ボタンを押してしまうことがあります。このように、被害者は自分の行動に気づかないまま情報を盗まれるケースが発生します。
スパムメール
スパムメールは、膨大な数の迷惑メールを一斉に送信する攻撃手法です。メールには詐欺的な広告や、不正なリンク、マルウェア付きのファイルが含まれることが多く、受信者がこれらを不用意に開いてしまうと被害に繋がります。メールの内容は、受信者の興味を引くよう巧妙に作られる場合が多いです。
「今だけ限定!50%割引クーポンをゲット!」といったメールが届きます。リンクをクリックすると、不正なサイトに誘導され、そこで個人情報が盗まれたり、マルウェアが自動的にダウンロードされることがあります。
サーバーやネットワーク負荷を狙った攻撃
サーバーやネットワーク負荷を狙った攻撃は、ターゲットとなるシステムやネットワークに過剰なトラフィックを送り込み、通常の運用を妨害する攻撃です。このタイプの攻撃は、サービスの停止(DoS:Denial of Service)や、広範囲での混乱を引き起こすことを目的とします。特に分散型攻撃(DDoS)は、複数のデバイスを利用して強力なトラフィックを発生させるため、被害が大規模になりやすいのが特徴です。
これらの攻撃は、サービス提供者に金銭的損失や信用の低下をもたらすため、防御が重要です。
DDoS攻撃
DDoS攻撃についての詳細は主なサイバー攻撃の種類で説明しています。
F5アタック
F5アタックは、ユーザーがウェブブラウザの「更新」ボタンを繰り返し押して大量のリクエストを発生させる単純な攻撃です。この攻撃は個人によって実行されることもありますが、複数人やスクリプトを使って集中的に行われることで、サーバーへの負荷が急増します。
攻撃者がSNS上で「特定のサイトを攻撃しよう!」と呼びかけ、多数のユーザーがそのサイトのページを何度もわざと更新を繰り返します。結果として、サーバーがリクエスト処理をさばききれなくなり、サービスがダウンしてしまいます。
TCP SYNフラッド
TCP SYNフラッドは、通信を確立するためのSYNリクエストを大量に送信し、ターゲットのサーバーのリソースを枯渇させる攻撃です。攻撃者は、TCP接続の「3ウェイハンドシェイク」を途中で止めることで、サーバーが未完了の接続を維持し続ける状態を作り出します。
攻撃者がターゲットのウェブサーバーに大量のSYNリクエストを送り続け、応答(ACK)を返さないことでサーバーの接続スロットを使い果たします。結果として、新しい接続ができなくなり、サービスが停止します。
Ping of Death
Ping of Deathは、ターゲットに送信されるPingパケットのサイズを規定以上に大きくすることで、システムをクラッシュさせる攻撃です。古いネットワーク機器やソフトウェアで特に影響を受けやすい攻撃手法です。
攻撃者が改ざんされたPingパケットをターゲットのサーバーに送り続け、過剰な処理を強要。結果として、サーバーが応答しなくなったりクラッシュしてしまいます。
ランダムサブドメイン攻撃
ランダムサブドメイン攻撃は、大量の無意味なサブドメインリクエストを生成し、ターゲットのDNSサーバーに送り込むことで負荷をかける攻撃です。この攻撃により、DNSサーバーの応答が遅くなり、正規のドメイン解決ができなくなります。
攻撃者が「random123.example.com」や「abc456.example.com」など、ランダムなサブドメインを生成して大量にDNSリクエストを送信。結果として、ターゲットのDNSサーバーが過負荷になり、正規のリクエストに応答できなくなります。
ICMPフラッド
ICMPフラッドは、大量のPingリクエスト(ICMPパケット)を送りつけることでネットワーク帯域やサーバーのリソースを消費させる攻撃です。手法自体は単純ですが、攻撃規模が大きくなると重大な影響を及ぼします。
攻撃者が1秒間に数千ものPingリクエストをターゲットサーバーに送り続けた結果、ネットワーク帯域が埋まり、正規の通信が遮断されました。
Smurf攻撃
Smurf攻撃は、攻撃者が送信元アドレスを偽装し、ターゲットに大量のICMP応答を送りつける攻撃です。この手法では、ネットワーク全体を巻き込むことで、影響範囲が広がります。
攻撃者が「ブロードキャストアドレス」にICMPリクエストを送信し、その返信先をターゲットのIPアドレスに偽装しました。これにより、ネットワーク内の多数のデバイスがターゲットにICMP応答を送りつけ、サーバーが過負荷に陥りました。
ネットワークスキャン
ネットワークスキャンは、ネットワーク上に存在するデバイスやその設定情報を調べる行為です。攻撃者はこれを利用して、ターゲットのネットワークの構造や稼働中のデバイス、開放されているポートなどを特定します。本来はシステム管理者がネットワークを監視するための正当なツールとして使われますが、悪用されると攻撃の準備段階として利用されます。
例えば、オフィス内で動作しているすべてのPCやサーバーをスキャンし、それらのIPアドレスや稼働中のOSを調査するケースです。このスキャンにより、セキュリティが甘い古いバージョンのOSが動作しているデバイスを特定し、次の攻撃の足がかりとすることができます。
ポートスキャン
ポートスキャンは、特定のデバイスに接続されているポート(データの出入口)を調べる行為です。開放されたポートは攻撃者にとって侵入口になり得るため、どのポートが開いているかを確認し、そこからサービスや脆弱性を探ります。攻撃者は、未保護のポートを見つけて不正アクセスやデータの窃取を試みます。
攻撃者は企業のサーバーに対してポートスキャンを実施し、80番ポート(ウェブサービス用)と21番ポート(FTP用)が開いていることを確認しました。この情報を基に、攻撃者はFTPサービスの脆弱性を悪用し、サーバーに不正アクセスを試みることが可能になります。
ネットワークの脆弱性を狙った攻撃
ネットワークの脆弱性を狙った攻撃は、通信プロトコルやネットワーク構成の欠陥を利用して不正行為を実行します。この攻撃では、データの盗聴や改ざん、セッションの乗っ取りが主な目的となります。ネットワーク設計の問題や暗号化が不十分であることが、攻撃者にとって利用しやすい状況を生み出します。
IPスプーフィング
IPスプーフィングは、送信元IPアドレスを偽装し、信頼されたデバイスを装うことで通信を行う攻撃手法です。この方法を用いることで、攻撃者はターゲットシステムへの不正アクセスを試みたり、信頼関係を悪用した攻撃を実行します。
攻撃者が、自身のデバイスをターゲットの内部ネットワーク上の信頼できるIPアドレス(例:192.168.0.1)に偽装します。この偽装により、ターゲットのファイアウォールやセキュリティ設定を回避し、不正に侵入することが可能になります。
ARPスプーフィング
ARPスプーフィングは、LAN内の通信を傍受または改ざんする攻撃手法です。攻撃者は、正規のデバイスのMACアドレスを偽装することで、データが自分のデバイスに送られるように操作します。この攻撃により、通信内容の盗聴や改ざんが可能になります。
攻撃者がネットワーク内でルーターのMACアドレスを偽装します。その結果、被害者の通信が攻撃者のデバイスを経由し、メールやパスワードといった情報が盗まれます。
セッションハイジャック
セッションハイジャックは、認証済みの通信セッションを乗っ取り、不正にログインを試みる攻撃です。攻撃者は、被害者のセッションIDを盗み、それを利用してターゲットシステムにアクセスします。
攻撃者が、被害者が利用しているウェブアプリケーションのセッションIDを傍受します。攻撃者は、そのセッションIDを自分のブラウザに設定し、被害者になりすましてアカウントに不正ログインします。
リプレイ攻撃
リプレイ攻撃は、ターゲット間で行われた正規の通信を記録し、それを再送信することで認証や操作を偽装します。この攻撃は、暗号化が不十分な通信や、セッション管理が適切でない場合に成功します。
攻撃者が、被害者が送信した「送金リクエスト」のデータを記録します。その後、そのデータを何度も再送信し、複数回の送金操作を不正に実行します。
Evil Twin攻撃
vil Twin攻撃は、偽のWi-Fiアクセスポイントを設置し、被害者を接続させることで通信を盗聴する手法です。攻撃者は、正規のWi-Fiネットワークと似たSSIDを用いて被害者を誘導し、ログイン情報や個人データを窃取します。
攻撃者がカフェなどで「FreeWiFi」というSSIDの偽アクセスポイントを設置します。被害者がこのネットワークに接続すると、ログイン情報や入力したデータが攻撃者の手に渡ります。
セッションID固定化攻撃
セッションID固定化攻撃は、事前に指定したセッションIDをユーザーに使用させ、そのセッションを乗っ取る手法です。この攻撃は、ウェブアプリケーションがセッションIDの生成や管理を適切に行わない場合に発生します。
攻撃者が、ユーザーに特定のセッションIDを埋め込んだリンクを送信します。そのリンクをクリックしたユーザーが認証を行うと、攻撃者の指定したセッションIDが有効化されます。これにより、攻撃者はそのセッションを利用してアカウントを乗っ取ることが可能になります。
アプリケーションやOSの脆弱性を狙った攻撃
アプリケーションやOSの脆弱性を狙った攻撃は、ソフトウェアの設計や実装に存在する欠陥を悪用して行われます。この種の攻撃では、システムやアプリケーションを乗っ取り、データの窃取や改ざん、破壊を目的とします。定期的な脆弱性の修正(パッチ適用)や適切なセキュリティ対策を行うことで、これらの攻撃を防ぐことが可能です。
バッファオーバフロー攻撃
バッファオーバフロー攻撃は、アプリケーションが確保したメモリ領域(バッファ)を超えるデータを送り込み、隣接するメモリ領域を上書きする攻撃です。この攻撃によって、攻撃者は不正なコードを実行したり、システムをクラッシュさせたりします。
攻撃者が入力フィールドに非常に長い文字列を入力し、アプリケーションのバッファ領域を上書きします。この操作により、攻撃者が意図した不正なコードが実行され、管理者権限が奪われる場合があります。
ゼロデイ攻撃
ゼロデイ攻撃についての詳細は主なサイバー攻撃の種類で説明しています。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)は、ウェブアプリケーションに不正なスクリプトを埋め込み、実行させる攻撃です。攻撃者は、この手法を用いてクッキー情報を盗んだり、セッションを乗っ取ったりします。
攻撃者が掲示板の投稿欄に不正なJavaScriptコードを入力します。他のユーザーがその投稿を閲覧すると、スクリプトが実行され、クッキー情報が攻撃者に送信されます。
SQLインジェクション
SQLインジェクションについての詳細は主なサイバー攻撃の種類で説明しています。
OSコマンド・インジェクション
OSコマンド・インジェクションは、アプリケーションを通じてオペレーティングシステムのコマンドを実行する攻撃です。この手法を利用すると、攻撃者が任意のOSコマンドを実行し、システムを制御できるようになります。
攻撃者がファイルアップロード機能を悪用し、「; rm -rf /」のようなコマンドを入力します。これにより、サーバー内の全ファイルが削除される危険性があります。
クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリ(CSRF)は、被害者に意図しないリクエストを実行させる攻撃です。攻撃者は、被害者をだましてウェブアプリケーション上で不正な操作を実行します。
攻撃者が不正なリンクを電子メールで送信します。被害者がそのリンクをクリックすると、攻撃者の意図した送金操作が実行されてしまいます。
ディレクトリトラバーサル
ディレクトリトラバーサルは、アプリケーションのディレクトリ構造を操作して許可されていないファイルにアクセスする攻撃です。攻撃者は、パスを不正に操作することで重要な設定ファイルや機密情報を取得します。
攻撃者がURLの末尾に「../../../etc/passwd」を入力し、サーバー上のパスワードファイルにアクセスします。この操作により、システム内のアカウント情報が漏洩する可能性があります。
DNS・ドメイン関連の攻撃
DNS・ドメイン関連の攻撃は、インターネットの基盤であるドメインネームシステム(DNS)やドメイン管理の脆弱性を悪用して行われます。この種の攻撃では、ユーザーを偽のウェブサイトに誘導したり、ドメインを乗っ取ったりすることで通信を妨害します。DNSやドメインは多くのサービスの基盤となるため、これらの攻撃が成功すると広範囲に深刻な影響を及ぼします。
DNSキャッシュポイズニング
DNSキャッシュポイズニングについての詳細は主なサイバー攻撃の種類で説明しています。
ドメイン名ハイジャック攻撃
ドメイン名ハイジャック攻撃は、正当なドメインの管理権を奪い、別のサーバーに転送することでユーザーを欺く攻撃です。攻撃者は、ドメイン管理者のアカウント情報を盗む、またはドメイン登録プロセスを悪用することで、この攻撃を実行します。
攻撃者がドメイン管理サービスの管理者アカウントを不正に取得します。その後、「example.com」の登録情報を変更し、ユーザーが「example.com」にアクセスすると攻撃者の偽ウェブサイトに接続されます。
ドメイン生成アルゴリズム(DGA)攻撃
ドメイン生成アルゴリズム(DGA)攻撃は、マルウェアが指令サーバーと通信するためにランダムなドメインを次々と生成する手法です。この手法により、特定のドメインをブロックしても攻撃を防ぐことが困難になります。
マルウェアが「a1b2c3.com」や「d4e5f6.com」など、ランダムなドメインを生成して指令サーバーと通信します。セキュリティソフトが特定のドメインをブロックしても、新しいドメインを生成することで攻撃を継続します。
ハードウェアや物理的攻撃
ハードウェアや物理的攻撃は、システムやネットワークの物理的な構成要素を標的とする攻撃です。これらの攻撃では、デバイスそのものやその設計上の欠陥を利用して情報を盗み、不正な操作を行います。IoTデバイスの普及や物理的なアクセスが可能な環境では、特にこの攻撃が効果を発揮します。
電波傍受
電波傍受は、無線通信を傍受し、データを盗み取る攻撃です。暗号化されていない通信は、この手法に特に弱く、容易に解読される可能性があります。
攻撃者が公共Wi-Fiの電波を傍受し、暗号化されていないデータ(例:パスワードやクレジットカード情報)を取得します。
キーボードロギング
キーボードロギングは、ユーザーがキーボードで入力した内容を記録する攻撃手法です。この手法では、物理的なデバイスやマルウェアを利用してパスワードやクレジットカード情報を盗みます。
攻撃者がオフィスのPCに物理的なキーロガーデバイスを取り付けます。そのデバイスが、従業員が入力したログイン情報を記録し、それを使用してシステムに不正アクセスします。
ハードウェアトロイ
ハードウェアトロイは、デバイスの製造や流通段階で改造を行い、後に攻撃者がそのデバイスを制御する手法です。この手法は、機密情報へのアクセスやシステムの不正操作を可能にします。
攻撃者が企業向けに出荷されるネットワーク機器に不正なチップを組み込みます。そのチップがバックドアを作成し、外部からの不正アクセスを可能にします。
ブルートブルースト(BlueBorne)攻撃
ブルートブルースト攻撃は、Bluetooth機能を悪用してデバイスに侵入する攻撃です。攻撃者は、Bluetoothがオンになっているデバイスの脆弱性を突き、デバイス内の情報を盗む、または操作を行います。この攻撃は、特に古いデバイスやセキュリティパッチが適用されていないデバイスで起こりやすいです。
カフェでBluetoothをオンにしているスマートフォンが攻撃者にスキャンされ、脆弱性を突かれて侵入されます。その結果、スマートフォン内の写真や連絡先が盗まれるほか、他のデバイスへの攻撃の踏み台として利用されます。
サプライチェーンを狙った攻撃
サプライチェーン攻撃は、製品やサービスの提供過程における外部業者やソフトウェア供給元を標的とする攻撃です。攻撃者は、サプライチェーンの脆弱性を悪用し、正規のソフトウェアやハードウェアに不正プログラムを仕込むことで、最終的にターゲットとなる企業や個人に攻撃を仕掛けます。この攻撃は、信頼を基盤とするサプライチェーン全体に影響を及ぼすため、非常に深刻です。
サプライチェーン攻撃
サプライチェーン攻撃では、ソフトウェアのアップデートに不正なコードを混入させたり、サードパーティ製品にバックドアを仕込む方法が用いられます。この攻撃により、気づかないうちに大規模なデータ漏洩やシステム破壊が発生します。また、攻撃者は供給元そのものを標的にして信頼性を損なうため、サプライチェーン全体のリスクが増大します。
2020年に発生した「SolarWinds事件」では、ネットワーク監視ソフト「Orion」のアップデートに攻撃者がバックドアを埋め込みました。この結果、世界中の企業や政府機関が被害を受け、数か月間にわたり膨大な情報が漏洩しました。
AIや新技術を狙った攻撃
AI技術の進化と普及に伴い、今後さらに高度な攻撃が生まれる可能性があります。たとえば、攻撃者がAIの生成モデルを悪用して、大量の偽情報や詐欺的なコンテンツを生成するケースが考えられます。AIがあらゆる分野で活用されるようになった現代では、AIに依存するシステムを攻撃することで大きな影響を与えることが可能です。
AI攻撃
AI攻撃では、AIシステムや機械学習モデルの動作を妨害することを目的とします。攻撃者は、AIがデータを正しく処理できないようにしたり、AIモデルを混乱させて誤った意思決定をさせることを狙います。
攻撃者が自動運転車の画像認識システムに干渉し、停止標識を見逃させることで事故を誘発します。これにより、AIシステムの信頼性が失われます。
敵対的サンプル
敵対的サンプルは、AIモデルが誤った予測をするよう設計された改変データです。攻撃者は、通常のデータにわずかな変更を加えることで、AIモデルの認識や分類を誤らせます。
攻撃者が画像分類AIに対して、猫の画像にわずかにピクセルを改変した画像を提供します。その結果、AIはその画像を「犬」と誤認します。
モデルポイズニング
モデルポイズニングは、AIモデルの学習データに不正なデータを混入させて学習結果を操作する攻撃です。攻撃者は意図的に偏りを持つデータを与えることで、モデルの挙動を歪めます。
攻撃者が顔認識AIに特定の人物を認識しないようにするためのデータを追加します。その結果、監視カメラシステムがその人物を見逃すようになります。
初心者向け対策方法
サイバー攻撃から身を守るためには、特別な知識やスキルが必要だと思われがちですが、基本的な対策を押さえるだけでも大きな違いを生みます。ここでは、初心者でもすぐに実践できるセキュリティ対策をいくつかご紹介します。
基本的なセキュリティ対策
OSやソフトウェアのアップデート
多くのサイバー攻撃は、ソフトウェアの古いバージョンに存在する脆弱性を狙っています。そのため、OSやアプリケーションのアップデートをこまめに行うことが大切です。「更新が面倒」と感じることもあるかもしれませんが、この手間が大きな被害を防ぐ第一歩です。自動更新を有効にするだけでも、セキュリティを大幅に向上させることができます。
信頼できるアンチウイルスソフトの利用
アンチウイルスソフトは、ウイルスやマルウェアを検出し、デバイスを守ってくれる頼もしい存在です。無料のものもありますが、特に業務で使用するデバイスには信頼性の高い有料ソフトを導入することを検討してください。また、定期的にスキャンを行い、脅威が潜んでいないか確認する習慣をつけると良いでしょう。
強力なパスワードと2段階認証の設定
強いパスワードの作り方
「123456」や「password」など、簡単すぎるパスワードを使っていませんか?攻撃者は、こうした一般的なパスワードをリスト化し、総当たりで試すことがあります。安全なパスワードを作るには、以下のポイントを守りましょう:
- 大文字、小文字、数字、記号を組み合わせる
- 長さは12文字以上にする
- 他のサービスと使い回さない
覚えにくい場合は、パスワードマネージャーを活用すると便利です。
2段階認証の重要性
パスワードだけでは不十分な場合があります。そこで役立つのが2段階認証です。ログイン時にパスワードに加え、スマートフォンのアプリやメールで受け取る認証コードを入力する仕組みで、セキュリティを格段に強化できます。主要なサービスでは2段階認証が簡単に設定できるので、必ず有効にしておきましょう。
フィッシングメールや怪しいリンクの見分け方
フィッシングメールは、見た目が公式のメールとそっくりなので、一見すると判別が難しいことがあります。しかし、次のポイントをチェックすることで、怪しいメールを見分けることができます:
- 送信元のアドレスに違和感がないか(例:公式に見えるが微妙に異なるドメイン名)
- 不自然な日本語や英語が使われていないか
- 怪しいリンクが含まれていないか(リンクをクリックせず、マウスオーバーでURLを確認)
たとえば、「あなたのアカウントが凍結されました。今すぐこちらをクリックしてください」といった内容のメールを受け取ることがあります。この場合、リンク先が公式サイトかどうかを確認し、心当たりがなければ絶対にクリックしないでください。公式サイトに直接アクセスして確認するのが安全です。
ネットワークセキュリティの基礎
公衆Wi-Fiの利用時の注意
カフェや駅などで無料の公衆Wi-Fiを使う際は注意が必要です。多くの公衆Wi-Fiは暗号化が施されていないため、通信内容が傍受される危険性があります。重要な情報(パスワードやクレジットカード情報など)を入力する場合は、利用を控えるか、別の安全な方法を選んでください。
VPNの利用の検討
VPN(仮想プライベートネットワーク)は、インターネット通信を暗号化し、第三者からの盗聴を防ぐためのツールです。特に公衆Wi-Fiを頻繁に利用する場合は、VPNサービスを導入することでセキュリティを大幅に向上させることができます。最近では、個人向けの手頃なVPNサービスも増えているので、検討してみてください。
まとめ
サイバー攻撃は私たちの日常に潜む脅威ですが、基本的な知識と対策を身につけることで多くのリスクを防ぐことができます。本記事で紹介した攻撃手法や対策を参考に、日々のデジタルライフをより安全に保つよう心がけてください。また、常に新しい情報を収集し、最新のセキュリティ対策を取り入れることを忘れないでください。
弊社Nucoでは、他にも様々なお役立ち記事を公開しています。よかったら、Organizationのページも覗いてみてください。
また、Nucoでは一緒に働く仲間も募集しています!興味をお持ちいただける方は、こちらまで。