#はじめに
最近勉強していてふと、「あれ、ただ機能をつくるだけじゃなくてサイバー攻撃についても知識も学ばないと企業に大損害与えるエンジニアになってしまうのでは?」と不安になりました。今回は、世の中のサイバー攻撃についてまとめていきます
#サイバー攻撃の目的
そもそも、サイバー攻撃ってなんのためにやるんでしょうか?暇つぶし?利益の強奪?
理由については、様々ありますが主なものとして金銭の要求が挙げられます。例えば、不正アクセスで個人情報やクレジットカードの番号を盗み取ったり、あるいは盗んだ機密情報で金銭の要求をしたりする事例があります。他にも、不満を持つ企業や組織が運営するシステムにダメージを与えて、損害を発生させることを目的としたサイバー攻撃もあるみたいです。本当に厄介ですが、エンジニアたるものこうした悪とも戦わないといけません!
#サイバー攻撃の種類
それでは、実際にどんな攻撃があって、現実にどんなことが起きたのかみていきましょう
##マルウェア
マルウェアは、コンピュータやネットワークに被害を与えることを目的に作られた不正なソフトウェアの総称です。有名なもので言えば、トロイの木馬やランサムウェアといったものでしょうか??マルウェアは総称です。「病気の中の風邪」と同様の関係で「マルウェアの中のトロイの木馬」ですので注意です。
ちなみに、昨年大流行したエモテットもこのマルウェアに分類されます(注意喚起大変でした)
###トロイの木馬
アプリケーションやスクリーンセーバ、文書ファイルなど、害のなさそうなプログラムを装い、利用者にダウンロードさせることでコンピュータに侵入します。感染すると、不正な挙動をしまくるものです。
###ランサムウェア
「身代金要求型不正ウイルス」「身代金要求型不正プログラム」と呼ばれることもあります。コンピュータに不正に侵入して機能をロックする、データを暗号化するなどをした後、制限や暗号化を解除することと引き換えに身代金を要求します。
##SQLインジェクション
悪意のある第三者が、セキュリティの甘いWebサイトのフォームに、SQLの断片だと受け取られるコマンドを入力します。それにより不正な命令文を「インジェクション(注入)」するサイバー攻撃を、SQLインジェクションと呼びます。その結果、データベースの情報が漏えいしたり、改ざん・消去されたりする場合があります。
##パスワードリスト攻撃
ユーザID、パスワードを何らかの方法で入手し、そのユーザIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。たしか半沢直樹のドラマのシーンでパスワードをとにかく無造作に当てに行くプログラムで機密情報を〜〜〜みたいなシーンがありましたが、それもこのパスワードリスト攻撃ですね。このへんは、パスワードを特定されにくいようにする努力が必要ですね
##標的型攻撃
主に機密情報を入手することを目的に、特定の企業を狙うサイバー攻撃のことを標的型攻撃と言います。
##セッションハイジャック
Webアプリケーションは、Webサイトにアクセスした利用者を識別するため、個別にセッションIDという情報を付与しています。攻撃者がこのセッションIDを何らかの方法で入手したり推測したりして、利用者に代わってWebサイトに不正にアクセスすることを「セッションハイジャック」といいます。セッションハイジャックを受けると、個人情報やクレジットカードの情報を盗まれる恐れがあります。
##バッファオーバーフロー攻撃
コンピュータのメモリの容量以上のデータを不正に送りつけ、不具合を起こさせる攻撃のことです。
##DoS
攻撃者が、WebサイトやWeb上のサービスに対し、メールを大量に送信するなどの方法で過大な負荷をかけ、システムの動作や機能を停止させる攻撃です。ちなみに、私はこのサイバー攻撃を知ったのは、上司に怒られた先輩が「DoS攻撃くらったわ〜〜〜」と言っていてことがきっかけでした笑
##DDoS攻撃
標的のサイトやサービスに負荷をかけてサービスを妨害する点ではDoS攻撃と同じですが、DoS攻撃がひとつの端末から行われるのに対し、DDoS攻撃は、まず多数のコンピュータや機器に侵入し、それらの機器から一斉に攻撃が行われます。攻撃者を特定しづらく、攻撃の規模がより大きくなります。
#最近のサイバー攻撃の動向と傾向
新型コロナウイルスの流行により、急速にテレワークの実施が進みました。しかし、セキュリティー対策が万全ではない企業が多いです。サイバー犯罪者はこうしたセキュリティーの甘さの隙間を狙っています。また、今年はオリンピックやコロナといった話題に関してのフィッシングサイトに誘導するものも見られているそうです。
#未経験が生意気にエンジニアとしてできることは何か考えてみた
エンジニアであれば、もちろんサービスの作り手としてセキュリティー対策には万全を期すべきです。しかし、実際はプログラム上だけで防ぐことは難しいです。だが、エンジニアだからこそ持つセキュリティーの知識を社内外問わず発信することで、少なくとも周囲の人の意識を変えることはできます。「起きてからでは遅いよ」、そんな一言でも周囲の人間の意識は大きく変わると思います。私がエンジニアになった暁には、「今できること」をやっていき、完璧でなくていいから、少しでも自身や周囲のセキュリティーへの意識を高めることが非常に重要になるのではと考えます。
#おわりに
いかがでしたでしょうか。
今回はサイバー攻撃についてまとめてみました!未経験ながら生意気に語ってしまいましたが、きっと間違ってはないはず!皆様も個人パスワード見直しや日頃の管理体制を見直してみてはいかがでしょうか。