GATE02のロゴ企業のICT環境や情シスの課題・お悩みを解決するメディア
  1. トップ
  2. バトルコンテンツ
  3. 敵を知り己を知れば、情報セキュリティ危うからず!知っておくべきサイバー攻撃の種類をICT SOLUTION!
Episode72019.01.10

敵を知り己を知れば、情報セキュリティ危うからず!知っておくべきサイバー攻撃の種類をICT SOLUTION!

著者:情シスマン
image

前回、企業に甚大な被害をもたらしかねないサイバー攻撃に対して最低限やっておくべきセキュリティ対策を紹介した。基本的にセキュリティ対策は、サイバー攻撃の手口に沿って考えられている。そのため、セキュリティ対策の必要性をきちんと理解するには、さまざまなサイバー攻撃の手口を具体的に知っていることが大切だ。しかし、ただ「パスワードは長く複雑なものにする」「OSのアップデートをかける」など言われても、なぜそうした方が良いのか…?よくわからないまま義務感だけで対策をしていないだろうか。そんなセキュリティ義務対策に躍起になっている情シスがここにもひとり─────

image

ちょっと、にのまえくん!
セキュリティ対策しろとは言ったけどさぁ…
手間とコストがかかってない?
本当にコレ、必要なの?

image

(まったく…忙しいときに限ってやってくるんだから…)
えーっと、必要です!!

image

………なんで?

image

なんでって…そりゃあ…!
………えっと…なんでだろ?

image

そんなんじゃ困るよー!ちゃんとやっておいてくれ!
頼んだぞ!

image

パスワードと共有アカウントの見直しだけでも面倒なのに…
あぁーーー!もう面倒くさーーーい!
(パタリ…zZZZZ)

image

目をつむって3秒で眠るとは…
…これはセキュリティ対策の重要性がちゃんとわかってないな…

──── しばらくして ────

image

…ハッ!いつの間にか居眠りを…
あ!どうも、情シスマンさん!
ちゃ、ちゃーーんとやってますよ、
セキュリティ対策!ハハハ!

image

「どうも」じゃない!
ちゃんと、という割には部長にきちんと説明できなかったようだが?

image

ぐっ…!そ、それはその…(もにょもにょ)
セキュリティ対策が大切なのはわかりますよ?
でも、現実味がないんですもん!
実際どんなふうに来るのかわからないし…

image

では、実際に攻撃してあげようじゃないか!
ククククッ…!

image

え?どちらさま?はじめましてですよね…?
(キョロキョロ)

image

ま っ た く “ は じ め ま し て ” じ ゃ な い か ら な !
キミが巻き込まれているトラブルの8割はコイツが原因なんだぞ…!
気を付けろ…!何か来るぞ!

攻撃事例1:標的型攻撃メール

image

ククククッ…!さーて、まずは前回のおさらいだよ!
はじめくん!
あいつの会社の取引先リストから目星をつけた企業を装って…
いつもお世話になっておりまーす!送信っ!

image

お、取引先からのメールだ!知らない担当者名だけど…
提供している業務ツールについてのお問い合わせ?
今度、会議を開きたいから添付ファイルで詳細をご覧ください…?
はて?

image

同じ轍は踏むなよ!にのまえはじめ!
これは…!

image

「標的型攻撃メール」ですね!

image

そうだ!
特定の個人や組織にターゲットを絞って、 開封せざるを得ない業務取引を装った内容で メールを送ってくるのが特徴だ。 そして、受信者が悪意のある添付ファイルやURLを 開くことによってマルウェア感染などを引き起こす

image

よく見ると差出人のメールアドレスがフリーアドレスだ!
メールの文章も日本語がおかしいかも…翻訳した文章っぽいし…
お問い合わせとして変なURLが記載されてますね

image

この攻撃の多くは、企業の機密情報や個人情報を盗み出すのが目的だ。 ニセの案内フォームに誘導して入力したIDとパスワードを盗んだり、 添付ファイルをクリックさせて企業のPCやサーバーにマルウェアを仕掛けたりする。 感染に気づかないまま、バックドアを仕掛けられていた事例もある。

image

え、バックドアってサーバーとかに裏口をつけられちゃうヤツですよね…! 知らないうちに機密情報や個人情報が流出していたら…
想像しただけでコワッ!

image

実際に2016年、大手旅行会社で従業員が標的型攻撃メールで ウイルスに感染した事件があった。 調査の結果、個人情報が流出した可能性が示唆され、 パスポート番号や国籍など機微な情報も 取り扱っていただけに報道される事態になってしまったんだ

攻撃事例2:ランサムウェア

image

んー…
さすがにもうはじめくんは標的型攻撃メールには引っかかってくれないかぁ 寂しいなぁ…だ・け・ど、まだ狙い目のヤツがもうひとりいるんだナ! コイツの情報を人質にとってやろう!
泣きわめけぇ!

image

あぁ、いたいた!にのまえくん!

image

部長…どうしました?僕、忙しいんですけど…

image

さっき送られてきた取引先からのメールを開いたら
いきなりパソコンがロックされたんだよ!
どうにかしてくれ!頼んだぞ!

image

さっきのメールってまさか…!
開きやがってぇぇ!
げげっ!?なんだ、この画面…
デスクトップのファイルが暗号化されてる!
解除するには金を振り込め…って、ええええ!!ナニコレ!?

image

これはランサムウェアだ!
ランサムウェアにはいくつか種類があるが…
これは「WannaCry」

image

Windows OSの脆弱性を利用した攻撃なんですね…
そのあとも別の脆弱性を突いて 世界各国で感染が拡大した有名なランサムウェアなのか …まさにひとり情シスに対する追い打ち…
泣きたくなる

image

ランサムウェアに感染してしまった場合、 ウイルス対策ソフトの駆除機能やセキュリティベンダーの専用 ツールを使って復旧を試みるしかない…が、 ダメだった場合は初期化しなければならなくなる。 情報を人質にとられる怖いサイバー攻撃だ

image
Episode9はこちら
クラウドバックアップとは?メリット・デメリットやおすすめサービスについて解説。データ保管をICT Solution!
関連記事を見る

攻撃事例3:SQLインジェクション

image

はじめくんの会社、最近新しいECサイトをオープンしたらしいナ!
ククククッ…!
今度はこっちから!
このSQLコマンド※を送信!
このコマンドで顧客情報のデータベースを覗いてやる!

※SQLとはデータベース言語のひとつ。決まった構文(コマンド)を送ることで、データベースからデータを引き出すことができる

image

今度はなんだ…?
うちが販売している業務ツールサービスの申し込みに変なアクセスが来てるぞ…!

image

データベースを操作するコマンドをECなどのWebサイトに意図的に送信して、データベースから不正に顧客情報などを引き出す
「SQLインジェクション」という攻撃手法だ!

image

えぇぇぇ!
そんなことできちゃうんですか!?

image

何もセキュリティ対策をしていなければ、 悪意のあるコマンドをそのまま実行されてしまう。 過去にクレジットカード情報を保有しているサイトが狙われ、 約11万件のカード情報を流出させた事件もこの攻撃によるものだ

image

そんなことになったら、うちのサービスブランドの信用が吹っ飛ぶじゃないですか…お客さんも離れていってしまうし…
何より侵入されちゃったらWebサイトの改ざんもあり得るってことですよね!?

image

そうなるな…
復旧には予想以上にコストがかかったという報告も聞く
地味な攻撃だが被害報告は意外と多く、
深刻な損害を与えてくるサイバー攻撃だ

image
Episode8はこちら
Webサイト改ざんの手口や対処法とは?加害者にならないための対策をICT SOLUTION!
関連記事を見る

攻撃事例4:DoS攻撃・DDoS攻撃

image

ククククッ…!
良い感じに仕上がってきたゾ…!
この混乱に乗じてさらに攻撃!
大量のアクセスを送りつけてやる!!

image

情シスマンさん、冷静に解説してるところ悪いんですけど…
また謎のアクセスが大量に来てます…!
このままじゃWebサイトがダウンしちゃう!

image

それはDoS・DDoS攻撃だな!
DoS攻撃はターゲットのサイトやサーバーに 大量のデータを送って負荷をかけ、ダウンさせるものだ。 一方DDoS攻撃は、マルウェアを仕掛けたサーバーやパソコンを 乗っ取ってターゲットにDoS攻撃を仕掛ける攻撃だ。

image

ネットワークの監視画面を見てるだけで怖い…
変な怨念を感じる(ゾクッ)

image

2016年、乗っ取られたIoT機器からアメリカDyn社のDNSサーバーが攻撃されて TwitterやNetflixといった有名サイトが軒並みダウンした事態がある。 これは大規模なDDoS攻撃で大変な騒ぎになった

image

サイトやサーバーがダウンしちゃったら
当然サービスも止まっちゃうし、
そのあいだの売上や利益の損失は痛いなぁ…
考えたくない…!

image

しっかりしろ!
DoS攻撃に紛れて別のサイバー攻撃が
仕掛けられることもあるから、
まだ油断できないぞ!

攻撃事例5:ゼロデイ攻撃

image

おーい!にのまえくん!
大変なことになったぞ!

image

なんですかぁ…ぶちょぉ…
本日の営業は終了してまぁす…

image

何言ってんだ!しっかりしろ!
まだ就業時間終わってない!
我が社が利用している業務ソフトに脆弱性が見つかったみたいなんだよ!
さっき開発会社からメールでお知らせが来たから、あとはよろしくな!

image

げげぇーーっ!

image

ククククッ…!
DoS攻撃に気を取られたスキに切り札を発動してやる!
このソフトウェアのセキュリティホールをサーチ!
cmdメガネ&サージアシストグローブでゼロデイ攻撃を仕掛けてやる!

image

ゼロデイ攻撃…
まだソフトウェアやシステムの開発側がまだ認識できていないセキュリティホール(脆弱性)を ついた攻撃だ!
発生件数は少ないが、最も怖いサイバー攻撃だ

image

ククククッ…!
もう少しで攻撃成功できそうだ…!

image

情シスマンさん!
どうすればいいんですか!?
こんなことならセキュリティ対策を
きちんとやっておけば良かった!!

image

光ファイバーテイル!仮想空間を解除!

image

光ファイバーテイル

通常は光ファイバーを束ねたようなウィップ型ソード。ひと振りでネットワークにまつわるアレコレを解決できる。柄の先端にLANコネクタのような装飾がついており、スイッチのように押し込むとデータセンターとのコネクト、引き出すとLAN構築、天に向けるとクラウドを呼び出すことが可能。

おもむろに光ファイバーテイルをかざす情シスマン。
青い光に一瞬包まれたかと思うとすぐに消え、 にのまえが見慣れたいつものオフィスの光景が広がっていた。
今までのパニックはまるでなかったかのように穏やかなときが流れている。

image

…………えっ?

image

先日、Dr. プロトコルから攻撃予告が来てな キミをエサに仮想空間におびき寄せ、攻撃を受けるフリをしたんだよ 実際には攻撃を受けていないから、キミの会社は無事だ

image

…………えっ?えっ?

image

安心しろ、
Dr. プロトコルは仮想空間に閉じ込めてきた。
しばらくは出てこれないだろう
これでサイバー攻撃の怖さとセキュリティ対策の
重要性が理解できたようだな

image

えっ?えぇっ!?ちょっ!
待ってよ!うそでしょ!?

image

強い情シスが企業のセキュリティ対策も伸ばす!
また会おう!

image

くそ~!やられた…!

image

くそ~!やられた…!

解決

ICT SOLUTION !

サイバー攻撃とセキュリティ対策は、ともに日進月歩している。そのため、義務だけでやっているセキュリティ対策は形骸化しやすく、さまざまな脆弱性を見逃す恐れもある。とはいえ、サイバー攻撃とセキュリティ対策は多岐に渡る。下記のセキュリティマップをチェックして、どのような対策方法があるのか確認するといいだろう。また、基本的な対策に加えてサイバー攻撃の手口を理解し、従業員のセキュリティリテラシー向上と対策内容の改善をしていくことも忘れないでほしい。

body
TO BE CONTINUED…

本記事の著者

imageX

情シスマン

本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。

この記事に関連するお役立ち資料はこちら
image
情報システム・セキュリティ学びスタートアップガイド
情報システム業務は、たった1人で担当していたり、専門ではない方が兼務で担っている状況も多いはずです。そんな方々に情報セキュリティの基礎を知っていただくことで、少しでもお仕事がスムーズになるお手伝いができればという思いで資料を作成しました。 本資料では、「不正アクセスに関する対策」「不正出⾦トラブル対策」「ランサムウェアに対する対策」「リモートワークに対する準備」の4つのテーマでわかりやすくまとめています。
資料をダウンロードする
さらに理解を深めたい方にオススメの記事はこちら
この記事に関連するサービスはこちら
このページをシェアする
Xで共有Facebookで共有LINEで共有

サービスに関するお問い合わせはこちらから

法人向けインターネット回線やクラウドサービス、データセンターなど、ICTサービスを総合的に扱う USEN GATE 02 にご相談ください!
お電話でも受付中
0120-681-6170120-681-617
(平日 10:00~18:00)