今把握しておきたいサイバー攻撃の種類と詳細について

リスクマネジメント

代表的なサイバー攻撃としては、標的型攻撃やランサムウェア、フィッシング詐欺などが挙げられます。
また、サイバー攻撃の種類は、これら以外にも数多く存在し、中でも近年主流になりつつあるものについては、詳細を把握しておくべきです。
いくつかピックアップして解説しましょう。

Webスキミング

Webスキミングは、ECサイト上に不正なコードを挿入し、入力された決済情報を窃取するサイバー攻撃です。
元々、スキミングはクレジットカードに書き込まれている磁気ストライプを読み取り、同じ情報を持つ偽造カードを作成・不正利用する手法ですが、Webスキミングはこちらの手法をWebサイトで応用しています。
具体的には、ECサイトの管理画面等に総当たり攻撃を行い、IDやパスワードを推測したり、スキャンを行って改ざん可能な脆弱性を把握したりするところから始まります。
その後、窃取した情報をもとに不正ログイン、Webコンテンツの改ざんを行い、決済画面などにスキミング用の不正なコードを挿入し、入力された利用者の決済情報が攻撃者のサーバに送信されるようにするという仕組みです。
ECサイト運営企業は、Webスキミングの被害に遭わないために、ミドルウェアやプラットフォームを適宜アップデートして脆弱性を解消するとともに、認証の仕組みやセキュリティの設定などの見直しにより、ECサイトの堅牢化を図ることが望ましいです。

ディープフェイク

ディープフェイクは、本来機械学習アルゴリズムの1つである深層学習(ディープラーニング)を使用し、2つの画像や動画の一部を結合させ、元とは異なる動画を作成する技術を指しています。
現在、世間で言われているディープフェイクは、いわゆるフェイク動画や偽動画を指すことが多くなっています。
現実の映像や音声、画像の一部を加工して偽の情報を組みこみ、あたかも本物のように見せかけて相手を騙す方法として認識されつつあります。
また、サイバー攻撃としてのディープフェイクは、企業における代表者を装い、金銭に関する指示を行う際などに使用されます。

ラテラルフィッシング

ラテラルフィッシングは、有名な起業や社会的信頼度が高い組織で実際に利用されているメールアカウントのID、パスワードをフィッシングによって窃取し、乗っ取ったアカウントを悪用して、別組織へ攻撃を拡大していく攻撃手法です。
アカウント偽装(なりすまし)ではなく、利用者が存在する正規のアカウントから攻撃メールが送付されるため、従来のフィッシングメール対策ツールでは、検知することができません。
また、乗っ取られたアカウントは、他社に対するフィッシングメールの送付に悪用されるだけでなく、組織内への攻撃の足掛かりにもなります。
組織のメールサーバーにアクセスし、組織内の別の利用者へ攻撃を仕掛けるケースも多く、企業は強固なパスワードを設定したり、クラウド型サービスなどが提供する複数の認知方式を活用したりといった工夫が必要です。

クレデンシャルスタッフィング攻撃

クレデンシャルスタッフィング攻撃は、窃取されたアカウント資格情報でWebアプリケーションのサービスに大規模な自動ログイン要求を行うことで、ユーザーアカウントへの不正アクセスを試みる攻撃手法です。
アカウント資格情報は通常、ユーザー名やメールアドレスと対応するパスワードリストで構成されますが、こちらの攻撃はクレデンシャル(認証情報)を用い、スタッフィング(総当たり的に検証する)することからこう呼ばれています。
また、クレデンシャルスタッフィング攻撃において、攻撃者は各種サービスのアカウントに対して不正アクセスを行いますが、このとき総当たり攻撃やパスワードの推測は行わず、漏えいした大量の資格情報を用いて、自動化ツールなどこの種の攻撃のために特別に設計されたツールを使用します。

その他の注目すべきサイバー攻撃

上記の他でいうと、Linuxをターゲットにする攻撃は全般的に注意すべきだと言えます。
Linuxは最近まで、サイバー攻撃者にほとんど無視される存在でしたが、少しずつそうではなくなりつつあります。
Linuxは、多くのネットワークのバックエンドシステム、IoTデバイスやミッションクリティカルなアプリケーションのコンテナベースのソリューションで利用されているため、サイバー攻撃の標的になる機会も増えてきました。
また、多くの企業や組織は、Windowsを標的にした攻撃に対する防御には慣れていますが、Windowsと比較すると、Linuxの防御やマルウェア分析に慣れているとは言えません。
さらに厄介なことに、Linux環境には多くの場合に、SSH(Secure Socket Shell)の認証情報、証明書、アプリケーションのユーザー名、パスワードといった価値の高いデータが存在するため、積極的にセキュリティ対策を強化していく必要があります。

まとめ

ここまで、企業などの組織が今把握しておきたいサイバー攻撃の種類とその詳細を解説してきた。
前述したもの以外にも、OTシステムやエッジに対する攻撃など、近年問題視されつつあるサイバー攻撃は数多くあります。
もちろん、すべてを把握することは容易ではありませんが、1つでも多くの脅威に対応できるよう、情報セキュリティ体制については拡充させることが望まれます。