不正行為を行う攻撃者
コンピューターシステムやネットワークに不正に侵入し、機密情報を盗み出したり、システムを破壊したり改変したりする行為をハッキング(Hacking)といいます。
ハッカー(hack)とは、もともとハッキングを行う技術者を指す言葉でしたが、コンピュータ犯罪の増加に伴い「セキュリティをかいくぐって他人のコンピュータに不正アクセスし、破壊工作など行う者」「サイバー攻撃を行う者」という悪い意味で使われるようになりました。
悪い意味のハッカーはクラッカーとも呼ばれます。これに対してサイバー攻撃から守る、いわば「正義のハッカー」をホワイトハッカーとよぶこともあります。
また攻撃者には、次のような名称で呼ばれる者もいます。
・スクリプトキディ:高度な知識や技術を持たずに、他の人が作ったスクリプトやプログラムを悪用して、興味本位で攻撃を行う人を指す俗称です。キディ(kiddie)は子供のことで、「他の人が作ったスクリプトだけの子供」を意味します。
・ボットハーダー:ボットネットを操る人物のことです。ボットネットとは、マルウェアに感染したコンピューターやIoTデバイスなどのネットワークで、ボットハーダーはこれを悪用してサイバー攻撃を仕掛けたり、他の目的のために利用したりします。
攻撃者の目的など
不正のトライアングル
不正のトライアングルとは、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論です。 不正は、(1)不正を可能とする「機会」、(2)不正を働かせる「動機・プレッシャー」、(3)不正を働いても仕方ないとする「正当化」の3つの要因が全てそろった時に発生するとされています。
攻撃者の目的
攻撃者の目的の多くは「金銭の奪取」ですが、中には「単に誰かを困らせて喜ぶ愉快犯」や「特定の企業や個人に恨みをもって嫌がらせをする者」などもいます。また、次のように政治目的に達成を動機とするものもあります。
①ハクティビズム
政治的な目的や社会的な主張を達成するために、ハッキング行為を利用する活動のことです。ハッカーとアクティビスト(活動家)を組み合わせた言葉で、ハクティビストと呼ばれる人々が、政府や企業などの組織を標的に、情報漏洩、ウェブサイトの改ざん、DDoS攻撃などの手段で抗議活動を行います。
②サイバーテロ
インターネットやネットワークシステムを利用して行われるテロ行為のことです。具体的には、重要インフラの基幹システムを攻撃し、データの破壊や改ざん、システムの機能停止などを引き起こすことで、社会に混乱や損害を与える行為を指します。
※ ダークウェブ
ダークウェブとは、通常の検索エンジンではアクセスできない、インターネットの深層部分のことです。特別なブラウザやツールを使い、匿名でアクセスできる領域で、違法行為や犯罪に使われることもあります。匿名ツールであるTorを用いないとアクセスできないWebサイトなどが該当します。
非技術的な行為
ソーシャル・エンジニアリング
ソーシャル・エンジニアリングを直訳すると「社会工学」になりますが,セキュリティの世界では詐欺の手口で不正に情報を入手する手法を指します。
攻撃者がターゲットの機密情報を入手する場合,「ネットワークやコンピュータを利用して,難しい技術を駆使しなければならない」という制約はありません。彼らは目的の情報が入手できれば,手段は何でもいいのです。どんなに優れたセキュリティ技術であっても,それを利用するのは人間ですし,管理するのも人間です。そこで攻撃者は,技術に頼らずに,人間の心理あるいは行動における盲点やミスを突いて,不正に機密情報を入手することを考えます。「詐欺の手口を応用して不正に情報を入手」とすると考えればよいでしょう。これらの手口を総称して,ソーシャル・エンジニアリングと呼びます。
| 事例1:オフィス・ビルの清掃員となり,合法的に制限区画内に侵入して廃棄書類(ごみ)の中から情報を入手する |
ごみの中から情報をあさる手法は「トラッシング(Trashing)」あるいは「スキャベジング(Scavenging)」と呼ばれます。ごみに対する危機意識の低さを狙った方法です。
| 事例2:ユーザー名とパスワードを入力しているところを,後ろから覗き見して情報を得る |
ディスプレイに向かっているときに,周りに注意が行きにくいことを利用した手法です。あまりにも単純な手口ですが,成功すれば労せずにパスワードを入手することができます。この手法は「ショルダーハッキング」と呼ばれます。
| 事例3:電話などで(他部署の)上司になりすまして「すまないが,○○へのアクセス・パスワードを忘れてしまった。今すぐ必要なので教えてほしい」などと威圧的に接することでパスワードを入手する |
一般的な会社組織において,「部下は上司の命令を遂行しようとする意識を持っている」という点を利用した手法です。もちろん,実際の自分の上司は顔も声もわかっていますから,電話を利用して顔が見えない状況を作り,しかも本人確認がすぐにできないような他部署の上司になりすますことで成功率を高めます。
フィッシング
銀行やクレジットカード会社、ショッピングサイトなどの有名企業を装ったメールを送付し、個人情報を不正に搾取する行為。メール本文内のハイパーリンクをクリックさせることで、本物そっくりな偽のWebサイトに誘導し、設置してある入力フォームに入力した情報などの個人情報を不正に収集するインターネットを用いた詐欺の一種。
サービス運用の妨害など
DoS攻撃
DoS攻撃(Denial of Services attack)」とは、対象のサイトやサーバーへ大量のデータや不正なデータを送り、システムが正常に作動しない状態にする攻撃です。
攻撃を受けたサイト・サーバーは、多くのリソースを攻撃の対処へ割くことになり、やがてシステムダウンしてしまいます。
DDoS攻撃
DDoS攻撃(Distributed Denial of Service Attack)は、複数のコンピュータから同時に大量のリクエストを標的のサーバに送り付け、Webサイトやサービスを機能停止に追い込む悪意あるサイバー攻撃です。攻撃者(C&Cサーバ)の指示によってlコンピュータを不正に遠隔操作する不正プログラムであるボットに感染したコンピュータなどを用いられます。
DNSキャッシュポイズニング
DNSキャッシュポイズニングとは、DNSサーバーのキャッシュに偽の情報を送り込み、ユーザーを意図しない悪意のあるサイトに誘導する攻撃のことです。攻撃者は、正規のWebサイトにアクセスしようとするユーザーを、偽のWebサイトやフィッシングサイトに誘導し、個人情報や認証情報を盗み取ろうとします。
ゼロデイ攻撃
ゼロデイ (0-day)攻撃 とは、ソフトウェアやシステムに見つかったセキュリティ上の脆弱性 (バグ) のうち、まだ広く知られておらず、開発者やベンダーが修正パッチをリリースする前のものを指します。この脆弱性を利用した攻撃をゼロデイ攻撃と呼びます。
中間者攻撃(Man-in-the-Middle攻撃)
中間者攻撃とは、悪意のある第三者が二者同士の通信へ不正に割り込み、通信データの盗聴や改ざんを行うサイバー攻撃を指します。攻撃者が送受信者に巧妙になりすましを行う上、攻撃から実被害までの期間が長期であることから、被害に遭ったことに気づくのが難しい、という特徴があります。
SEOポイズニング
SEOポイズニングとは、検索エンジンのランキングシステムを悪用し、不正なWebサイトを検索結果の上位に表示させるサイバー攻撃の手法です。攻撃者は、正規のサイトと見せかけてマルウェアを仕込んだサイトや、フィッシングサイトに誘導し、個人情報や金銭を窃取しようとします。
MITB攻撃
MITB攻撃(Man In The Browser攻撃)とは、ユーザーのWebブラウザとWebサイトの間で攻撃者が介入し、通信内容を盗聴・改ざんするサイバー攻撃です。マルウェアに感染したブラウザを介して行われるため、正規のWebサイトにアクセスしていても被害に遭う可能性があります。
クリプトジャッキング
クリプトジャッキングとは、標的の端末を不正にジャックし、ビットコインなどの暗号通貨(仮想通貨)をマイニング(採掘)する、悪意ある行為です。
サーバへの不正侵入
①前調査
まずは事前調査によって侵入の糸口を見つけます。主な手法としては以下の様なものが挙げられます。
フットプリンティング
攻撃者がサイバー攻撃を行うにあたって事前に行う情報収集の事です。
ポートスキャン
不正アクセスを行う前に接続先のポート番号が空いているかどうかを調べる行為です。
②権限奪取
権限奪取とは利用者IDやパスワードを不正に入手し、アクセス権を奪取することです。具体的な方法は以下の様なものがあります。
ウォードライビング
無防備な無線LANの機器を自動車等で移動しながら探し回る行為をウォードライビングと呼びます。
スニッフィング
ネットワークを流れる通信データを監視・記録する盗聴行為をスニッフィングと呼びます。
③不正実行
管理者権限を取得したら、盗聴、改ざん、なりすまし、不正プログラム埋め込、み不正利用、踏み台などの不正を実行します。
④後処理
侵入後には侵入形跡(ログ)を消去したり、裏口(バックドア)を設置したりします。
※ 不正侵入する攻撃者は、自身の痕跡を隠蔽したり次回の侵入を容易にしたりするため、様々なツールを使います、それらをまとめてパッケージ化したものをrootkit(ルートキット)といいます。
Webアプリケーションへの攻撃
昨今ではWebアプリケーション技術が多く使われています。Webアプリケーションを利用した攻撃手法には、次のようなものがあります。
セッションハイジャック
Webアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッションID管理を行っているものがあります。
このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDが不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。
主な被害として、攻撃者が利用者本人に許可されている操作を不正に行うことにより、利用者のみが利用可能なサービスが悪用される、利用者のみ閲覧と編集ができるサーバ内ファイルの改ざん、削除などが行われることがあげられます。
ディレクトリトラバーサル
Webアプリケーションの中には、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。
本来はアクセスできないはずのファイルに不正に直接アクセスする攻撃手法です。その場合、攻撃者によって非公開のサーバ内ファイルが閲覧されたり、設定ファイルやデータファイル、プログラムの改ざん、削除が行われてしまう可能性があります。
SQLインジェクション
データベースを操作するデータの操作や定義を行うためのSQL(データベース言語)を攻撃対象のウェブサイトに「注入する(インジェクション)」ことをSQLインジェクションと呼びます。
例えば、セキュリティ対策が不十分なウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあり、攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を実行すると、そのSQL文の内容が実行されてしまいます。
その結果、本来は隠されているはずのデータ(個人情報等の非公開情報)が奪われてしまったり、データやウェブサイト自体が改ざんされてしまうといった被害が発生します。
対策としては、入力データに含まれる文字が特殊文字として解釈されないようにするバインド機構を施します。
クロスサイトリクエストフォージェリ(CSRF)
利用者からのリクエストについて、その利用者が意図したリクエストであるかどうかを識別する仕組みを持たないウェブサイトは、外部サイトを経由した悪意のあるリクエストを受け入れてしまう場合があります。
このようなウェブサイトにログインした利用者は、悪意のある人が用意した罠により、利用者が予期しない処理を実行させられてしまう可能性があります。
それにより、ログイン後の利用者のみが利用可能なサービスの悪用、情報の改ざん、新規登録、閲覧などの被害を受けてしまいます。
クリックジャッキング
Webページの透過表示機能などを悪用して、攻撃サイト上に透明な標的サイトのコンテンツ(ボタン)などえを重ね合わせ、標的サイトに対してユーザの意図しないクリック操作を行わせる攻撃をいいます。
クロスサイトスクリプティング(XSS)
Webページへの出力処理に問題がある場合、そのウェブページにスクリプト(実行するための翻訳が不要なプログラム)を埋め込まれてしまいます。
クロスサイトスクリプティングの重要な点は、この攻撃の影響がウェブサイト自体に対してでなく、そのウェブサイトのページを閲覧している利用者にまでおよぶ点です。
本物サイト上に悪意ある罠ページが表示され、利用者に偽情報が流布されることよる混乱、フィッシング詐欺による重要情報の漏えいが発生するなどが考えられます。
クロスサイトスクリプティングを防ぐためには”<”や”>”といったHTMLの特殊文字をとして扱われるような文字を”<”や”>”のような文字にエスケープ処理するサニタイジング(洗浄)を施します。
※ Webビーコン:WebページやHTMLメールに埋め込まれた、非常に小さな画像のことです。ユーザーがページを閲覧したり、メールを開封したりすると、その情報がサーバーに送信され、アクセス解析に利用されます。
WAF
Webアプリケーションファイアウォール(Web Application Firewall)の略で、Webサイトをサイバー攻撃から保護するためのセキュリティ対策です。Webサーバーの前段に設置され、Webアプリケーションへのアクセスを監視・分析し、不正なアクセスをブロックします。
判断の方式には、以下の方式があります。
ホワイトリスト方式:あらかじめ定義された正当パターンに該当する通信を許可する方式です。
ブラックリスト方式:あらかじめ定義された不正パターンに該当する通信を検知・防御します。
※ フォールスポジティブ(偽陽性):正常なのに誤って異常と検知
フォールスネガティブ(偽陰性):フォールスポジティブの反対で、異常なのに誤って正常と検知
セキュアプログラミング
セキュアプログラミングとは、システムやアプリケーションを開発する際に、サイバー攻撃の対象となりうる脆弱性を意図的に排除し、セキュリティを考慮したプログラミングを行うことです。別の記事によると、これは単にコーディングの段階だけでなく、要件定義や設計段階からセキュリティを意識した開発プロセス全体を指します。
ファジング
ファジングとは、ソフトウェアやシステムの脆弱性やバグを発見するためのテスト手法の一つです。予測不能なデータ(ファズ)を大量に生成し、対象に送り込むことで、開発者が想定していないエラーや異常な動作を誘発させ、その挙動を監視することで、潜在的な問題点を見つけ出します。
サイバーキルチェーン
サイバーキルチェーンとは、サイバー攻撃の一連のプロセスを7つのステップに分けて体系化したフレームワークです。 サイバー攻撃による被害を最小限に抑えることを目的とし、どのような流れで攻撃活動が進んでいくのかを攻撃者の視点で理解することで、適切な対策を講じることができます。
①偵察(Reconnaissance)標的とする組織の情報収集
②武器化(Weaponization)悪用するためのプログラムの作成
③配送(Delivery)マルウェアなどを標的とする組織へ送り込む
④エクスプロイト(Exploitation)マルウェアを実行させる
⑤インストール(Installation)マルウェアに感染させる
⑥コマンド&コントロール(Command & Control)C&Cサーバによる遠隔操作
⑦目的の達成(Actions on Objectives)最終的な目的を達成するための攻撃活動を実行
レッドチーム演習
レッドチーム演習とは、組織のサイバーセキュリティ対策の有効性を検証・評価するために、攻撃者視点での模擬攻撃を行う訓練のことです。攻撃側(レッドチーム)と防御側(ブルーチーム)に分かれ、実際の攻撃を想定したシナリオで演習を行います。これにより、システムの脆弱性やセキュリティ体制の課題を洗い出し、対応能力を向上させることが目的です。
アクセス制御
アクセス制御とは、ファイルやフォルダへのアクセスを制限し、許可されたユーザーのみがアクセスできるようにする仕組みです。これにより、不正アクセスや情報漏洩を防ぎ、セキュリティを強化することができます。アクセス制御は、個人情報や機密情報などの重要なデータを保護するために不可欠な機能です。
電子透かし
電子透かしとは、画像や動画、音声などのデジタルコンテンツに、人間の目には見えない形で情報を埋め込む技術のことです。この技術は、著作権の保護や不正コピーの検知、コンテンツの追跡などに利用されます。
デジタルフォレンジックス
デジタルフォレンジックとは、コンピュータやスマートフォンなどのデジタル機器に残された証拠となる情報を収集・解析し、法的証拠として活用する技術や手法のことです。犯罪捜査や法的紛争、インシデント対応など、様々な場面で活用されています。
その他のセキュリティ
| DLP(Data Loss Prevention) | データだけに着目した情報漏洩対策です。ファイルをスキャンし、機密情報を自動的に特定し、ファイルの送信や出力といった社外に持ち出そうとする操作に対して、通知や操作の停止を行うことができます。 |
| SIEM(Security Information and Event Management) | ファイアウォールやプロキシなどから出力されるログを集約し、それらのデータで相関分析を行うことで、ネットワークの監視やマルウェア感染などのインシデントを検知しようとする製品です。これにより、サイバー攻撃や不正アクセスをすぐに検知し、セキュリティ監視の徹底を図ることができます。 |
| TPM (Trusted Platform Module) | コンピュータのセキュリティ機能を強化するためのハードウェアチップのことです。暗号化キーの保管、システム整合性の測定、認証などを行い、マルウェアや不正アクセスからデバイスを保護します。(耐タンパ性) |
| PCI DSS (Payment Card Industry Data Security Standard) | クレジットカード情報の不正使用や漏洩を防ぐために、国際的なクレジットカードブランド5社が共同で策定したセキュリティ基準です。 |
セキュリティバイデザイン
セキュリティ・バイ・デザイン(Security by Design/SBD)とは、システム開発の企画・設計段階からセキュリティ対策を組み込むという考え方です。従来の開発手法では、後からセキュリティ対策を施すことが多く、手戻りコストや機能追加の困難さなどの問題が生じることがありました。セキュリティ・バイ・デザインは、これらの問題を解決し、より安全なシステムを効率的に構築することを目的としています。
同様に、システムの企画・設計段階からプライバシー(個人情報保護)を確保する方策のことを、プライバシーデザインといいます。
参考
サラミ法:不正行為が発覚しない程度に少量ずつの金銭や物品を窃取する行為のことである。 サラミソーセージを丸ごと1本盗んだ場合にはすぐに発覚するが、たくさんあるサラミソーセージから少しずつスライスして合計1本分を盗んだ場合にはなかなか発覚しないことから名づけられた。
バッファオーバーフロー:格納用のメモリ領域を超える大きなデータを送りつけ、予期せぬ動作を引き起こさせたり、プログラムの制御を奪う攻撃手法。