サイバー攻撃の種類別事例と対策方法、効果的なセキュリティ対策ツール

サイバー攻撃による被害は、年々深刻さを増しています。これは、攻撃方法の巧みさだけではなく、「防御の難しさ」が原因とも考えられます。多層に構造化された現在の情報システムでは、攻撃を受ける場所や攻撃方法を踏まえた防御策を講じなければなりません。ここでは、サイバー攻撃の種類とインシデント例、有効な対策方法を紐づけながら解説します。

サイバー攻撃の種類と事故実例

サイバー攻撃は攻撃方法によって、「どの部分を」「どのように狙うか」が概ね決まっています。攻撃の結果（インシデント、被害）もさまざまです。これらを踏まえたうえで、適切なセキュリティ対策を施しておく必要があります。下記は、代表的なサイバー攻撃の種類と概要、効果的なセキュリティ対策をまとめたものです。

○ポートスキャン

概要

ポートスキャンとは、ネットワークに接続されているサーバに対し、外部から特定のデータを送信し、応答を調査することです。ポートスキャンによって、以下のような情報が取得できます。

• 解放されているポート番号
• 閉じているポート番号
• 解放されているポートを使用しているサービス（FTPやHTTPなど）
• サービスのバージョン情報

ポートスキャンは、その他の攻撃の「下準備」として行われることが多いです。「侵入や攻撃の糸口を探る手段」と考えても良いでしょう。最近では、PCやサーバだけではなくIoT機器が標的になることも珍しくありません。ネットワーク上で何らかのサービスを提供しているデバイスであれば、ポートスキャンの対象になり得るのです。

インシデント実例

・ポートスキャン強化型マルウェア「Mirai」
2016年末に、Linuxを搭載したデバイスを狙うマルウェア「Mirai」により、大規模な分散型攻撃（DDoS攻撃）が行われました。Miraiはポートスキャン機能を増強しており、Windows OSを踏み台にすることで攻撃範囲を拡大したと言われています。

効果のあるセキュリティツール

• FW（ファイアウォール）
• ネットワーク型IDS（NIDS）

想定される対策

• 発信元や通信内容を元に不正なアクセスを識別、遮断するよう設定する
• 外部公開ポートを可能な限り制限する
• スキャン対象となっているポート番号から、攻撃者の意図を予測する

○Web改ざん

概要

Web改竄は、不正な方法で企業や団体の公式サイト情報を改竄し、信用力を低下させる攻撃手法です。影響力の大きな大企業や官公庁が狙われやすいという特徴を持っています。2000年代には官公庁のWeb改竄事件が相次ぎ、一躍その名を世間に知らしめました。影響力の大きなWebページを改竄することで、閲覧したユーザが不正プログラムに感染するなど二次被害の影響も大きくなるのが特徴です。

インシデント実例

・トヨタ自動車Web改竄事件
2013年6月には、大手自動車企業であるトヨタ自動車において、第三者の不正アクセスによるWebサイト改竄が行われました。また、改竄後のページにアクセスすると、不正プログラムの自動実行が行われる状況になっていたとのこと。2次被害の拡大防止のため、一部Webサイトの公開停止を余儀なくされました。

効果のあるセキュリティツール

• Web改竄検知サービス
• 総合的セキュリティソフト

想定される対策

• 自社サイト、サービスに対してWeb改ざん検知サービスを導入し、検知したタイミングで早急に確認し、メンテナンス画面などへの切り替えを実施する
• Web改ざん検知サービスが提供する解析レポートを参照し、改竄前ファイル、データからの復旧と再チェック
• 改ざんされる原因としてはWebアプリケーションやOSの脆弱性が多いため、常にアプリケーションやOSを最新の状態にする
• Webサーバに総合的なセキュリティ対策ソフトを導入し、脆弱性や不審な通信に備える

○SQLインジェクション

概要

SQLインジェクションは、特定のアプリケーションに対し、不正なSQL文を発行してデータベースを操作する攻撃です。主にWebサーバの脆弱性を突かれて発生します。データベースを狙うため、大規模な顧客情報の流出や盗難を招く可能性もあり、顧客への賠償（経済的なダメージ）だけではなく、信用力の低下（社会的地位の低下）にも繋がりやすいという特徴があります。

インシデント実例

・通販事業者からの顧客情報流出
2016年12月、日販アイ・ピー・エス社が運営するWebサーバがSQLインジェクションによって攻撃され、海外在住者向け通販サイトから13万件超の顧客情報が流出しました。流出した情報の中には暗号化されていないログインパスワードや口座情報などが含まれており、2次被害の拡大が懸念されました。

効果のあるセキュリティツール

• WAF（Webアプリケーションファイヤーウォール）

想定される対策

• 開発時にエスケープ処理（不正なSQL文を送りつけることを無効化する処理）をしっかりと行う
• アプリケーション脆弱性診断を実施する
• WAFを使用して保護対象アプリケーション、不正な操作に対しての遮断を設定

○XSS（クロスサイトスクリプティング）

概要

SQLインジェクションと同じく、Webサーバ上のアプリケーションが持つ脆弱性を突いた攻撃です。外部からの特定のWebサイトに不正なスクリプトを設置し、そのサイトを閲覧したユーザがスクリプト情報を持ったまま他のサイトに移動することで、不正な処理が行われます。また、不正な処理の結果は、移動先のWebサイトではなく、閲覧したユーザ自信に返ってくることから、エンドユーザへの被害が拡大しやすいという特徴を持っています。XSSの影響を受けたユーザのPCはマルウェアの感染や情報の抜き取りにあうことが多く、大規模な顧客情報流出や個人情報流出に繋がるリスクがあります。

インシデント実例

・TwitterのXSS脆弱性騒動
2010年9月には、大手SNSであるTwitterでXSSに対する脆弱性が指摘されました。この事件では特定のツイート内に不正なスクリプト（ワーム）が仕込まれており、クリックによって自動リツイートや外部サイトへのリダイレクトが可能になっていたとのことです。結果的には、あるプログラマーが好奇心からワームを作成したと発表して鎮静化したものの、悪用されれば大規模なセキュリティ事故発展したことは容易に想像できます。

効果のあるセキュリティツール

• WAF（Webアプリケーションファイヤーウォール）

想定される対策

• 開発時に入力値の制限やエスケープ処理などをしっかりと行う
• アプリケーション脆弱性診断の実施
• XSSをブロックするルールをWAFに設定する

○DDoS攻撃

概要

外部から同時多発的にDoS攻撃を加え、サーバダウンを狙う攻撃手法です。大規模化しやすく、特定の企業・団体の問題ではなく社会問題に発展するケースもあります。また、外部からDDoS攻撃の被害にあうだけでなく、自社のコンピュータやIoT機器がマルウェアなどに感染することで乗っ取られ、DDoS攻撃の踏み台として利用されてしまうという危険性もあります。

インシデント実例

・ヨドバシカメラなど国内企業サイトがDDoS攻撃の被害に
2016年8月下旬、国内の企業メディアが次々にDDoS攻撃の標的になるという事件が起こりました。特に被害の大きかった国内大手家電販売チェーン「ヨドバシカメラ」では、ECサイトの一時閉鎖に追い込まれたとのこと。同事件は、外部のDNSサーバーを踏み台にした攻撃と見られています。

効果のあるセキュリティツール

• DDoS対策ソリューション
• DDoS対策付きWAF

想定される対策

• 上位ネットワークでのDDoS攻撃緩和ソリューションの利用
• DDoS対策付きのWAFの導入

○ブルートフォースアタック

概要

ツールを利用し、総当たり形式でID・パスワードを入力し、不正アクセスを目指す攻撃手法です。古典的かつ内容がシンプルであるがゆえに、対策自体は容易でしょう。また、セキュリティツール以外の対策（パスワードの文字数増加、2段階認証、ワンタイムパスワード）などでも対策しやすいという特徴を持っています。その反面、セキュリティ意識の低さが思わぬ被害につながるリスクもあるわけです。

インシデント実例

・スコットランド議会へのサイバー攻撃
2017年8月、スコットランド議会に対して、管理者権限を狙ったブルートフォースアタックが行われたとの報道がありました。情報流出は発生しなかったものの、公的機関・団体へのブルートフォースアタックは珍しいことではないとのことです。

効果のあるセキュリティツール

• WAF（Webアプリケーションファイヤーウォール）

想定される対策

• 同一IPから一定数以上のリクエストに対し、特定の認証処理（CAPTCHA認証）などを求めるよう設定する
• ログイン試行回数やパスワード試行回数に制限を設ける
• 大小英字＋数字＋特殊文字の組み合わせで8文字以上、など強度の高いパスワードを指定する
• 管理ページへのアクセス制限を設定する（IPレベルやアカウントレベルなど）

○ゼロデイ攻撃

概要

OSやミドルウェア、アプリケーションの脆弱性発覚から、パッチ適用までの期間を狙った攻撃です。脆弱性発見から報告までのタイムラグが長いほど、被害が拡大しやすい傾向にあります。また、脆弱性発見から対策の実施までの期間はどうしても無防備になってしまうため、対策が非常に難しいことで知られています。

インシデント実例

・「シェルショック」事件
2014年9月、Linuxなど一部のOSで頻繁に使用されるログインシェル「Bash」に脆弱性が発見されました。この脆弱性を突くことで、 Linux系OSが稼働しているサーバの不正操作が可能だったとのこと。Bashのようにメジャーなオープンソースソフトウェアは、世界中のあらゆるシステムで使用されているため、早期に新バージョンへの移行が促されました。

効果のあるセキュリティツール

• IPS（不正侵入防止システム）
• IDS（不正侵入検知システム）
• WAF（Webアプリケーションファイヤーウォール）

想定される対策

• IPSやIDSを使用し、FWを透過する通信内容を監視し、必要に応じて通知・遮断するよう設定する
• アプリケーション脆弱性診断の実施
• WAFを使用して保護対象を設定
• 最新セキュリティパッチ情報のチェックを義務付ける

まとめ

本稿では、サイバー攻撃の種類と事故実例、有効な対策を紹介してきました。今やサイバー攻撃は、企業の信用力、収益力低下を引き起こす重大なリスクファクターです。複数の攻撃手段を組み合わせて行われることも多いため、的確かつ網羅的に対策を施すべきでしょう。予算やリソースを確保できない場合は、セキュリティ対策も合わせて提供可能なクラウドサービスの活用も検討してみてください。