投稿日:

サイバー攻撃とは?攻撃者の種類と目的、代表的な手法を解説

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバー攻撃とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報窃取やデータ改ざん、業務妨害などを行う行為です。多様な攻撃方法が存在しますが、「誰が」「なぜ」攻撃するのかを理解することで、より効果的なセキュリティ対策を考えることが可能です。この記事では、サイバー攻撃を行う5つの主体とその目的について詳しく解説します。それぞれの攻撃者の特徴を理解することで、効果的なセキュリティ対策のヒントが得られます。

コラム
「サイバー攻撃」「サイバーテロ」「サイバー保険」などにつく、”サイバー”という接頭辞はIT関連の言葉に用いられます。 由来はアメリカの数学者ノーバート・ウィーナーが提唱した「サイバネティクス(Cybernetics)」という学問にあります。

サイバー攻撃とは何か

サイバー攻撃(サイバーアタック)とは、コンピュータやネットワーク、Webアプリケーションの脆弱性を悪用し、情報の窃取、データの改ざん、業務の妨害などを行う行為を指します。
これらの攻撃は、個人や組織、国家など多様な主体によって行われ、その目的もさまざまです。サイバー攻撃の手法は年々高度化・巧妙化しており、被害を防ぐためには攻撃者の特徴や目的を理解することが重要です。

サイバー攻撃を行う5つの主な攻撃者

サイバー攻撃は誰が行うのでしょうか。いろいろな考え方や分け方がありますが、以下では、大きく5つに分けて解説します。

1.愉快犯や悪意のある個人

このグループに分類される攻撃主体の特徴は攻撃に継続性がないことです。「愉快犯」とは、「標的型攻撃とは?」で解説したとおり、趣味や知的好奇心、技術検証など、悪意の伴わない迷惑行為が特徴です。多くは個人の趣味や研究の延長として行われます。「悪意のある個人」とは、同僚のメールを盗み読む、有名人のTwitterアカウントを乗っ取るなど、明確な悪意をもったサイバー攻撃者を指します。「愉快犯」も「悪意を持った個人」も、個別の差はあるものの攻撃の継続性や技術力・資金力に限界があるといっていいでしょう。

2.ハクティビスト

「アクティビスト(社会活動家)」という言葉と「ハッカー」を合わせた言葉である「ハクティビスト」は、サイバー攻撃を通じて社会的・政治的メッセージを表明します。

3.産業スパイ

企業が保有する各種開発情報や未登録特許など、さまざまな知的財産を盗むためにサイバー産業スパイが世界で暗躍しています。新薬研究や航空エンジン設計など、莫大な開発費を要する産業領域で先んじることが主な目的です。企業を超えたより大きな組織の支援を受けている場合には、豊富な資金を背景とした高い技術力を持ち、継続的に攻撃を行うことがあります。

4.国家支援型組織(ステートスポンサード)

国家が金銭面で下支えをしている攻撃グループを指します。主にAPT(Advanced Persistent Threat:高度で持続的な脅威)攻撃を行い、諜報活動や破壊活動を行うことが特徴です。3.の産業スパイ活動を行うこともあります。

5.サイバー犯罪組織

個人情報やクレジットカード情報などを盗み、その情報をマネタイズすることで資金を得るタイプの組織を指します。2018年のある調査では、世界全体でのサイバー犯罪による被害総額を約60兆円と見積もっています。一大「産業」となったサイバー犯罪には、多数の犯罪者が関わり、彼らは組織化・訓練され、高い技術力と豊富な資金力を持っています。「標的型攻撃」のほとんどは、国家支援型組織とサイバー犯罪組織によって行われていると考えられています。

ただし、たとえば愉快犯的なハクティビスト、知財窃取を受託する犯罪組織なども存在し、以上5つの主体は必ずしも明確に分けられるものではありません。

サイバー攻撃の主な目的

サイバー攻撃が行われる目的は、以下のように5つにまとめることができます。

1.知的好奇心や技術検証

愉快犯が行うサイバー攻撃は、知的好奇心を満足させる、技術や理論の検証を行う等の目的で行われます。

2.金銭的利益

産業スパイや犯罪組織が行うサイバー攻撃は金銭を目的に行われます。彼らの活動も我々と同じく、経済合理性に基づいています。

3.政治・社会的メッセージの発信

2010年、暴露サイトとして有名なウィキリークスの寄付受付の決済手段を提供していた決済サービス会社が、政治的判断でウィキリークスへのサービス提供を取り止めた際、決済サービス会社に対して、「アノニマス」と呼ばれるハクティビスト集団がDDoS攻撃を仕掛けました。このように、ハクティビストは、彼らが理想と考える正義を社会に対してもたらすことを目的にサイバー攻撃を行います。

4.知的財産の窃取

産業スパイは、企業が保有するさまざまな営業秘密や開発情報、知的財産の窃取を目的にサイバー攻撃を行います。盗んだ知財をもとに事業活動等を行い、最終的に金銭的利益を得るわけです。なお、知財を目的としたサイバー攻撃は、一定期間、特定の産業を重点的に狙うなどの傾向があります。

5.諜報活動

いわゆる諜報活動のために個人情報(通信履歴や渡航履歴を含む)を収集するなどの活動もあります。敵対関係にあるターゲットを標的とした破壊活動のほか、ときに自国の産業保護を目的として産業スパイ活動が行われることもあります。

これらの目的は前項の5つの主体と同様、相互に関連し合い、はっきりと区分できるものではありません。攻撃者や手法によって異なるケースが存在します。たとえば、知的好奇心で始めた攻撃が金銭目的に転じることもあります。また、犯罪組織の中には、「病院を攻撃しない」と表明することで医療従事者へのリスペクトを社会的に発信するような組織も存在します。

サイバー攻撃対策には「攻撃者」と「目的」の理解がカギ

『サイバー攻撃』と検索すると、多種多様な攻撃手法が解説されています。例えば、自宅の窓が割られた場合、その石の種類よりも『誰が』『なぜ』投げたのかが気になるでしょう。サイバー攻撃も同様です。よく耳にするサイバー攻撃としては以下のようなものがあります。

APT攻撃 様々な攻撃手法を用いて、高度かつ継続的に侵入を試み、目的を達成するサイバー攻撃
サプライチェーン攻撃様々な攻撃手法を用いて、サプライチェーンの中の弱点を狙って、サプライチェーンの内部に侵入することを目的とする攻撃
最終的にAPT攻撃に発展することや、ランサムウェア攻撃に発展することも
ランサムウェアあらゆるサイバー攻撃手法を用いてデータを暗号化し、身代金を要求する攻撃
APT攻撃やサプライチェーン攻撃の目的としての破壊活動につながる可能性もある
ビジネスメール詐欺巧妙ななりすまし、メールアドレス乗っ取りなどを中心とした各種のサイバー攻撃
フィッシング攻撃偽のメールやサイトで個人情報を盗む攻撃
DDoS攻撃サーバーに大量のアクセスを送り、業務妨害する攻撃

表で解説!代表的なサイバー攻撃手法

最後に、代表的なサイバー攻撃手法を取り上げ、それぞれの攻撃でどのような手法が用いられ、どのような対象がターゲットになるのかを、表形式で見てみましょう。

具体的な攻撃手法の例 ターゲット
Webアプリケーションの
脆弱性を悪用する攻撃		・バッファオーバーフロー
・SQLインジェクション
・ディレクトリトラバーサル
・クロスサイトスクリプティング
 (XSS)
Webアプリケーション
不正アクセス・
不正ログイン		・Brute-Force攻撃
・パスワードリスト型攻撃
・パスワードスプレー攻撃
・内部不正
・有効なアカウントの
 窃取・売買・悪用		各種アプリケーションやシステム、ネットワーク
フィッシング・フィッシングメール
・スミッシング(フィッシングSMS)
・フィッシングサイト		・個人
・法人内個人
DoS攻撃・DDoS攻撃・フラッド攻撃
・脆弱性を利用した攻撃
・ボットネット悪用		・組織・企業
・国家
・社会・重要インフラ
・個人
のWebサービスなど
ゼロデイ攻撃修正プログラムが公開されていない
脆弱性に対する攻撃 		・組織・企業
・国家
DNS攻撃・DoS攻撃
・DNSキャッシュポイズニング
・カミンスキー攻撃
・DNSハイジャック
 (ドメイン名ハイジャック)		・企業・組織
・国家
・個人
のWebサービスなど
ソーシャル
エンジニアリング		・会話等によるクレデンシャル
 情報等の窃取		組織・企業内の個人

サイバー攻撃から組織を守るための対策

サイバー攻撃から自組織を守るためには以下のような対策例を実施することが求められます。

セキュリティポリシーの策定と徹底:組織全体でのセキュリティ意識を高め、明確なルールを設けることが重要です。
最新のセキュリティソフトの導入:ウイルス対策ソフトやファイアウォール、WAFなどを活用し、システムを防御します。
定期的なシステムのアップデート:OSやアプリケーションの脆弱性を修正するため、常に最新の状態を保ちます。
従業員へのセキュリティ教育:フィッシングメールの見分け方や、安全なパスワードの設定方法などを教育します。
アクセス権限の適切な管理:必要最小限の権限を付与し、情報漏洩のリスクを低減します。

ここで挙げられた攻撃手法のうち特に注意が必要なものは、SQAT.jpで随時解説記事を公開中です。今後も更新情報をご覧いただき、ぜひチェックいただければと思います。

・「Dos攻撃とは?DDos攻撃との違い、すぐにできる3つの基本的な対策
・「サイバー攻撃とは何か -サイバー攻撃への対策1-
・「フィッシングとは?巧妙化する手口とその対策
・「ランサムウェアとは何か-ランサムウェアあれこれ 1-
・「標的型攻撃とは?事例や見分け方、対策をわかりやすく解説

まとめ

・サイバー攻撃とは、Webアプリケーションの脆弱性などを悪用し、情報窃取や業務妨害を行う行為です
・効果的なセキュリティ対策には、攻撃の種類だけでなく、「誰が」「なぜ」攻撃するのかを理解することが重要です
・攻撃主体は「愉快犯」「ハクティビスト」「産業スパイ」「国家支援型組織」「サイバー犯罪組織」の5つに分類できます
・サイバー攻撃の目的はサイバー攻撃の目的は「趣味や知的好奇心」「金銭」「政治・社会的メッセージの発信」「知的財産」「諜報」の5つに整理できます

Webアプリケーション脆弱性診断バナー

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
投稿日:

ASM(Attack Surface Management)と脆弱性診断
― セキュリティ対策への活用法 ―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

今、インターネット上に公開されるIT資産がサイバー攻撃者に狙われ、被害が拡大しています。サイバー攻撃者は事前に偵察行為をし、攻撃の的を探し、特定します。特に、脆弱性が存在しているWebシステムやネットワーク機器などは攻撃者にとっても悪用しやすく、侵入するための入口となってしまいます。では、自組織が狙われないようにするために、私たちはどのような対策をとればよいのでしょうか?本記事では、ASM(Attack Surface Management)と脆弱性診断を併用した、それぞれの実施の活用方法について解説いたします。

アタックサーフェス(攻撃対象領域)とは

サイバー攻撃に対する防御について語られる際に出てくる言葉の1つに、「アタックサーフェス」があります。

アタックサーフェスは、直訳すると”攻撃面”となりますが、サイバーセキュリティの文脈では、「攻撃対象領域」といった意味合いで使用され、サイバー攻撃の対象となり得る様々なIT資産、攻撃のポイントや経路等を指します。

組織が事業活動を行う上で使用するIT資産には、ハードウェアもソフトウェアも含まれます。IT資産にサイバー攻撃の足掛かりとなる攻撃ポイント・経路が存在すると、サイバー攻撃者は容赦なくそこを狙ってきます。

【アサックサーフェスの例】

攻撃事例とアタックサーフェス

実際のサイバー攻撃やインシデントの事例とそのアタックサーフェスを確認してみましょう。

事 例 アタックサーフェス
2020年 国内上場企業のドメイン名を含むサブドメインテイクオーバー(使用が終了したドメイン名の乗っ取り)の被害事例が2020年7月までに100件以上発生*1 ドメイン管理の不備
2023年 2022年5月以降、特定のセキュア・アクセス・ゲートウェイ製品の脆弱性を狙ったものと見られる標的型サイバー攻撃が断続的に発生*2 ネットワーク機器の
既知の脆弱性
2023年 国内自動車メーカーの関連会社で保有する顧客約215万人分の車両等の情報が10年近く公開状態になっていたことが判明*3 クラウド設定の不備

拡大するアタックサーフェス

クラウド利用、DXの推進、テレワークの一般化……ITインフラ環境の柔軟性は高まる一方です。これに伴い、Webシステムやネットワーク機器といった外部との境界にあるアタックサーフェスは、拡大し続けています。つまり、外部にいるサイバー攻撃者が組織のシステムを侵害するチャンスが広がっていると考えられます。

サイバー攻撃者によるアタックサーフェスへのアプローチ

サイバー攻撃者が攻撃のため、最初に行う活動の典型が、「偵察」です。攻撃に利用可能な様々な情報を探索し、どの組織を標的とするか、どのような攻撃手法をとるか、といったことを定めるのに役立てます。

偵察活動で駆使される技術として、合法的に入手可能な公開情報を収集して調査・分析する手法—OSINT(「オシント」Open Source Intelligence:オープンソースインテリジェンス)が注目されています。

サイバー空間における脆弱性探索行為

前述のサイバー攻撃者による偵察活動が行われていることの裏付けとして、日本の各機関からも以下のような観測が定期的に報告されています。

【観測報告の例】

発表元 観測内容
国⽴研究開発法⼈
情報通信研究機構(NICT)		 2022年1~12月 調査⽬的と判定されるスキャンの数は12,752のIPアドレスから約2,871億パケットあり、これにサイバー攻撃のための偵察活動が含まれていると考えられる*4
JPCERT/CC 2022年10月~2023年6月 IoT機器を主な標的とするマルウェアMirai型パケットについて、海外および日本からの探索活動が継続して報告されている。探索元IPアドレスの一部について、動作している機種の特定に成功したことも*5
  2023年4~6月 Laravel(Webアプリケーションフレームワーク)の設定情報窃取を試みる通信を確認*6
警察庁 2023年1~6月 脆弱性のあるIoT機器の探索を目的としたものと見られるアクセスの増加を確認
  2023年1~6月 脆弱性のあるVPN機器の探索を目的としたものと見られるアクセスを断続的に確認

ASM(アタックサーフェスマネジメント)で自組織を守る

サイバー攻撃者の偵察行為で、自組織が攻撃対象として選定されないようにするにはどうすればよいでしょうか。

サイバー攻撃から⾃組織を守るために、インターネット上で意図せず公開してしまっているアタックサーフェスとなり得るIT資産を特定し、セキュリティ対策に活用する手法が、「ASM(Attack Surface Management:アタックサーフェスマネジメント)」です。

ASM導入ガイダンス

経済産業省は、ASMを「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しており、2023年5月29日に「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を発行しています。

企業のセキュリティ担当者や情報セキュリティを管掌する経営層(CIO、CISO等)に向けて、企業・組織に対してサイバー攻撃の起点となり得るIT資産を適切な方法で管理できるよう促すため、ASMの解説、ASMを実施するためのツールや必要なスキル、体制、留意点等がまとめられています。また、国内企業のASM取り組み事例も掲載されています。

ASMにより得られる効果

ASMにより以下のようなことが確認できます。

ASMのプロセス

ASMで具体的にどのようなことを実施するかというと、前述の経済産業省によるガイダンスでは、次のようなプロセスが紹介されています。「攻撃面」とは、「アタックサーフェス」のことです。

ASMのプロセス画像
出典:経済産業省「 ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(令和5年5⽉29⽇)P.8 図 2-1 ASM のプロセス

プロセス(1) 攻撃面の発見:

インターネットからアクセス可能なIT資産として、IPアドレスやホスト名を発見。

・組織名(法人名等)より、オフィシャルWebサイトや検索プロトコルであるWHOISを利用して当該組織のドメイン名を特定・ドメイン名を特定したら、DNS検索や専用ツールの使用によりIPアドレス・ホスト名の一覧を取得

プロセス(2) 攻撃面の情報収集:

前プロセスの結果より通常のインターネットアクセスで取得可能な方法でOS、ソフトウェア、ソフトウェアのバージョン、開放されているポート番号といったIT資産の情報を収集。

プロセス(3) 攻撃面のリスク評価

前プロセスで収集した情報を既知の脆弱性情報と突合せするなどして、脆弱性が存在する可能性を識別。

ASMのプロセスとしてはここまでですが、セキュリティ対策としては、ASMを実施して自組織のセキュリティリスクを把握した後の工程として、リスクの深刻度に応じた対応要否や優先度、具体的な対応内容等を決め、セキュリティリスクの低減に努める必要があります。

ASMと脆弱性診断の違い

さて、「IT資産の脆弱性検出やリスク評価を行う」となると、脆弱性診断と重なるイメージがあるのではないでしょうか。

ASMと脆弱性診断の関係性を表す、次のような図があります。脆弱性管理において、それぞれに役割があることが伺えます。

ASMと脆弱性診断の違い画像
出典:経済産業省「 ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(令和5年5⽉29⽇)P.11 図 2-2 ASM と脆弱性診断の違い

両者の違いをまとめると以下のようになります。いずれもセキュリティ対策における取り組みですが、非常にざっくりと、ASMは“管理対象でないものも含めて広く浅く”、脆弱性診断は“特定した対象に対して深く詳細に”という印象で捉えられるのではないでしょうか。

ASMと脆弱性診断の併用・使い分けを

脆弱性管理において、ASMと脆弱性診断のどちらかを行っていればOK、ということではありません。脆弱性診断では、自組織が特定したシステムや機器に対して脆弱性を洗い出しますが、脆弱性診断の対象となるということは、組織自身が当該IT資産を管理下にあるものと認識していることになります。一方、ASMでは、そもそも管理外であるにもかかわらず当該組織のIT資産としてインターネット上に公開されてしまっているもの、つまり気づかぬまま管理から漏れてしまっているものを発見することができます。

そのため、両者の特長を理解した上でその目的に応じて、例えば、ASMによって脆弱性が存在する可能性があると発見したら、対象となる機器やシステムに対して脆弱性診断を実施して脆弱性の特定を行う、といった両者の併用・使い分けが推奨されます。

ASM・脆弱性診断ともに有効な実施方法の検討を

ASMも脆弱性診断も、ただ実施すればよいというものではなく、効果的に、かつ継続して行うことが重要です。そのためにはノウハウやスキルが必要となります。

ASMや脆弱性診断を自組織で実施しようとなると、以下のような注意点が挙げられます。

例えば、自組織ではASMや脆弱性診断をどう活用したいか検討することの方に労力を割き、ASMや脆弱性診断の実施や結果の分析については、その活用目的に合致した対応が望める外部のセキュリティサービスを探して依頼するなど、定期的に見直しをすることが重要です。

日々進化していくITインフラ環境において便利になる反面、攻撃者にもそのチャンスが広がっています。攻撃者から自組織を守るためにも、ASMと脆弱性診断の実施を組み合わせることは有効な選択肢の1つといえるでしょう。

BBSecでは

BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。

アタックサーフェス調査サービス

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

詳細・お見積りについてのご相談は、お問い合わせフォームからお気軽にお問い合わせください。お問い合わせはこちら。後ほど、担当者よりご連絡いたします。

SQAT脆弱性診断サービス

システムに存在する脆弱性は、時として深刻な被害につながる看過できない脅威で、事業継続性に影響を与えかねません。BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。

ウェビナー開催のお知らせ

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像

BBsecコーポレートサイトへのリンクバナー画像

セキュリティ緊急対応のバナー画像

セキュリティトピックス動画申し込みページリンクへのバナー画像