サイバー攻撃の種類や事例をわかりやすく!日本の被害件数と対策は?

シェアする

  • このエントリーをはてなブックマークに追加
  • 0

インターネットの普及から近年の社会においてはネットワークを活用しないサービスはないというくらいネットワーク依存になっています。
そのネットワークを悪用するかのようなサイバー攻撃(サイバーテロ)が近年では増加しております。
サイバー攻撃について知識が不十分な方も多いはずです。
攻撃の対象はニュースで目にするような企業や団体に限ったものではありません。
コンピューターウィルス等、個人のパソコンやスマートフォンも対象となる可能性もあります。
今までの被害事例や攻撃の種類具体的な対策等、企業単位または個人単位でも知っておくべき内容を解説していきたいと思います。

スポンサーリンク

サイバー攻撃の種類や事例をわかりやすく!

サイバー攻撃は主にサーバーやパソコン等ネットワークを対象に行われるテロリズムです。
攻撃の種類は大別して、

  • データの破壊
  • データの窃取
  • データの改ざん
  • コンピューターウィルスの感染

となりますが
さらに細分化すると下記にようになります。

①ブルートフォースアタック
暗号解読方法の一つでパスワード等が仕掛けられているシステムに対して可能な組み合わせをすべて試す方法です。
例えば4桁の暗証番号があった場合は0000~9999までの1万通りを試すというような
ある意味原始的な方法になります。そういったツールも普及しておりパスワード試行回数などの制約がない限りは確実に割り出すことが可能です。

これは地道に全ての暗証番号を入力していくという方法ですね。人間だと時間と労力が掛かり大変ですが、これをコンピュータで自動的に処理させることで暗証番号を見つけ出せば、時間もほとんど掛かりません。

②Dos攻撃/DDos攻撃
ウェブサービスに対してサーバやネットワークなどのリソースに意図的に過剰な負荷をかけたり脆弱性を突いたりすることでそのウェブサービスが一時閲覧できなくなったりサービスが停止するような攻撃です。
利用中のサイトがいきなり閲覧できなくなったりした、なんていう経験がある方は多いはず。
その場合はこういったDos攻撃を受けている可能性があります。

レンタルサーバを借りている人は障害報告によくこの事象が原因でサイトが繋がりにくくなっているとの報告を見たことがあると思います。サイト閲覧者側はサービスが利用できないだけであまり被害は受けませんが、サイトを運営している側はサービスが停止することになるので時には大きな被害になることがあります。

③SQLインジェクション
アプリケーションのセキュリティ上の不備を意図的に利用し、データベースシステムを不正に操作する攻撃方法のこと。
サイト改ざんや個人情報漏洩につながる脅威となる。
日本では2005年3月にクラブツーリズムのクレジットカード情報を含む個人情報漏洩が起こっておりその後数年にわたり多数の企業がこのSQLインジェクションにより個人情報漏洩の被害にあっています。

顧客などのデータはデータベースというところに格納管理されています。一般の人がサービスを利用する際は会員番号などを利用しますが、その番号が正しいかどうかデータベースと照合する必要があります。その際にカード番号が含まれているSQLという命令が発行されます。それを逆手に取った手法です。考えられる会員番号をSQLに含ませてインターネットからデータベースに照合して、顧客情報を盗むという手口です。現在は暗号化などの技術的な対策でSQLインジェクションで漏洩が起こらないような対策をどの企業も必ず行っています。

④クロスサイトスクリプティング
他人のウェブサイトへ悪意のあるスクリプトを埋め込む事。
掲示板があることが前提条件となります。その掲示板のフォームに悪意のあるスクリプトが埋め込まれそのサイトを閲覧したPCがスクリプトを実行してしまうのが一連の流れです。
そのスクリプトが実行されてしまうと、例えばクッキー情報の漏洩等が出てきます。
クッキー情報は主にログインしたIDやパスワード等が保存されている情報となりますので
漏洩してしまった結果、他人に乗っ取られる可能性があります。

ホームページを見た時に、自分のPCに悪意のあるプログラムを忍ばせ情報を盗む手口です。この被害にあわないようにするには、怪しいサイトの閲覧をしないこと、わけのわからないボタンを押さないことです。特に日本語以外の表記サイトでは気をつけて下さい。

⑤ルートキット攻撃(マルウェア)
複数の不正プログラムを合わせたパッケージのようなツール群でPCに侵入すること。
侵入してしまったら見つけ出すことが困難で、PCへの侵入口をふさいだとしても再侵入の手助けをするバックドアキー入力を記録するキーロガー等様々な被害が想定されます。
「トロイの木馬」が特に有名です。標的となる管理者権限を奪うことが最大の目的で
その先にはパスワード情報の窃取等が実行されてしまいます。

これもホームページを見た時に、自分のPCに浸入してきます。怪しいサイトの閲覧はしないことが被害に合わないになります。

今まで日本が受けたサイバー攻撃の被害は?件数は?

実は日本はサイバー攻撃の受ける頻度が非常に高く、世界第3位の標的となっています
年間被害件数は約400万人とされており10秒に1人の割合でサイバー攻撃の被害者となっています。

近年のサイバー攻撃の事例
2013年5月 yahoo!JAPANでサーバーハッキング被害 2200万件のID流出
2014年6月 SEGAのオンラインゲーム「ファンタシースターオンライン2」が攻撃を受け6日間にわたり利用不可な状態に
2014年12月 So-netメールアカウントで1万9000件の不正ログイン被害
2015年11月 厚生労働省のWEBサイトが攻撃を受け閲覧不能状態に。アノニマスが犯行声明を発表した
2016年1月 日産自動車のWEBサイトが攻撃を受けサービス停止 アノニマスが犯行声明を発表した
2016年2月 千葉県南房総市の観光情報サイト「南房総いいとこどり」が改ざんされマルウェアに感染する可能性があった
2016年3月 グリコオンラインショップ「グリコネットショップ」で不正アクセス 8万3194件の顧客情報流出

こうやって見ると、結構頻繁に起こってますね。特に企業や政府関係のサイトは社会的影響度が高いため、ターゲットにされてしまいます。

日本のサイバー攻撃に対する具体的な対策は?

2015年 内閣官房情報セキュリティセンターが発足
2017年4月 警視庁はサイバー攻撃対策センターを発足し、捜査員を海外に派遣して高度な技術を身に着ける研修を導入する。

  • 具体的な対策は各攻撃の方法を熟知し、それぞれ対策を立てること。
  • 例えばDos攻撃であれば特定IPのアクセスを制限すること。
  • メール感染の可能性があるような特定のメールは開かない。
  • 怪しいサイトは開かないという各個人がやっているようなことが必須となる。
  • ファイヤーウォール、ウイルスセキュリティソフトの導入が最もポピュラーではあるが、
    取り組むべきは侵入した場合の早期検知であること。

実際しっかりとしたセキュリティソフトの隙間を突いて侵入してくるケースが後を絶たない。

早期検知し、検知後迅速な対処ができるかが課題となる。

上記のように対策を掲げてますが、利便性を追求すれば、相反して必ずセキュリティが甘くなります。

近年はスマートフォンの普及で利便性が増しましたが、相反して個人情報が漏れやすくなりました。例えば、ベッキーの不倫問題の発覚はLINEからの流出でしたよね。こんな感じです。

昔からですが、いたちごっこみたいな感じで続いているのが現状です。

まとめ

世はまさにサイバー戦争時代と言ってもおかしくない状態です。
それぞれの攻撃方法をしっかりと把握し対策を立てること。
また、セキュリティソフトは必ず導入し、常に検知できる体制を整えることが重要と思います。
不正アクセスによる乗っ取りは最近は特に問題視されています。企業だけじゃなく個人も意識をして対策しておくことが必要不可欠です。
尚更、スマートフォンの普及に合わせてそれぞれ個人が知識をつけることが必須の時代かもしれません。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク