サイバー攻撃とは何か
サイバー攻撃とは、コンピュータ システム、ネットワーク、Webアプリケーション、APIなどのインフラストラクチャを標的として、データを破壊、盗用、または操作しようとする悪意のあるキャンペーンです。
サイバー攻撃とは、個人または組織が他の個人または組織の情報システムに侵入する意図的な行為であり、通常はデータの盗難や業務妨害、あるいは個人、組織、または国家に損害を与えることを目的としています。
サイバー攻撃のタイプ
攻撃者は、さまざまな高度なツールや技術を使用して、標的に対してサイバー攻撃を開始します。最も一般的なタイプのサイバー攻撃には次のようなものがあります。
1. マルウェア攻撃
マルウェアとは、コンピュータ システム、ネットワーク、またはデバイスへの侵入、損害、破壊、不正アクセスを目的として設計された悪意のあるソフトウェアを指します。マルウェアの多くは、メールや、メッセージ内のリンクをクリックすることで配信され、システムに感染してセキュリティを侵害するように設計されています。マルウェアの影響を緩和するには、あらゆるデバイスにウイルス対策ソフトウェアを必ずインストールし、不審なメールや添付ファイルを開くときに注意し、不審なWebサイトを避ける必要があります。一般的なマルウェアのタイプは次のとおりです。
- ウイルス:正当なソフトウェアやファイルに添付され、実行されると複製される悪意のあるコードです。
- ワーム:ユーザーの介入なしにネットワークやシステム全体に広がっていく自己複製型のマルウェアです。
- トロイの木馬:正当なソフトウェアを装ったマルウェアです。インストールされると、データを盗む、攻撃者にリモート アクセスを提供するなど、さまざまな悪意のあるアクションを実行します。
- スパイウェア:ユーザーの知らないうちに、または同意なしに、ユーザーの活動を監視し、資格情報やクレジット カード番号などの機密情報を収集します。
2. フィッシング攻撃
フィッシングとは、個人をだましてパスワード、クレジット カード番号、個人情報などの機密情報を提供させる、偽のメールやメッセージを使った攻撃です。これらの攻撃の多くは、不正なメール、Webサイト、またはメッセージの形を取り、正当な送り主から提供されたように見えますが、実際にはサイバー犯罪者が操作しています。この攻撃のより標的を絞った形をスピア フィッシングと呼びますが、その攻撃では情報の要求をより正当に見せるために、特定の個人または組織に合わせてメッセージが調整されます。フィッシング攻撃を防ぐには、一方的に送られてくるメール、特に個人情報や金融情報を要求するメールに注意し、決して不審なリンクをクリックせず、知らない送信者からの添付ファイルをダウンロードしないことです。
3. DDoS攻撃
分散型サービス拒否(DDoS)攻撃を受けると、システムが機能しなくなり、正当なユーザーが利用できなくなります。DDoS攻撃は、標的のリソースをトラフィックであふれさせ、操作不能になるまで負荷をかけることでインフラストラクチャを劣化させます。DDoS攻撃には、複数のソース、またはボットネットが利用されます。ボットネットとは、攻撃者の制御下にある、侵害されたコンピュータまたはデバイスのネットワークであり、攻撃者はこれら複数のソースを連動させて、標的に対して攻撃を開始します。単一のソースで行われる攻撃は、単にサービス拒否(DoS)攻撃と呼ばれます。
ボリューム攻撃(フラッド攻撃)はDDoS攻撃の一種で、レイヤ3、4、または7を標的とすることが多く、SYNフラッドはネットワーク ファイアウォールやその他の重要なネットワーク インフラストラクチャに過剰な負荷をかける非常に一般的な攻撃です。
DDoS攻撃を防ぐには、複数の防御策を組み合わせて、トラフィック フィルタリングやレート制限メカニズムを含む多層防御を構築する必要があります。これにより、悪意のあるネットワーク トラフィックをブロックし、DDoS攻撃を示す可能性のあるトラフィック パターンの異常を検出できます。クラウドベースのDDoS保護サービスを実装すると、DDoS攻撃を防御するための専用のスケーラブルな緩和機能を利用できます。これらのサービスを通じてトラフィックをリダイレクトすることで、組織は高度な緩和技術、リアルタイムの脅威インテリジェンス、専門プロバイダの専門知識の恩恵を受けることができます。
4. ランサムウェア攻撃
ランサムウェアは、システムのデータを暗号化するマルウェアの一種で、攻撃者はデータのロック解除や復号キーと引き換えに支払い(身代金)を要求します。ランサムウェア攻撃の多くは、ユーザーをだまして悪意のあるリンクやWebサイトをクリックさせる標的型スピア フィッシング キャンペーンから始まり、暗号化ソフトウェアが起動して被害者のデータへのアクセスがブロックされます。攻撃者は通常、被害者の画面に身代金を要求する文言を表示するか、復号キーを受け取るための身代金(多くの場合、暗号通貨)の支払方法を指示します。他のフィッシング攻撃と同様に、メールの添付ファイルやリンクに細心の注意を払うことが、マルウェア攻撃に対する最初の防御策です。ランサムウェア攻撃の影響を軽減するその他の対策として、プライマリ ネットワークに直接アクセスできないリモートの安全なシステムにデータをバックアップして、データの暗号化されていないコピーを利用できるようにすることが挙げられます。また、ネットワーク セグメンテーションも、感染の封じ込めと隔離に役立ち、暗号化マルウェアの拡散を抑えることができます。
5. ソーシャル エンジニアリング攻撃
ソーシャル エンジニアリング攻撃は、心理操作を利用して人をだまし、機密情報を提供させたり、セキュリティを侵害するような行動や決定をさせたりするものです。場合によっては、攻撃者は同僚や、上司、IT担当者などの信頼できる個人になりすまして、被害者に機密データを共有させたり、ユーザー名、パスワード、その他の認証資格情報を開示させたりします。攻撃者はこの情報を使用して、システム、アカウント、機密データに不正にアクセスすることができます。フィッシングとソーシャル エンジニアリングは、被害者を操るために組み合わせて使用されることが多く、フィッシング メールの後に信頼できる個人(銀行の行員やIT部門の担当者など)になりすました人物からの電話があるなど、かなり標的を絞った攻撃が行われる場合があります。ソーシャル エンジニアリング攻撃を防ぐ主な方法は、フィッシングやソーシャル エンジニアリングの手口についてユーザー教育を行い意識を高めることですが、MFAなどの強力な認証方法は、ソーシャル エンジニアリング攻撃の最終的な影響を軽減するのに役立ちます。
6. 内部脅威
内部脅威は、組織のシステム、データ、ネットワークにアクセスできる組織内の個人がもたらすセキュリティ リスクです。現行の従業員や元従業員、請負業者、パートナー、正当なアクセス権を持つあらゆる人が、こうした個人になり得る可能性があります。内部脅威には、意図的なものと意図的でないものがあり、妨害行為、データの盗難、データの誤った取り扱い、そしてフィッシング攻撃やソーシャル エンジニアリング攻撃の被害など、さまざまなタイプのサイバーセキュリティ インシデントを引き起こす可能性があります。内部脅威のリスクを防ぐには、内部脅威に気付くための従業員の意識向上とトレーニングが重要ですが、同様に、最小権限の原則などの強力なアクセス制御や、ユーザーIDを検証して不正アクセスから保護するための強力なユーザー認証方法も重要です。
7. Webアプリケーション攻撃
これらの攻撃は、脆弱性を悪用してセキュリティを侵害することを目的として、Webアプリケーション、Webサイト、Webサービスに対して行われます。アプリケーションのモダナイゼーションが進められ、その結果として従来のWebアプリケーションの多くがハイブリッド環境やマルチクラウド環境にわたるAPIベースのシステムに進化したことにより、脅威の対象領域が劇的に拡大しています。
セキュリティ チームは、以下を含む、WebアプリケーションとAPIのさまざまなリスクを考慮しなければなりません。
- 脆弱性の悪用:脆弱性とは、悪意のあるコードの実行など、犯罪者がセキュリティを侵害するための標的となり得るソフトウェアの弱点や欠陥です。これらは多くの場合、サポートされていないソフトウェアやパッチが適用されていないソフトウェア、ソフトウェアのバグ、設定ミスなどによって発生します。
- 自動化された脅威:人間ではなく、ボット、スクリプト、またはハッカーが使うツールキットによって実行される攻撃を指します。これらの脅威は、WebアプリケーションやAPIに内在する脆弱性を悪用し、セキュリティ侵害、データ盗難、アカウント乗っ取り、不正行為、その他の有害な結果につながる可能性があります。
- ビジネス ロジックの悪用:攻撃者が、その多くは自動化を使用して、悪意のある目的を達成するためにWebアプリケーションの予期される動作を行うことで、このリスクが発生します。これにより、アプリケーションのワークフローを操作して制限されたエリアにアクセスする可能性や、不正なトランザクションを実行して機密データにアクセスする可能性があります。
- 認証/認可制御の回避:アクセス制御と認可が十分に実施されず、攻撃者が未認可の機能やデータにアクセスできる場合に、このリスクが発生します。
- クライアント側の攻撃:Webブラウザやインストールされているアプリケーションなど、ユーザーのデバイス内のソフトウェアやコンポーネントを標的とする脅威です。クライアント側の攻撃の一般的な形がクロスサイト スクリプティング(XSS)で、攻撃者は他のユーザーが閲覧しているWebページにJavaScriptなどの悪意のあるクライアント側スクリプトを挿入します。これにより、ログイン資格情報、個人情報、セッションCookieなどの機密情報が盗まれる可能性があります。最新のアプリケーションには通常、サードパーティの統合、ライブラリ、フレームワークなど、多くの相互依存関係があります。セキュリティ チームは、クライアント側で実行されるこれらすべてのコンポーネントを把握できない可能性があり、攻撃者が悪意のあるスクリプトを実行してWebブラウザから直接データを抜き出すための脅威ベクトルが開くことになります。
- セキュリティの設定ミス:攻撃者は、パッチが適用されていない欠陥、共通のエンドポイント、安全でないデフォルト設定で実行されているサービス、保護されていないファイルやディレクトリを見つけて、システムに不正にアクセスしようとします。アーキテクチャの分散化が進み、マルチクラウド環境全体に分散するにつれて、セキュリティの設定ミスのリスクが増大しています。
サイバー攻撃の目的
サイバー攻撃には、攻撃を仕掛ける攻撃者の動機や目標に応じて、さまざまな目的が考えられます。
ランサムウェア攻撃や不正行為などのサイバー攻撃の一般的な動機は金銭的利益であり、ダークウェブで簡単に収益化できるデータの盗難も同様です。売りに出される機密データには、知的財産、企業秘密、資格情報、金融情報などがあります。スパイ活動もサイバー攻撃の動機の1つであり、国益や政治的利益のために機密情報を集める国家的攻撃者やサイバー スパイが存在します。また、サイバー攻撃は、通常の業務の流れを混乱させたり、重要なインフラストラクチャを妨害したりするためにも使用され、ダウンタイムの発生や収益の損失につながります。
サイバー攻撃の標的
サイバー犯罪者は、あらゆる攻撃ベクトルでサイバー攻撃を仕掛けるために、テクノロジーの弱点や脆弱性を見つけて標的にすることに長けています。一般的な脆弱性には、古いソフトウェアやパッチが適用されていないソフトウェアが含まれており、攻撃者はこれらを悪用して不正アクセスを行い、データを侵害し、悪意のあるコードを実行する可能性があります。また、脆弱な認証メカニズムも、権限のない個人や攻撃者がシステムや機密情報にアクセスしたり、アカウントを侵害したりするのを許すことにつながります。安全でないアプリケーション設計も、セキュリティの設定ミス、セッション管理の欠陥、安全性の低いAPIなど、攻撃者が悪用できる脆弱性につながり、サイバー攻撃を引き起こす一因となります。
攻撃者はネットワークの脆弱性も標的にします。セキュリティで保護されていないWi-Fiネットワークもこうした脆弱性の1つで、攻撃者が2者間の通信を傍受または操作し、機密情報を盗んだり、悪意のあるコンテンツを挿入したりする可能性があります。また、ネットワーク構成が脆弱な場合も、不適切なファイアウォール ルール、アクセス コントロール リスト(ACL)の設定ミス、暗号化プロトコルが脆弱または古いなど、攻撃者が悪用できるセキュリティ ギャップが生じる可能性があります。
サプライ チェーンの問題に伴う脆弱性も、攻撃者が悪用する可能性があります。サードパーティのサプライヤやベンダーのサイバーセキュリティ慣行の弱点を攻撃者が悪用して、組織のネットワークやリソースにアクセスする可能性があります。こうした弱点には、不十分なセキュリティ対策、パッチが適用されていないソフトウェア、脆弱なハードウェアなどが挙げられます。ベンダーのデュー デリジェンスの一環として、サプライヤーとパートナーのサイバーセキュリティ慣行を評価し、セキュリティ標準とベスト プラクティスに従うよう求めることが重要です。
人的要因もサイバー脆弱性の一因になります。犯罪者が個人を操って機密情報を漏洩させるソーシャル エンジニアリング攻撃に加え、脆弱なパスワードの使用や一部の従業員のセキュリティ意識の欠如もサイバー攻撃の隙を作る可能性があります。たとえ意図的ではなくても、不注意でマルウェアをダウンロードしたり、機密データを誤って扱ったりするなど、内部関係者の過失はサイバー攻撃につながりかねません。
他の多くのテクノロジと同様に、AIは正当な目的と悪意のある目的の両方に使用可能であり、攻撃者によって高度で有害なサイバー攻撃に悪用されるケースが増えています。AIを使用して、ソフトウェアやシステムの脆弱性をスキャンし、潜在的な標的に関するデータを収集して分析でき、さらに弱点が検出されれば、攻撃の開始にも使用されます。またAIは、機械学習アルゴリズムを使用してパスワードをより効率的に推測して、パスワード解読のプロセスを高速化することもできます。AIによって生成されたディープフェイクの動画や音声を、ソーシャル エンジニアリング攻撃に使用して、組織内の上層幹部などの信頼できる人物になりすまし、従業員を操ってセキュリティを侵害する行動を取るように仕向ける可能性もあります。さらに、強力なAIを簡単に利用できるようになったことで、自動サイバー攻撃を行うハードルが下がり、より広範な個人やグループがサイバー犯罪に手を染めやすくなり、サイバー犯罪が一般化しつつあります。
最も一般的なサイバー攻撃ベクトル
攻撃者はサイバー攻撃方法を絶えず進化させており、新しい攻撃ベクトルが定期的に出現しています。さらに、持続的な標的型攻撃では、複数の手法が使用されることがよくあります。以下に、最も一般的な攻撃ベクトルの例を示します。
- 中間者(MitM)攻撃は、攻撃者が二者間の通信を当事者が知らないうちに、または同意なしに傍受することで発生し、攻撃者は会話を盗聴したり、情報を盗んだり、さらには送信中のデータを操作することさえ可能になります。MitM攻撃にはさまざまな方法があります。攻撃者は、パブリックWi-Fiネットワーク内の無線通信を傍受する可能性や、セッションCookieやトークンを盗んでユーザーになりすましてWebアプリケーションに不正にアクセスするセッション ハイジャックを行う可能性があります。
- インジェクション攻撃は、攻撃者が信頼できないデータや悪意のあるデータをコマンド言語やクエリ言語に挿入したり、ユーザーが提供したデータがアプリケーションで検証、フィルタリング、サニタイズされず、悪意のあるコマンドが実行されたりすることで発生します。インジェクション攻撃には、NoSQL、OSコマンド、LDAP、SQLインジェクション攻撃などがあり、さらに、他のユーザーが閲覧するWebページに攻撃者がJavaScriptなどの悪意のあるクライアント側スクリプトを挿入するクロスサイト スクリプティング(XSS)も含まれます。この攻撃により、ログイン資格情報、個人情報、セッションCookieなどの機密情報が盗まれる可能性があります。
- 資格情報の盗難では、多くの場合、キーロギング、クレデンシャル スタッフィング、パスワード スプレー(多くのユーザー アカウントに対して共通のパスワードを使用する方法)などの手法を使用して、ユーザー名とパスワードが盗まれます。資格情報が侵害されると、不正なアカウント アクセス、データ侵害、ネットワーク内での横方向の移動などにつながる可能性があります。攻撃者の多くは、脆弱なパスワードや再利用されているパスワードを標的にするため、堅牢な認証の実践が重要になります。クレデンシャル スタッフィングにより、さまざまな業界、特に電子商取引と金融サービスにおいて、アカウント乗っ取り(ATO)と不正行為の発生率が劇的に増加しています。
- 悪意のあるWebサイトは、有害な行動、訪問者のデバイスのセキュリティ侵害、違法な活動などを行うように意図的に設計されています。悪意のあるWebサイトは、Webブラウザ、プラグイン、またはオペレーティング システムの脆弱性を悪用して、ユーザーの同意なしに、または気付かないうちにマルウェアを警告なしでダウンロードしてデバイスにインストールする可能性があります。この攻撃は、ドライブバイ ダウンロードとも呼ばれます。また、悪意のあるWebサイトは、悪意のあるコードやリンクを含むクリック広告をホストしていることもあります。
- ソフトウェアが侵害されると、攻撃者はパッチが適用されていないソフトウェアの既知の脆弱性を悪用したり、ソフトウェアのアップデートやダウンロードにマルウェアを挿入したりすることで、システムに不正にアクセスできるようになります。
こうしたタイプの脆弱性を防ぐには、強力なパスワードやパスフレーズなどの堅牢な認証方法とアクセス制御を実装し、さらにMFAでセキュリティ層を追加します。最小特権の原則を採用し、アクセス制御を定期的に見直して更新して、ユーザーが自分の職務を実行するために必要な権限のみを持つようにします。さらに、ソフトウェアとシステムには必ずパッチを適用して最新の状態に保ち、脆弱性評価と侵入テストを実施し、弱点を特定して修正します。人的要因はサイバー攻撃のリスクに大きな影響を与える可能性があるため、すべての従業員とユーザーにサイバーセキュリティ意識向上のトレーニングと教育を必ず実施します。サイバーセキュリティは、IT専門家だけでなく、組織内のすべての個人が関与する共通の責任です。
サイバー攻撃の影響
サイバー攻撃は、個人と組織の両方に重大かつ広範囲にわたる影響を及ぼしかねません。最も直接的な影響は経済的損失であり、これは個人アカウントへの不正アクセスによる詐欺行為や盗用から、サイバー攻撃後に組織が被る収益の損失、訴訟費用、規制上の罰金まで、多岐にわたります。また、組織は攻撃後に風評被害や業務の混乱に見舞われる可能性があり、さらに知的財産が盗難されて競争力や市場での地位に影響を与える可能性もあります。ランサムウェア攻撃の場合、特に身代金の支払いはデータの回復を保証するものではなく、さらなる攻撃を助長する可能性があるため、組織は暗号化されたデータを回復するために身代金を支払うかどうかという難しい決断を迫られます。
以下の例から明らかなように、サイバー攻撃の脅威は幅広い業界や業種にわたって存在します。
- 2022年後半、攻撃者はT-MobileのAPIを操作し、3,700万件のユーザー アカウントに侵入して、顧客名、請求先住所、メール アドレス、電話番号、口座番号、生年月日を入手しました。攻撃者は侵害が発覚するまでの1か月以上にわたってT-Mobileのシステムに不正アクセスしていましたが、身元は特定されていません。
- 2023年3月、ロシアのハッカー集団が、ウラジーミル・プーチン大統領のウクライナ侵攻を公に非難した米国と欧州の政治家、実業家、著名人を標的としたソーシャル エンジニアリング キャンペーンを開始しました。ハッカーらは被害者が電話やビデオ通話に参加するよう仕向け、紛らわしい会話でプーチンやロシアを支持するような発言を入手して、被害者のそれまでのプーチンを非難する発言の信用を傷つけるためにこれらを公開しました。
- 2023年6月、DDoS攻撃により、Outlook、Teams、OneDrive、Azureクラウド コンピューティング プラットフォームを含むMicrosoft 365サービスが8時間以上にわたって中断されました。Microsoftによると、この攻撃はStorm-1359として知られるグループによるもので、複数のクラウドサービスやオープン プロキシ インフラストラクチャからDDoS攻撃を開始できる、ボットネットやツールのコレクションを利用していました。この攻撃は、頻繁に標的となるネットワーク スタックのレイヤ3または4ではなく、アプリケーション層(レイヤ7)を標的としていました。
F5によるサイバー攻撃対策
サイバーセキュリティの脅威がより高度かつ永続的になり、サイバー攻撃の結果がより壊滅的なものになっているため、組織は、断片的なポイントベースのセキュリティ ツールから、攻撃対象全体にわたるサイバーセキュリティ対策への包括的な統合アプローチに移行する必要に迫られています。最新のアーキテクチャ、マイクロサービスベースのエッジ ワークロード、サードパーティ統合を活用した動的なマルチクラウド環境全体で、ID、デバイス、ネットワーク、インフラストラクチャ、データ、アプリケーションを保護するには、新たなセキュリティ アプローチが必要です。
F5は、従来のアプリケーションと最新のアプリケーションの両方で最大限に保護し、リスクを軽減して、すべての環境でセキュリティ ポリシーを自動化する、統合サイバーセキュリティ ソリューション スイートを提供しています。AIとMLを活用したF5セキュリティ ソリューションは、より適応性と即応性の高いセキュリティ対策を可能にして、脅威検出を強化し、インシデント対応を自動化し、膨大なデータセットを分析してサイバー侵害を示すパターンと異常を特定し、新たな脅威を防御します。
F5セキュリティ ソリューションは、環境全体にわたるアプリケーション セキュリティの導入と管理の簡素化を含め、包括的なセキュリティ管理と、一貫したポリシーと可観測性によって、脆弱性とサイバー脅威を緩和します。F5を使用することで、組織はWeb Application Firewall(WAF)、DDoS攻撃(分散型サービス拒否攻撃)の緩和、APIセキュリティ、ボット対策などの広範なセキュリティを単一の専用プラットフォームから利用でき、このプラットフォームはマルチクラウド環境とエッジ環境全体に簡単に拡張できます。総合的なガバナンス戦略と一元的なコントロール パネルにより、エンドツーエンドでアプリケーション トラフィックとイベントを監視することで、運用の複雑さが軽減され、アプリケーションのパフォーマンスが最適化され、投資のセキュリティ効果が向上します。
