当記事ではITセキュリティの観点から「脅威」、「脆弱性」、「攻撃」についてご紹介します。
脅威
脅威とは、情報資産(※)の価値を脅かし、損失を発生させる原因のことです。具体的には、地震や火災といった災害、不正侵入や破壊行為、コンピュータウィルスやスパイウェアといった手段、サイバー攻撃や業務妨害など様々な種類のものが存在します。
※ 情報資産とは
組織が保有する価値あるものを指します。 情報システムを構成するハードウェア、ソフトウェア、データ、ネットワーク、関連する物理的な施設や設備、文書類、システムや業務に関わるノウハウなども含まれます。
脆弱性
脆弱性とは情報資産や組織が潜在的に持つ弱点のことをいいます。ただ、情報資産に対する脅威が存在しても、必ずしも被害をもたらすとは限りません。実際の被害は、情報資産に脆弱性がある場合に、脅威がその弱点を突いて攻撃することによって発生するからです。
攻撃
下記のような様々な攻撃が存在します。
■アドレスなりすまし
通信する際の送信元のIPアドレスやMACアドレスを別の端末のアドレスになりすますことを利用した攻撃です。 なりすましのことをスプーフィング(Spoofing)と呼びます。
・DoS攻撃(Denial of Service)
単体の攻撃者が攻撃対象のシステムに対して大量のデータを送り付け、サービスを不能にする攻撃です。
脆弱性を利用した攻撃と過剰な負荷をかける攻撃の2パターンがあります。
・リフレクション・アンプ攻撃
送信元IPアドレスを攻撃対象のシステムのアドレスに偽装したパケットをたくさんの踏み台となるデバイスに送信することで行うDDoS攻撃の一種です。
・中間者(Man-in-the-Middle)攻撃
サーバとクライアントの通信の間に第三者が割込み、双方になりすますことで、やり取りされる情報を盗聴・改ざんする攻撃です。
■偵察
攻撃者が実際にシステムを攻撃する前に行う事前調査のことです。システムにアクセスして行うポートスキャンなどのほかに、直接アクセスはせずにインターネット上に公開されている情報を調査する方法もあります。
■バッファオーバーフロー
プログラムの実行時に、プログラムの欠陥などが原因でメモリチェック機能が働かないことがあり、その際、想定した範囲外のメモリにデータを上書きしてしまう現象とそれを利用して不正なプログラムを実行させる攻撃のことをいいます。 バッファオーバーランともいいます。
■マルウェア
悪意をもったソフトウェアの総称です。以前は、ウィルス(コンピュータウィルス)と呼んでいましたが、攻撃対象や手法が多様化したことにより、これらの悪意のあるツールをマルウェアと呼んでいます。
・トロイの木馬
ユーザーにとって有用なソフトウェアに見せかけて、実行時に不正なメッセージを表示したり、データファイルの破壊を行ったりする不正なプログラムのことをいいます。
また、バックドアとして対象システムに潜在してリモートホスト上の攻撃者にコンピューターの情報を送信したり、外部ネットワークからの侵入を手助けしたりします。
・ウィルス
あるプログラムに伝染することで実行される不正プログラムのことをいいます。ウィルス単独では存在することができず、必ず感染源のプログラムが必要です。
・ワーム
ウィルスと異なり単独で存在することができる不正プログラムのことをいいます。自己増殖し、メールの添付ファイル機能などを利用してほかのシステムに繰り返し複製、拡散をします。
■人的脆弱性と攻撃
システムに強固なセキュリティ対策を施したとしても、介在する人に脆弱性があれば、そこが攻撃の入り口になってしまいます。一人一人がセキュリティの重要性を認識し
対策を心がける必要があります。
・ソーシャルエンジニアリング
話術や会話の盗み聞き、盗み見などの社会的な手段を用いて、重要な情報を不正に収集することをいいます。
・フィッシング
身元を詐称して送付した電子メールなどの不正なリンクをクリックさせることで偽のWebサイトに誘導し、個人情報を収集する攻撃です。
・スピアフィッシング
フィッシングの中でも特定の団体や個人にターゲットを指定して行う攻撃です。
・ホエーリング
企業の幹部など利用価値の高い個人を狙った攻撃です。
・ヴィッシング
Webサイトではなく、電話を利用したフィッシングです。
・スミッシング
SMSメッセージテキストを利用したフィッシングです。
・ファーミング
ホストの名前解決を不正に操作して、ユーザーを偽のWebサイトに誘導することで、ユーザーの秘密情報を収集する攻撃です。
・ウォータリングホール
攻撃者は対象のグループがアクセスしそうなWebサイトを攻撃して罠(悪意のあるコード)を仕掛け、攻撃対象が罠にかかるのを待ち受ける受動的な標的型攻撃です。
■パスワードの脆弱性と攻撃
企業ネットワークのほとんどのシステムは、何らかの形式の認証を行うことで、ユーザーアクセスを許可または拒否します。 ユーザーがシステムにアクセスするとき、通常はユーザー名とパスワードを利用します。この時その人の本名に基づいてその人のユーザー名を推測するのはかなり簡単かもしれません。
またユーザーのパスワードがデフォルト値に設定されているか、推測しやすい単語や文字列に設定されている場合も、攻撃者がシステムに簡単にアクセスできる可能性があります。
・辞書攻撃
パスワードとしてよく用いられる文字列があらかじめ入力されたファイル(辞書ファイル)を用意し、コンピューターを利用してパスワードを検証する攻撃です。
・ブルートフォース攻撃
総当たり攻撃のことで、パスワードを割り出すためにパスワードで使用する文字をすべて組み合わせて検証する攻撃です。
パスワードの試行回数が制限されていない場合、理論的には時間さえかければ、必ず解読に成功します。
このように攻撃は数多くあり、また攻撃方法は日々進化しています。
情報資産を守るためには、自分が使っている環境のどの部分に脆弱性があるのかを把握し、どのような攻撃が来る可能性があるのかを予測して対策を施すことが大切です。