IT営業ならしっておきたい34のサイバー攻撃
こんにちは、mamekaです。これまでセキュリティの話をまとめさせて頂きました。
私は、3年ほどSaaSに携わっているのですが、特に、SaaS営業だと、AWS上で稼働しているケースが多く、具体的にセキュリティに関しては、ある程度対策されているケースも少なくないです。
しかし、アプリケーションとしても、様々なセキュリティリスクがあり、
SSOやゼロトラスト、BYODなど、IT営業としては、必要最低限抑えなければいけないワードもあります。
ITのセキュリティ業界も盛り上がってきており、同期の何名かは、SaaSからCrowdStrike(クラウドストライク)など、有名な外資ITセキュリティ会社に転職をしています。(盛り上がったのは5年ほど前でしょうか?)
その中で、今回は、IT営業全般に必要なサイバー攻撃をまとめてみました。
是非、眺める形でご覧ください。
1.標的型攻撃
標的型攻撃とは、ターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃です。
そのターゲットに関して知り合いや取引先のふりをして悪意のあるファイルを添付したり、
悪意のあるサイトに誘導するためのURLリンクを貼り付けたメールを送信し、
パソコンやスマートフォンなどの端末をマルウェアに感染させようとする攻撃です。
2.ランサムウェア
ランサムウェアとは、マルウェアの一種で、ユーザのデータを「人質」にとり、
データの回復のために「身代金(ransom)」を要求するソフトウェアのことです。
ランサムウェアの多くはトロイの木馬としてパソコン内部に侵入し、
勝手にファイルを暗号化したり、パスワードを設定したりし
正常にデータにアクセス出来なくなってしまいます。
ユーザがデータにアクセスしようとすると、アクセスが不可能になったことを警告し、
復元するための対価としてユーザに金銭の支払いを要求するものです。
3.水飲み場型攻撃
ターゲットがよく訪れるサイトを改ざんし、そこに不正なプログラムをしかけておき、
これによって、ターゲットとなる攻撃対象者が改ざんされたサイトを訪れた際に、
不正なプログラムが作動し、対象者の端末にウィルスなどを入れ込む待つタイプの攻撃です。
4.クリックジャッキング
クリックジャッキングとは、Webブラウザを悪用して、
ユーザーに不利益をもたらすセキュリティ上の攻撃手法の一つです。
具体的な特徴としては、ボタンやリンクなどを透明で見えない状態にして、
通常のWebページの上にかぶせてしまい、クリックを促すというものです。
5.ドライブ バイ ダウンロード
利用者が特定のWebサイトを訪問した際に自動的に悪意のある不正プログラムを
ダウンロードさせるようにしくむもの。「水飲み場型攻撃」と似ていますが、
水飲み場型攻撃よりもターゲットを絞らずに、広い範囲での感染を促すもののことになります。
6.サプライチェーン攻撃
大手企業や政府機関など大きな組織への正面突破が難しい場合、
比較的セキュリティ対策が手薄な取引先や子会社を経由しサイバー攻撃を仕掛けます。
取引先のメールを偽装しターゲット企業に送付したり、
ターゲットである企業で利用されているソフトウェア製品の更新プログラムを不正に仕掛けるなどの攻撃手法があります。
7.ビジネスメール詐欺(BEC)
ビジネスメール詐欺とは、業務用メールを盗み見して経営幹部や取引先になりすまし、
従業員をだまして送金取引などに係る資金を詐取するなどの金銭的な被害をもたらすサイバー攻撃です。
実際に詐欺行為に及ぶ前に、企業内の従業員などの情報を窃取したりするために、
マルウェアが使われることもあります。
8.キーロガー
キーロガーとは、パソコンやキーボードの操作の内容を記録するためのソフトウェア等の総称で、
悪意のあるものに個人情報などを盗み取られるなどの悪用されることがあるものです。
キーの入力などを記録できることで、端末でどういった情報が取り扱われたか、
入力されたのかといった情報を取得することが出来るため、
悪意のある第三者によって不正に情報を取得する目的で使われるようになりました。
9.ガンブラー攻撃
既存のWEBサイトを改ざんし、サイト訪問者をウイルス感染させるサイバー攻撃です。
見た目は通常のサイトと変わらないため、訪問者は感染に気づきにくいという特徴があります。
10.フィッシング詐欺
フィッシング詐欺とはインターネット上で行われる詐欺行為です。
クレジットカードやネットバンクなどの正規のサービスになりすまして、
ユーザーからログイン情報などを盗み出します。
フィッシングは英語では「phishing」と綴ります。よく「fishing」と間違われるのですが、
フィッシング詐欺では「魚釣り(fishing)」と洗練された
「sophisticated」の2つを組み合わせて作られた造語であると言われています。
フィッシング詐欺の被害にあうことで、クレジットカードを不正に利用されて買い物されたり、
ログインが必要なサービスも悪用されたりします。
さらにユーザーが気づかないうちにパスワードを変更されてしまうと、サービスの解約もできなくなります。
11.スミッシング
スミッシングとはスマートフォンなどのモバイル機器のメッセージ機能である
SMS(ショートメッセージサービス)を利用して、メッセージの受信者をフィッシングサイトへと
誘導する手口のサイバー攻撃のことです。
最近ではSNSなどのオンラインサービスの認証として、
SMS認証を使用した二段階認証を導入するケースが増えてきています。
TwitterやfacebookなどのSNSにログインする際に、スマートフォンに認証用を確認コードが送信されたことがある人もいるでしょう。
スミッシングを仕掛ける攻撃者は、これらのSNSなどのアカウントに成りすまして
メッセージを送信してくることがあります。そのメッセージの中には、
正規サイトに良く似せて作られたフィッシングサイトや、
不正なスマホアプリをダウンロードさせるページなどに誘導させるURLが記載されています。つまりこれらはフィッシングサイトです。
「SMS」と「フィッシング」この2つを結び付けた言葉が「スミッシング」なのです。
12.ビッシング・リバースビッシング
ビッシングとは、電話を使ってクレジットカード会社や銀行などの関係者を名乗り、
クレジットカードの番号や銀行口座情報、パスワード、生年月日などの情報を巧みに聞き出し、
不正使用しようとする詐欺行為のことです。
被害者の情報を不正に盗み出す詐欺行為として、フィッシング詐欺が知られていますが、電話を使って仕掛けるフィッシングがビッシングであると言えるでしょう。
この「ビッシング」という言葉は、電話の声「Voice」の頭文字「V」を
フィッシングの「Phishing」の先頭につけて「Vishing」という造語が作られたことが由来とされています。
ビッシングが初めて出現したのは2006年6月ごろと言われています。
当時の手口としては、PayPalや米国の銀行を名乗るなどビッシング詐欺が主流でした。
「リバースビッシング」はビッシングを変形したような詐欺行為です。
リバースビッシングでは攻撃者が用意した電話番号に対して、被害者に電話をかけさせて、
個人情報などを盗み出そうとする手口のことです。ビッシングでは攻撃者から被害者に電話を対して、
リバースビッシングでは被害者の方から攻撃者に電話をかけさせることが特徴です。
13.ゼロクリック詐欺
ゼロクリック詐欺とは、スマートフォンでアダルトサイトなどを見ているとき、
Webページが1秒ほど表示された後に、突然「料金をお振込みください」や
「登録が完了しました」などのメッセージが表示され、訪問者に金銭を要求する詐欺行為です。
これらのメッセージには電話番号が記載されていることもあり、もしその番号に電話をかけてしまうと、
電話先にこちらの電話番号を知られてしまうだけでなく、
相手から電話を通じて、しつこく金銭の支払いを強制されることもあります。
14.ジュースジャッキング攻撃
ジュースジャッキング(Juice Jacking)攻撃とは、
USBポートに悪意のある第三者がマルウェアを仕込んだり、
データを盗み出すための細工をしたりする攻撃のことを表します。
ジュースジャッキング攻撃は、公共の場に設置されているUSBポートに細工を行います。
見た目には通常の充電用USBポートにしか見えませんが、接続することでマルウェアを仕込んだり、
データを盗んだりすることが可能です。また、USBポートだけでなく、
USBケーブルを始めとする充電ケーブルに細工をする手口も発見されています。
15.ディープフェイク(フェイクビデオ攻撃)
ディープフェイクとはAIの技術を応用して作られた、偽の動画や音声のことです。
政治家や芸能人が実際には行っていない行動や発言を、
あたかも真実であるかのような動画や音声がインターネット上で公開されて話題となったことがあります。
特に動画はディープフェイクビデオ(フェイクビデオ)とも呼ばれ、特定の人物の顔の形やしわ、
目や鼻などの動きをAIの技術を応用して、別の人物にかぶせ、異なる部分を精巧に修正して再現されています。
これはフェイススワップ(顔交換)と呼ばれ、自然な動画を合成する技術として使われています。
16.タイポスクワッティング
タイポスクワッティングは、ユーザーのURLの入力ミスや打ち間違いを利用し、
攻撃者が用意したWebサイトへと不正に誘導する手法です。
タイポスクワッティングの語源は、入力ミス・打ち間違いを意味する「タイポ(Typo)」と
「占有する(Squatting)」から名付けられました。他にも「URLハイジャック」と呼ばれることもあります。
17.中間者攻撃
中間者攻撃とは二者間の通信を特別なソフトウェアなどの不正な手段を用いて傍受、
盗聴して内容を取得するといったものです。中間者攻撃とは二者間の通信を特別なソフトウェアなどの不正な手段を用いて傍受、
盗聴して内容を取得するといったものです。この攻撃には以下のような特徴があります。
通信が暗号化されていない(平文通信)の場合に、被害を受けやすい
十分なセキュリティ対策が行われていない通信機器を使うことで攻撃を受けやすい
攻撃の検知が難しい
18.DoS攻撃/ DDoS攻撃
DoS攻撃は、攻撃側と相手側の1対1で行われますが、
DDoS攻撃とは、複数に分散(Distribute)した攻撃用マシンからの一斉に攻撃を行います。
DDoS攻撃の防御が難しい点は、この複数台の攻撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。
そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。
19.F5アタック
「F5アタック」とは、「F5攻撃」、「F5連続攻撃」などとも呼ばれる攻撃で、
キーボードの「F5」キーを押してリロードするだけの簡単でアナログな攻撃手法です。
ターゲットとなるWEBサイトなどにアクセスし、
繰り返しF5キーを押すことで、Webサーバを過負荷の状態にして停止・ダウンさせるものです。
20.ゼロデイ攻撃
修正プログラム(セキュリティ更新プログラム)などが
未公表の脆弱(ぜいじゃく)性を悪用する攻撃のことです。
従来は、攻撃者以外は知らない脆弱性を狙う攻撃をゼロデイ攻撃と呼ぶことが多かったのですが、
最近では脆弱性自体はメーカーや研究者などによって公表されていても、
修正プログラムが未公表な場合にはゼロデイ攻撃と呼ぶことが多いです。
21.SQLインジェクション
DBサーバと連携したWEBシステムの場合、
WEBサーバではユーザが入力した情報を基にSQL文を組み立てるものがあります。
そのSQL文によってデータベースへのデータ追加・更新など行います。
このとき、WEBサーバがセキュリティ的に無防備な状態であると、
ブラウザから入力された「悪意のあるSQL文」をそのままデータベース操作の一部に
注入(Injection)される可能性があります。
22.OSコマンド・インジェクション
独自開発のWEBアプリケーションの脆弱性を突いた攻撃の一種です。
不正な入力データによってOSコマンドを呼び出し、
任意のファイルの読み出しや変更・削除などを不正にOSを操作する攻撃をいます。
23.クロスサイトスクリプティング
掲示板やブログなどユーザが入力した内容をWEBページとして
出力するWEBアプリケーションに対して多く行われる攻撃です。
例えば、掲示板に悪意のあるスクリプト(簡易的なプログラミング言語のこと)を
埋め込んだリンクを貼り付け、そのページを閲覧したユーザのブラウザ上でスクリプト(プログラム)を
実行させるという攻撃を行います。
24.バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、
OSやアプリケーションプログラムの入力データ処理に関するバグを突いて
コンピュータを不正に操作する攻撃をいいます。
BOF攻撃は、主にメモリのスタック領域で行われる攻撃をいいますが、
その他にもヒープ領域で行われるヒープBOFやUNIX環境下でrootのSUID属性をもつコマンドを悪用して
管理者権限を奪取するローカルBOF攻撃などがあります。
25.セッションハイジャック
セッションハイジャックはなりすましの一種でクライアントとサーバの正規セッションに割り込んで、
セッションを奪い取る行為をいいます。
セッションハイジャックにより行われる行為として以下のようなことが考えられます。
正規サーバになりますてクライアントの機密情報を盗む
正規クライアントになりすまして、サーバに侵入する
セッションハイジャックの種類にはTCPセッションハイジャック、UDPセッションハイジャック、WEBセッションハイジャックなどがあります。
26.セッションID固定化攻撃
セッションID固定化攻撃は、正規ユーザー(あなた)のセッションIDを乗っ取り、
正規ユーザーになりすます攻撃手法です。「セッションフィクセーション」や「セッションIDの強制」とも呼ばれます。
正規ユーザーは、Webサービスにログインする際にセッションIDを発行しますが、
そのセッションIDを事前に用意して、正規ユーザーに使わせることによってセッションの乗っ取りが行われます。
セッションの乗っ取りによってあなたになりすますことで、次に挙げるような被害を受ける可能性があるのです。
クレジットカード番号の盗み出し
ネットショッピングサイトなどで無断の買い物をする
他ユーザーへの迷惑行為
犯罪行為
ネットショッピングサイトを利用するなかで、クレジットカード番号などを登録している人も多いのではないでしょうか。あなたになりすますことで、それらの情報が盗み出せるようになり、無断で買い物することも可能となります。
27.バックドア
バックドアとは、英語で直訳すると「勝手口」「裏口」のことで、
セキュリティの分野では「コンピューターへ不正に侵入するための入り口」のことです。
悪意を持った攻撃者が、ターゲットとなるコンピューターに侵入するための入り口を作るケースや、
プログラムにあらかじめ入り口が作られており、侵入できるようになっているケースなどいくつかの種類があります。
28.ルートキット攻撃
他人のコンピュータに不正侵入した攻撃者は、
侵入を隠ぺいするためのログの改ざんツール
侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
侵入に気づかれないための改ざんされたシステムコマンド群
などをインストールします。これらを素早く導入するための、パッケージにまとめたものがルートキットと呼ばれています。
29.フォームジャッキング攻撃
ECサイトや購入ページに設定されている入力フォームを改ざんし、
クレジットカード情報などの個人情報を窃取する攻撃です。
正規サイトの入力フォームに悪意のあるスクリプトを埋め込み、
フォームの送信内容を第三者に不正に送信します。
30.ドメイン名ハイジャック攻撃
ドメイン名ハイジャックとは既存のドメイン名を何らかの方法で乗っ取る行為のことを言います。
ブラウザでWebサイトを閲覧する時、アドレスバーにドメインを入力します。
入力されたドメインはコンピュータ内部で対応するIPアドレスへと変換されます。
このIPアドレスとドメイン名の対応を行っているのが「DNSサーバー」です。
DNSサーバーに登録されているWebサイトに関する情報を不正に書き換えることで、
特定のドメイン名にアクセスした時に、
正規のWebサイトではなく偽のWebサイトへと誘導する手口が「ドメイン名ハイジャック」です。
31.ブルートフォースアタック
ブルートフォースアタック(総当たり攻撃)とは、暗号解読方法のひとつであり、
可能な組み合わせを全て試す方法です。
人間の操作では手間がかかりすぎる方法ではありますが、
手軽に実行できるツールが普及しており、
時間的制約がない限りは確実にパスワードを割り出して侵入することができる方法です。
32.パスワードリスト攻撃
パスワードリスト攻撃とは、
攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、
攻撃対象のサイトでログインを試行する攻撃方法のことです。
同一のパスワードを、複数のWEBサービスで使い回す利用者が多いという傾向を利用したもので、
さまざまなWEBサービスでログインの試行を繰り返すものです。
そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとします。
33.パスワードスプレー攻撃
パスワードスプレー攻撃とはIDやパスワードを組み合わせて
連続的に攻撃するブルートフォース攻撃の一種です。
ログイン制御を持つシステムでは、一定期間に一定の回数のログインエラーが起こると、
アカウントが一定時間ロックされる仕組みを持つものがありますが、
パスワードスプレーは、このアカウントロックを回避する手法を持つパスワード攻撃です。
アカウントロックを回避することで、不正なログイン試行を検知されないという特徴があります。
パスワードスプレー攻撃は「low-and-slow」攻撃とも呼ばれます。
34.クレデンシャルスタッフィング攻撃
クレデンシャルスタッフィング攻撃とは、
インターネット上に流出したIDとパスワードの組み合わせを使って、
他のWebサイトへのログインを自動的に試みる攻撃手法のことです。
この攻撃の特徴として、流出したIDとパスワードの組み合わせは、
流出元以外の他のWebサイトでも使われていることを前提としている点があげられます。
ユーザーは同一のIDとパスワードの組み合わせを使いまわしていることが多いという習慣を悪用した攻撃が、
クレデンシャルスタッフィング攻撃です。
IDとパスワードの組み合わせを用いて、
標的のWebサイトに不正ログインを試みる攻撃として「パスワードリスト攻撃」が知られています。
パスワードリスト攻撃は手動で行う攻撃ですが、bot(不正なプログラム)を使って大
量かつ自動的に試行する攻撃がクレデンシャルスタッフィング攻撃と言われています。
(参考)サイバー攻撃とは?その種類・事例・対策を把握しよう
https://cybersecurity-jp.com/column/14651#i-3
いかがでしたでしょうか。
聞き慣れないワードもあるかと思いますが、個人的には、「1,2,3,10,11,13,17,18,19,21,27」は最低限抑えておいた方が良いと考えてます。
ビジネスの場面で、IT営業であれば、「一通り聞いたことある」というレベルには達したいですね。
その他、ご要望あれば具体的な解説をしていきたいと思います。
それでは。
いいなと思ったら応援しよう!
