【連載#10】サイバーセキュリティの基本概念(攻撃と防御) | 異色転職者が伝える、実は面白いサイバーセキュリティ入門
サイバーセキュリティの基本概念(Part2:攻撃と防御)
ポイント
✅攻撃に用いられるマルウェアは、「悪意のある(malicious)+ソフトウェア」であり、攻撃用プログラムの総称。攻撃者は、個人を踏み台として組織全体に侵入し、情報窃取などを行うため、フィッシングには要注意。
✅エストニアへのサイバー攻撃でも用いられたDDoS(Distributed Denial of Service)攻撃は、世界中のパソコンをマルウェアに感染させて操り、標的に大量のデータを送りつけてシステムダウンさせるもの。自分のパソコンが知らぬ間に操られている可能性も。
✅防御の主流は、「ゼロトラスト」という考え方。テレワークやクラウド利用などの発達により守るべき境界が曖昧になる中、ネットワーク内外に関わらず不審な動作を監視し、何層ものセキュリティ対策で検知や被害阻止を行うもの。
Part1では、サイバーセキュリティの基本的な考え方として「情報セキュリティのCIA」について紹介した。C=機密性、I=完全性、A=可用性のバランスを保ちながら、情報セキュリティを担保することの重要性をお伝えした。
Part2では、そうしたCIAを侵そうとする「攻撃」サイドと、千変万化のサイバー攻撃環境で情報資産を守ろうとする「防御」サイドについて、基本的なツールや手段、そしてそれぞれのサイドの目的について見ていこう。
(Part1はこちら👇)
2. 攻撃サイド
(1) マルウェア
攻撃者が悪さをするために使う常套手段が、マルウェアだ。マルウェアとは、「悪意のある(malicious)+ソフトウェア」という意味の造語で、攻撃用に作られたプログラムの総称である。
攻撃者は、いかにして標的の中に入り込み、いかにして強いアクセス権限を手に入れ、いかにして遠隔操作を行うかなどを考えながら、様々なマルウェアを組み合わせる。よく耳にする「コンピュータウイルス」もマルウェアの一種だ。ウイルスは不審なメール添付などの形で存在し、添付が開かれることで皆さんのパソコンが感染、攻撃者が皆さんのパソコンの中に入ってくる。
その上で攻撃者は、皆さんが属する組織のネットワーク内にも侵入し、より強いアクセス権限を持つアカウントを探していく。そうしたアカウントに辿り着いてしまえば、機密情報の窃取も、限られた社員しか触れられないはずのシステム操作も容易いものだ。あるいは、感染の道すがら、組織中のパソコンをランサムウェア(身代金(ransom)を要求するソフトウェア)に感染させ、暗号化された情報を戻してほしければ金を出せ、と脅してくるかもしれない。
さらに攻撃者は、別のマルウェアを使って外部との通信経路(「バックドア」という)をこっそり確立し、長期にわたり遠隔でネットワーク内部を偵察したりもする。こうした手法は、連載#4「サイバー空間の脅威アクターたち(国家と国家支援組織)」で紹介したAPTグループなどが、高度なオペレーションの一環として用いることが多い。
(2) フィッシング
よく耳にするフィッシングについても、意外と侮ってはいけない攻撃として注意喚起したい。
フィッシングとは、メールやSMSなどを通じて重要情報を騙し取る詐欺手法を指す。ニュースや企業研修などで、「フィッシングメールに引っかからないように!」と繰り返し言われたことがあるだろう。
マルウェアの部分でも述べた、添付ファイルやリンク付きの「不審なメール」こそがフィッシングメールの典型例だ。最近のフィッシングメールは、生成AIの躍進もあり非常に巧妙に作られており、油断していると引っかかる。私も仕事柄、企業のセキュリティ教育などで訓練用のフィッシングメールをよく目にするが、誘導表現や視覚情報が巧妙で、意識していないと簡単にクリックしてしまいそうだ。
「たかがフィッシングメールでしょ?そもそも自分は大した情報を持ってないし」と思われるかもしれないが、それでは攻撃者の思う壺だ。
マルウェアで説明したとおり、攻撃者はある突破口を皮切りにネットワークに侵入次第、より強い権限、より重要な情報にありつこうとする。企業がフィッシングメールに関する社員トレーニングをするのは、皆さん個人を守りたいから(だけ)ではなく、個人を端緒として会社全体のネットワークに侵入され、あれよあれよという間に、入り口となった社員からは想像もつかないような機密情報が盗み出されてしまう可能性があるからだ。
どうすればセキュリティに微塵も興味のない社員たちにも、注意力を高めてもらえるか。最近は多くの企業が、フィッシングトレーニングや社員教育を行っているが、それにはこういう背景がある。会社の誰にとってもセキュリティは他人事ではなく、他人事と思っている人こそが標的になってしまうのだ。
(3) DoS/DDoS攻撃
業務妨害のよくある例としては、DoS(Denial of Service)攻撃がある。これは、標的システムの処理能力を上回る大量の通信データを送りつけることで、そのシステムをダウンさせてしまう攻撃だ。
連載#6「サイバーセキュリティと国際情勢(サイバー諜報、情報システム妨害)」で紹介した、2007年のエストニアへの大規模サイバー攻撃(ロシアによるものとされる)でも、3週間にわたるDoS攻撃により政府や企業のウェブサイトがダウンした。
より正確には、エストニアへの攻撃で用いられたのは、DoS攻撃の発展系であるDDoS(Distributed Denial of Service)攻撃というものだ。DDoSの場合、攻撃者は自分一人で攻撃を行うのではなく、フィッシングメールなどで世界中のパソコンをマルウェアに感染させ、その無数のパソコンを操って標的に大量のデータを送りつける。操られたパソコン群をボットネットと言うが、実際の持ち主たちは、自分のパソコンがそんなことに用いられていることには気づかないことも多い。知らぬ間に大規模なサイバー攻撃に加担させられている可能性もあるのだ。
3. 防御サイド
防御側の考え方は、企業や個人が日常的に使うネットワークやサービスが拡張するにつれ、変化を余儀なくされてきた。クラウドの登場や、コロナ前後での勤務スタイルの変化などが転機として分かりやすいだろう。
誰もが毎日オフィスに出社して業務をし、会社の物理的なサーバーにデータが蓄積されていた頃は、「会社の内と外のネットワークの境界を鉄壁の守りにしていれば悪者は侵入できない」という前提で、防御策が取られていた。これは「境界防御」とも呼ばれ、その境界を守るための様々なセキュリティサービスや製品が生み出された。逆に言えば、中に入ることを許された者については、基本的に信頼できるとみなす前提だった。
しかし、クラウドといった会社外部へのデータ蓄積や通信が増加し、テレワークなども普及して社外からのアクセスが当たり前になった今日、守るべき境界というのはもはや明確でなくなった。
こうした中で生まれたのが「ゼロトラスト」という考え方だ。少し極端な言い方をすれば、「人を見たら泥棒と思え」的な発想であり、境界を決めて守ることが難しいなら、境界の内外を問わず信頼せず、常に対処できる態勢でいようという考え方を指す。
ゼロトラストの下では、会社の内部ネットワークにいる者であっても、何かおかしい振る舞いをしないか(たとえば、所掌と異なるシステムやデータに執拗にアクセスしようとしていないか、大量なデータをダウンロードしていないかなど)、セキュリティ機器を通じて監視することが推奨される。また、もし悪者が中に入っていたとしてもすぐに検知・阻止できるよう、何層にもセキュリティ対策を取っておいたり(「多層防御」という)、簡単に被害が広がらないよう、ネットワークをいくつにも分離しておいたりすることも望ましい。
(ゼロトラスト提唱者のインタビュー&解説記事👇)
サイバーセキュリティにおける攻撃と防御は、ある意味、表裏一体でなければならない。攻撃側が進化するからには防御側も進化せざるをえず、攻撃者の目線を理解し、やろうと思えば同じ行為もできるようになったうえでそれ以上の能力をつけてこそ、攻撃を防ぐことができる。
とはいえ、サイバー空間では、攻撃側が圧倒的に有利な立場にある非対称さは否めない。攻撃側は、何回か試した攻撃のうち一つでも成功すればよく、防御側は、いつ来るか分からない攻撃に常に臨戦体制でいなければならないうえ、一回でも通してしまえば失敗となってしまうからだ。
そうした中で現実的なのは、攻撃をゼロにすることよりも、攻撃が起こってしまうことを前提に、いかにして被害を最小限にするかということだ。企業や組織にとっては、ゼロトラストに基づき、攻撃をなるべく早く察知し、拡大を阻止する態勢を整えることと同時に、復旧や事業継続に関するプランを用意しておくことなども重要になる。