セキュリティ侵害の種類：トップ10とその実例

2022年には、1,802件のセキュリティ侵害が記録され、4億2,200万人という膨大な数の人々が影響を受けました。これは前年比で41%の増加です。

こうしたセキュリティ侵害の急増に対処するには、サイバー脅威に対する保護の強化を優先しなければなりません。ハッカーがますますスキルを高める中で、企業はリスクを回避するために、さまざまなセキュリティ侵害の種類とその実例を理解しておく必要があります。

このブログ記事では、増加するセキュリティ侵害から組織を保護する方法を知りたい方のために、最も一般的なセキュリティ侵害の種類と、組織を保護する方法について説明します。

最も一般的な10種類のセキュリティ侵害とその手口

セキュリティ侵害とは、機密情報、システム、ネットワーク、または物理的資産を公開したり、それらの危殆化を引き起こしたりする攻撃を指します。最も一般的なセキュリティ侵害は次の10種類です。

1)フィッシング攻撃

フィッシング攻撃は、ユーザーをだまして、ログイン認証情報、クレジットカード番号、個人情報などの機密データを提供するように仕向ける攻撃手法です。攻撃者は、正規の組織や個人を装ったスパムメール、インスタントメッセージ、Webサイトでユーザーをだまして、悪質なリンクをクリックさせます。

フィッシング攻撃の手口は次のとおりです。

1. 攻撃者は、有名な企業や銀行など、信頼できる組織から送られたかのように見せかけたスパムメールやメッセージを送信します。
2. フィッシングメッセージでは、切迫感や恐怖感を煽ることで、受信者に急いでメッセージ内のリンクを開かせたり、機密情報を共有させたりします。
3. 被害者が情報を入力したりリンクをクリックしたりすることで、攻撃者は機密データへのアクセス権を獲得します。これにより、アカウントに不正にアクセスしたり、金融詐欺を働いたり、個人情報を盗み出したりすることが可能になります。

フィッシング攻撃から組織を保護するには、不審なリンクを開いたり、送信元の不明な添付ファイルをダウンロードしたりしないよう、チームメンバーを指導する必要があります。

2)マルウェア攻撃

マルウェア攻撃は、マルウェアによってコンピューターシステム、ネットワーク、およびデータのセキュリティと完全性が損なわれるセキュリティ侵害の一種です。マルウェアがシステムにインストールされると、データの漏えい、システムのクラッシュ、機密情報への不正アクセスに見舞われる可能性があります。

ここでは、マルウェア攻撃の一般的な種類とその手口について説明します。

• ウイルス：ファイルに埋め込まれ、システムからシステムへと拡散する自己複製プログラムです。ウイルスによって、ファイルの破損や削除、システムの機能停止、ネットワーク全体への拡散といった損害がもたらされる可能性があります。
• ワーム：コンピューターシステムの脆弱性を悪用し、ネットワーク接続を使用することで、自身を複製して他のマシンに感染を広げます。ワームによって、ネットワーク帯域幅が消費され、システムの速度が低下し、システムが停止に追い込まれる可能性があります。
• トロイの木馬：ユーザーをだまして、無害に見せかけたアプリケーションやファイルをインストールさせます。トロイの木馬がインストールされると、個人情報の盗難、リモートアクセス用のバックドアの作成、データの破損など、さまざまな悪意ある活動が行われる可能性があります。
• ランサムウェア：ファイルを暗号化するかシステム全体をロックして、ユーザーがそのファイルやシステムにアクセスできないようにします。攻撃者はそのファイルやシステムを人質に取り、復号化キーと引き換えに身代金を仮想通貨で支払うよう要求します。

マルウェア攻撃は、電子メールの悪質な添付ファイル、感染したWebサイト、ソフトウェアの脆弱性、危険なダウンロードを介して広がる可能性があります。この種の攻撃から組織を保護するには、セキュリティパッチを適用するとともに、ファイルのダウンロードやリンクのクリックに注意を払う必要があります。

3)分散型サービス拒否(DDoS)

DDoS攻撃は、大量のトラフィックで標的のシステムに過剰な負荷をかけ、正当なユーザーによるアクセスを不可能にするというものです。攻撃者はそのために、ボットネットを使用して大量のリクエストやデータパケットを同時に送信します。

その手口は次のとおりです。

1. 攻撃者は標的のシステムに対し、そのシステムの容量を超える大量のトラフィックやリクエストを送信します。
2. この大量のリクエストにより、システムの帯域幅、メモリ、またはディスク容量が消費されます。
3. システムのリソースが枯渇すると、動作速度の低下、応答停止、またはクラッシュが発生します。

組織は、ファイアウォールや侵入防止システム(IPS)を導入することで、悪意のあるトラフィックを排除し、既知の攻撃元からのリクエストをブロックできます。

4)中間者(MitM)攻撃

中間者攻撃は、気づかれないように二者間の通信に割り込み、機密情報にアクセスするという能動的攻撃です。この攻撃は、次のような手法で行われる可能性があります。

• ネットワークインフラストラクチャの脆弱性を悪用する。
• ルーターまたはスイッチを侵害する。
• マルウェアを使用してデバイスを制御する。

中間者攻撃から組織を保護するには、WebサイトでHTTPSを使用したり、ネットワーク接続にVPNを使用したりするなど、安全で暗号化された通信チャネルを利用する必要があります。また、企業のソフトウェアデバイスを頻繁に更新することも、中間者攻撃のリスクを減らすのに役立ちます。

5)ソーシャルエンジニアリング

ハッカーは、ソーシャルエンジニアリングの手法を駆使して人々を巧妙に欺き、機密情報を開示させたり、セキュリティに影響する行為を実行させたりします。ソーシャルエンジニアリングの背後にある基本的な考え方は、個人をだまして次のような行為をさせることです。

• 自ら進んで機密情報を提供させる。
• システムやデータへの不正アクセスを許可させる。

他のハッキング手法と異なり、ソーシャルエンジニアリングは人間の心理を突いて、信頼感や好奇心といった人間の特性を悪用します。また、テクノロジーを利用した攻撃だけでなく、立ち入り制限区域に侵入したりアクセスが制限された情報を入手したりする攻撃も含まれます。ハッカーはこうした攻撃を仕掛けるために、同僚などの信頼できる人物になりすまして標的を欺きます。

ソーシャルエンジニアリング攻撃から組織を保護するには、意識の向上、教育、および強固なセキュリティ対策が欠かせません。機密情報の開示を求める不当な要求に対しては、常に警戒心と疑いを持つようにしましょう。ソーシャルエンジニアリング攻撃に関連したリスクを軽減するには、強力なアクセス制御の導入と従業員トレーニングプログラムの実施が必要になります。

6)内部脅威

内部脅威とは、組織のシステム、ネットワーク、またはデータへのアクセスを許可された個人が、そのアクセス権を悪質な目的に利用することによって引き起こされるセキュリティ侵害です。このような個人には、現従業員、元従業員、請負業者、ビジネスパートナーが含まれます。

内部脅威が発生するのは、個人が意図的かどうかにかかわらず、自らの特権を利用して、データの盗難や流出、あるいはシステムの中断を引き起こした場合です。内部脅威の一般的な例には、次のようなものがあります。

• データの盗難
• 妨害工作
• 不正アクセス
• 詐欺

内部脅威が厄介な理由は、内部関係者が組織のセキュリティプラクティス、脆弱性、機密情報を把握している場合が多いことにあります。そのため、彼らは外部の攻撃者よりも迅速に侵害検出やセキュリティ制御を回避できます。

7)パスワード攻撃

パスワード攻撃は、脆弱なパスワードやパスワードセキュリティメカニズムの脆弱性を悪用して、ユーザーアカウントに不正にアクセスする攻撃手法です。攻撃者は、次のようなさまざまな手法で、ユーザーアカウントにアクセスする可能性があります。

• ブルートフォース攻撃
• 辞書攻撃
• パスワードスプレー
• クレデンシャルスタッフィング

8)クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)はセキュリティ脆弱性の一種であり、正規のWebサイトやWebアプリケーションに悪質なスクリプトを埋め込むことで攻撃が行われます。その悪質なスクリプトが被害者のブラウザ上で実行されると、攻撃者は機密情報を盗んだり、侵害されたWebサイトに表示されるデータを操作したりできるようになります。

XSS攻撃から組織を保護して、潜在的な被害を軽減する方法は次のとおりです。

• 厳格な入力検証メカニズムを実装して、ユーザーが提供したデータから機密情報を除去したり、悪質なスクリプトの実行を阻止したりする。
• CSPを実装して、Webサイトに対して信頼できるコンテンツソースを定義する。
• ユーザーが提供したデータがスクリプトとして動的に実行されないようにする。
• セキュリティ監査を実施して、Webアプリケーションに存在するXSS脆弱性を特定し、対処する。
• XSS攻撃のリスクについてユーザーを教育する。

9) Advanced persistent threats (APT)

APT攻撃とは、標的のネットワークに長期間潜伏して、不正アクセス、機密情報の収集、またはスパイ活動を行う攻撃手法です。

すぐに成果を上げることを狙う一般的なサイバー攻撃と異なり、攻撃者は不正アクセスに成功すると、長期間(数週間から数カ月、場合によっては数年)にわたって、検出されることなく潜伏を続けます。

標的のネットワークに侵入すると、APTは複数のシステムを侵害し、将来アクセスするためのバックドアを作成します。また、コマンドアンドコントロール(C2)インフラストラクチャを利用してシステムを制御し、標的の環境をリモートで操作します。APTは主に、政府機関、重要インフラ、防衛組織、金融機関など、価値の高い標的に狙いを定めます。

APTによる被害を軽減するには、次のような多層的なセキュリティ対策を導入する必要があります。

• 強固なネットワーク防御
• 最新のソフトウェア
• 従業員の意識向上トレーニング
• 侵入検知および侵入防止システム
• 脅威インテリジェンスの共有とインシデント対応の準備

10)盗聴攻撃

盗聴攻撃とは、攻撃者が二者間の通信を、当事者に気づかれることなく、同意なしに監視する攻撃手法です。中間者攻撃と異なり、盗聴攻撃は受動的かつ観察的な活動です。攻撃者は、二者間の通信に直接割り込むわけではありません。

盗聴攻撃の手口は次のとおりです。

1. 攻撃者は、(HTTPSではなくHTTPを利用した)暗号化されていないWebサイトや侵害されたネットワークインフラストラクチャなど、安全対策が施されていないか不適切な通信チャネルを使用します。
2. パケットスニッフィングツールを使用して、二者間でやり取りされているデータパケットを傍受します。
3. その後、傍受したデータを分析して、価値のある情報を取り出します。

このような攻撃によって、機密性、完全性、信頼性が損なわれるため、企業や政府は損害を被ることになります。具体的には、金銭的損失、個人情報の盗難、法的責任、信頼の低下、運用の混乱など、さまざまな被害に見舞われる可能性があります。

セキュリティ侵害の5つの重大事例

次に、深刻な影響をもたらしたセキュリティ侵害の実例をいくつか見てみましょう。

1) Facebookで5,000万人分のデータが漏えい

2018年、Facebook社は内部ソフトウェアの欠陥に起因するセキュリティ侵害を受けました。攻撃者はFacebook社のネットワークを標的にし、約5,000万人分のユーザーデータのハッキングに成功しました。

この侵害の原因はFacebook社のコードに存在していた脆弱性で、攻撃者は特定の機能を悪用して、5,000万人のユーザーアカウントへのアクセス権を不正に獲得しました。

2) Avastで従業員アカウントへの攻撃が発生

Avast社は2019年、一時的に開放されていたVPNアカウントに攻撃者がユーザー名とパスワードでログインし、社内ネットワークにアクセスしたと報告しました。このアカウントは利用可能な状態で放置され、2要素認証も設定されていなかったため、攻撃者はAvast社のコンピューターに簡単にアクセスできました。

この攻撃を発見したのはマイクロソフト社で、セキュリティツールが「内部IPからのディレクトリサービスの悪質な複製」を警告したことがきっかけでした。

3) Marriottでデータ侵害により5億人分の顧客データが流出

Marriott社は2020年1月中旬、同ホテルチェーンの非公開のネットワークが侵害されていることを検知しました。ハッカーは、Marriott社の従業員2人からログイン認証情報を取得することで、宿泊客の情報にアクセスしていました。2020年2月下旬に発見されたこの侵害により、名前、生年月日、電話番号、言語設定、ロイヤルティアカウント番号などの個人情報が漏えいした可能性があります。

4) JBS社がフィッシング攻撃でランサムウェアの被害に

食肉加工の世界大手であるJBS社は、身代金としてハッカーに1,100万ドルのビットコインを支払いました。このフィッシング攻撃により、JBS社の米国にある牛肉加工工場は一時的な操業停止を余儀なくされました。また、鶏肉と豚肉の加工工場でも業務が混乱に陥りました。

JBS社の経営者は、データを保護し、顧客のリスクを軽減するために身代金を支払うことに決めたと述べています。ただし、支払いの時点で、同社のほとんどの施設はすでに通常の運用に戻っていました。

5) Twitterで2億3,500万件のユーザーアカウントが流出

7月に、ハッカーがユーザー名、メールアドレス、電話番号など、540万件のTwitterアカウントの情報を販売したことで、既知の脆弱性が悪用された最初の事例が明らかになりました。Twitter社はバグレポート報奨金プログラムを通じて、2022年1月にこのデータ窃盗の原因となった脆弱性を発見していました。この脆弱性は、7カ月前に行われたコードの更新によって生じたものでした。

セキュリティ侵害の種類に関するまとめ

フィッシング攻撃からソーシャルエンジニアリングの脆弱性まで、セキュリティ侵害にはその種類ごとに独自の課題とリスクが存在します。最新のセキュリティトレンドを常に把握し、強固なセキュリティ対策を実施することで、サイバー犯罪者に対する防御を強化し、機密情報を保護できます。

このブログはこちらの英語ブログの翻訳です。