サイバーテロ(攻撃)とは?事例と対策、注意すべき企業のリスク
ここ数年、実際に日本企業や公の組織がさまざまなサイバー攻撃に晒されているケースが多くあります。そこで今回は、サイバーテロに関する基本的な説明から、国内外を取り巻く状況について解説していきます。代表的なサイバー攻撃についても説明していくので、企業のシステム管理者やセキュリティ担当者は、ぜひ目を通してみてください。
目次を閉じる
サイバーテロとは
サイバーテロとは、簡単にいえばネットワークを対象として行われるテロリズムのことをいいます。
主に社会の混乱を目的として、政府や社会的インフラを担う組織を支える重要な情報システムへの侵入と破壊工作を行うことを指しますが、最近では一般企業もサイバーテロのターゲットとなる事件も増えています。
サイバーとはコンピュータネットワークに関することを示す概念であり、暴力行為や破壊行為などの有形力を伴うテロリズムではなく、ターゲットのサイト上のデータの破壊や書き換え、ウイルスの大量配布といった行為を総称してサイバーテロと呼ぶのが一般的になっています。
世界のサイバーテロの現状
近年の国外のサイバーテロの現状についてですが、攻撃元もターゲットとなる企業や組織に関しても、どちらもアメリカがトップになっています。
特に重要データの漏えいといったリスクをもたらすWEBアプリケーション攻撃の増加が顕著であり、2017年の時点で、昨年同時期比で35%もの増加をみせています。
攻撃元となっている国を上から順番にみていくと、1位はアメリカ、次いでオランダ、ブラジル、中国、ドイツの順となっています。
逆に、攻撃のターゲットとなっている国は、1位は同様にアメリカ、次いでブラジル、イギリス、日本、ドイツの順になっています。
どちらもアメリカが2位以下の国に圧倒的な差をつけているのが特徴です。
日本におけるサイバーテロの現状
一方、日本におけるサイバーテロの現状ですが、上述のように、世界的にみればサイバーテロのターゲットとされるケースが多く、さらには日本政府や企業を狙うサイバー攻撃の8割以上が日本国内から仕掛けられているといわれています。
これは、主にサイバーテロの手段として使われるマルウェアの通信先であるコントロールサーバのホストの所在を追跡した結果判明したものです。
このように、我が国は国内外からさまざまなサイバーテロを仕掛けられているのが現状であり、そのため現在は経済産業省や防衛省をはじめとした各省庁、内閣府でサイバーテロ対策とそのための環境整備に力を入れています。
以下の記事では、マルウェア対策について詳しく解説しています。
サイバーテロの具体的事例
次に、サイバーテロの具体的事件について、海外と国内それぞれの事例を簡単に紹介していきます。
海外の事例
イランの核関連施設
2009年~2010年にかけて、Windows上で動作するコンピュータワーム「スタクスネット(Stuxnet)」がイランの核開発を妨害するために同国の核燃料施設の攻撃に利用され、世界的に問題となりました。
同施設の制御システムはインターネット環境に接続しておらず、外部からUSBメモリーを介して感染したとされており、これがきっかけとなって国家間でのサイバー戦争ともいうべき事態にまで発展しました。
それ以前からも、マルウェアを利用して国の重要施設にサイバー攻撃が仕掛けられる懸念はありました。
しかし、実際の産業用システムに感染し、監視の目を潜り抜けて破壊活動に成功したマルウェアが報告されたのは初めてのことであり、実質的に国家間のサイバー戦争の先駆けになったといわれています。
韓国の金融機関・放送局
2013年3月に、韓国のテレビ放送局3社と、銀行などの金融機関3組織のコンピュータシステムがマルウェアというウイルスを使ったサイバー攻撃を受けて利用できなくなり、銀行のATMやモバイル決済などが影響を受ける事件が発生しました。
韓国インターネット振興院によると、このウイルスはパッチ管理システムと呼ばれるセキュリティ更新情報などをパソコンに自動的に配布するシステムを経由して、それぞれの企業のサーバーに配布されたとしています。
ウイルスは時限式で、同月20日の14時に一斉に起動するようにプログラムされており、これによって合計で3万2000台以上ものコンピュータに被害が出たと報告されています。
アメリカの原子力発電所の事例
2017年7月、アメリカの国土安全保障省とFBIが緊急共同報告書を発表し、そのなかでカンザス州バーリントン近郊にある原子力発電所にサイバー攻撃が仕掛けられていたことが明らかになりました。
同レポートでは、そのサイバー攻撃が原子力発電所の機密情報を盗む目的だったのか、あるいは同施設のシステムを破壊して甚大な被害をもたらすための工作だったのかは明らかにされていません。
しかし一部専門家の指摘によると、この手のサイバー攻撃は主に施設のシステムに直接的なアクセス権をもつ技術者をターゲットにしているようです。
施設の中核を担う技術者に対して、悪意のあるプログラムコードを埋め込んだテキストファイルなどを履歴書などの名目で送りつけ、技術者自身のPCからネットワークに侵入する手口が多いといわれています。
国内の事例
日本年金機構
2015年の5月~6月に、日本年金機構に対して外部から標的型攻撃メールが送付され、職員1名がメール内のURLをクリックしてマルウェアに感染してしまい、結果的に125万人分の個人情報がシステムサーバから漏えいしてしまうという事件が起こりました。
同機構および厚生労働省の説明によれば、この攻撃メールは5月8日~18日にかけてYahooのフリーアドレスから大量に送付され、少なくとも2人の職員が開封していました。
「厚生年金制度見直しについて(試案)の意見」といった件名だったため、当該職員は業務関連のメールだと思い込み、そのままマルウェアが仕込まれた添付ファイルをダウンロードしてしまったといわれています。
東京大学
こちらも2015年の7月、東京大学の業務用パソコンがマルウェアに感染してしまい、不正アクセスによって合計で約3万6300件にわたる個人情報が流出したことが明らかになりました。
6月30日の時点で、大学職員と一部の学生のメールを管理するメールサーバの管理画面設定が変更されており、これを調査した結果、同サーバに保存されていた学内向けの業務用アカウントの流出が判明したようです。
さらにアカウントのみならず、サーバに保存されていた個人情報の流出の可能性も明らかになりました。
同様の攻撃は東京大学だけではなく、早稲田大学などでも報告されており、日本の教育機関がサイバーテロの標的になっている事実を強く認識させる事件として知られることになりました。
法務省の事例
法務省は2014年9月、地方法務局内の端末と外部との不審な通信が確認されたため、調査を行ったところ、一部のサーバーや局内のパソコンへの不正アクセスが発生していたことを確認しました。
攻撃元となったのは国内のサーバーであり、30代の中国籍の男が偽名を用いて契約したうちの一つだったことが明らかになりました。
そのため警視庁公安部は同月13日、私電磁的記録不正作出・同供用の疑いでこの男を逮捕。容疑者は他にも約1,000台ものサーバーを不正契約し、転売していた容疑もかけられています。
東京五輪組織委員会の事例
2015年11月、2020年に開催される東京五輪およびパラリンピック大会組織委員会の公式ホームページがサイバー攻撃を受け、その後12時間以上にもわたり閲覧できなくなる事件が起こりました。
サーバーに対して一時的に大量のアクセスを集中することで活動を停止させる「DoS攻撃」によるもので、サーバの運営会社が自ら通信を遮断して被害の拡大を阻止することになりました。
これによってサーバ内の情報が盗まれたり、サイト情報を書き換えられたりするといった被害はなかったようですが、ロンドン五輪でも同様に大会組織委員会のホームページが狙われた経緯もあり、オリンピックやパラリンピックでの対策が重要視されています。
サイバー攻撃の種類と対策
続いて、サイバー攻撃の種類と対策について、解説していきます。
Dos攻撃/ DDoS攻撃
Dos攻撃は、上述のオリンピック組織委員会のホームページへの攻撃に使われたように、ターゲットのWEBサイトやサーバーに対し、短時間に大量のデータを一方的に送りつけることで、ターゲットのサーバー機能を利用不能に追い込む攻撃をいいます。
そしてDDoS攻撃は、複数台の攻撃用マシンから一斉にDos攻撃を行うことを指します。事前にマルウェアなどを使って複数のマシンを乗っ取ったうえで、ターゲットに対して同時多発的に攻撃を仕掛けるケースが多いです。
Dos攻撃/ DDoS攻撃への対策としては、攻撃元のマシンと考えられるIPからのアクセスを制限・遮断するといった方法や、WAF(Web Application Firewall)を導入して解析を行い、悪意をもったアクセスから守るといった対策が考えられます。
以下の記事では、DDoS攻撃対策について詳しく解説しています。
標的型攻撃
標的型攻撃とは、ターゲットの組織から個人情報や機密情報を盗み出すことを目的として送付されるウイルスつきメールのことをいいます。上述の日本年金機構の情報漏えい事件を引き起こしたのが、この標準型攻撃です。
近年はこういった公的機関だけでなく、一般企業や中小零細企業も狙われるケースが多くなっているので、企業のシステム管理者は特に注意が必要です。
スタッフに対して不自然なメールを開かないように指導したり、不審なメールを排除するセキュリティソフトを導入したりするなどして、常に安全な環境を整えるよう努力する必要があります。
以下の記事では、標的型攻撃について詳しく解説しています。
ゼロデイ攻撃
修正プログラムがカバーしていない部分を狙って攻撃する手法をゼロデイ攻撃といいます。
各種ソフトウェアのぜい弱性が発見されてから、その部分をカバーするための修正プログラムが配布されるまでの時間的なラグを利用して行われる攻撃ですが、当初は攻撃者のみが知るぜい弱性を突いた攻撃を意味していました。
これまでMicrosoft Office製品やAdobe Readerなどを狙った攻撃が頻発しており、世界中でさまざまな被害が出ています。
対策としては、必ずウイルス対策ソフトの導入をすることや、更新プログラムを最速で導入するように心がけたり、不審なファイルは一切開かないといった基本的な対策を徹底させることが挙げられます。
以下の記事では、サイバー攻撃に対処する手段の一つとしての「ぜい弱性診断」について詳しく解説しています。
ルートキット攻撃
ルートキットとは、攻撃者がターゲットのパソコンのコントロールを奪うための不正プログラムのパッケージのことをいいます。
複数のプログラムを連携させてネットワークへの侵入を隠蔽したり、バッグドアの作成、あるいは侵入の痕跡を消すなどして攻撃しやすい環境を整え、最終的にターゲットとなるパソコンの管理者権限を奪うことを目的としています。
それによってパソコン上にあるパスワード情報が盗まれたり、WEBサイトの改ざん、もしくは他のパソコンを攻撃するための踏み台にされたりする危険もあります。
プログラム同士が複雑に連携しているため、感染してしまうと発見が難しいのが特徴なので、ルートキットの侵入を防ぐソフトウェアをインストールするなどして、まずは侵入予防に努める必要があるでしょう。
事前にシステムのバックアップをとっておくことも有効です。
ブルートフォースアタック
ブルートフォースアタックは別名「総当り攻撃」などと呼ばれ、パスワード解析方法のひとつです。
理論的に考えられるパスワードや暗証番号のパターンをすべて入力して解読を試みる方法であり、これによってターゲットのネットワークに潜り込んで内部情報の改ざんをしたり、機密情報を盗み出したりします。
人間が一つひとつ試していく方法では手間が掛かりすぎて現実的ではありませんが、現在は比較的短時間で簡単に実行できるツールが多く存在しますから、けっして侮ることはできません。
対策としては、暗証番号やパスワードなどを複雑で推測されにくいものに変更したり、重要ファイルのパーミッションを変更したりするといった方法が考えられます。
SQLインジェクション
SQLインジェクションとは、外部データベースと連携しているWEBサイトのデータベースへの操作を行うプログラムに対して、攻撃者がサイトの入力画面からSQLの断片を与えることによって、データベース内の情報を改ざんや盗難を行います。
マルウェアなどのように、事前に攻撃ターゲットに不正ファイルやアプリケーションを仕込むことなく実行できるため、SQLインジェクションにぜい弱性を持つサイトは、突然攻撃を受けて重要情報を盗み出されてしまう可能性もあるので要注意です。
対策としては、定期的にサイト全体のぜい弱性検査を実行しつつ、不正な入力値による処理を拒否する設定にしたり、データベースアカウントの権限を最小限にしたりするといった方法が考えられるでしょう。
クロスサイトスクリプティング
ブログや掲示板、あるいはECサイトなどはユーザーが自ら入力した情報をそのまま出力することになりますが、そういったWEB上のアプリケーションに対してまずは悪意のあるスクリプトが紛れ込ませます。
そして、それをユーザー環境で実行させることによってIDやパスワードを含む個人情報を盗み出すような攻撃をクロスサイトスクリプティング(XSS)といいます。
たとえば、ユーザーに悪意のあるスクリプトを埋め込んだリンクをクリックするように誘導し、リンク先を閲覧したブラウザでそのプログラムを実行させるといった方法がとられるケースが多いです。
対策としては、サーバ環境やWEBアプリケーションを最新の状態にして、ぜい弱性が生まれにくい環境を整えることが挙げられます。
サイバーテロへの日本での対策
日本はサイバー攻撃の標的にされることが多く、国内外から常に何らかの攻撃を受けているといっても過言ではない状態です。
一般企業でも必要となるセキュリティ意識
サイバーテロへの対策は官公庁のみならず日本の一般企業でも考えなくてはならない重要なトピックです。
とくに電力やガス、金融などの社会的インフラを支えている企業は、常にサイバーテロのリスク晒されているという自覚をもつ必要があるでしょう。ひとたび攻撃を受ければ、日本社会に甚大な被害をもたらすことが目に見えており、攻撃者もそういった企業を重点的に狙ってくる可能性が高いからです。
そして重要なことは、日本で実際に起こっているサイバー攻撃の9割以上が、ソフトウェアのアップデートや日常的なログ監視、IDやパスワード管理の徹底といった基本的な対策で防ぐことができるといわれていることです。
逆に言えば、セキュリティ意識の甘い企業から被害が出ているということなので、ビジネス規模の大小に関わらず、まずはセキュリティに関する基本的な知識をもつことから始める必要があるでしょう。
以下の記事では、サイバーセキュリティ対策についてより詳しく解説しています。
サイバー攻撃対策サービス3選
最後に、これまで説明してきたようなサイバー攻撃を防ぐためのセキュリティサービスについて、代表的なものを紹介します。
また、今回紹介するWAF製品や紹介しきれなかったものについてはこちらからご覧になれます。
攻撃遮断くん - 株式会社サイバーセキュリティクラウド
- 国内導入実績・導入サイト数No.1
- あらゆる規模のWEBサービスに導入可能
- 充実したサポート付き
攻撃遮断くんは、国内での導入実績・導入サイト数No.1のクラウド型WAFです。
サーバやサイトへのさまざまな攻撃を遮断し、重要な情報の漏えいや改ざん、DDoS攻撃などの脅威からユーザーを守ってくれます。サイト数やトラフィック量に関わらず一定額で利用でき、24時間365日の手厚いサポート体制が敷かれているのが魅力です。
WAFサービスのなかでも、もっとも有名なサービスといっても過言ではないでしょう。
以下の記事では、攻撃遮断くんの仕組みや使い方についてより詳しく解説しています。
secuWAF - 株式会社セキュアイノベーション
- 自動でアップデートされる強力なセキュリティ機能
- WAF以外のセキュリティ対策も搭載
- 一般的なクラウドWAFと比べセキュリティ機能が充実
secuWAF(セキュワフ)は、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。
WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。
SCT SECURE クラウドWAF EXP - 三和コムテック株式会社
- 世界中で200万IP以上を診断
- WEBサイトを構成するさまざまな要素のぜい弱性を診断
- 充実したサポート体制
SCT SECURE クラウドWAF EXPは、200万IP以上の診断に利用されているエンジンを使用した実績のあるセキュリティマーク配信サービスです。
自社のWEBサイトのさまざまなぜい弱性を診断でき、さまざまな不正アクセスからWEBサイトを守ります。ぜい弱性の危険度レベルや解決方法、修正パッチのダウンロードサイトへのリンク情報などを知らせてくれるので、自社で最適な対策をとることができるようになります。
サイバーテロの危険性を理解し、企業として適切な対策を講じる
近年、世界的に被害が増え続けているサイバーテロについて、国内外の状況から東京五輪の開催に伴うリスクの高まりについて解説してきました。
残念ながら、日本企業のセキュリティ意識は諸外国に比べてまだまだ低いと言わざるを得ないのが現状です。
しかし、繰り返しになりますが、サイバーテロの被害の9割以上は基本的な対策をしておけば十分防ぐことのできるものです。企業のセキュリティ担当者やシステム管理者は、ぜひこの事実を真剣に受け止め、自社のセキュリティ意識を高めるための方法を考えてみてください。
以下の記事では、おすすめのWAF製品や、WAFを選ぶ際に見るべきポイントを解説しています。
ぜひご覧ください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査