企業に対するサイバー攻撃は、年々増加しています。多くの企業がインターネットを活用し取引を行っているため、顧客情報や企業秘密などを盗み、悪用しようと考える人が後を絶たないからです。
適切なサイバー攻撃の対策を取らないと、サーバーがダウンし正常にサービスが提供できない状態の発生や、意図しない情報流出の結果、企業の信用低下を招き、場合によっては損害賠償を求められるといった被害にあう可能性があります。
ここでは、サイバー攻撃の種類と対策についてご紹介します。
サイバー攻撃とは何か?
サイバー攻撃とは、ネットワーク上に存在する企業・団体・個人などのサーバーやコンピューターに侵入して、データを盗み出すほかに、データの破壊・改ざんをすることです。近年は世界規模でのサイバー攻撃も発生し話題になりました。これまでに数多くの企業が標的になり、実際に被害にも遭っています。
ニュースで取り上げられるのは大企業や行政機関、医療機関などの場合が多いですが、個人も被害に遭っており、その対象は大小問いません。どのような企業においても、サイバー攻撃に対する危機管理は今や重要となっているのです。
サイバー攻撃の目的
サイバー攻撃を行う側の目的としては、金銭を得ることがまず挙げられます。サイバー攻撃により入手した情報の転売、強制的に暗号化した上での暗号化解除に伴う金銭要求、クレジットカード情報を奪った上での不正使用といった形で金銭を得るのです。
また、情報漏えいやサーバーダウンによる信用失墜、実害を引き起こすことを目的としたサイバー攻撃もあります。中には単なるいやがらせや、スキルを誇示したいだけといった目的のサイバー攻撃があるなど、その目的は多岐にわたっているのが現状です。
サイバー攻撃の種類
サイバー攻撃には、複数の攻撃手段があります。ここからは、主なサイバー攻撃の種類をご説明します。
SQLインジェクション
現在では、ネットショップを含むほとんどのWebサービスがDB(データベース)システムと連携しています。利用者が入力した各種情報なども、DBシステムに保存されています。
そこで、利用者が入力した情報をシステム内部で処理するとき、SQLと呼ばれるDBを操作する言語を使用してDBを操作します。しかし、システムのセキュリティに不備があると、悪意のあるSQLを実行することができます。
こうしたシステム制作側の意図しないDB操作による攻撃が、SQLインジェクションです。不正にDBのデータを読み取られる、改ざん・削除されるといった被害にあう可能性があります。
DDos攻撃
DDos攻撃とは、対象のコンピューターに対して複数のマシンから一斉に大量の処理負荷を与えて、対象のシステムをダウンさせる攻撃です。悪意ある第三者に乗っ取られた複数のPCが攻撃をしかけることがほとんどなので、DDos攻撃を行っているPCの所有者自身も、攻撃に気がついていないことが多いです。
マルウェア
マルウェアとは、コンピューターの利用者にとって不正に有害な動作をさせるために作られた悪意のあるソフトウェアやコードの総称です。ウイルスやトロイの木馬、ワームなどがあります。例えば、受け取ったメールにファイルが添付されていると、ついつい開いてしまいがちです。そこで画像や文書ファイルに偽装したマルウェアを仕込み、外部からシステムを操作するのです。
クロスサイトスクリプティング(XSS)
企業や団体が利用者に対してWebコンテンツを提供するとき、「動的Webページ」という技術を使って、訪問したユーザーに合わせてデザインやコンテンツを変えることで、ユーザビリティを高めています。この動的Webページの脆弱性をついて、攻撃をしかけるのが、クロスサイトスクリプティングです。主に、攻撃者がしかけた不正なURLをクリックしてしまったときに、不正なスクリプト(簡易的なプログラム)が実行されます。
標的型攻撃
愉快犯によるサイバー攻撃ではなく、明確な目的を持ったプロが特定の組織や団体に対して行うサイバー攻撃を標的型攻撃といいます。最も普及している方法としては、偽装メールと不正プログラムを組み合わせることによって、情報の取得を行う手法です。件名が「(緊急事態です。至急この資料に目を通してください!)のように書かれたメールの文書ファイルを開くと、実は文書ファイルに偽装した不正プログラムであったため、データが不正に取得されてしまった」といった事例が非常に多く存在します。
まとめ
サイバー攻撃は種類が多いのと同時に、いつ自分が標的にされるか分かりません。自分たちは狙われるような組織ではないと考えていても、実際マルウェアに感染することによって、知らぬ間に攻撃の加害者になる可能性もあります。そうならないために、決して他人事として考えることなく、最適なサイバー攻撃の対策を取ってください。