【年末年始休業のお知らせ】
12月25日~1月5日まで休業
第3回 セキュリティ機能を過信しないで!

防げないサイバー攻撃の脅威

防ぎきれないから、サイバー犯罪が後を絶たないのです

今回は、スマホやパソコンのユーザーがどんなに気をつけていても、防ぐことが不可能なサイバー攻撃、または予防が困難というサイバー攻撃について説明します。
ここで紹介する脅威は理論上の話ではなく、これまでに幾度となく発生している現実の話です。
この記事を読んで、コンピュータやインターネットに潜むリスクが、とても身近なものであることを認識してください。

ゼロデイ攻撃

ゼロデイ攻撃とは、わかりやすく簡単に説明すると、防御するための修正プログラム(修正パッチ)が提供される前に実行されてしまう攻撃のことです。
修正パッチの図
脆弱性の修正プログラムが提供されていない状態(ノーガードの状態)で攻撃を受けると、攻撃を防ぐことができません。
また、修正プログラムが提供された後であっても、ユーザーが面倒臭がって修正パッチ適用を怠っている場合にも、当然のことながら攻撃を防ぐことができません。

中間者攻撃・ネットワークに対する攻撃

今日ではコンピュータウィルスの脅威が広く一般に認知されていて、パソコンやスマホに対する直接攻撃を防ぐために、ウィルス対策アプリをインストールするなどといったセキュリティ対策を行うことは一般的となっています。
しかしネットワークに対するセキュリティ対策については、ほとんどの一般家庭や中小企業では実施されていない状態です。
ネットワークに対して攻撃を受けると、次の図のようにして情報の漏洩・窃取・改ざんが起こってしまいます。
①通信傍受(盗み見)の図
②不正なルーティングの図
③通信先のなりすましの図
また、通信内容を改ざんすることで、被害者のパソコンやスマホにウィルス等の不正プログラムをインストールすることもできてしまいます。
通信内容の改竄の図
このような重大なリスクが潜在しているにも関わらず、ほとんどの家庭や中小企業では何らの対策も行っていないのが現状です。
その理由は・・・
■そもそもこのようなリスクが有ることを知らず、ネットワークセキュリティの重要性も知らない。
■ネットワークのセキュリティを強化するためには、セキュリティ・サービスの業者と継続的な契約をする必要があり、ランニングコストがかかってしまうため導入をためらっている。

次のような場合には、あなたのネットワーク環境は危険だと言い切れますので、今すぐに対策をご検討ください。
■ルーターを初期設定のまま使用している。→基本的なセキュリティ設定が実施されていないため、非常に危険。
■インターネットの回線業者などに設置してもらっただけで、セキュリティ業者の診断や対策は実施していない。→上記と同様
■企業において、家庭用のネットワーク製品などを使用している。→そもそも用途が違う。家庭と企業では必要なセキュリティ機能が異なる。

そしてネットワークの問題は、ユーザー側のネットワークだけなく、通信相手のネットワークや通信経路も対象となります。
ユーザー側のネットワークには、ユーザー自身でセキュリティ対策を施すことができますが、そうでない箇所にはユーザーは手を加えることができません。
つまり、ユーザーがどうすることもできない危険性が潜在しているのです。

通信先への攻撃

今日では、スマホやパソコンなどの端末は必ずと言っていいほど、どこかのサーバーやクラウドと同期されています。
(例えばメールはメールサーバと、LINE等のアプリは運営元のサーバと、iPhoneはAppleのサーバと、AndroidはGoogleのサーバと、などなど。)
そしてスマホやパソコンに保存・設定されているデータや情報は、その同期先のサーバーやクラウドにも保存・設定されています。
スマホやパソコンのデータ同期の図
攻撃者が被害者のスマホやパソコンのデータや情報を覗き見ようとするとき、スマホやパソコンに直接攻撃を行わなくても、同期先のサーバーやクラウドに侵入することによって目的を達成できてしまうのです。
これは同期先のサーバーやクラウドに対する攻撃ですので、ユーザー側でセキュリティ対策を施すことができません。
つまりユーザーがどうすることもできない問題なのです。
代表的な攻撃方法として、次のようなものがあります。

①不正アクセス

最も単純な攻撃は、被害者のID・パスワードを盗用して通信先に侵入する「不正アクセス」というサイバー攻撃です。
この攻撃を行うのはとても簡単です。
コンピュータの特別な知識など必要ありません。
被害者のID・パスワードを盗み見たり、推測したりすれば攻撃できてしまうのです。
誰でもできるほどに簡単だから、非常に多くの被害が発生しています。

②Webアプリケーションの脆弱性を悪用する攻撃

サーバーから情報を盗み出す攻撃、または、不正な処理を引き起こして情報を盗み出す攻撃です。
これを実現する代表的な攻撃方法として、次のようなものがあります。
セッションハイジャック - 通信先と接続する権限を奪い取る攻撃
SQLインジェクション - 通信先のデータベースから情報を盗み出す攻撃
XSS(クロスサイト・スクリプティング) - 通信先と端末に不正な動作をさせる攻撃

③OSやサーバーアプリケーションを乗っ取る攻撃

このサイバー攻撃は最も深刻なもので、特定のユーザーだけが被害を受けるのではなく、サーバー全体に被害が及ぶ危険性があります。
サーバーを完全に乗っ取ったり、サーバーの中のデータを全て盗み出したりも可能になってしまうのです。
これを実現する代表的な攻撃方法として、次のようなものがあります。
バッファオーバーフロー - サーバーや管理端末に不正な動作をさせる攻撃
認証回避 - サーバー管理ツールやデータベースの認証を回避する攻撃
標的型攻撃 - サーバー管理者や関係者、またはその者たちが使用する端末から認証情報等を盗み出す攻撃

ベンダー側(製品やサービス等の提供側)の問題

①ホームページを見ただけでウィルス等に感染する例

「アダルトサイトなど、怪しいホームページを見なければ大丈夫でしょ?」
と勘違いをしている人が多くいますが、残念ながら脅威はそれだけではありません。
確かに、アダルトサイトなどのアンダーグラウンドな内容のWebサイトが問題を引き起こすことがよくあるので、それは警戒するべきだと思います。
しかしもっと恐ろしいのは、ウィルスとは無縁と思われる正当なホームページに脅威が潜んでいるケースです。
例えば有名企業のWebサイトや、広く一般に人気のあるWebサイトなど。
それらのホームページからウィルス感染してしまうことがよくあるのです。
その原因として次のような事例が多くあります。
1,ホームページがサイバー攻撃を受けて、不正なプログラムが設置されてしまった事例。

2,ホームページに掲載されている広告枠で、不正なプログラムが混入した広告を配信されてしまった事例。

3,ホームページの運営に関係する者(運営会社の社員や、委託先の社員など)の端末がウィルスに感染し、そこからホームページにも感染が拡大してしまった事例。

②アプリや製品にウィルス等が混入していた例

1,アプリや製品の提供過程でウィルス等が混入してしまう事例。

2,製品に搭載される部品・モジュール等にウィルス等が混入していた事例。

3,製造元の社員や委託先の社員などの不正による事例。

4,製造元がユーザー情報を不正に取得する目的で、意図的に不正なプログラムがインストールされている事例。
これらの問題の原因はベンダー側にあるので、ユーザーが完璧に防御することは不可能です。
どんなに気をつけていても、運が悪ければ被害にあってしまうことなのです。

ヒューマンエラー

どんなに論理的にセキュリティを強化しても、それを扱う人間がミスをしてしまったら、セキュリティが正常に働きません。
近年ではヒューマンエラーを狙った「ソーシャルエンジニアリング」という手法も蔓延しています。
→ ソーシャルエンジニアリングの解説

上記は事例の一部であり、この他にも問題が山積みという現状です。

いかがでしょう。
ここまでお読みいただけたら、ウィルス対策ソフトだけでは不十分であること、ユーザーがどうすることもできない問題が多々あることをお分かりいただけたかと思います。
今後このセキュリティ講座では、どうすれば被害を防げるようになるのか、または被害を最小限に抑えられるようにできるのか、というセキュリティ対策についての説明記事を公開していきます。
そちらの記事も合わせてお読み頂き、コンピュータセキュリティの基本をご理解いただけたら幸いです。
(現在は記事作成中で、近日公開予定ですので、公開までしばらくおまちください。)