攻撃対象は企業とは限らない!セキュリティ攻撃の脅威

攻撃対象は企業とは限らない!セキュリティ攻撃の脅威

皆さん、こんにちは。 前回まではセキュリティ対策の概念を見てきました。

本日から十数回にわたり、具体的な攻撃の仕組みをご紹介いたします。 情報資産を守るための最初のステップは、攻撃の原理を知ることです。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

脅威とリスク

情報セキュリティにおける脅威とは、会社や組織の情報やシステムに、 損害や悪影響をもたらす潜在的な危険のことです。

脅威には「人為的脅威」と「環境的脅威」がありますが、 人為的脅威の中でも特に意図的な脅威のことをここでは念頭に置いています。

意図的脅威をもたらす人間を脅威エージェントといいます。 脅威エージェントは、コンピューターやシステムの脆弱性を悪用して攻撃を仕掛けてきます。 そして、情報漏洩などの情報資産の損害をもたらすリスクを引き起こします。

増加する脅威

総務省の「情報セキュリティに関する脅威の動向」によれば、 情報セキュリティ企業のMcAfee(マカフィー)社のデータベースに登録されるマルウェア(ウィルスなど悪意あるプログラムの総称)の種類は、 1ヶ月あたり約300万検体というペースで増えています。

また、情報処理推進機構(IPA)によれば、 2014年にIPAに報告された標的型サイバー攻撃の件数は、2013年に比べ5.2倍に増加しています。 標的型サイバー攻撃とは、攻撃対象の情報システムの内部に侵入し、有益と思われる情報を窃み出すものです。

拡大する攻撃対象

攻撃対象は企業・組織はもちろん、国家レベルの機密に対する攻撃も年々増え、 さらには個人の情報や金銭に対する攻撃まで広く行われています。

ウイルスによるインターネットバンキングの不正送金被害被害の急増や、 組織が保有する情報資産を狙ったハッキング等のサイバー攻撃など、 サイバー攻撃の被害はますます深刻化しています。

個人情報に関する被害としては、モバイル端末の普及によって攻撃対象が拡大していることに注目すべきでしょう。 スマートフォンは高性能であるだけに、マルウェアのターゲットとなる危険をはらんでいます。

スマートフォンへの攻撃の例としては、 公式のアプリ配信サイトでアプリに偽装したマルウェアが発見されることがあります。 このようなアプリは発見され次第削除されますが、公式配信サイトだからと油断して ダウンロードしてしまうユーザーも少なくないでしょう。

公式配信サイトにおけるマルウェアのチェック体制の強化も必要ですが、 スマホのアプリのダウンロードにはそのような危険が伴うという、 一般ユーザーの意識も重要になってきます。

攻撃は外部からとは限らない

総務省によれば、近年発生した情報漏洩などの侵害事例の原因は、 組織の外部からの攻撃によるものが多い傾向にあるということです。

しかし、サイバー攻撃は、外部からのものだけではありません。 内部者により攻撃が行われることもあり、組織の内外を共に睨んだセキュリティ対策が求められています。

さまざまな脅威

コンピューターやシステムの脆弱性を悪用する脅威としては、以下のようなものがあげられます。

不正アクセスによる脅威

システムの脆弱性をついて内部に侵入し、機密性や完全性の喪失、データの漏洩などをもたらします。

ブラウザにおける脅威

ブラウザに潜む脆弱性を悪用し、パソコンをマルウェアに感染させます。

アクティブコンテンツによる脅威

アクティブコンテンツとは、ホームページなどの閲覧時に使用される対話型または動画のコンテンツで、 JavaScriptやFlashなどがその代表例です。アクティブコンテンツの脆弱性を悪用した攻撃がなされることがあります。

外部コンテンツによる脅威

ハイパーリンクやデータ接続を通じて悪意あるマルウェアがパソコンに侵入することがあります。

ゼロディ攻撃による脅威

ゼロディ攻撃とは、脆弱性が発見されたものの、まだパッチ(脆弱性を修正するプログラム)が 提供される前の段階であり、その脆弱性を利用した攻撃のことです。

次回はマルウェアの特徴についてご紹介いたします。