| No. | サイバー攻撃種類 | 説明 | |||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | DDoS攻撃 |
大量のPCから一斉に攻撃(Webサイトに集中的に要求、多量なデータ送信など)し、アクセスできない状態とする。 人気コンサートのチケットがネットで取りにくい状態と同じ。 ・協調分散型(乗っ取ったPCから一斉攻撃) ・分散反射型(複数のPCへ要求を出し、その結果、ターゲットPCへアクセスが集中させる方法) |
|||||||||||||||||||||||||
| 2 | ソフトウェアの脆弱性悪用 |
要はセキュリティホール。ソフトのバグや設計ミスが原因でセキュリティ上の欠陥。 この欠陥を悪用して攻撃される。 オープンソースでは悪意を持って埋め込み、拡散したところで仕掛けるといった計画性のある輩もいる。 脆弱性情報データベースで公開されている。最新のパッチを当てるなどの対策をとる。 |
|||||||||||||||||||||||||
| 3 | ランサムウェア |
ディスクを暗号化して、復号と引き換えに身代金を請求する。 敵はまずバックアップを暗号化してから、メインを暗号化していき、気づいた時にはバックアップも駄目! |
|||||||||||||||||||||||||
| 4 | バッファオーバーフロー | プログラムの欠陥を悪用して、内部データのオーバーランを起こさせ、プログラムやデータの改ざんを行い、不正コードを実行させる。 | |||||||||||||||||||||||||
| 5 | パスワードリスト攻撃 |
昔は、総当たりログインのブルートフォース攻撃や候補となりやすいキーワードのディクショナリアタックが主流だったが、3回間違ったらロックする対策もあり、最近は、闇サイトで取得したパスワード情報を元に、人は同じパスワードを使いまわすことを利用して、簡単にログインできてしまうらしい。
なので、最近は、二段階認証が多い。 |
|||||||||||||||||||||||||
| 6 | パスワードハッシュ攻撃 | 管理者権限(Admin)のパスワードハッシュを盗み、会社などのPCは、管理者のパスが同じことが多いことで、すべてのPCにログインできてしまう。 | |||||||||||||||||||||||||
| 7 | フィッシング攻撃 |
メールに記載されているURLをクリックさせ、本物そっくりなサイトでログインさせ、パスワードを盗む。 メールのリンクをクリックするのではなく、ブラウザからサイトを見て確認すれば、漏れなくメールの内容がはったりだということがわかるだろう。 |
|||||||||||||||||||||||||
| 8 |
スクリプト攻撃 (クロスサイトスクリプティング) |
Webアプリで動的にHTMLをすることもあり、脆弱性があれば不正なスクリプトを仕込む可能で、別のサイトを利用させることができてしまう。 Cookieの摂取や書換による被害はやばい。 |
|||||||||||||||||||||||||
| 9 |
スクリプト攻撃 (SQLインジェクション) |
WebページからSQLを使ってサイトのDBにアクセスする際、脆弱性を利用して違うSQL文を実行させる。 DB更新や削除、情報を抜き出すことも可能となる。 |
|||||||||||||||||||||||||
| 10 | コマンドインジェクション攻撃 |
WebアプリにOSコマンドを実行する処理を悪用してアクセス権限が付与されていたら深刻なダメージを受ける。 OSコマンドを利用する場合、セキュアコーディングで検出すべき。 |
|||||||||||||||||||||||||
| 11 | 権限昇格攻撃 | 管理者権限の取得できてしまう脆弱性は頻繁に発見され対策プログラムがアップされている。 | |||||||||||||||||||||||||
| 12 | ディレクトリトラバーサル | ファイル指定の箇所に相対パスも含めるように改ざんして、本来、アクセスできないディレクトリから盗む。 | |||||||||||||||||||||||||
| 13 | クロスサイトリクエストフォージェリ |
罠のWebサイトをアクセスするとターゲットとなる別のサイトへの不正リクエストを知らないうちに勝手に送りつけてしまう。
ログインしたままの状態で、信頼のないサイトをアクセスしないこと。 Webアプリは再度ログインさせたり、リクエストしたことをメール送信するなどの対策をする。 |
|||||||||||||||||||||||||
| 14 | 認証回避 | 偽りのプロキシサーバで認証済みのセッションを盗むことで、 攻撃者がバイパスしてログインできてしまう。 | |||||||||||||||||||||||||
| 15 |
ゼロディ攻撃 (zero day) |
誰よりも脆弱性を早く見つけて攻撃すること。 パッチが出るまでどうするか・・・ サンドボックスで挙動を確認したり、 EDRで不審な挙動などの報告から異常検出したり、 対策を講じることになる。 |
|||||||||||||||||||||||||
| 16 | ビジネスメール詐欺 |
なりすまして、金銭を騙し取るサイバー攻撃。 用意周到な準備でメールを送り付け、振込先を変える。 迷惑メールである程度排除できるが、最終的にはメールを受信した人の判断となるので、教育が必須。 |
|||||||||||||||||||||||||
| 17 | 内部不正の脅威 |
内部の人間が、外に情報を漏らす(不注意、魔がさす、故意) アクセス権限、情報の持ち出し制限などを徹底する。 |
|||||||||||||||||||||||||
| 18 | サプライチェーン攻撃 |
大企業の下請け会社を狙った攻撃。 セキュリティが手薄となる中小企業を狙って、 ランサムウェアなどで業務停止に追い込み、グループ全体の機能を停止させる。 入り込んだ中小企業のPCからリモートで大企業に入り込むことを可能。 |
|||||||||||||||||||||||||
| 19 | ソーシャルエンジニアリング |
人間の心理面を狙った古典的な方法だが、対策が難しい。 ショルダーハッキング・・・PC画面をこっそり覗き込んで情報を盗む。 トラッシング・・・社内から出る物理的なゴミを漁って、情報を盗む。 スケアウェア・・・ウィルス感染と連絡先をPC画面に表示し、個人情報を盗む |
|||||||||||||||||||||||||
| 20 | セキュアコーディング |
サイバー攻撃に耐えれるプログラムを作る。 ガイドラインがいくつか公表されているのを検討する。 |
|||||||||||||||||||||||||
| 21 | ダークウェブ |
闇サイト。 Torなど匿名化ソフトでアクセスする。 違法な売買、個人情報の売買、シティーハンター的な仕事の請負 |
|||||||||||||||||||||||||
| 22 |
検索エンジンShodan (ショーダン) |
インターネットに繋がる機器を探す検索エンジン。 Shodanでバージョンなども調べることができるので、ハッカーが利用して攻撃できる相手を探せる。 |
|||||||||||||||||||||||||
| 23 | 不正プログラム |
|
| No. | サイバーセキュリティ対策の進め方 | 説明 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 原則 |
セキュリティ対策をする目的は、要因となるリスクを回避すること ・セキュリティ対策をすることで自社の信用度が上がる。 ・オールマイティなセキュリティ製品はない? ・対策したいリスクに対するセキュリティ製品を導入していく。 |
||||||||||||||||
| 2 | リスクアセスメント |
リスクの現状を把握する。 リスク特定➡リスク分析➡リスク評価(脅威×脆弱性×影響を数値化) ※中途半端は後々問題なることが多い。 数値化し、閾値を設けることで対策の要否を判断する。 ・シングルポイントの列挙 |
||||||||||||||||
| 3 | 対策へのアプローチ |
リスク対応のタイプ ・低減・・・リスクを下げる対策を講じる ・回避・・・問題となるものを禁止する ・移転(共有)・・・保険に入るとか ・受容(保有)・・・可能性が低いので、様子見 |
||||||||||||||||
| 4 | セキュリティ管理vsセキュリティ対策 |
・セキュリティ管理・・・基本方針、組織体制、リスクアセスメント、教育計画、運用、監査 ・セキュリティ対策・・・運用ルールの規定と遵守、セキュリティ製品の運用リスクなどの軽減するための手段 |
||||||||||||||||
| 5 | 組織的対策 |
重大なセキュリティインシデントが発生した時 ・いつ、誰が、何を、どのようにっといた具体的な内容を決める。 ・調査や支援を得るベンダーなどとの連絡先を明確にする。 |
||||||||||||||||
| 6 | 人的対策 |
・雇用前・・・守秘義務契約書 ・雇用期間中・・・教育計画、訓練 ・雇用終了・・・秘密保持誓約書 |
||||||||||||||||
| 7 | 技術的対策 |
最新情報のチェックを怠らない。
|
||||||||||||||||
| 8 | 物理的対策 |
・サーバ室、作業エリアの入室管理 ・地震、火事、水害への配慮 ・LANケーブルを差せなくする |
||||||||||||||||
| 9 | 情報資産の管理 |
守るべき情報は何か、把握しておく。 その情報を扱える人物を制限する ・社外秘、部外秘なのレベル分けをして、管理方法を決める。 |
||||||||||||||||
| 10 | システムへの対応 | ・既存システムや新規開発システムにセキュアコーディングを行う。 ・バックアップ(BCP。災害を考慮して、別拠点でバックアップする) | ||||||||||||||||
| 11 | ネットワークへの対応 |
ファイアウォール、VPNなどのリモート接続の認証、アクセス制御、フィルタリング ・ネットワークにどんな機材があるか把握(インシデント発生時に切り離しの判断に利用) ・ネットワークの分割(被害を最小限、時間稼ぎも可能) |
||||||||||||||||
| 12 | 利用者への対応 |
・利用者のアクセス管理・・・不要なユーザは削除 ・パスワード管理・・・パスワードポリシーの見直し ・特権の管理・・・必要最低限。一時的な付与 |
||||||||||||||||
| 13 | 対策の切り札となるゼロトラストモデル |
ファイアウォールなどの壁を作っての境界防御にも限界がある。内部からの攻撃も多い。 誰も信用できないという考え方に基づき、セキュリティ侵害を早期検出を重視する。 ・すべてを信用しない。 ・常に認証(SSOと反する)。 ・細かくアクセス権設定。 ・トラフィック監視。 ・異常検出時自動停止。 |
||||||||||||||||
| 14 | インシデントレスポンス |
・侵害検出後、初動対応を実施する(ネットワークから切り離す) ・インシデント対応チームを立ち上げ、原因を究明。 ・その後、復旧(バックアップに切り替えなど) |
||||||||||||||||
| 15 | BCPとの連携 |
ある拠点にサーバが集中していては、大地震や火事や回線切断等でサーバが使えない時に、
バックアップの機材とデータがあれば、事業活動が停止することはない。 重要なのは、スムーズに切り替えれるか訓練もしておくこと。 |
||||||||||||||||
| 16 | ペネトレーションテスト |
年に1回は実施したほうがいい。 ・DDos攻撃(ファイアウォールやサーバは大丈夫?) ・ポートスキャン ・Kali Linux(カーリー)・・・ホワイトハッカー御用達。300以上のツールが同梱のフリーOS |
||||||||||||||||
| 17 | セキュリティ教育の重要性 |
人的対策で重要。 ・初期教育 ・自覚教育・・・個人のセキュリティ意識を高める ・専門教育・・・セキュリティ管理のメンバーは勉強会や外部セミナーなどで前進あるのみ |
||||||||||||||||
| 18 | 脆弱性情報の取得 |
・JPCERTコーディネーションセンターと情報処理推進機構のJVNがお勧め ・自動収集したり、RSSフィードをメールアプリに登録するなど工夫しんとね |
||||||||||||||||
| 19 | 国際標準の活用 |
ISO/IEC27000ファイミリー 特にISO/IEC27032は、サイバーセキュリティのガイダンス |
||||||||||||||||
| 20 | 関連法令の遵守 |
サイバーセキュリティ基本法 ・不正競争防止法・・・秘密情報漏洩などの被害に対して、民事上・刑事上の措置が可能 ・不正アクセス禁止法・・・不正アクセスを助長する行為の禁止を目的とした法律 |
||||||||||||||||
| 21 | ファイアーウォール |
|
||||||||||||||||
| 22 | SSLサーバ |
データを暗号化、通信相手を認証する。 HTTP+SSL ➡ HTTPS |