- WordPressのサイトが受けるサイバー攻撃の種類には何があるの?
- サイバー攻撃はどう対策すればいい?
という人のために、WordPressのサイトが受けるサイバー攻撃の種類と対策を解説します。
- 1.前提条件・事前準備・参考記事
- 2.攻撃者の攻撃目的・対象・形態
- 3.サイバー攻撃の手段
- 3-1.物理的な攻撃
- 3-2.人への攻撃
- 3-3.サイバー攻撃
- 3-3-1.サイバー攻撃の定義(マルウェア)
- 3-3-2.マルウェアの侵入対象
- 3-3-3.マルウェアの感染経路
- 3-3-4.マルウェアの機能
- 3-3-4-1.隠れて活動する(回避技術)
- 3-3-4-2.高速で活動する(ワーム)
- 3-3-4-3.セキュリティソフトの状態を把握し、変更する
- 3-3-4-4.マルウェアをダウンロードする(ダウンローダー)
- 3-3-4-5.システムの脆弱性を攻撃する(エクスプロイト)
- 3-3-4-6.侵入経路を確保する(バックドア)
- 3-3-4-7.デバイス・サーバーの管理権限を得る
- 3-3-4-8.秘密情報を収集し、外部に送信する(スパイウェア)
- 3-3-4-9.遠隔操作する
- 3-3-4-10.デバイス・サーバーの内部・外部を調査する
- 3-3-4-11.攻撃拠点にする
- 3-3-4-12.迷惑メールを送信する
- 3-3-4-13.データを改ざんする
- 3-3-4-14.不正な情報を追加する(ドロッパー)
- 3-3-4-15.時限式(ロジックボム)
- 3-3-4-16.クリック箇所を増やす
- 3-3-4-17.強制アクセス(クリッカー)
- 3-3-4-18.ユーザーに要求する
- 3-3-4-19.凍結・破壊する
- 3-3-4-20.IPアドレスを変更し、使う(プロキシ)
- 3-3-4-21.検索エンジンを変更する
- 3-3-4-22.仮想通貨採掘
- 3-3-4-23.デバイス・サーバーのリソースを使う
- 3-3-5.マルウェアの大枠の種類
- 3-3-6.マルウェアの種類
- 3-3-6-1.スパイウェア
- 3-3-6-2.バッドウェア
- 3-3-6-3.ダウンローダー型
- 3-3-6-4.EMOTET(エモテット)
- 3-3-6-5.ルートキット
- 3-3-6-6.エクスプロイト(エクスプロイトキット)
- 3-3-6-7.ファイルレスマルウェア
- 3-3-6-8.Blueborne(ブルーボーン)
- 3-3-6-9.ドロッパー型
- 3-3-6-10.ロジックボム(論理爆弾)
- 3-3-6-11.バックドア(RAT)型
- 3-3-6-12.迷彩型ゼウス
- 3-3-6-13.キーロガー(キーストロークロガー)型
- 3-3-6-14.パスワード窃盗型
- 3-3-6-15.プロキシ型
- 3-3-6-16.クリッカー型
- 3-3-6-17.アドウェア
- 3-3-6-18.ブラウザハイジャッカー
- 3-3-6-19.リモートアクセスツール
- 3-3-6-20.ボットウイルス
- 3-3-6-21.ランサムウェア
- 3-3-6-22.スケアウェア(ローグ)
- 3-3-6-23.バンキングマルウェア
- 3-3-6-24.ジョークプログラム
- 3-3-6-25.ダイヤラー
- 3-3-6-26.ワンクリックウェア
- 4.サイバー攻撃の種類
- 4-1.特定のターゲットを狙った攻撃(標的型攻撃)
- 4-1-1.標的型攻撃(Targeted attack)
- 4-1-2.APT攻撃(Advanced Persistent Threat:持続的標的型攻撃)
- 4-1-3.サプライチェーン攻撃(supply chain attack)
- 4-1-4.水飲み場型攻撃(watering hole attack)
- 4-1-5.ドライブバイダウンロード攻撃(Drive-by download attack:DBD)
- 4-1-6.クリックジャッキング攻撃(Clickjacking attack)
- 4-1-7.ビジネスメール詐欺(Business E-mail Compromise:BEC)
- 4-1-8.キーロガー攻撃(Keylogger attack、キーストロークロガー)
- 4-1-9.ランサムウェア(Ransomware)
- 4-2.不特定多数のターゲットを狙った攻撃
- 4-2-1.フィッシング詐欺(phishing)
- 4-2-2.ファーミング詐欺(Pharming)
- 4-2-3.DNSキャッシュポイズニング攻撃(DNS cache poisoning attack)
- 4-2-4.ドライブバイ・ファーミング攻撃(Drive-By Pharming attack)
- 4-2-5.スミッシング(Smishing)
- 4-2-6.ビッシング(Vishing)
- 4-2-7.リバースビッシング(Reverse Vishing)
- 4-2-8.ワンクリック詐欺(one-click fraud)
- 4-2-9.ゼロクリック詐欺(zero-click fraud)
- 4-2-10.ジュースジャッキング攻撃(Juice Jacking)
- 4-2-11.ディープフェイク攻撃(フェイクビデオ攻撃)
- 4-2-12.サイバースクワッティング(Cyber squatting)
- 4-2-13.中間者攻撃(MITM:Man In The Middle Attack)
- 4-3.負荷をかける攻撃
- 4-4.OS・ソフト・WEBサイトなどの脆弱性を狙った攻撃
- 4-5.パスワード関連のサイバー攻撃
- 4-1.特定のターゲットを狙った攻撃(標的型攻撃)
- 5.サイバー攻撃の対策
- 6.まとめ
1.前提条件・事前準備・参考記事
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.攻撃者の攻撃目的・対象・形態
2-1.攻撃者の目的
攻撃者の最終的な目的は、金です。愉快犯の場合は金ではないですが、少数です。
金を得るには、以下の種類があります。
- 直接金を奪う:銀行などのID、パスワードなどの秘密情報が必要。
- 脅して金を奪う:ターゲットが外に漏らしたくない情報が必要。
- ターゲットの持つ秘密情報を奪取し、活用する:ターゲットが保持する情報の取得が必要。
- ターゲットに必要な情報を破壊し、相対的に自分の価値を上げる:ターゲットのシステムの破壊が必要。
- ターゲットのブランドイメージを落とし、相対的に自分の価値を上げる:秘密情報の流出などが必要。
- 仕事の対価としての報酬を得る:顧客が必要とする秘密情報などが必要。
これらの目的を達成するには、以下の方面から攻撃します。
- 物理(Physical):ターゲットに物理的に接触する。建物に入る、通信を傍受する、など。
- 人(Human):ターゲットに関連する人に接触する。USBメモリを渡す、など。
- サイバー(Cyber):インターネットに接続した機器に、クラッキング(不正侵入やデータ改ざん)をする。
攻撃を効率的にするには、クラッキングが最適です。
誰に、どのようなクラッキングをするかが、攻撃者の腕の見せ所になります。
クラッキングに必要な情報がある場合は、闇業者から情報を買う場合もあります。
クラッキングが難しい場合は、物理、人の面からアプローチをします。
攻撃者はこれらの目的を果たす一方、仕事を継続するために、自分が犯人だという痕跡を無くさなければいけません。
そこで攻撃者は、他人のサイトを乗っ取る、他人にプログラムを実行させる、という方法を取ります。
プログラムはコピーできるので、複数台のサイトから特定のサイトへの攻撃も可能です。
「【私】が攻撃したんじゃないよ!」
「でも、攻撃する【私】は、自動的に、何人にも増えるぜ!」
というのがポイントです。
攻撃者は、攻撃する【私】がいるのに、【私】は犯人ではないから捕まらない、という矛盾した状況を作ります。
2-2.攻撃の対象
攻撃の対象は、以下の種類があります。
- 特定の個人や組織
- 不特定多数の個人や組織
- 不特定多数のシステム(サーバーなど)
2-2-1.特定の個人や組織
ターゲットが以下の場合、攻撃の対象になります。
- 大金を保持している、と判明している。
- 多数の個人情報や顧客情報を保持している、と判明している。
- 機密情報(車の設計図や極秘文書)を保持している、と判明している。
- 誰かにとって邪魔な存在である。
大企業になるほど、これらの条件を満たします。
あるいは、体制側にとって目障りな人物・団体なども、条件を満たします。
私怨の場合も条件を満たしますが、少数です。
サイバー攻撃はビジネスです。
採算度外視であれば、攻撃者の攻撃は必ず成功します。
が、それでは仕事になりません。
攻撃者は、報酬に応じた、より低コストな攻撃手段を用意する必要があります。
2-2-2.不特定多数の個人や組織
不特定多数の個人や組織を狙う場合は、特定のターゲットと異なり、弱い相手を優先します。
手順は以下になります。
- 無作為かつ広範囲に攻撃をする。(この時点で目的が達成する場合もある。)
- 有効な攻撃が通った相手には、さらに追い打ちの攻撃をする。
以下の場合、攻撃目的が達成しやすい、あるいは追い打ち攻撃の対象になります。
- デバイス(PC・スマートフォンなど)・サーバーのセキュリティが弱い:セキュリティソフトが無い、使い方がわかっていない、など。
- 秘密情報の管理が甘い:パスワードが同じ、など。
- フェイク情報の判断力が弱い:なりすまし電話にひっかかる、など。
2-2-3.不特定多数のシステム(デバイス・サーバー)
2-2-3-1.システムのターゲットの特徴
ターゲットとなる対象のシステムは、金銭などの奪取のターゲットになると同時に、攻撃者の手駒にもなります。
特定・不特定のターゲットに攻撃するには、攻撃手段を多数用意する必要があります。
そのため、不特定多数のシステムを自分の手駒にします。
また、第三者のシステムを手駒にすれば、自分が犯人だとバレないメリットもあります。
システムのターゲットは、以下になります。
- デバイス(PC・スマートフォンなど)
- サーバー(サイト・アプリなど)
デバイス(PC・スマートフォンなど)は、通常、電源がONの時だけ遠隔操作などが可能です。
サーバーは、掌握すれば、24時間の稼働が可能です。
2-2-3-2.デバイスとサーバーの違い
デバイスの種類であるPC・スマートフォンは、サーバーとほとんど違いがありません。
デバイスの一種である監視カメラなどは、システム内容が単純な為、PC・サーバーの劣化版と言えます。
PC・スマートフォンとサーバーの共通点は、以下になります。
- マザーボード、CPU、メモリー、SSD(/HDD)などから構成されている。
- マザーボード:各パーツを相互に連携させるための基盤組織。
- CPU(Central Processing Unit):中央処理装置。複雑な計算をする。
- メモリー:一時的な記憶装置。SSDの情報を読み出したり書き込んだりするする場所。
- SSD(Solid State Drive):長期記憶装置。メモリーに収まりきれない大量の情報を保存する。HDD(Hard Disk Drive)はSSDの劣化版。
PC・スマートフォンとサーバーの相違点(サーバーに求められる点)は、以下になります。
- 複数のユーザーが同時に使い、24時間連続稼働が前提。そのため、耐久性、処理能力、保存性、セキュリティ対策が必要。
- 耐久性:24時間連続稼働する。夏など高い気温による発熱に対応する。
- 処理能力:多くのクライアントからのアクセスがあっても問題なく稼働する。
- 保存性:データを保存する。
- セキュリティー対策:外部からの攻撃や情報漏洩を防ぐ。
2-3.攻撃者の形態
攻撃者は組織化・商業化されています。
攻撃者のレベルによりますが、本気で狙われたら、まずセキュリティは突破されると考えて良いです。
物理的に、例えばスパイを就職という形で潜入させられたら、情報漏えいは確定したようなもの。
数年かけて、物理的にも、人的にも攻撃されれば、防ぎようがありません。
一方、最終的な攻撃目標に攻撃するために、不特定多数の攻撃拠点を用意する場合もあります。
そのために、複数のデバイス・サイトに無差別攻撃をし、脆弱性のある(セキュリティが甘い)デバイス・サイトを見つけます。
脆弱性のあるデバイス・サイトは、乗っ取りや、マルウェアの設置などができます。
この意味で、攻撃の対象者として、脆弱性のあるデバイス・サイト(サーバー)が挙げられます。
3.サイバー攻撃の手段
攻撃手段は、以下の種類があります。
- 物理(Physical):ターゲットに物理的に接触する。建物に入る、通信を傍受する、など。
- 人(Human):ターゲットに関連する人に接触する。USBメモリを渡す、など。
- サイバー(Cyber):インターネットに接続した機器に、クラッキング(不正侵入やデータ改ざん)をする。
3-1.物理的な攻撃
特定のターゲットを攻撃する場合、クラッキングの調査・準備のため、物理的接触をします。
調査段階では、以下のような物理的接触をします。
- 建物に入り、どこに何があるか把握する。必要なら、受付などで聞き込みをする。
- 通信傍受機器の設置できる環境か。設置できるなら、どこに設置するか。
- 警備体制の薄い箇所はどこか。人が手薄になる時間帯、場所はどこか。
- システム担当者は誰か。システムに詳しいキーマンの防御レベルはどの程度か。
- ITに疎い人物は誰か。ITに疎い人物がわかれば、当該人物のメールアドレスを入手する。
- 通信傍受機器を設置する。
- 通信を傍受し、通信内容を把握できるか。
- 通信を阻害し、別の通信に変換できるか。
無差別に攻撃する場合は、以下のような物理的接触をします。
- 不特定多数の人が利用する共有デバイス(USBポートなど)にマルウェアを仕掛ける。
3-2.人への攻撃
3-2-1.人への攻撃の種類
特定のターゲットを攻撃する場合、クラッキングのための準備として、人に接触します。
人への攻撃は、以下があります。
- 人物調査をする。
- SNSなどを使い、ターゲットに所属する人物を探し、その人物への接触ルートを検討する。
- 該当する人物の条件は、ITに疎い、組織に忠実でない、仕事にやる気がない、面倒くさがり、など。
- 対象の人物に接触する。
- ソーシャルエンジニアリング(心理的攻撃)を使い、秘密情報を入手する。
- 対象の人物の個人用PCにクラッキングをする。
- まず個人用PCをクラッキングし、システムを掌握する。その後、個人用PCに接続したUSBメモリを、会社用PCに接続させる。
- 対象の人物に、不正プログラムを実行させる。
- 物理的接触、またはネットなどによる調査で判明したメールアドレスに、ターゲットに関連する人物に偽装してメールを送り、リンクを開かせるか、ファイルをダウンロードさせる。
- ターゲットに関連する人物に偽装してUSBメモリを渡し、USBメモリをターゲットに接続しているデバイスに取り付けさせる。
3-2-2.ソーシャルエンジニアリング
ソーシャルエンジニアリング(social engineering)とは、インターネットなどの情報通信技術を使わず、心理的攻撃(心理的な隙や、行動のミスにつけ込むなど)により、秘密情報を入手する方法のこと。
ソーシャルエンジニアリングの例は、以下になります。
- 構内侵入:建物の中に侵入する。
- 拾ったIDカードや偽造したIDカードを使う。
- 社員の影に隠れる。
- 清掃員や回収業者になりすます。
- なしすまし:関係者になりすまし、秘密情報を直接聞き出すか、デバイス(USBなど)を渡す。
- 関係者の例:
- 取引先
- 上司(直属でない・あまり親しくない)
- 部下(直属でない・あまり親しくない)
- システム管理者
- 契約プロバイダ
- SIer(システムインテグレーター:システム開発企業)
- 警察
- 公安委員会
- 裁判所
- 信販会社
- 学校の同級生の親族
- 宅配業者
- 興信所
- アンケート
- なりすまして秘密情報を聞き出す、またはデバイスを渡す技術:
- 緊急性を持たせる話し方をする。
- 大胆な行動・発言・表情をする。
- 関係者の例:
- 覗き見(ショルダーハッキング):秘密情報を入力する場面をさりげなく覗き見る。
- カフェ
- ATM(現金自動預け払い機)
- ディスプレイ周辺やデスクマットに貼り付けられているメモ
- ゴミ箱をあさる(トラッシング):ごみ箱に捨てられた資料(紙や記憶媒体)から、秘密情報を探す。
- 顧客データ
- 機密文書
- 古い名刺
- ID・パスワードが書かれた付箋
- HDD
- DVD
- 郵便受けをあさる(メールハント):ターゲットに届く前の情報を収集する。
- ポストに入っている郵便物をそのまま持ち去る。
- 関連企業などから、請求書に記載されたIDを入手する。
- パスワードは、請求書に記載されているサポートに聞く。
- SNSの悪用:ターゲットの行動を把握し、対応する。
- ターゲットの行動傾向や趣味嗜好など、詳細な情報を把握する。
- 偽装アカウントでターゲットと接触する。
- 相手を信頼させる。
- ターゲットの不在のタイミングを確認する。
- 不在の時間帯を狙って空き巣に入る。
- ターゲットのストーキングをする。
3-3.サイバー攻撃
3-3-1.サイバー攻撃の定義(マルウェア)
サイバー攻撃とは、不正なコンピュータ・プログラムによる攻撃のこと。
この不正なプログラムの総称を「マルウェア」と呼びます。
マルウェアの定義は、日本ネットワークセキュリティ協会(JNSA)では、「マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称」としています。
3-3-1-1.クラッキング
クラッキングとは、デバイス・サーバーを不正利用する行為のこと。
ハッキングとは、デバイスやソフトウェアの仕組みを研究、調査する行為のこと。
クラッキングする具体的な手段としてマルウェアを使う、という形になります。
3-3-2.マルウェアの侵入対象
マルウェアの侵入対象は、各種デバイスとサーバー(サイト)です。
各種デバイスの例は、以下になります。
- PC
- スマートフォン
- その他のIoTデバイス(Internet of Things:モノのインターネット)
- 監視カメラ
- 家電
サーバーの例は、以下になります。
- 自社サーバー:自社にサーバーを作り、社内LAN(自社内だけで通信が完結する)で通信するサーバー。
- ECサイト:インターネット上で商品を販売するWebサイト。Amazonなど。
- CMSサイト(Contents Management System:コンテンツ・マネジメント・システム):Web制作に必要な専門的な知識が無くても、サイトやコンテンツを構築・管理・更新できるシステム。WordPressなど。
3-3-3.マルウェアの感染経路
マルウェアに感染する経路は、以下になります。
- WEBサイトの表示:リンクを開き、「特定のサイト」、「特定の広告」、「特定のポップアップ」を表示する。
- ファイル(アプリ)のダウンロード:特定のファイル(アプリ)をダウンロードする。
- Eメール、SNS:EメールやSNSなどを通じて、特定のメールを開く、特定のリンクを開く、特定のファイルをダウンロードする。
- リムーバブルメディア:外部メディア(USBメモリー、CD-ROM、DVD、デジタルカメラ、ミュージックプレーヤーなど)を使用する。
- ファイル共有ソフト:「Winny」などファイル共有ソフトを使用する。
- システムの脆弱性を攻撃:攻撃者が、OS、サーバー、サイトのプラグインなどに元々ある脆弱性を攻撃する。
- 不正アクセス(ログイン):攻撃者が、デバイス・サーバーに不正アクセス(ログイン)する。
- 不正プログラムの設置:攻撃者が、サイト内検索やコメント投稿箇所に不正プログラムを設置する。
- 侵入したマルウェア:既に侵入したマルウェアが、新たなマルウェアを呼び込み感染する。
3-3-3-1.特定のサイト、リンク、ポップアップ、メール、ファイル(アプリ)
特定のサイトは、以下になります。
- 攻撃者が用意したサイト:薄い内容(毒にも薬にもならない記事)のサイトが多い。
- 偽セキュリティソフト配布サイト:偽セキュリティソフトを販売するサイト。偽セキュリティソフトは、マルウェアの場合が多い。
- ブロガーなどのサイト:攻撃者に乗っ取られたサイト。どのサイトが乗っ取られているかは不明。可能性として、全てのサイトが乗っ取られていると仮定すると良い。「腰痛の治し方」などの普通のブログも対象になり得る。
特定の広告は、以下になります。
- 攻撃者が用意した広告:それっぽい適当な広告(一般的な広告に似ている)。アダルト関係が多い。
- 偽セキュリティソフト配布の広告:偽セキュリティソフトを販売する広告。「あなたのコンピュータはウイルスに感染しています」など。偽セキュリティソフトは、マルウェアの場合が多い。
特定のポップアップは、以下になります。
- 偽のセキュリティ警告:正規のシステムになりすまし、誤認させる。「ランサムウェアを検知しました」など。
- 偽のサービスの優待:ユーザーにメリットのあるサービスを提供するように見せかける。「AppleCareの期間延長」など。
- 偽のサービスの消滅:偽のサービスの情報を見せて、行動しないとユーザーに不利となると促す。「偽サービスプロバイダーからのお知らせ」など。
- 偽の公権力の要請:警察機関などを装う。「特定の番号に電話しないと、逮捕手続きに移ります」など。
特定のメールは、以下になります。
- HTML形式のメール:HTML形式のメールに、マルウェアを埋め込む。メールを開くとマルウェアに感染する。
特定のファイル(アプリ)は、以下になります。
- 不明なファイル:ファイルを開いても、何だかよくわからないファイル。
- 画像・音声・動画ファイル:画像・音声・動画ファイルのExif(追加情報を入れる部分)などに、マルウェアが潜んでいる。「.jpeg」「.png」「.avi」「.pdf」など。
- 圧縮ファイル:圧縮ファイルの中にマルウェアが潜んでいる。「.zip」「.7z」など。
- Officeソフト:マイクロソフトのExcelなどのマクロにマルウェアが潜んでいる。「Word:.docm」「Excel:.xlsm」など。
- 偽のソフト(アプリ):全く使えないソフトから、実際に有効な効果を持つソフトまである。「セキュリティソフト」「バッテリー節約アプリ」「ゲームアプリ」など。
3-3-4.マルウェアの機能
ほとんどのマルウェアは、複数の機能を持ちます。
機能が多くなれば、比例してマルウェアのファイル容量も大きくなり、セキュリティソフトに発見されるリスクが高まります。
なので、1つのマルウェアが持つ機能を選択・制限します。
攻撃者には、セキュリティソフトの状況に応じてマルウェアを侵入させる判断力が求められます。
ここでは、マルウェアの各機能を説明します。
3-3-4-1.隠れて活動する(回避技術)
3-3-4-1-1.回避技術の分類
感染するマルウェアは、ユーザーやセキュリティに見つかって駆除されないよう、隠れて活動します。
回避技術とは、セキュリティ技術による検出、分析、把握を回避するために、マルウェアが使用する手段の総称です。
セキュリティ技術に対する回避技術は、次の3つに分類できます。
- セキュリティ対策の回避:マルウェア対策エンジン、ファイアウォール、アプリケーション隔離などの保護ツールによる検出を回避する。
- サンドボックスの回避:自動分析を検出し、マルウェアの挙動を報告するエンジンを回避する。仮想環境に関連するレジストリキー、ファイル、プロセスを検出する、など。
- 分析の回避:マルウェア分析を検出して欺く。監視ツールを検出する、圧縮や難読化する、など。
サンドボックスとは、コンピューター上に設けられた「安全な仮想環境」のこと。
サンドボックス内でウイルスに感染しても、サンドボックスごと消去すれば、本体に影響はありません。
Windowsやソフトウェアの情報が保存される、Windowsパソコンの中にあるデータベースのこと。
3-3-4-1-2.隠れる方法
隠れるための主な方法は、以下になります。
- 暗号化・復号「Crypter(クリプター)」:マルウェアの暗号化(解読できなくする)をして検知を回避し、その後復号(解読できるようにする)をする。
- 圧縮「Packer(パッカー)」:マルウェアの圧縮をして検知を回避する。
- 仮想マシン圧縮「Virtual machine packer(仮想マシンパッカー)」:マルウェアが仮想CPUを作り、仮想CPUで活動する。本体のCPUに書き込みをしないため、マルウェア検知を回避できる。
マルウェアのEXEファイルが圧縮されると、元のコードが仮想マシンのバイトコード(PCが扱うデータ)に変換され、プロセッサー(CPU)の動作をエミュレート(模倣)する。 - 伸張「Pumper(ポンパー)」:マルウェアのファイル サイズを増やして検知を回避する。
- 結合「Binder(バインダー)」:
- 複数のマルウェアファイルを1つに結合する。
- マルウェアの実行ファイルの拡張子を変更せず、JPGファイルに結合する。
- 正規のEXEファイルにマルウェアファイルを結合する。
- セキュリティ回避ツール「Fully UnDetectable (FUD)(フリーアンディティクティブ)」:FUDは、ウイルス対策製品が検出しないことを作成者が保証するマルウェア。
- テスト用部品の作成「Unique stub generator(ユニークスタブ ジェネレーター)」: 実行中の各インスタンス(プログラムの実体)に固有のスタブ(テストプログラム)を作成し、検出と分析を困難にする。
- メモリ上で活動する(ファイルレスマルウェア):ディスクにファイルを書き込まず、自身をメモリーに挿入する。
- 難読化:マルウェアのコードを簡単に人が理解できないようにし、マルウェアのデータ、変数、ネットワーク通信を保護する。
- プレーンテキストの文字列をエンコード(データを他の形式へ変換する)し、マルウェアファイルに挿入、ジャンク関数をファイルに追加する。
- 変数または関数の名前をランダム化する。
- ジャンクコード:無駄なコードや偽の命令をバイナリ(PCが扱うデータ)に追加する。逆アセンブル(人が読めるようにする)を欺いたり、簡単に分析されないようにする。
- アンチ:保護ツールや監視ツールの回避、無効化、終了に使用するすべての手法。地下フォーラムや闇市場で使用される。
- 環境のチェック:仮想環境に関連するツールやアーティファクトを検出し、セキュリティーソフトなどの分析を回避する。
- サンドボックスの検出:サンドボックス関連のファイルやプロセスを検出するためにディスクをチェックする。
- 設定ファイルの利用:
- マルウェアのリスト:マルウェアのダウンロードリストを設定ファイルにし、リストから適宜ダウンロードファイルを選択する。
- ダウンロード分散:ダウンロード元、ダウンロード先は分散させる。
- ファイル更新:ダウンロード後はファイルを更新し、新たなダウンロードリストにする。
- 暗号化:設定ファイルは暗号化する場合がある。
- ファイルの偽装:
- 拡張子変更:マルウェアの実行ファイルの拡張子を画像ファイル(.gif、.jpg、.png)やプレインテキスト(.txt)などに偽装する。
- 付加情報:通常の画像ファイルなどに、マルウェアの付加情報を入れる。
- スクリプト言語の利用:JavaScript、Microsoft Office製品のVBA(Visual Basic for Applications)などを使い、正規のExcelファイルだと誤認させる。
- ログの改ざん:マルウェアの活動記録を消去・改ざんし、痕跡を無くす。改ざんには以下の種類がある。
- アクセスログ(utmp、wtmp、lastlogなど)の改ざん
- コマンド実行履歴(.history、.sh_history、.bash_historyなど)の改ざん
- C&Cサーバーで判定:集めた情報を、デバイスではなく、C&Cサーバー(攻撃者のサイト)で判定する。
3-3-4-2.高速で活動する(ワーム)
継続して活動せず、即座にデバイス・サーバーを掌握したい場合、あるいはデバイス・サーバーを破壊したい場合、高速で活動するワームを使用します。
ワームは、単体での存在が可能で、自己増殖します。
爆発的に広がるため、ターゲットの破壊に向いています。
3-3-4-3.セキュリティソフトの状態を把握し、変更する
マルウェアの天敵は、セキュリティソフトです。
マルウェアは、セキュリティソフトの状態を把握し、どの攻撃が防がれ、どの攻撃が通るかを調べます。
可能なら、セキュリティレベルを低下させ、より攻撃が通るようにします。
3-3-4-4.マルウェアをダウンロードする(ダウンローダー)
攻撃が通るマルウェアをダウンロードします。
ダウンロードする機能を持つマルウェアを、「ダウンローダー」と呼びます。
より多くのマルウェアをダウンロードできるよう、以下の機能を優先します。
- セキュリティレベルを下げる効果がある。
- 偽装するなど、検知されにくい効果を持つ。
3-3-4-5.システムの脆弱性を攻撃する(エクスプロイト)
システムには大抵、脆弱性(セキュリティの穴:セキュリティホール)が存在します。
脆弱性を攻撃し、そこからマルウェアを侵入させます。
脆弱性のあるシステムの例は、以下になります。
- システムのOS
- ブラウザ
- Microsoft Office製品
3-3-4-6.侵入経路を確保する(バックドア)
ユーザーが何度もマルウェアに感染する行動を取るとは限りません。
なので、別途、マルウェアの侵入経路「バックドア」を確保します。
バックドアを構築できれば、そこから次々にマルウェアを感染させられます。
3-3-4-7.デバイス・サーバーの管理権限を得る
マルウェアの最終目的は、デバイス・サーバーの管理権限を得ることです。
デバイス・サーバーの管理権限を得られれば、デバイスを全て操作できます。
3-3-4-8.秘密情報を収集し、外部に送信する(スパイウェア)
デバイス・サーバーが保有する秘密情報を収集し、外部に送信します。
秘密情報の例は、以下になります。
- 銀行のID・パスワード
- SNS、サイトのログインID・パスワード
- 重要な機器の設計図
- メールの内容
3-3-4-9.遠隔操作する
遠隔操作には、以下の種類があります。
- 攻撃者が手動で操作する
- マルウェアが自動で操作する
遠隔操作の例は、以下になります。
- 犯行予告の書き込み
- パソコンの画面を撮影
- キーボード入力を記録
- ファイルのアップロード・ダウンロード
- マルウェア自身をアップデート・消去
3-3-4-10.デバイス・サーバーの内部・外部を調査する
デバイス・サーバーの内部を調査した上で、デバイス・サーバー外部の攻撃対象を調査します。
調査内容の例は、以下になります。
- システム脆弱性の調査:OSなどの脆弱性を見つけ、攻撃の準備をする。
- サイトの調査:脆弱性のあるサイトを見つけ、乗っ取りの準備をする。
3-3-4-11.攻撃拠点にする
他のデバイス・サーバーを攻撃する拠点にします。
攻撃の例は、以下になります。
- DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)をする
- 迷惑メールを送信する
3-3-4-12.迷惑メールを送信する
迷惑メールを送信するなどし、マルウェアの感染を拡大します。
3-3-4-13.データを改ざんする
データを改ざんします。
データを改ざんする目的の例は、以下になります。
- セキュリティソフトの検知から逃れる
- マルウェアを追加する
- 情報を破壊する
3-3-4-14.不正な情報を追加する(ドロッパー)
不正な情報を追加します。
不正な情報を追加する機能を持ったマルウェアを、「ドロッパー」と呼びます。
3-3-4-15.時限式(ロジックボム)
指定の条件を満たすと、マルウェアが実行します。
この機能を持ったマルウェアを「ロジックボム」と呼びます。
3-3-4-16.クリック箇所を増やす
デバイス・サーバーのクリック箇所を増やします。
増やす箇所の例は、以下になります。
- ホームページ画面の変更
- 広告
- ツールバー
- お気に入り
- ショートカット
3-3-4-17.強制アクセス(クリッカー)
増やしたクリック箇所を、強制的にクリックします。
この機能を持ったマルウェアを「クリッカー」と呼びます。
3-3-4-18.ユーザーに要求する
デバイス・サーバーの所有者に、金銭などの要求します。
要求の種類は、以下になります。
- 警告を表示する:ソフトの購入を求めるメッセージを表示する、など。
- 脅迫する:デバイスを凍結し「読めるようにしたいならお金を払え」と身代金を要求する、など。
3-3-4-19.凍結・破壊する
デバイス・サーバーを凍結・破壊します。
- 凍結:画面をロックし、デバイスの操作をできなくする。
- 破壊:データを暗号化、または消去し、デバイス・サーバーを破壊する。
3-3-4-20.IPアドレスを変更し、使う(プロキシ)
IPアドレスを変更し、使います。
この機能を持ったマルウェアを「プロキシ」と呼びます。
ユーザーが何もしていなくても、詐欺や不正アクセスの犯罪者に仕立て上げられる可能性があります。
3-3-4-21.検索エンジンを変更する
検索エンジンを勝手に変更します。
検索エンジンの変更の目的の例は、以下になります。
- 検索エンジンの履歴の収集
- マルウェアを仕掛けたページを検索結果に表示する
3-3-4-22.仮想通貨採掘
デバイス・サーバーのリソースを使い、仮想通貨(ビットコインなど)の採掘をします。
3-3-4-23.デバイス・サーバーのリソースを使う
マルウェアを稼働させると、結果的にデバイス・サーバーのリソースを使います。
わざとPCの処理能力をフル活用する場合もあります。
その場合、CPUの使用率が常に100%、メモリの使用率が90%以上になります。
3-3-5.マルウェアの大枠の種類
マルウェアには以下の種類があります。
- ウイルス(Virus):他のファイルに寄生し、プログラムを変換、自己増殖する。
- ワーム(Worm):単体で存在可能。自己増殖する。
- トロイの木馬(Trojan horse):他の無害なファイルに偽装して侵入後、内部で展開。
3-3-5-1.ウイルス(Virus)
ウイルスは、他のファイルに寄生し、プログラムを変換、自己増殖します。
ワームやトロイの木馬と違い、寄生先のファイルがないと存在できません。
ウイルスには以下の種類があります。
- 空白型:プログラムの隙間に侵入。発見がかなり難しい。
- 上書き型:プログラムの一部を変換する。発見が難しい。
- 追記型:プログラムを追記する。発見が容易。
ウイルスに感染すると、以下の症状が現れます(代表例)。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
- セキュリティソフトの設定変更:セキュリティソフトの一部、または全てが停止する。
- ファイル変換:重要なファイルなどを、無意味な画像ファイルに変換する。(古典的な手法)
3-3-5-2.ワーム(Worm)
ワームは、実行ファイル形式を取り、単体での存在が可能で、自己増殖します。
古典的なワームは、感染すると爆発的に広がります。
最近のワームは、トロイの木馬のように、気付かれないように活動します。
ワームに感染すると、以下の症状が現れます(代表例)。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
- 通信速度低下:マルウェアが感染先を増やすため、メール・SNSなどに自己転写して外部に送信する結果、通信速度が低下する。
ワームに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- バックドアの設置:システムに裏口を作り、追加のマルウェアの侵入を促す。
- 外部に拡散:マルウェアが感染先を増やすため、メール・SNSなどに自己転写して外部に送信する。
3-3-5-3.トロイの木馬(Trojan horse)
トロイの木馬は、他の無害なファイルに偽装して侵入後、内部で展開します。自己増殖はしません。
トロイの木馬は、隠れて活動します。
多くのマルウェアは、トロイの木馬に分類されます。
トロイの木馬に感染すると、以下の症状が現れます(代表例)。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
- セキュリティソフトの設定変更:セキュリティソフトの一部、または全てが停止する。
- デバイスの動作が不安定になる:突然デバイスの電源が落ちる・再起動する、ブラウザが再起動する、など。
トロイの木馬に感染して生じる被害は、以下になります(代表例)。
- 不正アクセス(ログイン):各種サービス(銀行、クレジットカード、SNS、サイト、社内端末など)に不正ログインする。
- 不正取引:不正取引(銀行からの出金、クレジットカードの利用、消費者金融の借金、など)をする。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 外部に拡散:マルウェアが感染先を増やすため、メール・SNSなどに自己転写して外部に送信する。
- 逮捕:遠隔操作による犯罪行為のホストIPとして逮捕される。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6.マルウェアの種類
マルウェアは、複数の機能を1つにパッケージしたソフトウェアとして存在します。
防御するユーザーにはセキュリティソフトがあるのに対して、攻撃者にはマルウェアソフトがある、という形です。
ここでは、パッケージ化したマルウェアを説明します。
3-3-6-1.スパイウェア
スパイウェアとは、ユーザーの個人情報・行動などを隠れて収集し、別の場所に情報を送るソフトウェアのこと。
基本的にマルウェアは隠れて活動し、外部と通信するので、ほとんどのマルウェアはスパイウェアと言えます。
3-3-6-2.バッドウェア
バッドウェアとは、ユーザーの知らない間に仕組まれる、悪意のある隠し機能を持つソフトウェアのこと。
バッドウェアという言葉は、StopBadware.orgによって定義されます。
バッドウェアの隠し機能には幅があります。
Webページ閲覧履歴を収集するだけのものから、銀行のID・パスワードを収集するものまであります。
バッドウェアのに該当するソフトウェアは、以下になります。
- マルウェア
- スパイウェア
- 一部のアドウェア
バッドウェアの特徴は、以下になります。
- ポップアップ表示:広告・警告のポップアップ表示をする。通常は定期的に表示するが、消せない場合もある。「スパイウェアを検知しました」「ウィルスに感染しました」など。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
StopBadware.orgが認定したバッドウェアの例は、以下になります。
- AOL 9.0
- RealPlayer 10.5、11
3-3-6-3.ダウンローダー型
ダウンローダー型とは、別のマルウェアをダウンロードさせる仕組みを持つ、容量の小さなソフトウェアのこと。
ダウンローダーの特徴は、以下になります。
- 容量が小さい:通常のマルウェアは容量が多いため、セキュリティソフトに検知されやすい。ダウンローダーは容量が小さいため(ダウンロード機能のみを持つ)、セキュリティソフトに検知されにくい。
- セキュリティソフトに対応したラウンロードをする:セキュリティソフトが対応しないマルウェアを選んでダウンロードする。
ダウンローダーの仕組みは、以下になります。
- 設定ファイルの利用:
- マルウェアのリスト:マルウェアのダウンロードリストを設定ファイルにし、リストから適宜ダウンロードファイルを選択する。
- ダウンロード分散:ダウンロード元、ダウンロード先は分散させる。
- ファイル更新:ダウンロード後はファイルを更新し、新たなダウンロードリストにする。
- 暗号化:設定ファイルは暗号化する場合がある。
- ファイルの偽装:
- 拡張子変更:マルウェアの実行ファイルの拡張子を画像ファイル(.gif、.jpg、.png)やプレインテキスト(.txt)などに偽装する。
- 付加情報:通常の画像ファイルなどに、マルウェアの付加情報を入れる。
- スクリプト言語の利用:JavaScript、Microsoft Office製品のVBA(Visual Basic for Applications)などを使い、正規のExcelファイルだと誤認させる。
3-3-6-4.EMOTET(エモテット)
EMOTET(エモテット)とは、あらゆるマルウェアを感染させる「プラットフォーム」としての役割を持つソフトウェアのこと。
EMOTETの特徴は、以下になります。
- C&Cサーバーで判定:感染したPCでは判断せず、C&Cサーバー情報を送り、感染先の情報を判定する。このため、セキュリティソフトに検知されにくい。
- マルウェアを感染させるプラットフォーム:C&Cサーバーで情報を判定し、適切なマルウェアを感染させる。
- 感染先にあわせてアップデートする:C&Cサーバーで情報を判定し、EMOTETをアップデートする。
EMOTETに感染しても、特に症状は現れません。
EMOTETに感染して生じる被害は、以下になります(代表例)。
- 不正アクセス(ログイン):各種サービス(銀行、クレジットカード、SNS、サイト、社内端末など)に不正ログインする。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- データ改ざん:データ(重要な資料、各種プログラムなど)の消去、追加、変更、暗号化をする。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6-5.ルートキット
ルートキットとは、攻撃対象に侵入するために必要な、複数のマルウェアをセットにしたソフトウェアのこと。
ルートキットは攻撃対象のPCに侵入した後、「対象のPCの管理権限の掌握」を目標に多数のマルウェアを駆使します。
侵入に成功した後は、巧妙に侵入の痕跡を隠します。
被害を及ぼすために用いられるツールは、以下になります。
- ログの改ざん:マルウェアの活動記録を消去・改ざんし、痕跡を無くす。改ざんには以下の種類がある。
- アクセスログ(utmp、wtmp、lastlogなど)の改ざん
- コマンド実行履歴(.history、.sh_history、.bash_historyなど)の改ざん
- バックドアの設置:システムに裏口を作り、追加のマルウェアの侵入を促す。
3-3-6-6.エクスプロイト(エクスプロイトキット)
エクスプロイトとは、システムの脆弱性を攻撃するソフトウェアのこと。
エクスプロイトキットとは、システムの脆弱性を攻撃する機能を複数用意し、一つのパッケージにしたソフトウェアのこと。
エクスプロイトキットは、アンダーグラウンドでレンタル・購入が可能です。
システムの脆弱性の例は、以下になります。
- Webブラウザ
- Adobe Flash Playe
- Adobe Acrobat Reader
- Oracle Java
- Microsoft Office
- Microsoft Silverlight
エクスプロイトキットの感染手順は、以下になります。
- ユーザーによるWebサイト表示:ユーザーにリンクをクリックさせ、エクスプロイトキットがホストされた(仕掛けられた)Webサイトへリダイレクト(表示)する。
- 脆弱性確認:ユーザーのデバイスのシステム脆弱性を確認する。
- プログラムコード実行:確認した脆弱性を利用し、デバイス上でエクスプロイトコードを実行する。
- 感染:不正プログラムをデバイス上に作成し、実行する。
3-3-6-7.ファイルレスマルウェア
ファイルレスマルウェアとは、OSにもともと備わった機能を使って攻撃するソフトウェアのこと。
ファイルレスマルウェアの特徴は、以下になります。
- 正規プログラムを使う:ユーザーが使うシステム(WindowsのPowerShell(コマンドラインインターフェイス (CLI) シェルおよびスクリプト言語)など)を使い、メモリ上で不正コードを実行する。このため、マルウェアだと気付かれにくい。正規プログラムの無効化もできない(無効化するとユーザーがPCを使えなくなる)。
- ファイルを持たない:通常のマルウェアは、ファイルを持つ。ファイルレスマルウェアは、ファイルを持たないタイプもあある。
- ファイルの偽装:
- 拡張子変更:マルウェアの実行ファイルの拡張子を画像ファイル(.gif、.jpg、.png)やプレインテキスト(.txt)などに偽装する。
- 付加情報:通常の画像ファイルなどに、マルウェアの付加情報を入れる。
ファイルレスマルウェアに感染しても、特に症状は現れません。
ファイルレスマルウェアに感染して生じる被害は、以下になります(代表例)。
- 不正アクセス(ログイン):各種サービス(銀行、クレジットカード、SNS、サイト、社内端末など)に不正ログインする。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- データ改ざん:データ(重要な資料、各種プログラムなど)の消去、追加、変更、暗号化をする。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6-8.Blueborne(ブルーボーン)
Blueborne(ブルーボーン)とは、無線通信のBluetoothに関する脆弱性の総称。
ブルーボーン攻撃とは、ブルーボーンの特徴をついた攻撃のこと。
Blueborneの名称は、Bluetoothを経由して空中(airborne:エアボーン)に拡散しデバイスを攻撃するという仕組みに由来します。
通常のBluetoothは、ペアリング(お互いに信号を出して機器を認識し登録する)が必要です。
一方、ブルーボーン攻撃が通る条件は、以下になります。
セキュリティソフトは機能しないため、条件を満たせば、攻撃が通ります。
- Bluetooth通信機能をオンにしてある
- デバイスが通信可能距離にある:
- Class1:約100m
- Class2:約10m
- Class3:約1m
ブルーボーン攻撃により生じる被害は、以下になります(代表例)。
- デバイス起動:スマートフォンを起動する。
- 写真を撮る:カメラを起動して、写真を撮る。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
3-3-6-9.ドロッパー型
ドロッパー型とは、侵入後に予め設定されたタイミングで、不正な情報をプログラムにドロップ(落とす)するソフトウェアのこと。
ドロッパー型は、内部に不正な情報が格納されている点で、ダウンローダー型と異なります。
3-3-6-10.ロジックボム(論理爆弾)
ロジックボム(論理爆弾)とは、時限爆弾型のソフトウェアのこと。
期限になるまで、デバイス・サーバーの所有者に重要な入力をさせ、指定の条件になったら、データの破壊などをします。
ロジックボムの発動条件は、以下になります(代表例)。
- 指定日付になる
- 一定期間が経過する
- 特定の回数、起動される
ロジックボムに感染しても、特に症状は現れません。
ロジックボムに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
- 破壊:データを暗号化、または消去し、デバイス・サーバーを破壊する。
3-3-6-11.バックドア(RAT)型
バックドア(Remote Administration Tool:リモート管理ツール)型とは、ユーザーに気付かれずにシステムへアクセスできるようにするソフトウェアのこと。
バックドアは「裏口」とも言えます。攻撃者専用のの侵入口を設置し、以後は何度も侵入します。
バックドアの特徴は、以下になります。
- デバイス・サーバーが、不正な接続ルートを安全なものだと認識する。
- ID・パスワードを使わなくてもログインできる。
- 2回目・3回目の侵入が容易になる。
- 侵入のログは残さない。
バックドアを仕込む方法は、以下になります。
- 不正アクセス(ログイン)などで侵入した際に、次回から進入しやすくするために裏口を作る。
- ウイルスなどに感染させて裏口を作る。
- プログラムを開発する際に、侵入できるように予め裏口を作っておく。
バックドアに付随する機能の例は、以下になります。
- 他のマルウェアのインストール・起動
- キー入力情報の収集・送信
- ファイルのダウンロード・削除
- マイク・カメラの有効化
- デバイスの動作記録、攻撃者へのログ送信
3-3-6-12.迷彩型ゼウス
迷彩型ゼウスとは、JPEG形式などの画像ファイルを装って侵入するソフトウェアのこと。
迷彩型ゼウスの特徴は、以下のいずれか、あるいは全てになります。
- 有効な画像情報:画像情報は、正規のものになっている。
- 有効なヘッダー情報:ヘッダー情報は、正規のものになっている。
- 有用な画像:画像自体は、役に立つ情報になっている。漫画の画像など。
- コメントに付加情報:コメント領域に付加情報を組み込む。
- 拡張子の多様化:JPEG形式以外の拡張子を持つ場合もある。PDFなど。
3-3-6-13.キーロガー(キーストロークロガー)型
キーロガー(キーストロークロガー)型とは、キーボード・マウスの操作内容を記録し、攻撃者に送信するソフトウェアのこと。
画面を撮影する場合もあります。
キーロガーの種類は、以下になります。
- ソフトウェアタイプ:マルウェアに感染させる。
- ハードウェアタイプ:物理的に設置する。セキュリティソフトでは検知できない。
- ケーブル:デバイスとキーボードを接続するケーブルに設置する。
- USB:USBをデバイスに差し込む。
キーロガーに感染しても、特に症状が現れません。
キーロガーに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 不正取引:不正取引(銀行からの出金、クレジットカードの利用、消費者金融の借金、など)をする。
3-3-6-14.パスワード窃盗型
パスワード窃盗型とは、デバイス内部を探索して、パスワード情報や設定情報を収集し、攻撃者に送信するソフトウェアのこと。
パスワード窃盗型に感染しても、特に症状が現れません。
パスワード窃盗型に感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 不正取引:不正取引(銀行からの出金、クレジットカードの利用、消費者金融の借金、など)をする。
3-3-6-15.プロキシ型
プロキシ型とは、ネットワーク設定を変更して、ユーザーのIPアドレスを使うソフトウェアのこと。
IPアドレスはインターネット上の住所であり、IPアドレスには所有者情報も記録されています。
IPアドレスを変更すれば、インターネット上の行動は、ユーザーが行ったことになります。
この結果、攻撃者は匿名性が増し、他のデバイス・サーバーに攻撃をしても逮捕されにくくなります。
ユーザーは、知らないうちに詐欺や不正アクセスをしたことになり、逮捕される可能性が増します。
3-3-6-16.クリッカー型
クリッカー型とは、攻撃者が指定した特定のサイトへ強制的に(自動的に)アクセスするソフトウェアのこと。
サイトにアクセスする条件は、以下のいずれかになります。
- デバイスの起動
- インターネットに接続
クリッカーの目的は、以下になります。
- 広告収入を得る:特定のサイトのアクセス数を上昇させ、広告収入を上げる。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6-17.アドウェア
アドウェアとは、広告表示によって収入を得るソフトウェアのこと。
広告表示する裏で、デバイスの情報を不正に収集・取得し、攻撃者に送信します。
アドウェアに感染すると、以下の症状が現れます(代表例)。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
- ブラウザのホームページ変更:見たことのないホームページ画面に変わる。「Hao123」など。
- ツールバー追加:ブラウザにツールバーが追加する。
- ポップアップ表示:広告・警告のポップアップ表示をする。通常は定期的に表示するが、消せない場合もある。「スパイウェアを検知しました」「ウィルスに感染しました」など。
アドウェアに感染して生じる被害は、以下になります(代表例)。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
- 金銭被害:不安に負けてソフトを購入すると、ソフト購入代金分の金銭被害がある。購入したソフト自体がマルウェアの場合もある。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
3-3-6-18.ブラウザハイジャッカー
ブラウザハイジャッカーとは、ブラウザの設定を勝手に変え、元に戻せなくするソフトウェアのこと。
ブラウザハイジャッカーに感染すると、以下の症状が現れます(代表例)。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
- ブラウザのホームページ変更:見たことのないホームページ画面に変わる。「Hao123」など。
- ツールバー追加:ブラウザにツールバーが追加する。
- お気に入り追加:お気に入りに項目が追加するる。
- ショートカット追加:デスクトップに見知らぬショートカットが加わる。
- 検索エンジンの変更:検索エンジンが変更される。検索エンジンが固定され、変えることができない場合もある。
- セキュリティ検索不可:セキュリティ関連のWebページに移動できない。
- ポップアップ表示:広告・警告のポップアップ表示をする。通常は定期的に表示するが、消せない場合もある。「スパイウェアを検知しました」「ウィルスに感染しました」など。
ブラウザハイジャッカーに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- ブラウザのセキュリティレベル低下:ブラウザのセキュリティレベルを下げ、新たなマルウェアに感染しやすくなる。
- ブラウザの操作不可:ブラウザの操作が思うようにできなくなる。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6-19.リモートアクセスツール
リモートアクセスツールとは、インターネットを通じて、デバイス・サーバーを外部から遠隔操作するソフトウェアのこと。
リモートアクセスツールに感染すると、以下の症状が現れます(代表例)。
- 症状がない:特に変化がないため、感染に気付かない。
- 操作不能:管理権限を奪われ、全く操作ができなくなる。
リモートアクセスツールに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- データ改ざん:データ(重要な資料、各種プログラムなど)の消去、追加、変更、暗号化をする。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
3-3-6-20.ボットウイルス
ボットウイルスとは、デバイス・サーバーを乗っ取りリモート操作するソフトウェアのこと。
ボットウイルスには、以下の概念と名称がありあす。
- ゾンビPC、ゾンビマシン:ボットに感染したPC。
- ハーダー:「ゾンビPC」を遠隔操作する攻撃者。
- ボットネット:「ゾンビPC」がたくさん集まったネットワーク。規模は数十万台から数百万台。スーパーコンピューターに匹敵する性能を持つ。
- C&C(コマンドアンドコントロール)サーバー:「ボットネット」の司令塔となるサーバー。「C&C」の命令で、多数の「ゾンビPC」が一斉に動く。
ボットウイルスに感染すると、以下の症状が現れます(代表例)。
- 症状がない:特に変化がないため、感染に気付かない。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
- デバイス起動時の動作変更:起動時に黒い画面(コマンドプロンプト)が表示する、など。
- セキュリティソフトの設定変更:セキュリティソフトの一部、または全てが停止する。
- 知らない人から自動返信メールが届く:自動返信機能を利用している人にメールを送った場合、知らない人から自動返信メールが届く。
- ポップアップ表示:広告・警告のポップアップ表示をする。通常は定期的に表示するが、消せない場合もある。「スパイウェアを検知しました」「ウィルスに感染しました」など。
- 操作不能:管理権限を奪われ、全く操作ができなくなる。
ボットウイルスに感染して生じる被害は、以下になります(代表例)。
- 攻撃・調査の拠点化:各種攻撃・調査の拠点になる。必要に応じて、ターゲットに攻撃する。DDos攻撃(他のPCに大量のリクエスト(アクセス)を行う)、脆弱性のあるデバイス・サーバー調査→C&Cサーバーに報告、など。
- 外部に拡散:マルウェアが感染先を増やすため、メール・SNSなどに自己転写して外部に送信する。
- 広告の強制クリック:広告主に広告費を支払わせ、広告を貼ったサイトに広告費を稼がせる。
- 仮想通貨採掘:ビットコインの採掘などをする。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6-21.ランサムウェア
ランサムウェアとは、マルウェア感染により暗号化・画面ロックされた場合に、身代金を要求するソフトウェアのこと。
ランサムウェアは、「ランサム(Ransom:身代金)」と「ソフトウェア」を組み合わせた造語です。
ランサムウェアの特徴は、以下になります。
- 暗号化:デバイス・サーバー内のデータを暗号化して読めなくする。
- 身代金要求:画面に「読めるようにしたいならお金を払え」と元に戻すためには身代金(ランサム)を要求する。
ランサムウェアの種類は、以下になります。
- 進化型:アップデートを繰り返す進化型
- 脆弱性型:OSの脆弱性を悪用したもの
ランサムウェアの動作の種類は、以下になります。
- 暗号化型(クリプター):PCなどのファイルをすべて暗号化して使えなくしてしまう。近年、暗号化型が増加している。
- 画面ロック型(ブロッカー):PCなどの画面をロックして操作を出来なくしてしまう。画面ロック型はPC内のデータ自体は操作されていないので、データ復旧できる可能性は高い。
ランサムウェアに感染して生じる被害は、以下になります(代表例)。
- 暗号化:デバイス・サーバー内のデータを暗号化して読めなくなる。
- 操作不能:管理権限を奪われ、全く操作ができなくなる。
- 破壊:データを暗号化、または消去し、デバイス・サーバーを破壊する。
- 金銭被害:身代金の金銭被害がある。身代金を支払っても、データが復旧しない場合が多い。
3-3-6-22.スケアウェア(ローグ)
スケアウェア(ローグ)とは、マルウェアの一種で、ユーザーを脅して恐怖心をあおり、金銭や個人情報を奪うことを目的としたソフトウェアのこと。
スケアウェアは、「スケア(scare:脅して恐怖心を与える)」と「ソフトウェア」を組み合わせた造語です。
ランサムウェアは、スケアウェアの強化版です。
スケアウェアに感染すると、以下の症状が現れます(代表例)。
- デバイスの動作が不安定になる:突然デバイスの電源が落ちる・再起動する、ブラウザが再起動する、など。
- ポップアップ表示:広告・警告のポップアップ表示をする。通常は定期的に表示するが、消せない場合もある。「スパイウェアを検知しました」「ウィルスに感染しました」など。
スケアウェアに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
- 金銭被害:不安に負けてソフトを購入すると、ソフト購入代金分の金銭被害がある。購入したソフト自体がマルウェアの場合もある。
3-3-6-23.バンキングマルウェア
バンキングマルウェアとは、ユーザーのオンラインバンキング利用を狙ったマルウェアのこと。
目的は、以下になります(代表例)。
- インターネットバンキング用の認証情報の収集
- クレジットカード情報の収集
- 銀行口座からの不正送金
バンキングマルウェアに感染して生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 不正アクセス(ログイン):各種サービス(銀行、クレジットカード、SNS、サイト、社内端末など)に不正ログインする。
- 不正取引:不正取引(銀行からの出金、クレジットカードの利用、消費者金融の借金、など)をする。
- 新たなマルウェア感染:ポップアップ・ツールバーなどをクリックすると感染する場合、画面表示だけで強制的に感染する場合、画面表示をしなくてもダウンローダーなどのマルウェアが適切なマルウェアを選択して感染する場合がある。
3-3-6-24.ジョークプログラム
ジョークプログラムとは、ジョークやいたずらに用いることを目的とするソフトウェアのこと。
1990年代のインターネット利用の初期に流行しましたが、近年は少なくなりました。
ジョークプログラムに感染すると、以下の症状が現れます(代表例)。
- 警告音:突然音が出る。
- 画像表示:(意味不明な)画像を表示する。
- 偽の感染警告:偽のマルウェア感染傾向を表示する。
- 偽のハードディスク初期化:ハードディスクが初期化されたように装う
3-3-6-25.ダイヤラー
ダイヤラーとは、国際電話やダイヤルQ2など、インターネットの接続先を勝手に変更するソフトウェアのこと。
最近はダイヤル回線(インターネットを電話回線で繋ぐ)の利用が減り、光回線の利用が増えたため、ダイヤラーでの被害は聞かなくなりました。
ダイヤラーに感染すると、以下の症状が現れます(代表例)。
- 処理速度低下:マルウェアが稼働し、デバイスのリソースを使う(タスク量が増加する)ため、デバイスの処理速度が低下する(CPU使用率が常に100%、メモリ使用率が90%以上、など)。
ダイヤラーに感染して生じる被害は、以下になります(代表例)。
- 電話接続:気付かない間に国際電話に接続され、後日高額な請求が電話会社から来る。
- サイト接続:気付かない間に有料サイトに接続され、後日高額な請求がサイト管理会社から来る。
3-3-6-26.ワンクリックウェア
ワンクリックウェアとは、ワンクリック詐欺サイトの料金請求画面を表示するソフトウェアのこと。
ワンクリックウェアに感染すると、以下の症状が現れます(代表例)。
- 利用料金請求(振込み詐欺)のポップアップを頻繁に表示する。
ワンクリックウェアに感染して生じる被害は、以下になります(代表例)。
- 金銭被害:不安に負けて料金を支払うと、料金支払い分の金銭被害がある。料金を支払っても、料金請求画面が消えない場合がある。
4.サイバー攻撃の種類
サイバー攻撃には、以下の種類があります。
- 特定のターゲットを狙った攻撃(標的型攻撃)
- 不特定多数のターゲットを狙った攻撃
- 負荷をかける攻撃
- 脆弱性を狙った攻撃
- パスワード関連の攻撃
4-1.特定のターゲットを狙った攻撃(標的型攻撃)
4-1-1.標的型攻撃(Targeted attack)
標的型攻撃(Targeted attack)とは、ターゲットを特定の組織・個人に絞って行うサイバー攻撃のこと。
標的型攻撃が発展すると、ATP攻撃になります。
標的型攻撃の特徴は、以下になります。
- 目的:金銭・機密情報の奪取、政治的講義、など。
- 攻撃者:複数人からなるクラッキングチーム、1人のクラッカー、など。
- 攻撃元:外部から攻撃する。
- 攻撃手法:独自ツール、手動での操作を中心にする。
- 攻撃手手段:一般的なマルウェアを適宜用いる。
- 期間:数時間から数年かかる場合がある。
- 速攻型:数時間から数時間で完了する。攻撃範囲を限定し、派手に秘密情報を奪取する。
- 潜伏型:マルウェアが長期間潜伏する。感染したデバイスが重要な情報などを取得し続ける。
- 痕跡:通常は残す。
- 攻撃成功確率:理論上、攻撃コストを無視すれば、絶対・確実に攻撃は成功する。
標的型攻撃の手法の例は、以下になります。
- スパムメール:主にソーシャルエンジニアリング(心理的攻撃)を利用してメールアドレスなどを入手し、ターゲット人物にスパムメールを送信し、メール・リンク・ファイルを開かせる。標的型攻撃の90%がスパムメールによる。
- サイト閲覧:水飲み場型攻撃(ターゲット人物が普段アクセスするサイトを改ざんする)によりマルウェアに感染させる。
- バックドア設置:ターゲット人物のデバイスにマルウェアを感染させる場合、最初にバックドア(裏口)を設置する。
- APT攻撃に発展:状況に応じて、APT攻撃に発展する。その場合、攻撃期間が延びる。
標的型攻撃の手順は、以下になります。
- 計画立案:ターゲットを決定する。費用対効果の大枠を確認し、誰をどのように攻撃すればいくら稼げるかを計画する。
- 初期調査:ターゲットを調査する。人的(ソーシャルエンジニアリング:電話をかけるなど)、サイバー上(SNSの調査)の2方面から行う。ターゲット人物(社員など)の絞り込みも行う。
- 攻撃準備:調査結果から必要な攻撃手段を用意する。C&Cサーバー、マルウェア、ボット、など。
- デリバリ:ターゲット人物のデバイス管理権限を掌握する。デリバリでは、通常の標的型攻撃を行う。ターゲット人物にスパムメールを送る(デリバリ段階での成功率90%)、など。この時点で、「7.調査」に移行し、攻撃期間を短くする場合もある。
- 基礎構築:ターゲット人物のデバイスを拠点にして、ネットワーク上の他のデバイス・サーバーのIDなどを調査し、攻撃基盤を構築する。
- 権限昇格:全ての管理権限を掌握する。システム管理者の管理権限、ドメイン全体の管理権限、など。
- 調査:秘密情報を調査し、有用な情報を確保する。顧客情報、技術情報、など。
- 目標達成:
- 目的の例:
- 金銭を奪取する。
- 秘密情報を収集し、外部に送信する。
- データを破壊する。
- 業務妨害する。
- 次の作戦に合わせた状況を残す:
- 痕跡を無くす。
- 秘密情報の漏洩を暴露する。
- 目的の例:
- 再侵入:必要に応じて、再度侵入する。
4-1-2.APT攻撃(Advanced Persistent Threat:持続的標的型攻撃)
APT攻撃(Advanced Persistent Threat:持続的標的型攻撃)とは、標的型攻撃を強化・持続したサイバー攻撃のこと。
「標的型攻撃」と「APT攻撃」の違いは、「APT攻撃」が国家や組織によって行われるケースが多く、情報を盗むことを主目的としていることです。
APT攻撃の特徴は、以下になります。
- 目的:金銭・機密情報の奪取、妨害工作、など。
- 攻撃者:国家、国際組織、など。
- 攻撃元:内部端末・データベースを拠点化して攻撃する。
- 攻撃手法:独自ツール、手動での操作を中心にする。
- 攻撃手手段:ターゲットを決めたら、目的に応じて臨機応変に攻撃手段を適宜用いる。
- 期間:数時間から数年かかる場合がある。
- 速攻型:数時間から数時間で完了する。攻撃範囲を限定し、派手に秘密情報を奪取する。
- 潜伏型:マルウェアが長期間潜伏する。感染したデバイスが重要な情報などを取得し続ける。
- 痕跡:通常は残さない。
- 攻撃成功確率:理論上、攻撃コストを無視すれば、絶対・確実に攻撃は成功する。
APT攻撃の手順は、以下になります。
- 計画立案:ターゲットを決定する。費用対効果の大枠を確認し、誰をどのように攻撃すればいくら稼げるかを計画する。
- 初期調査:ターゲットを調査する。物理的(建物に侵入するなど)、人的(ソーシャルエンジニアリング:電話をかけるなど)、サイバー上(SNSの調査など)の3方面から行う。ターゲット人物(社員など)の絞り込みも行う。
- 攻撃準備:調査結果から必要な攻撃手段を用意する。C&Cサーバー、マルウェア、ボット、など。
- デリバリ:ターゲット人物のデバイス管理権限を掌握する。デリバリでは、標的型攻撃を中心に行う。ターゲット人物にスパムメールを送る(デリバリ段階での成功率90%)、USBメモリを渡す、など。デリバリの段階で、物理的、人的攻撃は終了し、以後はサイバー上のみになる。
- 基礎構築:ターゲット人物のデバイスを拠点にして、ネットワーク上の他のデバイス・サーバーのIDなどを調査し、攻撃基盤を構築する。
- 権限昇格:全ての管理権限を掌握する。システム管理者の管理権限、ドメイン全体の管理権限、など。
- 調査:秘密情報を調査し、有用な情報を確保する。顧客情報、技術情報、など。
- 目標達成:
- 目的の例:
- 金銭を奪取する。
- 秘密情報を収集し、外部に送信する。
- データを破壊する。
- 妨害工作する。
- 次の作戦に合わせた状況を残す:
- 痕跡を無くす。
- 秘密情報の漏洩を暴露する。
- 目的の例:
- 再侵入:必要に応じて、再度侵入する。
APT攻撃に対抗するには、レッドチーム演習(ペネトレーションテスト)を行い、攻撃された場合の対応を学ぶのが最適です。
サイバーセキュリティレベルを上げるだけでなく、人(社員)の意識・行動改革が重要です。
レッドチーム演習とは、実戦に即した攻撃(物理、人、サイバー)を模擬的に行い、デバイスやネットワークなどの脆弱性をテストし、より強固な防御体制を確立させる演習のこと。
物理的に建物に侵入する、電話をかけるといった、物理的、人的攻撃も行います。
ペネトレーションテストとは、実戦に即した攻撃(サイバーのみ)を模擬的に行い、デバイスやネットワークなどの脆弱性をテストし、より強固な防御体制を確立させる演習のこと。
システム上だけのテストとなり、システムがどれだけ攻撃に対して強固であるかという観点でのテストを行います。
4-1-3.サプライチェーン攻撃(supply chain attack)
サプライチェーン攻撃(supply chain attack)とは、ターゲットに関連する組織・個人・製品を経由するサイバー攻撃のこと。
日本は、90%以上の企業が中小企業です。
中小企業の大半は、コストや人的な要因でセキュリティ対策が 脆弱です。
なので、ターゲットのセキュリティが強固な場合、関連企業などから攻撃します。
サプライチェーン攻撃の種類は、以下になります。
- 取引先・関連会社を経由した攻撃:取引先のデバイスの管理権限を掌握し、スパムメールをターゲットに送信する、など。
- ソフトウェア・ソフトウェアの更新プログラムを介した攻撃:ソフトウェア更新プログラムを改ざんしてターゲットに送付する、など。
サプライチェーン攻撃の手順の例は、以下になります。
- セキュリティが脆弱な取引先へ攻撃:ターゲットの取引先の中で、セキュリティ対策が進んでいない企業に対し、マルウェアが添付されたメールを送信。PC(エンドポイント)を未知のマルウェアに感染させる。
- ターゲットに近い取引先へ攻撃:感染させて乗っ取ったPCから次の取引先へ攻める。(ターゲットに辿り着くまで、マルウェアなどを使い手順1~2を繰り返す)
- 本命であるターゲット企業のデバイス・サーバーに侵入し、秘密情報を取得するなど目的を達成する。
4-1-4.水飲み場型攻撃(watering hole attack)
水飲み場型攻撃(watering hole attack)とは、ターゲット人物がよく訪れるサイトを改ざんし、ドライブバイダウンロード攻撃(サイトにアクセス(画面表示)した時点でマルウェアをダウンロードする)をするサイバー攻撃のこと。
「水飲み場」という名称は、砂漠のオアシスに来る動物を待ち伏せて攻撃する光景に由来します。
水飲み場型攻撃の対象は、以下になります。
- 標的型攻撃のターゲット:標的型攻撃のターゲットは、攻撃の対象になる。
- 不特定多数の個人・組織:不特定多数の個人・組織が攻撃の対象になる。その場合、不特定多数のユーザーがアクセスするサイトが攻撃を受け、マルウェア感染源となる。銀行など。
水飲み場型攻撃(標的型攻撃のターゲットの場合)の手順は、以下になります。
- サイト調査:
- ターゲットの動向を調査する:ターゲットが頻繁に閲覧するサイトを調査(推測または観測)する。
- 脆弱性のあるサイトを調査する:脆弱性診断を行い、不正アクセスできそうなWebサイトを調査する。
- サイト改ざん:対象のサイト(複数の場合もある)を改ざんし、ドライブバイダウンロード攻撃(サイトにアクセス(画面表示)した時点でマルウェアをダウンロードする)をする。
- ターゲットの訪問を待つ:ターゲットが改ざんしたサイトにアクセスするのを待つ。
- ターゲットを攻撃する:マルウェアに感染したターゲットに攻撃(デバイスに侵入するなど)をします。
水飲み場型攻撃(不特定多数がターゲットの場合)の手順は、以下になります。
- ターゲットのサイトを掌握:標的型攻撃・ATP攻撃により、ターゲットのサイトを掌握する。
- ターゲットのサイト改ざん:対象のサイト(複数の場合もある)を改ざんし、ドライブバイダウンロード攻撃(アクセス(画面表示)した時点でマルウェアをダウンロードする)をする。
- ターゲットの訪問を待つ:ターゲットが改ざんしたサイトにアクセスするのを待つ。
- ターゲットを攻撃する:マルウェアに感染したターゲットに攻撃(デバイスに侵入するなど)をします。
4-1-5.ドライブバイダウンロード攻撃(Drive-by download attack:DBD)
ドライブバイダウンロード攻撃(Drive-by download attack:DBD)とは、ユーザーが特定のサイト・広告にアクセス(画面表示)すると、自動的にマルウェアをダウンロード・インストールするサイバー攻撃のこと。
ドライブバイダウンロード攻撃の対象となる媒体は、以下になります。
- 攻撃者が専用に用意したサイト:攻撃者が最初から作ったサイト。
- 改ざんしたサイト:正規のサイトを改ざんする。WordPressサイトなど。
- 改ざんした広告:正規の広告を改ざんする。サイトに貼ってある広告を改ざんする、広告業者にクラッキングして改ざんする、など。
ドライブバイダウンロード攻撃の対象となるソフトウェアの例は、以下になります。
- ブラウザ (IE, Firefox, Safari)
- Adobe Reader
- Adobe Flash Player
- RealNetworks Real Player
- Microsoft Office
- JRE (Java Runtime Environment)
ドライブバイダウンロード攻撃の手順は、以下になります。
- マルウェア設置:
- 不正プログラムの設置:サイトのコメント欄などに、不正プログラムを設置する。
- サイト・広告の改ざん:サイト・広告を改ざんし、マルウェアを設置する。
- サイト・広告にアクセス:ユーザーが改ざんされた正規のサイト・広告にアクセスする。または、正規のサイトから不正なサイトに移動する。
- マルウェアのダウンロード:画面を表示すると、マルウェアをダウンロードする。
- マルウェアのインストール:マルウェアをダウンロードすると、自動的にインストールする。
- マルウェアの実行:インストールしたマルウェアが、自動的に実行する。
4-1-6.クリックジャッキング攻撃(Clickjacking attack)
クリックジャッキング攻撃(Clickjacking attack)とは、透明化したボタン・リンクをサイト上に設置し、ユーザーが気付かずに誤クリックするサイバー攻撃のこと。
クリックジャッキング攻撃に必要な機能の例は、以下になります。
- Java Script
- Adobe Flash
- CSS
クリックジャッキング攻撃の手順は、以下になります。
- サイト選定:ユーザーがアクセスするサイトを選定する。
- 透明化したボタン・リンクの設置:選定したサイトに、「iframe(インラインフレーム):指定のURLをページ内部に表示するHTMLタグ」を使い、透明化したボタン・リンクを設置する。
- ユーザーがアクセス:ユーザーがサイトにアクセスし、透明化したボタン・リンクに気付かずに誤クリックする。
4-1-7.ビジネスメール詐欺(Business E-mail Compromise:BEC)
ビジネスメール詐欺(Business E-mail Compromise:BEC)とは、取引先などになりすまし、ターゲットを騙して金銭的被害などをもたらすサイバー攻撃のこと。
ビジネスメール詐欺の特徴は、以下になります。
- セキュリティ検知不可:マルウェアが含まれないため、セキュリティソフトによる検知ができない。
- 人の目による判断不可:メールは高度に偽装され、本物と見分けがつかない。詐欺メールは、差出人、メールの件名、本文、署名、Cc、正規メール本文の引用、など全てが本物と同じ。
ビジネスメール詐欺の手順は、以下になります。
- ターゲット人物の選定:攻撃するターゲットを選定する。SNSなどを使い、騙しやすい相手に絞る。
- ターゲット人物の情報を収集する:ターゲット人物・関連する人物の秘密情報を入手する。ソーシャルエンジニアリング(心理的攻撃)などを使う。
- ターゲット人物のメール内容を確認する:詐欺メールだと見抜かれないメールはどのような内容か、検討する。
- メール詐欺をする:
- ターゲット人物をメールで騙す(例):
- 経営幹部になりすます:経営者を騙り、偽の振込先に振り込ませる、など。
- 取引先になりすます:取引先を騙り、偽の請求書(振込先)を送る、など。
- 社外の権威ある第三者になりすます:社⻑から指⽰を受けた弁護⼠を騙り、偽の振込先に振り込ませる、など。
- 経営幹部・人事部になりすます:経営幹部・人事部を騙り、社内従業員の情報を収集させる、など。
- ターゲット人物の関係者をメールで騙す(例):
- ターゲット人物になりすます:ターゲット人物を騙り、取引先に、偽の振込先に振り込ませる、など。
- ターゲット人物をメールで騙す(例):
4-1-8.キーロガー攻撃(Keylogger attack、キーストロークロガー)
キーロガー攻撃(Keylogger attack、キーストロークロガー)とは、キーボード・マウスの操作内容を記録し、攻撃者に送信するサイバー攻撃のこと。
画面を撮影する場合もあります。
キーロガー攻撃の種類は、以下になります。
- ソフトウェアタイプ:マルウェアに感染させる。
- ハードウェアタイプ:物理的に設置する。セキュリティソフトでは検知できない。
- ケーブル:デバイスとキーボードを接続するケーブルに設置する。
- USB:USBをデバイスに差し込む。
キーロガー攻撃を受けても、特に症状が現れません。
キーロガー攻撃を受けて生じる被害は、以下になります(代表例)。
- 秘密情報の漏えい:マルウェアが秘密情報(銀行・SNSのログインID・パスワード、ブラウジング履歴、機密資料の設計図、など)を収集し、外部(攻撃者)に送信する。
- 不正取引:不正取引(銀行からの出金、クレジットカードの利用、消費者金融の借金、など)をする。
4-1-9.ランサムウェア(Ransomware)
ランサムウェア(Ransomware)とは、感染により暗号化・画面ロックされた場合に、身代金を要求するソフトウェアのこと。
ランサムウェアは、「ランサム(Ransom:身代金)」と「ソフトウェア」を組み合わせた造語です。
ランサムウェアの特徴は、以下になります。
- 暗号化:デバイス・サーバー内のデータを暗号化して読めなくする。
- 身代金要求:画面に「読めるようにしたいならお金を払え」と元に戻すためには身代金(ランサム)を要求する。
ランサムウェアの種類は、以下になります。
- 進化型:アップデートを繰り返す進化型
- 脆弱性型:OSの脆弱性を悪用したもの
ランサムウェアの動作の種類は、以下になります。
- 暗号化型(クリプター):PCなどのファイルをすべて暗号化して使えなくしてしまう。近年、暗号化型が増加している。
- 画面ロック型(ブロッカー):PCなどの画面をロックして操作を出来なくしてしまう。画面ロック型はPC内のデータ自体は操作されていないので、データ復旧できる可能性は高い。
ランサムウェアに感染して生じる被害は、以下になります(代表例)。
- 暗号化:デバイス・サーバー内のデータを暗号化して読めなくなる。
- 操作不能:管理権限を奪われ、全く操作ができなくなる。
- 破壊:データを暗号化、または消去し、デバイス・サーバーを破壊する。
- 金銭被害:身代金の金銭被害がある。身代金を支払っても、データが復旧しない場合が多い。
4-2.不特定多数のターゲットを狙った攻撃
4-2-1.フィッシング詐欺(phishing)
フィッシング詐欺(phishing)とは、実在の企業や組織を騙り、秘密情報(個人情報・パスワードなど)を入手するサイバー攻撃のこと。
フィッシング(phishing)は、魚釣り(fishing)と洗練された(sophisticated)から作られた造語です。
フィッシング詐欺の形態に応じた名称は、以下になります。
- スピアフィッシング(spear phishing:魚突き):特定の個人、団体を標的とする。
- ホエーリング(whaling:捕鯨):ビジネスにおける幹部を標的とする。
- クローンフィッシング(clone phishing):以前に送信された正規のEメールを用いる。
フィッシングサイトの特徴は、以下になります。
- 正規サイトと同じ外見:サイトを丸ごとコピーするツールを使い、正規サイトと同じ外見、操作ができるサイトを作る。
- 存在しない入力項目:本来は要求されない項目を入力させる。「秘密の質問」、など。
- 暗号化通信していない :入力フォームがあるのに、暗号化通信(SSL化:鍵マークのアイコンがあり、組織名を表示する)していない。
フィッシング詐欺の手順は、以下になります。
- フィッシングサイトに誘導する:
- フィッシングメールから誘導:既存のWebサービスになりすまし、不特定多数のユーザーに偽メールを送信。リンクをクリックさせ、フィッシングサイトに誘導する。
- SNS・電子掲示板から誘導:SNS・電子掲示板の投稿サイトに、URLを記載してアクセスさせる。
- フィッシングサイトで秘密情報を得る:偽のサイトで秘密情報を入力させる。ID・パスワード、秘密の質問など。
フィッシングメールの種類は、以下になります。
- 設定確認系:設定確認を促す。「新しいセキュリティ対策を導入しました」「あなたのパスワードは安全面で問題があります」、など。
- アカウントロック系:アカウンの再設定を促す。「第三者からのアクセスを確認したので、パスワードを暫定的に変更しました」「アカウント情報に不備があります」「24時間以内に変更しないとアカウントがロックされます」、など。
- 購入確認系:購入キャンセルを促す。偽の商品購入確認をさせ、「キャンセルはこちら」のリンクをクリックさせる、など。
- 偽サイト誘導系:本物そっくりのサイトに誘導する。「キャンペーン情報はこちら」、など。
4-2-2.ファーミング詐欺(Pharming)
ファーミング詐欺(Pharming)とは、改ざんした正規サイトから不正サイトにアクセスさせ、秘密情報(個人情報・パスワードなど)を入手するサイバー攻撃のこと。
ファーミング詐欺は、フィッシング詐欺の類似・発展した手法です。
ファーミング(Pharming)は、農業(Farming)と洗練された(sophisticated)から作られた造語です。
ファーミング詐欺の手順は、以下になります。
- DNSサーバーの改ざん:DNSサーバー(ドメイン名とIPアドレスを変換するサーバー)を改ざんする。ユーザーが正規のサイトのURLを正しく入力しても、DNSサーバーが偽のサイトに接続する。
- フィッシングサイトで秘密情報を得る:偽のサイトで秘密情報を入力させる。ID・パスワード、秘密の質問など。
DNSサーバーの改ざんには、以下の方法があります。
- DNSキャッシュポイズニング攻撃:DNSサーバー(ドメイン名とIPアドレスを変換するサーバー)を変更し、正規のURLを入力しても、偽のサイトに接続する。
- ドライブバイ・ファーミング攻撃:ルーターのDNSサーバーを変更し、ルーター配下にある全てのデバイスからのアクセスを、偽のサイトに接続する。
4-2-3.DNSキャッシュポイズニング攻撃(DNS cache poisoning attack)
DNSキャッシュポイズニング攻撃(DNS cache poisoning attack)とは、DNSサーバー(ドメイン名とIPアドレスを変換するサーバー)の情報を書き換えるサイバー攻撃のこと。
DNSサーバーは、ドメインをIPアドレ スに変換した際、次回から高速に変換が行えるようにキャッシュを保存します。
DNSキャッシュポイズニングは、このキャッシュを任意の情報で上書きし、あるドメインが本来対応するIPアドレスではない、別のIPアドレスに対応します。
この結果、ユーザーがURLを正確に入力しても、別のサイトに接続します。
例えば、正規のドメイン名「www.example.jp」にアクセスすると、正規のIPアドレス「11.22.33.44」のページを表示する場合。
正規のドメイン名「www.example.jp」にアクセスすると、、偽のIPアドレス「aa.bb.cc.dd」のページを表示するよう変更します。
DNSキャッシュポイズニングの手順(DNSサーバーの不正アクセス)は、以下になります。
- DNSサーバーの不正アクセス:DNSサーバーに不正アクセス(ログイン)する。
- DNSサーバーのキャッシュ改ざん:偽サイトにアクセスするようにキャッシュを改ざんする。
- ユーザーを偽サイトに誘導:正規サイトにアクセスしたユーザーを偽サイトに誘導する。フィッシングサイトなど。
DNSキャッシュポイズニングの手順(DNSメッセージの偽装)は、以下になります。
- 攻撃者が、DNSキャッシュサーバーに問い合わせる:ターゲットのDNSキャッシュサーバーに問い合わせる。
- DNSキャッシュサーバーが、(自動的に)外部の権威DNSサーバーに問い合わせる:DNSキャッシュサーバーが、外部の権威サーバに問い合わせる。この時、正規のパケット(ID)を送信する。
- 攻撃者が、DNSキャッシュサーバーに、権威DNSサーバーの応答前に偽の応答を送信:権威DNSサーバーから正しい応答が返ってくる前に、偽の応答パケット(ID)をDNSキャッシュサーバーに送信する。
- 権威DNSサーバーからのキャッシュ改ざん:偽サイトにアクセスするようにキャッシュを改ざんする。「2.正規パケット(ID)」と「3.偽パケット(ID)」が一致すれば攻撃成功。TTL(キャッシュの有効な期間)が切れると次の攻撃ができる。
- DNSサーバーを参照したユーザーを偽サイトに誘導:正規サイトにアクセスしたユーザーを偽サイトに誘導する。フィッシングサイトなど。
DNSキャッシュポイズニングの手順(カミンスキー攻撃:Kaminsky attack )は、以下になります。
- 攻撃者が、DNSキャッシュサーバーに問い合わせる:乗っ取りたいドメイン名と同じドメイン内で、 存在しないドメイン名をDNSキャッシュサーバーに問い合わせる。例えば「www.example.jp」を乗っ取る場合、「random001.example.jp」を問い合わせる。
- DNSキャッシュサーバーが、(自動的に)外部の権威DNSサーバーに問い合わせる:DNSキャッシュサーバーが、外部の権威サーバに問い合わせる。この時、正規のパケット(ID)を送信する。
- 攻撃者が、DNSキャッシュサーバーに、偽の権威DNSサーバーに問い合わせするよう送信:DNSキャッシュサーバーが偽の権威DNSサーバーに問い合わせるよう、偽のパケット(ID)を送信する。例えば、「そのドメイン名は、他の権威DNSサーバーに問い合わせよ。 そのサーバ名は www.example.jp、IPアドレスはaa.bb.cc.dd(攻撃者が用意した偽の権威DNSサーバーのIPアドレス)」。
- 権威DNSサーバーのキャッシュ改ざん:偽サイトにアクセスするようにキャッシュを改ざん。する。「2.正規パケット(ID)」と「3.偽パケット(ID)」が一致すれば攻撃成功。カミンスキー攻撃の場合、「random002.example.jp」「random003.example.jp」と総当たりで問い合わせれば、いつかパケット(ID)が合致する。TTL(キャッシュの有効な期間)は関係ない。
- DNSサーバーを参照したユーザーを偽サイトに誘導:正規サイトにアクセスしたユーザーを偽サイトに誘導する。フィッシングサイトなど。
各種用語の意味は、以下になります。
- IPアドレス:コンピュータ向けのネットワーク上の住所。
- ドメイン名:IPアドレスに付けた人間向けの名前。
- DNS(Domain Name System):IPアドレスとドメイン名を紐付ける(変換する)システム。
- DNSサーバー(ネームサーバー):DNS機能を持つサーバー。
- DNSキャッシュサーバー(フルサービスリゾルバ):ユーザーの問い合わせに全て回答する。問い合わせの答えを知らなければ、権威DNSサーバーに問い合わせる。得た回答は、ローカルデバイスなどにキャッシュ(保存)する。
- 権威(DNS)サーバー(DNSコンテンツサーバー):自分の管理している情報(ゾーンファイルに保存してあるIPアドレスとドメイン名の変換リスト)を伝えるDNSサーバー。
- DNSルートサーバー:DNSキャッシュサーバーが最初に問い合わせるDNSサーバー。トップレベルドメイン(.comなど)を担当する。
- パケット:通信用に細切れにしたデータ。DNSサーバーに問い合わせる際、パケットにIDを入れて通信する。
- TTL(Time To Live:タイム・トゥー・リブ):寿命として設定される値。キャッシュの有効な期間。パケットに付属するデータ。
4-2-4.ドライブバイ・ファーミング攻撃(Drive-By Pharming attack)
ドライブバイ・ファーミング攻撃(Drive-By Pharming attack)とは、細工された(JavaScriptを含む)サイト・HTMLメールなどにより、ルーターのDNSサーバーのアドレス設定を書き換えて、偽のサイトに誘導するサイバー攻撃のこと。
ドライブバイ(drive-by)は、「走行中の車から射撃する」という意味があり、ユーザーに気づかれないような攻撃を「ドライブバイ・XX」と呼びます。
ドライブバイ・ファーミング攻撃の手順は、以下になります。
- 不正サイトの作成:攻撃者が、不正サイトを作成する。何らかの方法でユーザーを不正サイトにアクセスさせる。
- ユーザーが不正サイトにアクセスする:ユーザーが不正なWebページに誘導され、ユーザーのブラウザ上でスクリプトが実行する。
- (家庭用の)ルーターのDNS変更:ユーザーの(家庭用の)ルーターのDNSが変更する。
- ルーター配下の全てのデバイスの動作変更:ルーターに接続したデバイスは、全て不正サイト(偽のIPアドレス)に接続する。
- DNSサーバーを参照したユーザーを偽サイトに誘導:正規サイトにアクセスしたユーザーを偽サイトに誘導する。フィッシングサイトなど。
ルーターの設定を変更する手順は、以下になります。
- デバイスのローカルIPアドレスの調査:Javaアプレット(ブラウザ上で動くJavaプログラム)が許可されていれば、ァイアウォール 経由、プロキシ・サーバー経由でローカルIPアドレスの調査が可能。
- ルーターのローカルIPアドレスの調査:
- Javaスクリプト(Javaを動かすプログラム)によりTCPポート(安全に通信する接続口)80番をスキャンする。
- デバイスのIPアドレスの付近を調査する。通常、ルーターのIPアドレス(例:192.168.0.1 )は、デバイスのIPアドレス(例:192.168.0.10)に近い。
- デフォルト・パスワードでログインを試みる:検出したルーターのIPアドレスに、デフォルト・パスワードでログインを試みる。ネットワーク機器のデフォルト・パスワードは、インターネット上で容易に入手できる。
- ルーターの設定を変更する:各機種に応じたHTTP のリクエストを送信し、ルーターの設定情報を変更する。
4-2-5.スミッシング(Smishing)
スミッシング(Smishing)、または、SMSフィッシング(SMS phishing)とは、SMS(ショートメッセージサービス))を利用して、メッセージの受信者をフィッシングサイトに誘導するサイバー攻撃のこと。
スミッシングは、フィッシング詐欺の類似手法です。
スミッシング(Smishing)は、SMSとフィッシング詐欺(phishing)から作られた造語です。
スミッシングの特徴は、以下になります。
- URLクリックのみ:SMSにはマルウェアを仕込めない。偽のURLをクリックさせるしかない。
- ランダムな電話番号に送信:電話番号さえ判明すれば、SMS送信できる。
- 正規SMSのスレッドに割り込める:正規SMSのスレッドに割り込めるため、偽メッセージを本物と思い込みやすい。
スミッシングの手順は、以下になります。
- SMSでフィッシングサイトに誘導する:既存のWebサービスになりすまし、不特定多数のユーザーに偽SMSを送信。リンクをクリックさせ、フィッシングサイトに誘導する。
- フィッシングサイトで秘密情報を得る:偽のサイトで秘密情報を入力させる。ID・パスワード、秘密の質問など。
スミッシングの偽送信元の例は、以下になります。
- 大手銀行:「セキュリティ向上のため」「ご契約カードを再発行するため」「ご契約カード発行の際に事務手続きにミスがあったため」、など。三井住友銀行、三菱東京UFJ銀行、など。
- 宅配業者の不在通知:「不在のため持ち帰りました。配送物は下記よりご確認ください」など。佐川急便、クロネコヤマト、など。
- 通信事業者のお知らせ:「セキュリティ向上のため」など。NTTドコモなど。
- 架空請求通知:「お客さま端末からウイルス確認。無料削除を実行ください」「アカウント支払方法登録のお願いです。詳細はURLをクリック」、など。Googleなど。
4-2-6.ビッシング(Vishing)
ビッシング(Vishing)、または、ボイスフィッシング(Voice phishing)とは、ユーザーに電話(自動音声)をかけ、秘密情報(個人情報・パスワードなど)を入手するサイバー攻撃のこと。
ビッシングは、フィッシング詐欺の類似手法です。
ビッシング(Vishing)は、電話の声(Voice)とフィッシング詐欺(phishing)から作られた造語です。
電話でなくファックスを使用して秘密情報を入手するサイバー攻撃は、「ファクシング(Phaxing)」と呼びます。
ビッシングの特徴は、以下になります。
- 電話回線は盗んだもの:盗んだ電話回線・インターネット電話(VoIP)を使う。
- 電話番号以外は正規の情報:正規のサービス業者(金融機関など)と同じ内容のため、見破るのは難しい。
- 自動音声:かかってくる電話は、音声応答システム(IVR)になる。人間相手とは違い(人間なら、質問する・声の抑揚などで判断できる可能性がある)、音声に怪しさを判断する余地がない。
ビッシングの手順は、以下になります。
- 自動音声の準備:正規のサービス業者(金融機関など)と同じ音声、内容の自動音声を用意する。
- ランダムなターゲット:ターゲットはランダムに選出する。他の手法により入手した、個人の電話番号リストを使う場合が多い。
- ターゲットに電話をかける:ターゲットに電話(自動音声)をかける。
- ターゲットが秘密情報を入力する:ターゲットが入力した秘密情報を、自動的に入手する。
4-2-7.リバースビッシング(Reverse Vishing)
リバースビッシング(Reverse Vishing)とは、ユーザーから電話(自動音声)をかけさせ、秘密情報(個人情報・パスワードなど)を入手するサイバー攻撃のこと。
リバースビッシングは、フィッシング詐欺・ビッシングの類似手法です。
リバースビッシングの特徴は、以下になります。
- 電話回線は盗んだもの:盗んだ電話回線・インターネット電話(VoIP)を使う。
- 電話番号以外は正規の情報:正規のサービス業者(金融機関など)と同じ内容のため、見破るのは難しい。
- マルウェアを仕込む:用意した偽のサイト、メールなどには、マルウェアが仕込まれている場合がある。
- 自動音声:応答する電話は、音声応答システム(IVR)になる。人間相手とは違い(人間なら、質問する・声の抑揚などで判断できる可能性がある)、音声に怪しさを判断する余地がない。
リバースビッシングの手順は、以下になります。
- 自動音声の準備:正規のサービス業者(金融機関など)と同じ音声、内容の自動音声を用意する。
- ランダムなターゲット:ターゲットはランダムに選出する。他の手法により入手したリストを使う場合が多い。
- 何らかの方法で、ターゲットに電話をかけさせる:
- サイト:偽のサイトを用意する。
- メール:偽の案内メールを送信する。
- SNS:偽の案内SNSを送信する。
- SMS:偽の案内SMSを送信する。
- 電話:偽の案内電話を送信する。
- 各種サービスの電話番号改ざん:正規サービスの電話番号のみを改ざんする。Google Map、Wikipediaなど。
- ターゲットが電話をかけ、秘密情報を入力する:ターゲットが入力した秘密情報を、自動的に入手する。
4-2-8.ワンクリック詐欺(one-click fraud)
ワンクリック詐欺(one-click fraud)とは、1回クリックしただけで、料金の請求画面が表示される(架空請求)詐欺手法のサイバー攻撃のこと。
ワンクリック詐欺の特徴は、以下になります。
- 1回クリックしただけで料金を請求:申し込み契約をしていないのに、サービスを契約したように見せかける。「料金をお振込みください」「登録が完了しました」、など。
- 実際は契約できていない:法律上、双方の同意を得ていない契約は無効になる。そのため、ターゲットに無視されるとどうしようもない。
- マルウェアを仕込む:クリックする機会が得られるので、別途マルウェアを仕込んでおく場合がある。
- 画面を操作できなくする:マルウェアを仕込んだ場合、請求した料金を支払うまでデバイスの操作権限を奪う。画面をロックする、請求画面を何度もポップアップする、など。
- 秘密情報の共有:もしターゲットが電話をかける、実際に支払いするなどしたら、秘密情報(電話番号など)を保存し、攻撃者のグループ間で共有する。
- ターゲットのリストを使用:メール等を使う場合は、他の方法で得たターゲットのリストをを使用する。
ワンクリック詐欺の手順は、以下になります。
- 詐欺サイト・アプリを用意する:ターゲットの興味を引きそうな内容のサイト・アプリを用意する。アダルトサイト、出会い系サイト、など。
- 何らかの方法でターゲットを詐欺サイトに誘導する:
- アダルト系サイト:サンプル動画を載せ、「全編視聴するにはこちらをクリック」と表示する。アダルトサイトを見てしまった、という後ろめたさにつけ込む。
- メール:アダルトサイトなどの運営を名乗り、本文に「仮登録ありがとうございます」という言葉とURLを記載する。
- SNS:興味を引く文言と写真などを掲載する。
- アプリ:動画再生アプリなどを紹介する。
- 掲示板:興味を引く文言と写真などを掲載する。
- 一般サイト:占い、ゲームなど
- ターゲットがクリックすると料金請求:URLをクリックする、アプリをインストールすると、料金請求の文言を表示する。
- ターゲットが料金支払:無事ターゲットが騙されて、料金を支払えば目標達成。
詐欺サイト・アプリの特徴の例は、以下になります。
- ターゲットに不利な利用規約:利用規約の中に「画像・動画や入口などをクリックした時点で利用契約が成立したとみなす」と書く。
- 利用規約の所在が不明確:契約内容、利用規約のページをわかりにくい箇所に表示する。
- 契約後に利用規約を表示:契約前には利用規約を確認できない。
- 法令に遵守したように振る舞う:法令に遵守した正当なサイトであると振る舞う。「電子消費者契約法に基づいた契約」「ワンクリック詐欺ではない」、など。
- 契約前に個人情報の入力はしない:本来の契約は、契約前に個人情報(住所・氏名・クレジットカード番号など)を入力し、契約の同意をする。この入力をせず、契約したと主張する。
- 支払い先は銀行の個人名義:料金の支払い先は、個人名義の銀行振込(架空口座)が多い。近年、ネット決済専用のプリペイドカード(コンビニエンスストアで購入可能)や、収納代行が急増している。
- 料金が高額:料金は一般的に、数万円~数十万円以上。期限内に支払わないと、さらに高額な延滞料金が加算される。
- 振り込みを急がせる:ターゲットが冷静に物事を考られないように、振り込みを急がせる。振込みの期限を2日以内に指定する、今ならキャンペーンで一定期限内の振込みなら料金が3割引、期限内に支払わないとさらに高額な延滞料金が加算する、支払わなければ法的処置を講ずる、など。
- 不安を煽る:もっともらしい理由をつけて不安を煽る・脅迫する。既に個人情報(携帯電話の個体識別番号、GPSを使った位置情報、IPアドレス、契約しているプロバイダ、など)を得ているため、支払わなければ以下の措置を取ることが可能だ、など。
- 債権回収業者に債権譲渡する。
- 期限までに支払いがない場合は、裁判所に提訴する。
- 争いがあった場合、どこで裁判を行うのかという裁判所を規約等に表示してある、と表明する。
- 悪質な不払いの場合は、詐欺罪で刑事告訴をする。
- 身辺調査をする。
- 住民票や戸籍謄本を取得する。
- 自宅や勤務先(学生の場合は通学先)に内容証明郵便を送付する。
- 給与や財産の差し押さえる。
- 未成年者の場合は、親権者に利用内容や未払い金額を通知する。
- 個人信用情報機関に未払い情報が登録され、クレジットカードや銀行口座の利用が停止される。
- ID・メールアドレスの自動登録:リファーコード(URLの後半にIDやメールアドレスが含まれている)付きのURLをクリックすると、ID・パスワード付きで登録完了したと請求される。
- リファーコードによる電話番号の通知:SMSでは、リファーコード(電話番号)付きURLが使われる場合が多い。URLをクリックすると、電話番号を攻撃者に送信する。
- 警告の繰り返し:料金支払に関する警告を繰り返し表示する。
- 偽のインストール情報の表示:偽の情報を表示する。「個人情報の取得が完了した」、「課金のためのプログラムをインストールした」、など。
4-2-9.ゼロクリック詐欺(zero-click fraud)
ゼロクリック詐欺(zero-click fraud)とは、クリックしなくても、料金の請求画面が表示される(架空請求)詐欺手法のサイバー攻撃のこと。
ワンクリック詐欺と異なる点は、クリックをするかしないか、だけです。
ゼロクリック詐欺の特徴は、以下になります。
- サイトにアクセス(画面を表示)しただけで、ワンクリック詐欺と同じ状態になる。
4-2-10.ジュースジャッキング攻撃(Juice Jacking)
ジュースジャッキング(Juice Jacking)攻撃とは、USBポートにマルウェアを仕込んだり、データを盗み出すための細工をしたりするサイバー攻撃のこと。
ジュースジャッキング攻撃の特徴は、以下になります。
- 攻撃を仕掛ける場所は、空港、ホテル、カフェ、ネットカフェなど、不特定多数が利用する環境。
- ユーザーの目的は、主に充電。
- 公共のUSBポート、USB(充電)ケーブルを細工する。具体的には、コネクタ(接続端子)部分に小さな部品を仕込む。
- USBポートに接続すると、スマートフォンのデータを奪取し、マルウェアをインストールする。
- セキュリティソフトでは防げない(場合が多い)。
- ジュースジャッキングの手口は知られているが、被害報告はゼロ。被害を受けても気付かない可能性が高い。
- ACソケット(充電専用ケーブル)を経由すると、ジュースジャッキング攻撃は回避される。
ジュースジャッキング攻撃の手順は、以下になります。
- USBポートの細工がバレないような時間、場所、状況を調べる。
- マルウェアをインストールするなどの細工をしたUSBポート、USB(充電)ケーブルを用意する。
- 細工がバレないように、公共のUSBポートを交換、または改造する。
- ある程度データが集まったら、細工がバレないように元に戻す(場合もある)。
4-2-11.ディープフェイク攻撃(フェイクビデオ攻撃)
ディープフェイクとは、AIの技術を応用して作られた、偽の動画や音声のこと。
ディープフェイクは、「ディープラーニング」と「フェイク」を組み合わせた造語です。
自然な動画を合成する技術(DeepFakeアルゴリズム:画像から動画を作りだす)を、フェイススワップ(顔交換)と呼びます。
特定の人物の顔の形やしわ、目や鼻などの動き、発声などの音声を、別の人物にかぶせ、異なる部分を精巧に修正して再現します。
影や光の反射など、被写体以外も合成、作り込みます。
AIの精度によっては、本物との見分けはつきません。
ディープフェイクの発端は、ソーシャルブックマークサイト「Reddit」で「deepfakes」というユーザーが、2017年11月頃に投稿した動画であると言われています。
一般のユーザーでも使える、フェイク動画作成アプリ「FakeApp(フェイクアップ)」が有名です。
フェイクビデオの影響は、以下になります。
- 特定人物の信用を落とす:政治家や芸能人、セレブなどの影響力のある人が対象になりやすい。
- いじめ、脅迫に利用:
- 社会情勢のコントロール:株価の変動操作、政策の変動、など。
- 戦争のコントロール:国際戦争への発展、戦局を左右する要因にする、など。
フェイクビデオを見分ける方法は、以下になります。
- 情報収集を行う:情報源を確認し、本物か確かめる。
- 映像に違和感がないか確認する:人物だけでなく、光の反射、不自然な模様(ワイヤーをデジタル消去するなど)を探す。
- まばたきをしない。
- 髪の毛、特に前髪の縁が不自然なぼやけ方をする。
- 歯が不自然な光り方をする。
- フェイクビデオを見分けるAIを活用する:DeepFakeアルゴリズムの弱点をついたAI。「まばたき」をしない箇所を検出、比較する。ニューヨーク州立大学の呂思偉(ルー・シウェイ)率いる研究チームが開発した。
4-2-12.サイバースクワッティング(Cyber squatting)
サイバースクワッティング(Cyber squatting)とは、有名企業などのドメインに似たドメインを用意し、ユーザーを誘導するサイバー攻撃のこと。
サイバースクワッティングは、「サイバー(Cyber)」と「占有する(Squatting)」の造語です。
サイバースクワッティングの特徴は、以下になります。
- 攻撃者は、有名企業などに似たドメインを取得し、偽サイトを用意する。
- ユーザーがタイプミスなどにより、偽サイトにアクセスする。
- ユーザーが偽URLにアクセスしたら、マルウェアに感染するなど様々な攻撃に繋げる。
- 手法の1つであるタイポスクワッティングは、2000年代前半から存在する。
- 2018年の1月から3月までの間に1,200万件以上のタイポスクワッティングサイトへのアクセスが確認された。(アメリカのサイバー犯罪に詳しいジャーナリスト「ブライアン・クレブス」の調査による)
タイポスクワッティングの手順は、以下になります。
- 偽のURLでサイトを作る:
- 偽のURLで待ち構える:ユーザーの入力ミスを待つ、など。
- 正規URL:example-jp.com
- example-jp.cm(トップレベルドメインの変更)
- exanple-jp.com(単語の打ち間違いを狙う)
- examplle-jp.com(文字を追加する)
- 攻撃者のWebサイトへリダイレクトする:偽のURLから、さらに別のURLへのリダイレクトも可能。
- マルウェア感染:バックドアの設置など、マルウェアに感染する。
スクワッティング手法の種類は、以下になります。
- タイポスクワッティング:
- ターゲットドメイン名をスペルミスしたドメインを意図的に登録して、ユーザーの入力ミスを利用する。
- 正規URL:example-jp.com
- example-jp.cm(トップレベルドメインの変更)
- exanple-jp.com(単語の打ち間違いを狙う)
- examplle-jp.com(文字を追加する)
- コンボスクワッティング:
- 有名な商標と、「security」、「payment」、「verification」などの単語を組み合わせる。
- ソーシャルエンジニアリング攻撃のフィッシング電子メールで多く使用される。
- ホモグラフスクワッティング:
- Unicode文字の使用が許可されている国際化ドメイン名(IDN)を使用する。
- ターゲットドメイン内の1つまたは複数の文字を、別の言語からの視覚的に似た文字で置き換える。
- 「microsofŧ.com」など。
- サウンドスクワッティング:
- 異形同音異義語(音が同じ単語)を使用する。
- 「weather」と「whether」など。
- ビットスクワッティング:
- 正規のターゲットドメイン内の文字と1ビット異なる文字を使用する。
- 「micposoft.com」など。
- レベルスクワッティング:
- 標的のブランドのドメイン名をサブドメインとして使用する。
- 「microsoft.com.123456」など。
- ドロップキャッチ(Drop Catch):
- 登録者がドメインネームを更新するのを忘れたタイミングを狙って、元々の登録者より早くドメインネームを登録する。
4-2-13.中間者攻撃(MITM:Man In The Middle Attack)
中間者攻撃(マン・イン・ザ・ミドル攻撃:MITM:Man In The Middle Attack)とは、暗号通信を盗聴・介入するサイバー攻撃のこと。
通信を行う二者の間に割り込み、両者が交換する公開情報を自分とすりかえ、気付かれずに盗聴・介入します。
中間者攻撃は、バケツリレー攻撃(bucket-brigade attack)とも呼びます。
中間者攻撃の特徴は、以下になります。
- 攻撃者がターゲットと独立した通信経路を確立し、犠牲者間のメッセージを中継する。
- 全ての会話が攻撃者によって制御されている時に、ターゲットにはプライベートな接続で直接対話していると思わせる。
- 通信が暗号化されていない(平文通信)場合、被害を受けやすい。
- 十分なセキュリティ対策が行われていない通信機器を使う場合、攻撃を受けやすい。
- 攻撃の検知が難しい。
中間者攻撃の種類は、以下になります。
- 無線LANで通信を傍受し盗聴:公衆Wi-Fiに使用する場合が多い。VPNだと防げる。
- 脆弱性のアプリを悪用し通信内容を盗聴:多要素認証で防げる。2段階認証、指紋、など。
- オンラインバンキングを悪用し不正送金:送金先を書き換えるなど。
4-3.負荷をかける攻撃
4-3-1.DoS攻撃(Denial of Service attack)
DoS攻撃(ドスこうげき、英: Denial of service attack)とは、攻撃目標であるサイトやサーバーに大量のデータを送り付けるサイバー攻撃のこと。
受信側はトラフィックが異常に増大し、負荷に耐えられなくなったサーバーやサイトがダウンします。
ターゲットに経済的ダメージを負わせる目的の場合は、EDoS攻撃(Economic DoS Attack)と呼ばれます。
DoS攻撃の特徴は、以下になります。
- 1つのPC(IPアドレス)から攻撃する。
- ターゲットのサーバー・サイトに大きな負荷を与え、操作不能にする。
DoS攻撃の種類は、以下になります。
- フラッド型:プロトコルを攻略して大量のデータを送り付け、攻撃対象が処理しきれない状態に持ち込む。
- 脆弱性型:サーバーやアプリケーションの脆弱性を利用して、不正処理を行わせ、サービス機能を停止させる。
DoS攻撃の手法は、以下になります。
- メールボム攻撃:大量のメールを対象に送り続ける。その結果、他のメールの受信や送信ができなくなる。
- F5攻撃:パソコンのキーボードにあるF5キー(ページを再読み込みをするためのキー)の入力を繰り返し行い、負荷を与える。
4-3-2.DDoS攻撃(Distributed Denial of Service attack)
DDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack)とは、マルウェアを使って複数のマシンを乗っ取った上で、DoS攻撃を仕掛けるサイバー攻撃のこと。
DDoS攻撃は、DoS攻撃の進化版です。
通常のDoS攻撃と違い、複数のIPを使うので、攻撃対象により大きな負荷をかけられます。
DDoS攻撃の特徴は、以下になります。
- DDoS攻撃は、DoS攻撃のフラッド型の分類になる。
- 複数のPC(IPアドレス)から攻撃する。
- マルウェアにより感染したPCが、同時にターゲットへ攻撃する。攻撃するPCの数は、1万を超える場合もある。
- ターゲットのサーバー・サイトに大きな負荷を与え、操作不能にする。
DoS攻撃の種類は、以下になります。
- 帯域幅攻撃:大量のパケットを送り、ネットワーク帯域幅やネットワーク装置のリソースを消費させる。
- アプリケーションレイヤ攻撃:TCPやHTTPなどのプロトコルで予想される動作を利用して、過剰な負荷をかけ、正常な処理を妨げる。少ないトラフィック量でも大きな負荷をかけられる。ターゲットは、攻撃を受けたことに気付きにくい。
4-3-3.DRDoS攻撃(Distributed Reflective Denial of Service attack)
DRDoS攻撃(Distributed Reflective Denial of Service attack。DoSリフレクション攻撃、分散反射型DoS攻撃)とは、攻撃者がWeb上で攻撃対象になりすまし、大量のリクエストを送信するサイバー攻撃のこと。
DRDoS攻撃は、DDoS攻撃の進化版です。
DDoS攻撃と違い、マルウェアによる端末の乗っとりが必要ないので、攻撃者が特定され難いです。
DRDoS攻撃の特徴は、以下になります。
- 攻撃者がターゲットのマシンになりすまして、ターゲットのマシンから、大量のマシンに何らかのリクエストを一斉に送信する。
- リクエストを受け取ったマシン達は、攻撃対象のマシンに向かって一斉に返答を返す。この結果、ターゲットのマシンに大量の返答が集中し、高負荷がかかる。
- マルウェアなどで踏み台を乗っ取らなくても実行可能なため、攻撃が発覚しづらい。
DRDoS攻撃の手法は、以下になります。
- DNSアンプ攻撃:UDPのコネクションレスな性質を悪用し、インターネット上の無防備なサーバーに対して偽装したリクエストを行う。
- Smurf攻撃:コンピュータ間の接続を確認するために用いる「pingコマンド」の送信元を偽装し、標的に大量のパケットを送り付ける。
4-4.OS・ソフト・WEBサイトなどの脆弱性を狙った攻撃
4-4-1.ゼロデイ攻撃(zero day attack)
ゼロデイ攻撃(zero day attack)とは、新たな脆弱性(セキュリティホール)が発見された時に、修正プログラム(セキュリティ更新プログラム)などが提供される前に攻撃するサイバー攻撃のこと。
対策を取られる日を1日目(ワンデイ)と考え、それより前に行われるので0日目=ゼロデイと呼ばれます。
ゼロデイ攻撃の特徴は、以下になります。
- システム・OSの脆弱性(セキュリティホール)を狙う。
- セキュリティホールが修正される前に攻撃する。
- 何らかの次善策(例えば、サービスを一部停止する等)を講じることができないPCのOSは、脆弱性に対して無防備。
- 攻撃を受けている、という事実を検知すること自体が難しい。
- 大企業(Google、Microsoftなど)が開発したソフトウェアも、日々セキュリティホールは生じ続けている。
- ソフトウェア開発者よりも早く、攻撃者がセキュリティホールを見つける場合が多い。
- 修正前の攻撃であり、ウイルス対策ソフトでは防げず、一般ユーザー側が防御する方法は皆無。
- ゼロデイ攻撃は、標的型攻撃、APT攻撃と組み合わせて使われる事が多い。
ゼロデイ攻撃の手順は、以下になります。
- 攻撃者が脆弱性(セキュリティホール)を見つける
- ベンダー(開発者)が修正プログラムを作る前に、攻撃する。
- ベンダーが作った修正プログラムが配布され、ユーザーがパッチを適用するが、その時点では手遅れ。
4-4-2.SQLインジェクション(SQL Injection)
SQLインジェクション(SQL Injection)とは、想定しないSQL文を実行させ、データベースシステムを操作するサイバー攻撃のこと。
「SQL(エス・キュー・エル:シーケル)」とは、データベースを操作する代表的な「データベース言語」のこと。
「Injection:インジェクション」とは、英語で「注入」を意味します。
SQLに別のSQL文が「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」もしくは「SQL注入」とも呼ばれます。
SQLインジェクションの特徴は、以下になります。
- 主な攻撃対象は、大量のデータを保有し、SQLで制御が必要なサーバーのデータベース。ショッピングサイト、ポータルサイト、決済サイトなど。
- SQLサーバー(データベースサーバー)を呼び出す命令文を入力する。
- SQL上にセキュリティホールがあると、SQLサーバーが呼び出せる。この場合、自由にSQL文を入力でき、データの改ざん等が可能。
SQLインジェクションの手順は、以下になります。
- SQLサーバ(データベースサーバ)を呼び出す命令文を作成し、入力する。
- SQLの構文に脆弱性がある場合、不正なSQLを実行する命令文を追加する。
- SQL文によるDBへの操作を実行。データベースの改ざん・削除等をする。
SQLインジェクションの種類は、以下になります。
- エラーベースSQLインジェクション:データベース(DB)に対し、故意にエラーメッセージを吐かせるインジェクションを行う。
- ブラインドSQLインジェクション:不正なSQLを入力し、SQLサーバーからの応答や動作を確認。データベースの構造を断片的に調査し、全貌を把握する。
- マルチプルステートメント:セミコロンでSQL文を区切り、複数のSQL文を連結する。攻撃者に都合のよい構文がand条件として設定できる。
- UNIONインジェクション:UNION句を使い、今まで使ったSQL文の結果を結合し、1つにまとめる。UNION句の使用条件は「SELECT句に同じデータ型のカラムがある、または変換可能」「SELECT句のカラムが同数」の2つが必要。
SQLインジェクションの対策は、以下になります。
- .NET LINQ、PL/SQLなどの言語を使用する:ロジックの中にソースコードとしてSQLを記述できる開発言語を選ぶ。ゼロから開発する場合に限る。
- 構文すべての変数をエスケープ処理する:プログラム言語を扱ううえで特別な意味をもつ文字・記号が入力された際に、別の文字列に書き換える。
- クエリにバインド機構(メカニズム)を実装する:事前にSQLのクエリを予約(プリペアドステートメント)し、後からそれを各条件(プレースホルダ)に、バインド値を付与し、SQLを書き出すデータベースの機能を実装する。
- バリデーションチェック:入力、ロジック(処理)、出力の工程が正しいか検証する。
- データベースサーバのログの監視・解析:どこの範囲のデータを抽出されたのか、書き換えられたのかを解析する。
- WAF(Web Application Firewall)の導入:WEBサイトをアプリケーションレベルで防御するファイアーウォールを導入する。
4-4-3.クロスサイトスクリプティング(XSS:Cross Site Scripting)
クロスサイトスクリプティング(XSS:Cross Site Scripting)とは、Webサイト閲覧者側がWebページを制作することのできる動的サイトに、不正なスクリプトを挿入することにより起こすサイバー攻撃のこと。
「クロス」は「送信」。「スクリプト」は「書いて、すぐ実行できるプログラム」。
クロスサイトスクリプティングは、標的になったサイトから別のサイトに情報を送信(クロス)するプログラム、という意味です。
クロスサイトスクリプティングの特徴は、以下になります。
- 動的サイト(Twitter、YouTube、掲示板等)に、不正なスクリプトを挿入する。
- ユーザーが不正なスクリプトを挿入した動的サイトを閲覧するのを待つ。
- 攻撃が成功すれば、攻撃者が自由にユーザーのデバイスを操作できる。
- 動的サイトが虚弱性のあるアプリケーション設計の場合、攻撃が有効になる。
- 虚弱性の例:
- 入力値が制限されていない。
- htmlタグやJavaScriptなどのスクリプトが入力された場合、その内容をそのまま実行する。
クロスサイトスクリプティングの手順は、以下になります。
- 攻撃者Aが、掲示板サイトB(Twitterなど)に罠を仕掛ける(例:スクリプト付リンクを貼る)。
- ユーザーが掲示板サイトBを閲覧する。
- 掲示板サイトB内でスクリプト実行。貧乏神のように、ユーザーにスクリプト情報が取り付く。
- スクリプト情報がユーザーに攻撃する(マルウェアに感染、情報漏えいなど)。
例えば、掲示板サイトBの罠リンクから正規サイトCに移動しても、正規サイトCで入力した内容が漏洩する、など。
4-4-4.OSコマンドインジェクション(OS Command Injection)
OSコマンドインジェクション(OS Command Injection)とは、不正なOSコマンドを送信し、PCやサーバーを操作するサイバー攻撃のこと。
「OS」は「Operetaing System:基本ソフトウェア」。「インジェクション」は「挿入する(injection)」です。
コマンド注入攻撃、コマンドインジェクションとも呼ばれます。
OSコマンドインジェクションの特徴は、以下になります。
- アプリケーションを通じて、攻撃対象のOSに命令文を送り込む。
- 攻撃が成功すれば、攻撃者が自由にPCやサーバーのデータベースを操作できる。
- 虚弱性のあるアプリケーション設計の場合、攻撃が有効になる。
- 虚弱性の例:
- シェル(cmd.exeなど)を起動可能な言語機能を利用している。
- 外部からの命令文をそのままコマンドラインにインジェクションさせている。
OSコマンドインジェクションの手順は、以下になります。
- 攻撃者がWebアプリケーションに攻撃パターンを入力する。
- Webアプリケーション内で、入力値とともにコマンド文字列が組み立てられる。
- コマンド文字列がWebサーバのシェルで解釈されて実行される。
- 開発者が意図しないコマンドを実行する。
4-4-5.バッファオーバーフロー攻撃(buffer overflow)
バッファオーバーフロー攻撃(buffer overflow)とは、処理できる量以上のデータをバッファに書き込み、バッファの外側のメモリを上書きする(元のメモリのデータは破壊される)サイバー攻撃のこと。
バッファオーバーフロー攻撃は、バッファオーバーラン(buffer overrun)とも呼ばれます。
「バッファ」とは、「コンピュータ上のプログラムが持つ領域」の種類の1つ。
プログラムがもつ領域の種類は、以下になります。
- コード領域:実行命令を格納する。
- バッファ:
- スタック領域:プログラムの戻り先など、プログラム実行のための一時的な情報を格納する。
- ヒープ領域:計算や操作のためのデータを格納する。
バッファオーバーフロー攻撃の特徴は、以下になります。
- 攻撃対象のOS・アプリケーションに許容量以上のデータを送る(書き込む)。
- データがバッファ境界からあふれ、バッファの外側のメモリを上書きする。
- 元々々そのメモリにあったデータを破壊する。
- メモリを上書き(破壊)できれば、PCの乗っ取りが可能。
バッファオーバーフロー攻撃の種類は、以下になります。
- スタック領域型:データ領域とリターンアドレスが記載されている部分にオーバーフローを起こし、リターンアドレスを書き換える。
- ヒープ領域型:未使用領域の管理に双方向リストが用いられていることを利用し、関数のリターンアドレス、例外ハンドラアドレス等を書き換える。
- 静的領域型:ジャンプアドレス(書き換えてプログラムの制御を奪うことのできるアドレス)付近の変数の後方(アドレスが大きくなる方向)に、オーバーフローを起こす。
- その他の攻撃型:ファイルのオーナー権限で動作するUNIX環境下で、rootのSUID属性をもつコマンドを利用し、管理者権限を奪取する。
4-4-6.セッションハイジャック
セッションハイジャックとは、コンピュータネットワーク通信におけるセッション(セッションIDやcookie等)を、通信当事者以外が乗っ取るサイバー攻撃のこと。
セッションとは、Webページにアクセスしたユーザーが、そのページ内で行う一連の動作のこと。ログインからログアウトするまで、など。
セッションIDとは、WebサーバーやWebアプリケーションによって付与される情報のこと。Cookieなど。
セッションハイジャックの特徴は、以下になります。
- 攻撃者が何らかの手段でセッションIDを知ると、セッションを乗っ取れる。
- セッションを乗っ取れれば、攻撃者がユーザーに成りすまし可能。
- セッションハイジャックには、セッションIDの推測、セッションIDの盗難、セッションID固定化攻撃の3種類がある。
セッションハイジャックの種類は、以下になります。
- セッションIDの推測:セッションIDを推測しやすい方法で割り振っている場合に可能。連番、時刻、ユーザーID、メールアドレス、など。
- セッションIDの盗難:Webアプリケーションの脆弱性がある場合に可能。クロスサイトスクリプティング、HTTPヘッダ・インジェクション、ミドルウェアの脆弱性、など。
- セッションID固定化攻撃(セッションフィクセーション攻撃):攻撃者が取得した正規のセッションIDをユーザーに使用させ、対象のWebサイトにユーザーがログインしたのを確認してから、攻撃者がログインする。
4-4-7.フォームジャッキング攻撃(formjacking)
フォームジャッキング攻撃(formjacking)とは、入力フォームを改ざんし、情報を入手するサイバー攻撃のこと。
フォーム乗っ取り攻撃、とも呼ばれます。
フォームジャッキング攻撃の特徴は、以下になります。
- 主なターゲットは、ECサイトや購入ページの注文情報入力フォーム。
- 入力フォームに、不正なJavaScriptのコードなどを仕組みむ。
- クレジットカード番号などの個人情報を入手する。
- 攻撃手法は、リンク型決済、トークン型決済の2種類がある。
- ユーザーは情報を盗まれたことに気づきにくい。
フォームジャッキング攻撃の種類は、以下になります。
- リンク型決済:
- ECサイトを改ざんする。
- ユーザーが決済へ進むと、偽のカード情報入力画面に誘導する。
- 偽の画面にカード情報を入力し送信すると、カード情報を攻撃者の元へ送信する。
- 送信後、一度エラー表示となり正しい決済画面へと誘導する。
- トークン型決済:
- 入力フォームを改ざんする。
- ユーザーが入力フォームにカード情報を入力し、確認ボタンをクリックする。
- フォームに仕掛けられたJavaScriptが作動して、カード情報がカード会社だけでなく、攻撃者にも送信する。
4-4-8.ドメイン名ハイジャック攻撃
ドメイン名ハイジャック攻撃とは、ドメインを乗っ取るサイバー攻撃のこと。
ドメイン名ハイジャック攻撃の特徴は、以下になります。
- 既存のドメイン名を、何らかの方法で乗っ取る。
- 正規サイトにアクセスしたユーザーを、強制的に別のサイトにアクセスさせる。
ドメイン名ハイジャック攻撃の方法は、以下になります。
- アカウント窃取:
- ドメイン名所有者のアカウント情報を窃取する。
- レジストラのデータベースに登録されたドメイン名情報を変更する。
- システム虚弱性を利用する:
- レジストラやレジストリのシステムの脆弱性を利用する。
- データベースに登録されたドメイン名情報を書き換える。
- 権威DNSサーバーに不正なデータを登録する:
- DNSサーバーの不適切な管理がある場合に可能。
- 管理権限を奪い、サーバーを乗っ取る。
- DNSレコードを変更する。
- キャッシュDNSサーバーに不正なデータをキャッシュさせる:
- キャッシュDNSサーバーに一時保存してあるドメイン名とIPアドレスの対応情報を書き換える。
レジストリとは、登録済みのドメイン名と登録者の情報を管理している「データベース」のこと。
レジストラとは、ドメインをレジストリに登録することができる事業者のこと。
4-5.パスワード関連のサイバー攻撃
4-5-1.ブルートフォースアタック(brute force attack:総当たり攻撃)
ブルートフォースアタック(brute force attack:総当たり攻撃)とは、ユーザーのアカウント・パスワードを、理論的にありうるパターン全てを入力して解読するサイバー攻撃のこと。
「ブルートフォース(brute force)」という言葉の意味は、「強引な」や「力ずく」です。
ブルートフォースアタックの特徴は、以下になります。
- 目的は、ユーザーのアカウント・パスワードの解読。
- 解読するには、全ての文字列を試す。
- 解読にかかる時間は、文字数が多くなるほど、使う文字の種類が増えるほど、増加する。
- 短期間(数秒に1回)にログイン試行する。
- 試行回数制限があると、この手法は使えない。
- 2段階認証があると、たとえ解読てきても、ログインできない。
- 大手セキュリティ会社、トレンドマイクロの調査によると、複数のWebサービスでパスワードを使いまわしているユーザーは約85%いる。
- ユーザーは意味のある単語を使う傾向にある。
使用する文字の種類 | 1文字の場合 | 4文字の場合 | 6文字の場合 | 8文字の場合 | 10文字の場合 |
---|---|---|---|---|---|
数字のみ(0~9) | 10 | 10,000 | 1,000,000 | 100,000,000 | 10,000,000,000 |
英字(大文字、小文字区別しない) | 26 | 456,976 | 38,915,776 | 208,827,064,576 | 141,167,095,653,376 |
英字(大小区別しない)+数字 | 36 | 1,679,616 | 2,176,782,336 | 2,821,109,907,456 | 3,656,158,440,062,976 |
英字(大文字、小文字区別)+数字 | 62 | 14,776,336 | 56,800,235,584 | 218,340,105,584,896 | 839,299,365,868,340,224 |
英字(大小区別)+数字+記号31文字 | 93 | 74,805,201 | 646,990,183,449 | 5,595,818,96,650,401 | 48,388,230,717,929,320,352 |
英字(大小区別)+数字+記号34文字 | 96 | 84,934,656 | 782,757,789,696 | 7,213,895,789,838,336 | 66,483,263,599,150,104,576 |
独立行政法人情報処理推進機構(IPA)が2008年に行った試験によれば、パスワード解析には以下の時間が必要となります。
- 使用したパソコンはIntel Core 2 Duo T7200 2.00GHz、メモリ:3GB。
- パスワード解析に使ったアルゴリズムは未公開。
- ネットワーク経由でのものかどうかも不明。
- 記号は、31文字使用可能と仮定した場合。
使用する文字の種類 | 4文字の場合 | 6文字の場合 | 8文字の場合 | 10文字の場合 |
---|---|---|---|---|
英字(大文字、小文字区別しない) | 約3秒 | 約37分 | 約17日 | 約32年 |
英字(大文字、小文字区別)+数字 | 約2分 | 約5日 | 約50年 | 約20万年 |
英字(大文字、小文字区別有)+数字+記号 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
4-5-2.辞書攻撃(辞書アタック)
辞書攻撃(辞書アタック)とは、パスワードに使われやすい単語を、総当たり方式で入力するサイバー攻撃のこと。
ブルートフォースアタックの類似型の手法です。
4-5-3.パスワードリスト攻撃
パスワードリスト攻撃とは、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を使い、攻撃対象のサイトでログインを試行するサイバー攻撃のこと。
アカウントリスト攻撃、リスト攻撃、リストベース攻撃、リストベースアタック、リストアタックとも呼ばれます。
パスワードリスト攻撃の特徴は、以下になります。
- パスワードリスト型攻撃で用いられるアカウント情報は、どこか他のサービスなどから不正に入手したリスト。
- 総当たり攻撃よりも、ユーザーが実際に使っている文字列の組み合わせに合致しやすい。
- ID単位のログイン試行回数はとても少なく、正規アクセスとの判別を行うことが非常に困難。
- 手動で行う。
- ネットユーザーの大半(約85%)が複数のサイトで共通したID・パスワードを用いる。
4-5-4.パスワードスプレー攻撃
パスワードスプレー攻撃とは、ログイン試行制限を回避し、ユーザーのアカウント・パスワードを、理論的にありうるパターン全てを入力して解読するサイバー攻撃のこと。
パスワードスプレー攻撃は、low and slow攻撃とも呼ばれます。
パスワードスプレー攻撃は、ブルートフォース攻撃の発展型になります。
パスワードスプレー攻撃の特徴は、以下になります。
- ブルートフォース攻撃(総当りでログイン施行する)の発展型。
- ログイン試行制限があるサイトに有効。
- 複数アカウントに対して、「同じパスワード」を使ってログイン試行する。3回でロックアウトする場合、3✕n個のアカウントを用意する。
- 不正を検知されにくくするため、IPアドレスを変えたり、時間をずらしたりしながら、ゆっくりと攻撃を行う。
- 多要素認証に弱い。2段階認証など。
- 長いパスワード(16文字以上)の解析には時間がかかるため、通常は短いパスワードのユーザーを狙う。
4-5-5.クレデンシャルスタッフィング攻撃
クレデンシャルスタッフィング攻撃とは、ツールを使い、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を使い、攻撃対象のサイトでログインを試行するサイバー攻撃のこと。
パスワードリスト攻撃は手動で行います。
クレデンシャルスタッフィング攻撃は、パスワードリスト攻撃を自動化させた攻撃手法です。
クレデンシャルスタッフィング攻撃の特徴は、以下になります。
- クレデンシャルスタッフィング攻撃で用いられるアカウント情報は、どこか他のサービスなどから不正に入手したリスト。
- リストの多くは、ダークウェブ上などで販売されているものを使う場合が多い。
- 攻撃に使われるbotは、インターネット上で安く販売されており、簡単に購入できる。
- 複数のプロキシサーバーのリストを読み込み、攻撃元を分散して攻撃を仕掛ける。
- プロキシサーバーも、安価に販売されている。
- 攻撃成功率は、1~2%。
- 総当たり攻撃よりも、ユーザーが実際に使っている文字列の組み合わせに合致しやすい。
- ID単位のログイン試行回数はとても少なく、正規アクセスとの判別を行うことが非常に困難。
- ネットユーザーの大半(約85%)が複数のサイトで共通したID・パスワードを用いる。
- 主な攻撃の標的は、ECサイト(Amazon等)、SaaS型サービス(Gmail、弥生会計等)、動画ストリーミングサービス(Netflix等)、等。
5.サイバー攻撃の対策
サイバー攻撃の対策をする上で、以下の方針が挙げられます。
- サイバー攻撃は日々進化している。そのため、常に対策をアップグレードする。
- サイバー攻撃のターゲットになった場合、攻撃者が本気なら、確実にセキュリティは突破される。
そのため、サイバー攻撃を受け、攻撃が通ることを想定した対策をする。 - サイバー攻撃の対象にならないよう、目立つ活動をしない。
- 秘密情報の価値、サイバー攻撃を受けた場合の損害に応じて、対策にお金をかける。
- サイバー攻撃の対策は、ネットだけではなく、物理的、人的にも行う。
- 重要な情報は、バックアップを用意する。
ここでは、種類別に対策方法を説明します。
5-1.物理的対策
物理的対策は、以下になります。
- 電磁波測定器等を使用して建物を定期的に巡回し、クラッキング用機器が秘密裏に設置されていないか確認する。
- 機密情報は社内で全て粉砕した上で、ゴミに出す。
- 監視カメラを設置し、不審者の侵入を牽制、監視する。
清掃員や宅配員などを装い、あるいは業者になりすまし、建物内に潜入される可能性を想定します。
設置していない機器が置かれていないかの定期点検。
秘密情報を外に漏らさないよう、自社内での紙面の粉砕。
攻撃者に物理的攻撃の困難さをアピールする、監視カメラの設置等をします。
5-2.人的対策
人的対策は、以下になります。
- 人的サイバー攻撃に合わないよう、訓練を行う。
- 知らない人から届いたメディア媒体は、先方に確認を取るなどし、信頼性を確保する。
- 知らない人から届いたメディア媒体は、業務以外のPCを使用するなど、最悪マルウェアに感染しても良い環境で使用する。
- 秘密情報をSNS等に公開しない。
- 秘密情報を社外(関係者以外)の人に話さない。「ここだけの話」「この人は信用できるから」という考えは危険。
攻撃者は、業務時間以外も狙ってきます。
業務以外の個人用のSNSアカウントも、罠にかからないような訓練をします。
当然、業務に関しての訓練も行います。
5-3.デバイス(PC、スマートフォン)の対策
デバイス(PC、スマートフォン)の対策は、以下になります。
- 最重要の機密情報を扱う場合は、mac、Chrome OS、その他のマイナーOSを使用し、ネットへの接続は最小限にする。(資産の1/10以上の銀行預金口座のログインID、パスワード等)
- Windowsやmacなど、OSを即時に最新版にアップデートする。
- その他利用しているソフトウェアを、即時に最新版にアップデートする。
- マルウェアの検知・ブロックが可能なセキュリティソフトを導入する。
- メモリへの攻撃を防ぐため、ロールバックソフト(記録した時点に戻る機能)を導入する。
- ランサムウェア対策のため、バックアップソフトを導入し、PC本体を定期的にバックアップする。
- 公共のUSBポート、Wi-Fiは使用しない。
- 見慣れない外部メディア(USBメモリー、CD-ROM、DVD、デジタルカメラ、ミュージックプレーヤーなど)は使用しない。
- データは外付けHDDに保存し、PC本体には保存しない。
- 外付けHDDは、正副の2つ用意し、定期的にバックアップを取る。余裕があれば予備(3つ目の保存媒体)を用意する。
デバイスは、一度マルウェアに侵入されたら、たとえ初期化をしてもマルウェアが残ると考えます。
重要機密情報は、そもそも他のデバイス、ネットと接続せず、重要機密情報専用のデバイスを用意します。
その上で、通常のデバイスには各種対策を行います。
5-4.サーバーの対策
サーバーの対策は、以下になります。
- セキュリティ環境を高める。2段階認証の導入など。
- WEBサーバーで利用しているOSやソフトウェアの脆弱性対策を徹底する。
- OSシステムファイルやアプリケーション構成ファイルに対する変更を監視する。
- WEBサーバーに対する不正な通信を検知・遮断する。
- 運用アカウント管理を徹底する。
- 各種システムログ、セキュリティログを取得する。
- ログ監視を強化する。
- 重要なデータは外部環境(異なる環境)にバックアップを保存する。
サーバーはデバイスと似ていますが、最も重要なのはログインされないことです。
ブルートフォース攻撃(総当たり攻撃)対策、2段階認証の設定、などです。
多くの場合、2段階認証が最終防衛ラインになります。
5-5.ネットに接続する際の対策
ネットに接続する際の対策は、以下になります。
- 10あるうち1つのサイトは、開く(接続する)だけでマルウェアに感染すると想定する。
- 必ずマルウェアに感染すると想定し、ロールバックソフトを起動させてからネットに接続する。
- 怪しいサイト(URL)、広告、ポップアップは開かない。
- 怪しいメールは開かない。
- 怪しいファイルはダウンロードしない。
- ファイル共有ソフトは使用しない。(「Winny」など。)
- Eメール、SNSにあるサイトには怪しいリンクが紛れ込む可能性があるため、気をつける。
- サイトの検索機能に罠がしかけられている場合があるため、気をつける。
100サイトのうち1サイト程度は、マルウェアに感染するサイトだと思ってください。
ということは、ネットで何らかの調べ物をすれば、遅かれ早かれマルウェアに感染します。
感染するマルウェアがどのタイプかはわかりませんが、できるだけリスクを低減させましょう。
ロールバックソフトを起動させておけば、マルウェアの感染をある程度無かったことにできます。
5-6.WordPressのセキュリティにおすすめするプラグインの組み合わせ
サイトを運営する際、WordPressを使用することが多いです。
WordPressのセキュリティ対策は、基本的にプラグインに任せることになります。
WordPressのセキュリティにおすすめするプラグインの組み合わせは、以下になります。
Wordfenceをセキュリティの主軸とし、他のプラグインで補完します。
テーマはCocoonを使用した場合です。
- Wordfence Security – Firewall & Malware Scan:総合セキュリティ
- XO Security(またはSiteGuard WP Plugin):ログインセキュリティ、ワンタイムパスワード(2段階認証)遅延対策、等
- BBQ: Block Bad Queries:データベース不正操作対策
- Invisible reCaptcha for WordPress:スパム対策
- UpdraftPlus(アップドラフトプラス):バックアップ
WordPressのセキュリティに関するプラグインの比較、おすすめ、各種プラグイン設定のリンク集は、以下の記事を参考にしてください。
WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
6.まとめ
防御側よりも攻撃側の方がセキュリティに関する進化が早いです。
また、防御側は孤立していますが、攻撃側はチームを組んでいます。
ですから、セキュリティは必ず突破されると想定しておきましょう。
その上で、できるだけ攻撃者のターゲットにならないよう、目立たず活動します。
そして攻撃コストを高めるため、セキュリティ対策は万全にしておくことが大切です。
セキュリティには、ある程度のお金をかけておきましょう。