Webサイトをターゲットにしたサイバー攻撃にはどのような種類があるのか？

ニュースでよく「サイバー攻撃によって○○万人以上の個人情報が漏えいし、、」といった話題をよく目にするのではないでしょうか。また最近ではランサムウェアと呼ばれるマルウェアによって、世界中で大規模な被害が発生したことはまだ記憶に新しいでしょう。

そうしたサイバー攻撃に対して的確なセキュリティ対策を取るためには、まず「サイバー攻撃について知ること」が大切です。どんな種類があるのか？どんな被害が想定されるのか？どんな対策があるのか？これらを知ることで、効果的なセキュリティ対策を講じることができます。

今回は、特にWebサイトに関するサイバー攻撃の種類をいくつかご紹介します。

公開Webサイトをターゲットにしたサイバー攻撃

ゼロデイ攻撃

皆さんが日ごろ使用しているOSやソフトウェアには「脆弱性」が潜んでいます。脆弱性とはOSやソフトウェアの設計から発生した不備がセキュリティ上の欠点となったもので、「セキュリティホール」とも呼ばれます。

ベンダーが提供するOSやソフトウェアは新しい機能が追加されるなど常にアップデートされています。アップデートに伴いプログラムに手を入れている以上、脆弱性が100％無くなることは現実的にはありません。そのためソフトウェアベンダーは常に脆弱性の発見に努め、それを修正するためにセキュリティ修正プログラムを配布します。

しかし時として、ベンダーが発見するよりも早くサイバー攻撃者が脆弱性の存在に気付き、ベンダーがセキュリティ修正プログラムを配布する前にサイバー攻撃を仕掛けるのがゼロデイ攻撃です。

セキュリティ修正プログラムを配布するのを1日目として、0日目で攻撃することから名づけられました。この時点では修正プログラムが提供されていないため、攻撃の成功率が上がります。

SQLインジェクション

このサイバー攻撃はブログやECサイトといったインターネット上で公開されているWebサイトの脆弱性を突くものです。Webサイトでは多くの場合、SQLという言語でデータベースを操作しています。たとえばユーザーがWebサイトのログイン画面でIDとパスワードを入力すると、それをSQLに変換しデータベースから必要な情報を呼び起こして、ユーザーをWebサイトにログインさせるような仕組みがあります。

そうしたWebサイトにおいて脆弱性があると、攻撃者が不正なSQL文を入力情報に挿入（インジェクト）することでデータベースを操作し、個人情報等の機密情報を奪取される恐れがあります。これがSQLインジェクションの手法であり、危険性の高いサイバー攻撃です。

インジェクション系のサイバー攻撃は他にもOSコマンドインジェクションなどがあります。

クロスサイトスクリプティング

Webサイトは一般的にHTMLやPHP、Javascriptといった言語で構成されています。それぞれに明確な役割があり、ユーザーに多くの機能を提供しているのです。クロスサイトスクリプティングはそうしたWebサイトにおいて、動的にWebページを生成する場面において仕掛けられるサイバー攻撃です。

具体的にはWebサイトに対して不正なスクリプト(簡易的なプログラム)を介入させ、ユーザーが特定の操作をした際にその不正スクリプトが実行されるようにします。そうすることで、攻撃者が罠をしかけたWebページにユーザーをアクセスさせ個人情報などを取得します。

DDoS攻撃

このサイバー攻撃は、多量、あるいは、サーバーに負荷のかかるリクエストを送り込んでサーバー側に高い負荷をかけ、サービス利用停止状態に追い込むというものです。サイバー攻撃者はマルウェアによって不正操作可能となっている複数のコンピューター（ボットネット）からサーバーに負荷がかかるようなリクエストを大量に送信しダウンさせます。

関連記事：DDoS攻撃用語集

DDoS攻撃は不特定多数のコンピューターから攻撃をしかけるため、攻撃元のIPを特定して遮断することが難しい、など、対策が難しいサイバー攻撃でもあります。

パスワードリスト攻撃

これはユーザーのセキュリティ意識の低さを利用したサイバー攻撃です。あるWebサイトから不正に入手したIDやパスワードを使用して別のWebサイトへのログインを試みるという攻撃であり、「複数のWebサイトでIDとパスワードを使いまわしている」ユーザーが多いため、この攻撃が成功してしまうことも少なくありません。また、このような不正に入手したIDはブラックマーケットで取引されています。

パスワードリスト攻撃はユーザーのセキュリティ意識を高め、パスワードを使いまわさないようにするだけで防げるものなので、必ずWebサイトごとに異なるIDやパスワードを設定しましょう。

水飲み場攻撃

ターゲットとなる特定のユーザーがよく訪れるWebサイトに不正を加えて、ターゲットがWebサイトに訪問した場合にマルウェアに感染させてしまうというサイバー攻撃です。ライオンが水飲み場にて獲物を狙っている光景から名付けられています。

補足

標的型攻撃

サイバー攻撃者にとって効率良く機密情報を取得する方法は、特定のターゲットに絞ってサイバー攻撃を仕掛けることです。ばら撒き型マルウェアによるサイバー攻撃は広範囲に攻撃できるという特徴がありますが、攻撃の精度は低くなります。そのためターゲットを絞って巧妙な手口でマルウェアに感染させ、そこから狙った機密情報の取得などを試みるのです。

こうしたターゲットを絞ったサイバー攻撃を標的型攻撃といいます。日本では2015年に発生した日本年金機構の情報漏えい事件によって一気に知名度が上がり、その危険性も知らしめられました。

攻撃者はターゲットが日々連絡を取る顧客になりすましたり、新規顧客や政府機関などを装ってマルウェアに感染された偽装メールを送信します。さらに巧妙な標的型攻撃だとターゲットの趣味や関心まで調べ上げ、それに応じた偽装メールを送信することもあります。

組織メンバーのセキュリティ意識を高めることで標的型攻撃を緩和することはできますが、巧妙な攻撃に対しての防御は困難であるといえます。上述の水飲み場攻撃は標的型攻撃の一種と言えるでしょう。

まとめ

公開Webサイトへのサイバー攻撃は他にも様々な種類があり、日々進化しています。まずはこれらのサイバー攻撃実態を把握し、かつ適切な対策を取ることが大切です。そのためには、攻撃の種類や原因、対策などを整理して、それぞれに対策することが必要です。

ネットワークバリューコンポーネンツは、多様なセキュリティソリューションを取り扱うセキュリティの専門家です。現在の対策の強化や、まだ対応できていない脅威への対策など、お気軽にご相談ください。