サイバー攻撃とは

脅威アクターは、軽微な窃盗から戦争行為に至るまで、さまざまな理由でサイバー攻撃を仕掛けます。マルウェア攻撃、ソーシャル・エンジニアリング詐欺、パスワードの窃盗など、さまざまな手口を使って標的のシステムに不正アクセスを行います。

サイバー攻撃はビジネスを混乱させ、損害を与え、さらには破壊する可能性があります。データ侵害の平均コストは488万米ドルです。この値札には、違反の発見と対応にかかるコスト、ダウンタイムと収益の損失、企業とそのブランドに対する長期的な風評被害が含まれています。

しかし、一部のサイバー攻撃は他の攻撃よりもはるかに高いコストがかかるものがあります。例えばランサムウェア攻撃により、4,000万米ドルというもの身代金の支払いが要求されました。ビジネスメール詐欺（BEC）は、1回の攻撃で被害者から4,700万米ドルもの金額を盗みました。顧客の個人情報（PII）を侵害するサイバー攻撃は、顧客の信頼の喪失、規制当局により科される罰金、さらには法的措置を取らざるを得ないことも予想されます。ある試算によれば、サイバー犯罪は2025年までに世界経済に年間10.5兆米ドルの損害を与えるとされています。

サイバー攻撃の背後にある動機はさまざまですが、主に次の3つのカテゴリーに分類されます。

1. 犯罪的
2. 政治的
3. 個人的

犯罪的な動機に基づく攻撃者は、金銭の窃盗、データの窃盗、またビジネスの妨害を通じて金銭的な利益を得ようとします。サイバー犯罪者は、銀行口座をハッキングして直接金銭を盗み出したり、ソーシャル・エンジニアリング詐欺を利用して人々を騙して送金させたりすることがあります。ハッカーはデータを盗み、個人情報の窃盗に使用したり、ダークウェブ上で販売したり、身代金として保持したりする場合があります。

さらに使用されるもう1つの戦術は恐喝です。ハッカーはランサムウェア、DDoS攻撃、またその他の戦術を使用して、企業が支払いを行うまでデータやデバイスを人質に取ります。しかし最新のX-Force Threat Intelligence Indexによると、サイバーインシデントの32％は恐喝のための暗号化ではなく、データの窃盗と販売に関係しているようです。

不満を抱いている現従業員や元従業員など、個人的な動機を持つ攻撃者は、主に、軽視された一部の従業員に対する報復を求めます。 金銭を盗んだり、機密データを盗んだり、企業のシステムを混乱させたりする可能性があります。

政治的動機を持つ攻撃者は、サイバー戦争、サイバーテロ、または「ハクティビズム」と関連付けられることがよくあります。サイバー戦争では、国家主体が敵の政府機関や重要インフラを標的にすることがよくあります。例えば、ロシア・ウクライナ戦争の勃発以来、両国は重要な機関に対するサイバー攻撃を多発させています。「ハクティビスト」と呼ばれる活動的なハッカーは、ターゲットに大きな損害を与えることはありません。その代わりに、彼らは自分たちの攻撃を世間に知らせることで、その原因について注目を集めようとします。

あまり一般的ではありませんが、競合他社より優位に立つために知的財産を盗む、という企業スパイ行為や、システムの脆弱性を利用して周囲に警告する自警団ハッカーなども存在します。ハッカーの中には知的挑戦として、単にハッキングを一種のスポーツとして楽しむ人もいます。

犯罪組織、国家機関、個人はいずれもサイバー攻撃を開始する可能性を持っています。脅威アクターを分類する1つの方法は、脅威を外部脅威または内部脅威として分類することです。

外部からの脅威はネットワークやデバイスの使用を許可されていませんが、とにかく侵入します。外部のサイバー脅威アクターには、組織化された犯罪グループ、プロのハッカー、国家支援のアクター、アマチュア ハッカー、ハクティビストなどが含まれます。

インサイダー脅威とは、企業の資産への正当なアクセス権を持ち、故意または偶発的に権限を悪用するユーザーのことです。このカテゴリーには、システムにアクセスできる従業員、ビジネス・パートナー、顧客、請負業者、およびサプライヤーが含まれます。

不注意なユーザーが会社を危険にさらす可能性がありますが、ユーザーが意図的に権限を使用して悪意のある活動を実行する場合、それはサイバー攻撃にすぎません。機密情報を安全でないドライブに不用意に保存する従業員はサイバー攻撃を行っているとは言えませんが、不満を抱いた従業員が個人的な利益のために故意に機密データのコピーを作成している場合、これはサイバー攻撃に該当します。

攻撃者は通常、特定の何かを狙ってコンピュータ ネットワークに侵入します。一般的なターゲットには以下が含まれます。

• 金銭
• 企業の財務データ
• 顧客リスト
• 個人識別情報 (PII) またはその他の機密データを含む顧客データ
• メールアドレスとログイン情報
• 企業秘密や製品デザインなどの知的財産

場合によっては、サイバー攻撃者は何かを盗もうとはまったく思っていません。むしろ、情報システムやITインフラストラクチャーを混乱させて、企業、政府機関、またはその他の標的に損害を与えたいだけです。

サイバー攻撃が成功すると、企業に損害を与える可能性があります。ダウンタイム、データ損失、金銭的損失を引き起こす可能性があります。例：

• ハッカーはマルウェアまたはサービス拒否攻撃を使用して、システムまたはサーバーのクラッシュを引き起こすことが考えられます。このダウンタイムは、大規模なサービスの中断や経済的損失につながる可能性があります。データ侵害のコストに関する調査によると、平均的なデータ漏洩は280万米ドルの機会損失をもたらします。
  
  
• SQL インジェクション攻撃により、ハッカーはシステムからデータを変更、削除、または盗むことができます。
  
  
• フィッシング攻撃により、ハッカーは人々をだまして金銭や機密情報を送らせる手口が使われます。
  
  
• ランサムウェア攻撃は、企業が攻撃者に身代金を支払うまでシステムを無効にする可能性があります。ある報告によると、平均で812,360米ドルが支払われています。
  

サイバー攻撃は、ターゲットに直接損害を与えるだけでなく、侵害の検知、対応、修復に関連する多くの二次的なコストと結果をもたらす可能性があります。しかし、セキュリティー対策にAIと自動化を採用した組織は、侵害のコスト削減に最大の効果を発揮し、これらのテクノロジーを導入しなかった組織と比較して平均222万米ドルを節約しました。

サイバー攻撃は、直接の標的以外の被害者にも影響を与えることがあります。2021年、DarkSideランサムウェア・ギャングが米国最大の精製石油パイプライン・システムであるColonial Pipeline社を攻撃しました。攻撃者は漏洩したパスワードを使用して同社のネットワークに侵入しました。米国東海岸に供給されるガス、ディーゼル、ジェット燃料の45％を運ぶパイプラインを閉鎖し、広範囲にわたる燃料不足につながりました。

サイバー犯罪者が要求した身代金はビットコイン暗号通貨で約500万米ドルにおよび、Colonial Pipeline社はそれを支払いました。しかし米国政府の支援により、同社は最終的に230万米ドルの身代金を回収しました。

サイバー犯罪者は多くの高度なツールや技術を使用して、企業のITシステム、パーソナル・コンピューター、その他のターゲットに対してサイバー攻撃を仕掛けます。最も一般的なサイバー攻撃には、以下のようなものがあります。

マルウェアは、感染したシステムを動作不能にする可能性のある悪意のあるソフトウェアです。マルウェアは、データを破壊したり、情報を盗んだり、オペレーティング システムの実行機能に重要なファイルを消去したりする可能性があります。マルウェアには、次のようなさまざまな形態があります。

• トロイの木馬は、有用なプログラムを装ったり、正規のソフトウェア内に隠れたりして、ユーザーをだましてインストールさせます。リモート アクセス トロイの木馬 (RAT) は被害者のデバイスに秘密のバックドアを作成しますが、ドロッパー トロイの木馬は足場を築くと追加のマルウェアをインストールします。
  
  
• ランサムウェアは、強力な暗号化を使用してデータやシステムを人質に取る高度なマルウェアです。サイバー犯罪者はその後、人質としたシステムの解放や機能の回復と引き換えに支払いを要求します。IBMのX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の中で2番目に多く使われる攻撃であり、全体の17％を占めています。
  
  
• スケアウェアは偽のメッセージを使用して被害者を脅し、マルウェアをダウンロードさせたり、機密情報を詐欺師に送らせます。
  
  
• スパイウェアは、ユーザー名、パスワード、クレジット カード番号などの機密情報を密かに収集するマルウェアの一種です。そしてこの情報をハッカーに送り返します。
  
  
• ルートキットは、ハッカーがコンピューターのオペレーティング・システムやその他の資産に管理者レベルのアクセスを取得できるようにするマルウェア・パッケージです。
  
  
• ワームは自己複製する悪意あるコードであり、アプリとデバイス間で自動的に拡散する可能性があります。

ソーシャル・エンジニアリング攻撃は、共有すべきではない情報の共有、ダウンロードすべきではないソフトウェアのダウンロード、犯罪者への送金など、行うべきではないことを行うように人々を操作します。

フィッシングは最も蔓延しているソーシャル・エンジニアリング攻撃の1つです。データ侵害のコストに関する調査によると、データ漏洩の原因としては2番目に多いものです。最も基本的なフィッシング詐欺は、偽のEメールやテキスト・メッセージを使用して、ユーザーの認証情報を盗んだり、機密データを流出したり、マルウェアを拡散したりします。フィッシング・メッセージは、正規の送信元から送信されているように見えるように設計されていることがよくあります。多くの場合、被害者はハイパーリンクをクリックして悪意あるWebサイトにアクセスするか、マルウェアに感染したEメールの添付ファイルを開くよう指示されます。

サイバー犯罪者は、より洗練されたフィッシング方法も開発しています。スピア・フィッシングは、特定の個人を操作することを目的とした高度に標的を絞った攻撃であり、多くの場合、被害者の公開ソーシャル・メディア・プロフィールの詳細を使用して、策略をより説得力のあるものにします。ホエール・フィッシングはスピア・フィッシングの一種で、特に企業の上級役員をターゲットにしています。ビジネスメール詐欺（BEC）では、サイバー犯罪者が経営者、ベンダー、その他のビジネス関係者を装い、被害者をだまして送金や機密データの共有をさせます。

サービス拒否（DoS）攻撃および分散型サービス拒否（DDoS）攻撃は、システムのリソースを不正なトラフィックを送り込みます。このトラフィックによりシステムが過負荷になり、正当なリクエストへの応答が妨げられ、システムの実行能力が低下します。サービス拒否攻撃は、それ自体が目的である場合もあれば、別の攻撃のセットアップである場合もあります。

DoS 攻撃と DDoS 攻撃の違いは単純に、DoS 攻撃は単一のソースを使用して不正なトラフィックを生成するのに対し、DDoS 攻撃は複数のソースを使用するという点です。DDoS 攻撃は、ハッカーの制御下にあるインターネットに接続されたマルウェアに感染したデバイスのネットワークであるボットネットを使用して実行されることがよくあります。ボットネットには、ラップトップ、スマートフォン、モノのインターネット (IoT) デバイスが含まれる場合があります。被害者は、ボットネットがいつ自分のデバイスを乗っ取ったかを知らないことがよくあります。

アカウント侵害 ハッカーが悪意のある活動のために正規のユーザーのアカウントを乗っ取るあらゆる攻撃です。サイバー犯罪者はさまざまな方法でユーザーのアカウントに侵入する可能性があります。フィッシング攻撃を通じて資格情報を盗んだり、ダークウェブから盗まれたパスワードデータベースを購入したりする可能性があります。彼らは、Hashcat や John the Ripper などのパスワード攻撃ツールを使用して、パスワードの暗号化を解読したり、自動化されたスクリプトやボットを実行して潜在的なパスワードを生成し、機能するまでテストするブルート フォース攻撃を仕掛けたりする可能性があります。

「盗聴攻撃」とも呼ばれる中間者 (MiTM) 攻撃では、ハッカーが 2 人の間、またはユーザーとサーバーの間の通信を密かに傍受します。MitM 攻撃は一般に、セキュリティで保護されていない公衆 Wi-Fi ネットワークを介して実行され、攻撃者がトラフィックをスパイするのは比較的簡単です。

ハッカーはユーザーの電子メールを読んだり、受信者に届く前に秘密裏に電子メールを変更したりする可能性があります。セッション・ハイジャック攻撃は、ハッカーはユーザーと、企業の機密データベースなどの重要な資産をホストするサーバーとの間の接続を中断します。ハッカーは自分のIPアドレスをユーザーのIPアドレスと交換し、サーバーに自分が正規のセッションにログインしている正規のユーザーであると認識させます。これにより、ハッカーは自由にデータを盗んだり、大混乱を生じさせることができます。

サプライチェーン攻撃 ハッカーがソフトウェア ベンダー、材料サプライヤー、その他のサービス プロバイダーをターゲットにして企業に侵入するサイバー攻撃です。ベンダーは多くの場合何らかの方法で顧客のネットワークに接続しているため、ハッカーはベンダーのネットワークを攻撃ベクトルとして使用して、一度に複数のターゲットにアクセスする可能性があります。

例えば、2020年にソフトウェア・ベンダーであるSolarWinds社がハッキングされ、悪意のある攻撃者がソフトウェア・アップデートを装って顧客にマルウェアを配布しました。このマルウェアにより、SolarWinds社のサービスを利用して、財務省、司法省、国務省を含むさまざまな米国政府機関の機密データにアクセスすることができました。

クロスサイト スクリプティング (XSS) 攻撃は、正規の Web ページまたは Web アプリケーションに悪意のあるコードを挿入します。ユーザーがサイトまたはアプリにアクセスすると、ユーザーの Web ブラウザーでコードが自動的に実行され、通常は機密情報が盗まれたり、なりすましの悪意のある Web サイトにユーザーがリダイレクトされます。攻撃者は XSS 攻撃に JavaScript を頻繁に使用します。

SQL インジェクション攻撃は、構造化照会言語 (SQL) を使用して、Web サイトまたはアプリのバックエンド データベースに悪意のあるコマンドを送信します。ハッカーは、検索バーやログイン ウィンドウなどのユーザーに表示されるフィールドからコマンドを入力します。その後、コマンドがデータベースに渡され、クレジット カード番号や顧客の詳細などの個人データを返すように求められます。

DNS トンネリングは、DNS パケット内に悪意のあるトラフィックを隠し、ファイアウォールやその他のセキュリティ対策をバイパスできるようにします。サイバー犯罪者は、DNS トンネリングを使用して秘密の通信チャネルを作成し、これを使用してデータをサイレントに抽出したり、マルウェアとコマンド アンド コントロール (C&C) サーバー間の接続を確立したりできます。

ゼロデイ エクスプロイトは、ゼロデイ脆弱性を利用します。ゼロデイ脆弱性とは、セキュリティ コミュニティに知られていない、または特定されているもののパッチがまだ適用されていない脆弱性です。これらの脆弱性は、開発者が欠陥を知るまでに数日、数か月、または数年も存在する可能性があり、ハッカーの主な標的となります。

ファイルレス攻撃は、正規のソフトウェア プログラムの脆弱性を利用して、悪意のあるコードをコンピュータのメモリに直接挿入します。サイバー犯罪者は多くの場合、Microsoft Windows オペレーティング システムに組み込まれているスクリプト ツールである PowerShell を使用して、構成を変更したりパスワードを盗んだりする悪意のあるスクリプトを実行します。

「DNSポイズニング」とも呼ばれるDNSスプーフィング攻撃は、DNS レコードを秘密裏に編集して、Webサイトの実際のIPアドレスを偽のIPアドレスに置き換えます。被害者が実際のサイトにアクセスしようとすると、知らないうちに悪意あるコピーに誘導され、データが盗まれたり、マルウェアが拡散されたりします。

組織はサイバーセキュリティー・システムと戦略を導入することでサイバー攻撃を軽減できます。サイバーセキュリティーとは、テクノロジー、人材、プロセスを組み合わせて、重要なシステムや機密情報をデジタル攻撃から保護する技法です。

多くの組織は、最も重要な資産とリソースを特定して保護するために、脅威管理戦略を導入しています。脅威管理には、次のようなポリシーとセキュリティー・ソリューションが含まれる場合があります。

• 最小特権アクセス、多要素認証、強力なパスワードポリシーなどのアイデンティティおよびアクセス管理（IAM）プラットフォームとポリシーは、適切な人だけが適切なリソースにアクセスできるようにするのに役立ちます。企業は、リモートの従業員が安全でないWi-Fi経由で機密リソースにアクセスする場合、仮想プライベート・ネットワーク（VPN）の使用を要求する場合もあります。

• 包括的なデータ・セキュリティー・プラットフォームとデータ損失防止（DLP）ツールは、機密データを暗号化し、そのアクセスと使用状況を監視し、不審なアクティビティーが検知されたときに警告を発することができます。組織は、侵害が発生した場合の被害を最小限に抑えるために、定期的にデータのバックアップを作成することもできます。
  
  
• ファイアウォールは、そもそも脅威アクターがネットワークに侵入するのを防ぐのに役立ちます。ファイアウォールは、コマンドアンドコントロールサーバーと通信しようとするマルウェアなど、ネットワークから流出する悪意のあるトラフィックをブロックすることもできます。
  
  
• セキュリティー意識向上トレーニングは、ユーザーがフィッシングやその他のソーシャル・エンジニアリング攻撃など、最も一般的なサイバー攻撃ベクトルを特定して回避するのに効果的です。
  
  
• パッチ管理スケジュールや定期的なペネトレーション・テストを含む脆弱性管理ポリシーは、ハッカーに悪用される前段階の脆弱性の発見や閉鎖に貢献します。
  
  
• 攻撃対象領域管理（ASM）ツールは、潜在的に脆弱な資産をサイバー攻撃者に発見される前に特定、カタログ化、修復することができます。
  
  
• 統合エンドポイント管理（UEM）ツールは、ラップトップ、デスクトップ、モバイル・デバイスなど、企業ネットワーク上のすべてのエンドポイントにセキュリティー・ポリシーと制御を適用できます。

サイバー攻撃の試みを完全に防ぐことは不可能であるため、組織は継続的なセキュリティ監視と早期検出プロセスを使用して、進行中のサイバー攻撃を特定してフラグを立てることもできます。たとえば、以下のような例が挙げられます。

• セキュリティー情報およびイベント管理（SIEM）システムは、侵入検知システム（IDS）、エンドポイントの検知と対応システム（EDRs）、その他のセキュリティー・ソリューションなど、社内のさまざまなサイバーセキュリティー・ツールからのアラートを一元管理し、追跡します。
  
  
• 脅威インテリジェンス・プラットフォームは、セキュリティー・アラートを強化して、セキュリティー・チームが直面する可能性のあるサイバーセキュリティー脅威の種類を理解できるようにします。
  
  
• ウイルス対策ソフトウェアは、コンピューター・システムを定期的にスキャンして悪意のあるプログラムを検出し、特定されたマルウェアを自動的に駆除します。
  
  
• プロアクティブな脅威ハンティングプロセスにより、ネットワーク内に密かに潜む高度な持続的脅威（APT）などのサイバー脅威を追跡できます。

組織は、進行中のサイバー攻撃やその他のサイバーセキュリティ イベントに対して適切な対応を確保するための措置を講じることもあります。たとえば、以下のような例が挙げられます。

• インシデント対応計画は、さまざまな種類のサイバー攻撃を封じ込めて根絶し、影響を受けたシステムを復元し、根本原因を分析して将来の攻撃を防ぐのに役立ちます。インシデント対応計画は、サイバー攻撃の全体的なコストを削減することが示されています。データ侵害のコストに関する調査によると、正式なインシデント対応チームと計画がある組織は、平均して58％も侵害コストが低くなっています。
  
  
• セキュリティー・オーケストレーション、自動化、レスポンス（SOAR）ソリューションを使用すると、セキュリティー・チームが半自動または完全に自動化されたプレイブックで異種のセキュリティー・ツールを調整し、リアルタイムでサイバー攻撃に対応できるようになります。
  
  
• 拡張検知および対応（XDR）ソリューションは、ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データなど、すべてのセキュリティー層にわたってセキュリティー・ツールと運用を統合します。XDRは、プロアクティブな脅威ハンティングを含む、複雑なサイバー攻撃の防止、検知、調査、対応プロセスの自動化に役立ちます。XDRは、プロアクティブな脅威ハンティングを含む、複雑なサイバー攻撃の防止、検知、調査、対応プロセスの自動化に役立ちます。