サイバー脅威の種類

サイバーセキュリティーの脅威またはサイバー脅威とは、最も単純な意味では、ハッカーまたは悪意のあるアクターがサイバー攻撃を開始するためにネットワークへの不正アクセスを試みようとしていることを示します。

サイバー脅威は、「銀行口座番号を教えてくれれば少額の財産を譲る」という外国の有力者をかたったEメールなどの明白なものから、サイバー防御をすり抜けて数ヵ月または数年ネットワーク上に存在し、やがて多額の修復費用がかかるデータ侵害を引き起こすような悪意のあるコードまで、多岐にわたります。セキュリティー・チームと従業員がさまざまな種類のサイバーセキュリティーの脅威について知識が増えるほど、サイバー攻撃をより効果的に防止・準備・対応できるようになります。

マルウェア（「悪意のあるソフトウェア」の略）とは、コンピューター・システムまたはそのユーザーに危害を加える目的で意図的に作成されたソフトウェア・コードです。

最近のほぼすべてのサイバー攻撃には、何らかのマルウェアが関与しています。脅威アクターはマルウェア攻撃を利用して不正アクセスを行い、感染したシステムを操作不能にし、データを破壊したり、機密情報を盗んだり、さらにはオペレーティング・システムにとって重要なファイルを消去したりします。

一般的なマルウェアには次のようなものがあります。

• ランサムウェアとは、被害者のデータやデバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックを解除しないとかデータを公開すると言って脅します。「IBM Security X-Force Threat Intelligence Index 2023」によると、2022年のサイバー攻撃の17%がランサムウェア攻撃でした。
• トロイの木馬とは、有用なプログラムを装ったり、正規のソフトウェア内に隠れたりして、ユーザーを騙してダウンロードさせる悪意のあるコードです。例としては、被害者のデバイスに秘密のバックドアを作成するリモートアクセス型トロイの木馬（RAT）や、標的システムやネットワークに足がかりを得て追加のマルウェアをインストールするドロッパー型トロイの木馬などがあります。
• スパイウェアは非常に見つけにくいマルウェアで、ユーザー名やパスワード、クレジット・カード番号、その他の個人データなどの機密情報を収集し、被害者に気づかれないまま攻撃者に送信します。
• ワームは自己複製するプログラムで、人間の介入なしにアプリやデバイスに自動的に拡散します。

ソーシャル・エンジニアリングは、しばしば「ヒューマン・ハッキング」とも呼ばれ、標的を操作して機密情報を漏洩させたり、標的の個人やその組織の経済状況を脅かしたり、個人や組織のセキュリティーを危険にさらしたりするような行動を取らせます。

フィッシングとは、ソーシャル・エンジニアリングの中で最もよく知られており、最も広く浸透している手法です。フィッシングは、詐欺のEメールやEメール添付ファイル、テキストメッセージ、電話などを利用して、個人データやログイン認証情報を共有させたり、マルウェアをダウンロードさせたり、サイバー犯罪者に送金させたり、サイバー犯罪にさらされる可能性のある行動を取ったりするように仕向けます。

一般的なフィッシングの種類は次のとおりです。

• スピア・フィッシング：特定の個人を操作することを目的とした、高度に標的を絞った攻撃であり、多くの場合、被害者の公開ソーシャルメディア・プロフィールの詳細を使用して、詐欺をより説得力のあるものにします。
• ホエール・フィッシング：企業幹部や富裕層を狙ったスピア・フィッシング攻撃です。
• ビジネス・メール詐欺（BEC）：サイバー犯罪者が経営者やベンダー、信頼できるビジネス関係者を装い、被害者を騙して金銭を振り込ませたり、機密データを共有させたりする詐欺です。

さらに別の一般的なソーシャル・エンジニアリング詐欺は、ドメイン名なりすまし（DNSなりすましとも呼ばれる）です。サイバー犯罪者は、本物のWebサイトやドメイン名を装った偽のWebサイトやドメイン名（例えば、support.apple.comではなく「applesupport.com」）を使用して、人々を騙し、機密情報を入力させます。フィッシング・メールは、Eメールが信頼でき正当なものであると見せかけやすくなるように、偽装の送信者ドメイン名を使用することがよくあります。

中間者攻撃（MITM）では、サイバー犯罪者がネットワーク接続を盗聴して、二者間のメッセージを傍受して中継し、データを盗みます。セキュリティーで保護されていないWi-Fiネットワークはしばしば、MITM攻撃を仕掛けようとするハッカーにとって格好の狩場となります。

サービス拒否（DoS）攻撃とは、Webサイト、アプリケーション、またはシステムを大量の不正トラフィックで圧倒して速度を低下させ、正当なユーザーにとって使用しにくくしたり、まったく使用できないようにしたりするサイバー攻撃です。分散型サービス妨害（DDoS）攻撃も同様ですが、この攻撃はインターネットに接続されたマルウェアに感染したデバイスまたはボットのネットワーク（ボットネットと呼ばれる）を使用して、ターゲット・システムを機能不全またはクラッシュさせようとする点が異なります。

ゼロデイ・エクスプロイトとは、ゼロデイ脆弱性（コンピューター・ソフトウェアやハードウェア、またはファームウェアに存在する未知または未対処または未修正のセキュリティー上の欠陥）を悪用するサイバー攻撃の一種です。ゼロデイとは、悪意のある攻撃者が既にその欠陥を利用して脆弱なシステムにアクセス可能であるため、ソフトウェアやデバイスのベンダーがその欠陥を修正する時間が事実上ゼロであることを意味します。

最もよく知られているゼロデイ脆弱性の1つは、広く使用されているApache Log4jのログ・ライブラリーの欠陥であるLog4Shellです。2021年11月に発見された時点では、Log4Shellの脆弱性は、多くのWebアプリケーションやクラウド・サービス、サーバーなどの物理エンドポイントを含む世界のデジタル資産の10%に存在していました。

その名前が示すように、これらの攻撃には、サイバー犯罪者がユーザーのアカウントのパスワードやログイン認証情報を推測したり盗もうとしたりすることが含まれます。パスワード攻撃の多くは、ソーシャル・エンジニアリングを使用して被害者を騙し、この機密データを無意識のうちに共有させます。ただし、ハッカーはブルートフォース攻撃を使用してパスワードを盗み、成功するまでさまざまなパスワードの組み合わせを繰り返し試すこともあります。

モノのインターネット（IoT）攻撃では、サイバー犯罪者はスマート・ホーム・デバイスや産業用制御システムなどのIoTデバイスの脆弱性を悪用して、デバイスを乗っ取り、データを盗んだり、そのデバイスを他の悪意のある目的を果たすボットネットの一部として使用したりします。

これらの攻撃では、ハッカーは悪意のあるコードをプログラムに挿入したり、マルウェアをダウンロードさせてリモート・コマンドを実行したりして、データベースの読み取りや変更、またはWebサイトのデータを変更できるようにします。

インジェクション攻撃にはいくつかの種類があります。最も一般的なものは次のとおりです。

• SQLインジェクション攻撃：ハッカーはSQL構文をエクスプロイトしてIDを偽装し、既存のデータを公開・改ざん・破壊または使用不能にしたり、データベース・サーバー管理者になったりします。
• クロスサイト・スクリプティング（XSS）：このタイプの攻撃はSQLインジェクション攻撃に似ていますが、通常、データベースからデータを抽出する代わりに、Webサイトにアクセスしたユーザーに感染させます。

これらの個人またはグループは、主に金銭的利益を目的としてサイバー犯罪を犯します。サイバー犯罪者による一般的な犯罪には、ランサムウェア攻撃や、人を騙して金銭の授受をさせたり、クレジットカード情報やログイン資格情報、知的財産、その他の個人情報や機密情報を漏らすフィッシング詐欺などがあります。

これらの個人またはグループは、主に金銭的利益を目的としてサイバー犯罪を犯します。サイバー犯罪者による一般的な犯罪には、ランサムウェア攻撃や、人を騙して金銭の授受をさせたり、クレジットカード情報やログイン資格情報、知的財産、その他の個人情報や機密情報を漏らすフィッシング詐欺などがあります。

ハッカーとは、コンピューター・ネットワークやシステムを侵害する技術的スキルを持つ人のことです。

すべてのハッカーが脅威アクターやサイバー犯罪者というわけではないことを覚えておいてください。たとえば、倫理ハッカーと呼ばれる一部のハッカーは、基本的にサイバー犯罪者になりすまして、組織や政府機関がコンピューター・システムのサイバー脅威に対する脆弱性をテストするのを支援します。

国家や政府は、機密データの窃盗、機密情報の収集、または他の政府の重要なインフラストラクチャーの妨害を目的として、脅威アクターに資金を提供することがよくあります。これらの悪意のある活動にはスパイ行為やサイバー戦争が含まれることが多く、多額の資金が投入される傾向があるため、脅威は複雑で検出が困難になります。

他のほとんどのサイバー犯罪者とは異なり、内部脅威は必ずしも悪意のある攻撃者によって引き起こされるわけではありません。多くのインサイダーは、知らないうちにマルウェアをインストールしたり、会社支給のデバイスを紛失してサイバー犯罪者にネットワークへのアクセスに使用されたりするなど、ヒューマン・エラーによって会社に損害を与えてしまいます。

もちろん、悪意のあるインサイダーも存在します。例えば、不満を持つ従業員が金銭的な利益（例えば、サイバー犯罪者や国家からの買収金）を得るために、あるいは単に恨みや復讐のために、アクセス権限を濫用する可能性があります。

強力なパスワード（ibm.com外部へのリンク）やEメール・セキュリティー・ツール、ウイルス対策ソフトウェアはすべて、サイバー脅威に対する最前線の重要な防御手段です。

組織は、サイバー攻撃からの保護として、ファイアウォールやVPN、多要素認証、セキュリティー意識向上トレーニングおよびその他の高度なエンドポイント・セキュリティー・ソリューションやネットワーク・セキュリティー・ソリューションも活用しています。

ただし、サイバーセキュリティーの脅威をリアルタイムで特定し、脅威を迅速に隔離して修復し、脅威による被害を最小限に抑制または防止できる最先端の脅威検知機能とインシデント対応機能がなければ、完全なセキュリティー・システムは完成しません。

IBM Security QRadar SIEMは、機械学習とユーザー行動分析（UBA）を従来のログとともにネットワーク・トラフィックに適用して、よりスマートな脅威の検知と迅速な修復を実現します。Forresterの最近の調査では、QRadar SIEMにより、セキュリティー・アナリストは誤検知を特定することで3年間で14,000時間以上を節約し、インシデントの調査に費やす時間を90％削減し、重大なセキュリティー侵害を受けるリスクを60％削減できました。QRadar SIEMを使用すると、リソースに制約のあるセキュリティー・チームは、脅威を迅速に検知し、情報に基づいた即時アクションを実行し、攻撃の影響を最小限に抑えるために必要な可視性と分析を手にすることができます。

*「The Total Economic Impact™ of IBM Security QRadar SIEM」は、2023年4月にForrester Consulting社がIBMの委託により実施した調査です。インタビューを受けた4人のIBMのお客様からモデル化した、複合組織の予測結果に基づいています。実際の結果はお客様の構成や条件により異なるため、一般的に期待される結果を提供するものではありません。