脅威の種類を認識する
学習の目的
この単元を完了すると、次のことができるようになります。
- 脅威の種類を挙げる。
- 各種の攻撃者の主な特徴と動機を挙げる。
敵を知る
あなたが認識しているかどうかに関係なく、今日のネットワーク、ユーザー、デバイスは絶え間なく攻撃を受けています。ショッピング、銀行取引、コミュニケーションの手段のオンライン化に伴い、機密情報を失うリスクも増大しています。デジタルフットプリントが残るオンライン環境では、重要な財務データ、健康に関する記録、その他の情報を失うことなく操作することがかつてなく困難になっています。
多くの場合、個人のデジタルセキュリティ対策の第一歩として、ウイルス対策ソフトウェアやパスワードマネージャーなどのツールが実装されています。けれども、それでは目的を見極めずに手段を講じているようなものです。何よりも重要な最初のステップは、自分の敵とその手口を知ることです。自分を守るために極めて有益なことは、攻撃者それぞれの動機を理解し、データを保護するために必要なリソースを特定することです。結局のところ、敵対者の動機、意図、手法を知れば知るほど、潜在的な攻撃に周到に備えることが可能になります。
デジタル敵対者は、愉快犯的ハッカー、ハクティビスト、サイバーテロリスト、サイバー犯罪者、サイバー戦士など、さまざまな名前で呼ばれています。こうした分類により、サイバー攻撃者の動機や手口が明確になるため、自分を守るためにどのセキュリティソリューションを実装する必要があるかを判断するうえで極めて重要です。上記の敵対者について詳しく説明する前に、あなたが今まで考えてもいなかったであろう 2 つの脅威から見ていきます。インサイダーと人為的ミスです。この 2 つの脅威は内部で発生し、かつ本質的に悪意があるとは限らないため、他の攻撃に対する防御策とはアプローチが大きく異なります。では、詳しく見ていきましょう。
インサイダー脅威
最初に登場するのは Sean です。Sean はメディア企業の従業員ですが、彼自身が組織やそのデータ、ブランドの評判に対する脅威となる可能性があります。Sean のような現職の従業員と元従業員のどちらも、会社に関する貴重な知識を有しているため、組織に取り返しのつかない損害をもたらす犯罪を行うことが可能です。
インサイダーとは、ネットワークシステム、データ、会社の建物にアクセスできる現在または過去の従業員、サードパーティコントラクター、ビジネスパートナーのことです。インサイダー脅威とは、インサイダーが許可されたアクセス権を誤った方法または無関心な方法で用いたり、悪意を持って用いたりすることで、組織に損害を及ぼすリスクです。
たとえば、Sean は悪意あるインサイダー脅威です。彼は自分が解雇されると知った後、代理店に害を及ぼすためにアクセス権を使用します。逆恨みした Sean は、アクセスできるデータの一部を破壊しようと企てます。私生活では、パートナーと別れた後に、共有していたコンピューターのパスワードを変更することなどが考えられます。また、銀行口座にアクセスできる家族と喧嘩したときは、その口座に注意を払い、勝手に多額の預金を引き出されないようにします。
誤りによるインサイダー脅威とは、従業員やその他のインサイダーがフィッシングリンクをクリックしたり、機密データを不適切に扱ったりすること (誤ったメールアドレスに送信するなど) によって、意図せずにセキュリティを侵害することです。
無関心によるインサイダー脅威とは、セキュリティポリシーを知っていながら、利便性のため、またはリスクを考慮していないために無視することです。脆弱なパスワードを使用したり、パスワードを使い回したり、または作業を急ぐために VPN などのセキュリティプロトコルを省略したりします。
インサイダー脅威に対しては、信頼の文化を構築することが役立ちます。具体的には、サイバーリスクとその影響について時間をかけて説明して認識を高めること、サイバーセキュリティ対策の実装を義務付けること、個人の行動によって組織のミッションがどのように促進される、あるいは阻まれるかを示すことなどが挙げられます。他の緩和策として、最小権限の原則を適用し、ユーザーには業務の遂行に必要なアクセス権に限定して付与することが考えられます。
時として、インサイダー脅威が意図しない人為的ミスによって生じることがあります。詳しく見てみましょう。
人為的ミス
データ侵害の原因をたどれば、ほぼすべてが人為的なミスに行き着きます。ミスが生じる原因として、セキュリティのベストプラクティスに従わなかったこと、機密情報をバックアップしていなかったこと、機密情報について確認したり話し合ったりしているときに周囲の人々に注意を払わなかったことなどが挙げられます。不審な依頼、心当たりのない人物からの連絡、あらゆる通信手段によって届けられる未承諾の情報には注意が必要です。さもなければ、フィッシングメールをクリックして、うっかり機密データを危険にさらしてしまうことや、作業をさっさと終わらせたいがためにセキュリティのベストプラクティスに従わず、ずさんな処理をすることになりかねません。こうした行為が、意図せずとも何らかのセキュリティ侵害につながるおそれがあります。
インサイダー脅威と同様に、信頼の文化を構築すれば、人為的ミスも軽減されるものと思われます。さらに、セキュリティを念頭に置いた行動を奨励することで、日々の業務の最前線でセキュリティが確保され、多額の損害につながるミスが阻止されます。
インサイダー脅威や人為的ミスによってもたらされるリスクについて多少なりとも理解したところで、次はおそらくよくご存知の一般的なサイバー攻撃者を見ていきます。
愉快犯的ハッカー
次に登場するのは Dread386 です。Dread386 は大規模なデジタルコミュニティに属していますが、実際にはその誰とも会ったことがなく、さまざまなハッキングで他のメンバーと競い合っています。その目的は悪名を高めること。単純明快です。
Dread386 の最大の関心は、インターネット上にどのような弱点が存在し、その弱点をどのように悪用して、システムにどこまで侵入できるかということです。面白半分にやっているだけで、必ずしも悪気があるわけではありません。誰かを当惑させるため、あるいは自分の賢さを世に知らしめるために、時として Web サイトのページを書き換えることがありますが、深刻な被害を与えることはありません。
この種のハッカーは通常、さまざまな手段を用いて狙いを定めたシステムのログイン情報を手に入れようとします。オンラインには使用頻度の高いパスワードのリストが出回っており、愉快犯的ハッカーがこうしたリストを使うこともありますが、さほど効率的ではありません。そのため、人々を騙して本人から直接アカウント名とパスワードを聞き出そうとします。
ハクティビスト
次はハッカー型の活動家、ハクティビストと呼ばれる Suzette です。Suzette の動機は政治的、社会的、道徳的な憤りです。その目的は、特定の企業、政治的や社会的な組織、場合によっては個人など、自分の意に反することを表明しているターゲットを攻撃することです。
Suzette はあらゆるツールを駆使して自分の信念を推し進めようとしますが、ごく一般的な手段がサービス妨害 (DDoS) 攻撃です。DDoS 攻撃は「敵」の Web サイトを偽のトラフィックで溢れさせ、サーバーが正当な要求に応答できなくなるように仕向けます。
サイバーテロリスト
次に登場するのは、サイバーテロリストグループのメンバーである Jules です。
Jules の目的は、機能停止、混乱、損害を引き起こして、敵を威嚇し、恐怖に怯えさせることです。その動機は純粋なイデオロギーです。
Jules にとって切実な問題はグループが常に資金不足であることで、そのため主な手口がそのときどきで異なります。敵の中でも特に大物を攻撃するときは手段を選びません。インターネットサービスの妨害を試みることもあれば、システムに侵入して機密データを盗み出すことや、グループが敵対する人々の個人情報を暴露することもあります。また、医療記録や投票記録などの重要な情報を破損すると脅迫し、業界全体または行政制度を混乱に陥れようとすることもあります。通常、サイバーテロリストには十分なリソースがないため、悪意のある技術を独自に開発することはほとんどありません。その代わり、使えそうな技術を探し回り、見つかった技術を借用または盗用します。
サイバー犯罪者
次は Evan です。Evan は、オンライン上で暗躍する組織犯罪シンジケートの一員です。
小者のサイバー犯罪者は単独で活動し、あちこちで小金を稼ぎますが、Evan のグループは大々的に活動しています。大きな標的を狙えるだけのリソースを保有し、その純然たる動機はお金です。
これまでのところ、Evan の主な標的は、POS クレジットカード端末を備えたネットワークです。こうしたネットワークに侵入してクレジットカードのデータを手に入れたら、ありとあらゆるバイヤーにその情報を売りさばきますが、自らそのカードを使用することもあります。
ネットワーク内に侵入した暁には、電話番号、住所、政府発行の個人識別番号などの個人識別情報も盗み取ることができます。Evan にとって特に旨味のある標的は医療データが格納されているシステムです。個人に関する豊富な情報が保存されている可能性があり、攻撃者が簡単に個人になりすますことができるためです。
サイバー戦士
Anderson 中将は、自国のサイバー戦士のエリート部隊を指揮しています。この部隊の動機は、自国政府の国家的/軍事的利益を追求することです。潤沢な資金とリソースを有することから、既存の手段を駆使するだけでなく、独自の方法を新たに開発することもあります。
上記の他の犯罪者とは異なり、サイバー戦士の目的は 1 つだけではありません。その任務は、スパイ行為、恐喝、恥辱から、標的型サイバー兵器を使用した重要なインフラストラクチャの妨害、破損、破壊まで多岐にわたります。こうした任務を遂行するために、さまざまな攻撃手段を使用します。実際、そのすべてを使用することもあります。
日常の人為的ミスから、最強のサイバー戦士まで、あなたの情報がリスクにさらされていることがおわかりいただけたかと思います。ところで、攻撃者は具体的にどのような方法であなたの情報を狙うのでしょうか? 次にこの点を説明します。