攻撃者の手口を特定する

学習の目的

この単元を完了すると、次のことができるようになります。

• フィッシングの脅威について説明する。
  
• マルウェアの一般的な形態を定義する。
  
• ソーシャルエンジニアリングの例を挙げる。
  
• ショルダーサーフィンの概念を説明する。
  

攻撃者の手口のカテゴリ

ますますデジタル化が進む世界において、サイバー脅威は依然として懸念事項です。そのリスクはさまざまな業種のビジネスに影響し、一般社会にも幅広い影響を及ぼします。次は、認識しておくべきごく一般的な手口について学習します。

フィッシング

取引銀行から受信箱にメールが届きました。セキュリティ違反があったため、パスワードをリセットするようにということです。正当なメールのように思えますよね? 

そこで、メールに埋め込まれたリンクをクリックします。ポップアップ表示されたランディングページにオンラインバンキングのログイン情報を入力して、一体何事かと見ていると… 

その後どうなったかは言うまでもありません。フィッシングに引っかかってしまいました。 

サイバー攻撃のほとんどが、さまざまな形のフィッシング攻撃によって盗まれたログイン情報を使用して行われます。攻撃者はフィッシングを使用して人々を騙し、パスワードや医療データなどの機密情報を引き出します。この手法では通常メールを利用して、ユーザーにログイン情報を入力させたり、デバイスやネットワークの破損または制御を目的とするソフトウェアをダウンロードさせます。

一般的な種類は次のとおりです。

スピアフィッシング

スピアフィッシングは、大量の一斉メールを送りつけるのではなく、特定の個人を標的にします。攻撃者はその標的の名前を知っており、ソーシャルメディアでその人の関心事を調査します。標的とのコミュニケーションをカスタマイズして信頼関係を築き、その個人に関する情報を手に入れようとします。

ホエーリング

この種のフィッシングでは、大量の機密情報にアクセスできる大物、つまり「鯨」を狙います。スピアフィッシングと同様、攻撃を仕掛ける前に標的の調査に相当の時間を費やします。 

ファーミング

ファーミングでは、被害者が何もクリックしなくても餌食になります。ユーザーが URL を入力すると、攻撃者がその URL を「乗っ取り」ます。目的のサイトではなく、なりすましサイトが表示され、ログイン情報などのデータを入力するよう指示されます。

クローンフィッシング

この方法では、攻撃者は被害者が以前に受信した正当なメールをコピーし、元のリンクや添付ファイルを悪意のあるものに置き換えます。

ビッシング (音声フィッシング)

攻撃者は電話を使用して信頼される存在を装い、被害者を騙して機密情報を漏洩させます。

スミッシング (SMS フィッシング) 

ビッシングと同様のことが SMS テキストメッセージを使用して行われます。

攻撃者がフィッシングを仕掛けてあなたのシステムにアクセスすればそれで終わり、というわけではありません。多くの場合は、デバイスを悪意のあるソフトウェアに感染させます。次はこの点を説明します。

マルウェア

重要なプレゼンテーションまで 30 分を切っています。コンテンツの印刷ボタンを押すと、プリンターがダウンしているという IT 部門からのアラートが表示されます。  

運よく、同じビルに印刷サービスのテナントが入居しています。周囲をあさってサムドライブを見つけ、USB ポートに差し込み、印刷するファイルを急いで転送します。 

何とか間に合い、プレゼンテーションは大成功でした。けれども、その過程で気付かぬうちにコンピューターがマルウェアに感染していました。一体いつ、どこで感染したのでしょうか? 攻撃者によってオフィスに不正なサムドライブが仕掛けられていました。

ところで、マルウェアとは何なのでしょうか? マルウェアは「malicious software (悪意のあるソフトウェア)」の略語で、コンピューターシステムを妨害する、破損する、不正にアクセスすることを目的に設計されています。攻撃者は多くの場合、メール、ソーシャルメディア、侵害された Web サイト経由でファイルを配布するという方法で、被害者のシステムにマルウェアをインストールしようとします。

マルウェアには、次のような形態があります。 

トロイの木馬

この種のマルウェアは正規のソフトウェアのように動作しますが、悪意が潜んでいます。マルウェアが起動すると、データが削除、改変、ブロックされます。トロイの木馬はシステムにリアルタイムにアクセスし、完全な乗っ取りが可能であることでも知られています。 

ランサムウェア

ランサムとは身代金のことです。この悪意のあるソフトウェアは、身代金目的で情報を人質に取ります。攻撃者は通常、フィッシングの手法でシステムに侵入し、アクセスをブロックします。たとえ身代金を払っても、バックアップがなければ損害が元どおりにならないことがあります。

アドウェア

あなたにもアドウェアの迷惑な広告が表示された経験があるのではないでしょうか? 一般的なアドウェアプログラムは、ユーザーが検索したときに Web ページに見せかけたページにリダイレクトし、機密情報の入力を促します。

ジュースジャッキング

ジュースジャッキング攻撃では、攻撃者が空港、駅、会議場などの公共の充電ステーションに細工をし、携帯デバイスが差し込まれたときにマルウェアがインストールされるようにします。

攻撃者がシステムへのアクセスに成功したら、マルウェアを使用してさらなる情報を入手します。攻撃者はそもそもどのような方法でアクセスするのでしょうか? 多くの場合は、ソーシャルエンジニアリングを仕掛けます。  

ソーシャルエンジニアリング

2 月も半ばになったので、この夏の計画を立て始めることにします。あと 142 日です。

まずは、インターネットでバケーションの候補地をあちこち見て回ります。突然、カリブ海の無料バケーションの広告が飛び込んできます。まさに思い描いていたとおりです! 太陽とビーチに惹かれて広告をクリックし、メールアドレスと電話番号を入力して懸賞に応募します。どうか当選しますように...

何の問題もないと思いますよね? 実はこれが問題なのです。 

この広告はソーシャルエンジニアリング、つまり、人々を巧みに操って貴重な情報を引き出す手口の一例です。攻撃者がソーシャルエンジニアリングを利用する理由は、ソフトウェアを実際にハッキングするよりも、人を信用するという人間の本質につけ込んだほうが簡単だからです。 

フィッシングに似ていると思うかもしれませんが、実際フィッシングはソーシャルエンジニアリングのごく一般的な形態です。他にも次のような手口があります。 

共連れ

共連れとは、情報にアクセスするために、実際に誰かの後について行き、セキュリティ保護された場所の中に入る行為です。たとえば、宅配人を装った攻撃者が「両手が荷物でふさがっているからドアを開けて押さえていてほしい」と社員に頼み、社員の後についてセキュリティ保護された建物内に侵入します。

プリテキスティング

プリテキスティングもソーシャルエンジニアリングの一種で、攻撃者が被害者に対して貴重な情報を教える、あるいはサービスやシステムにアクセスするよう説得しようとします。プリテキストとは「口実」のことで、この種の攻撃の顕著な特徴は詐欺師が被害者を騙すためにストーリーをでっち上げることです。プリテキストでは一般に、攻撃者が、手に入れたい情報へのアクセス権を有する権威者や、情報を使用して被害者を助けることができる権威者の役割を演じます。プリテキスティングを用いる攻撃者は、特定のタスクを遂行するため、あるいは個人を法律上のトラブルから救うために、被害者の情報が必要であると語ることが少なくありません。 

見返り

この場合は攻撃者が情報と引き換えに価値のあるものを約束します (カリブ海のバケーションもこの一例です)。攻撃者は、個人のことをよく調べたうえで、そのライフスタイルに応じたものを提示して機密情報を引き出そうとします。

すべての攻撃者がサイバースペースに留まっているわけではありません。物理的な方法でデジタルにアクセスしてくる場合もあります。その場合に用いられるのがショルダーサーフィンです。 

ショルダーサーフィン

あなたが、世界各地に分散する大勢のリモートワーカーのうちの 1 人であるとします。あなたにとってリモートワークとは通常、近所のコーヒーショップで仕事をすることを意味します。 

リモートワークに求められるセキュリティ対策は万全です。仮想プライベートネットワーク (VPN) を使用して Wi-Fi にログインし、飲み物のおかわりで席を立つたびに画面をロックしています。 

安全なように思えます。が、そうとは言いきれません。

ショルダーサーフィンとは、電子デバイスを使用している人の画面を「肩越し」に覗き込み、画面の写真を撮ったり、貴重な情報を書き留めたりする行為です。公共の場で機密情報を扱う場合には、どこでもショルダーサーフィンが起こり得ます。ラップトップ、スマートフォン、タブレットを使用する場所だけでなく、ATM などの支払キオスクでも発生します。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。

おつかれさまでした。

まとめ

一般的なサイバーセキュリティの用語を習得できました。どのような攻撃者が存在し、どのような手口を使うのかも理解できました。これで、脅威の状況の基本を抑えることができました。次のモジュールでは、ログイン情報の保護、デバイスのセキュリティ管理、インターネットの安全な使用など、こうした脅威から自分を守る方法を学習します。サイバーセキュリティとセキュリティ担当者の実務について関心がある方は、サイバーセキュリティの学習ハブを確認してください。

リソース

• 外部サイト: CSO Online: What is pretexting? Definition, examples and prevention (プリテキスティングとは? 定義、事例、防止策)
• 外部サイト: CISA: Ransomware Guide (ランサムウェアガイド)
• 外部サイト: UpGuard:19 Most Common Types of Phishing Attacks in 2023 (2023 年に多かったタイプの 19 のフィッシング攻撃)