ITパスポート、サイバー攻撃

マチルダ（FoFoFu）

2021年1月24日 01:25

こんばんわ、マチルダです。

「サイバー攻撃」には、ウィルス対策ソフトだけでは防げない、ユーザー自身が知識を持って、リスク管理しないといけない部分があります。

サイバー攻撃（クラッキング）を受けて困ること

ウィルスに感染して、どんな「困ること」が起きるのか、意外とあやふやでしたので、しっかり定義してもらえるのは、ありがたいです。

＜サイバー攻撃で何をされるのか＞
・情報資産を盗む（窃取）
・情報資産を改ざんする
・情報資産を破壊する
・なりすまし
・サーバー妨害や停止

↓それによって、

＜最終的に起こる「困ること」＞
・営業妨害
・金銭の要求
・信用失墜

情報資産とは

「個人情報」「カード情報」「暗証番号」を思い浮かべると思いますが、そういった、直接被害にあうような情報に辿り着くための情報も取られていきます。

・Cookie
・ユーザーID
・パスワード
・キーボードの入力履歴　など

基本的な感染経路

勝手にアクセスされて、なすすべもなく、ウィルスに感染するような印象があるかも知れませんが、基本は、ユーザーの行動があって感染します。

・ウィルスプログラムのインストールさせる（添付を開く、URLを開く等）
・URLを開かせる
・入力させる

上記の行動をする際に、気をつけましょう！という目安になりますね。

標的型攻撃

（概要）
特定の組織を標的に、ウィルスを仕込んだ電子メールを送り、「添付ファイルを開く」または「URLを開く」ように誘導します。
（対策）
社員に情報セキュリティ研修や標的型メール訓練を行、安易に添付ファイルやURLを開かないように啓発する。

完全にアナログ対策です。メールを受け取る人の裁量で決まります。

水飲み場攻撃

（概要）
特定の組織がよくアクセスするサイトを調査し、その中で改ざん可能な（脆弱性）サイトを見つけ、プログラムを仕込み、特定の組織のIPアドレスでアクセスがあった際に、プログラムが実行される。
（対策）
脆弱なサイトにアクセスしない。脆弱なサイトにアクセスしないように（またはエラーが出るように）設定する。

聞き慣れない名称でしたが、本当に、特定の組織に向けた、悪意のある行動なのがわかりますね。脆弱なサイトに訪問しないかは、ユーザーの裁量ですね。

ビジネスメール詐欺

（概要）
取引先の振込先変更メールなどを装い、金銭の振り込みを誘導する。
（対策）
メールアドレス、メール本文などをしっかり確認する。または取引先に電話確認する。

この場合、メール本文に電話番号が書いてあっても、そこに掛けないように、注意が必要です。完全にメールを受け取った人の裁量ですね。。

フィッシング詐欺

（概要）
実在する会社のサイトを装った偽サイトにアクセスさせ、入力した情報をとる。電子メールにあるURLをクリックするように、メール本文で誘導する。
（対策）
メールのURLを無闇に開かない。宛名、アドレス、本文、URLなどをしっかり見る。Amazonなどのショッピングサイトなら、メールからではなく、ネット検索から入って、情報を入力する。

これも、メールを受け取った人の裁量なのですが、実在する会社を装う場合、突然届いたりしますので、過去に同じメールがないかどうかも、判断材料になるかも知れません。

不正侵入

（概要）
ユーザーIDを特定し、それに対し「総当たり」「使いそうなパスワード」からログインを試みる。または、ユーザーが複数のサービスで使い回しがちなことを利用し、ログインを試みる。
（サービス提供側対策）
パスワードの入力試行回数に制限をつける。
（ユーザー側対策）複数サービスで、同じユーザーID、パスワードを使用しない。予測しやすいユーザーID、パスワードを使用しない。

サービスが増えると、ユーザーIDとパスワードの数も増え、管理が難しくなりますが、最近はワンタイムパスワードやパスワード管理アプリなどがあり、だいぶ楽になりました。

Dos攻撃、DDos攻撃

（概要）
特定のサーバーなどに、想定以上の負荷を与え、サービスを妨害する。
（対策）
脆弱なサイトに訪問しない。

ここで、注意していただきたいことがあります。

悪意を持った人が、特定のサーバーに攻撃をするのだから、自分には関係ない、と思う方もいらっしゃると思いますが。。。

脆弱なサイトを訪問し、ウィルスに感染した自分のパソコンから、特定サーバーへの攻撃が行われることもあります。これが、社内のネットワークに繋がっている全パソコンに感染し、会社の全パソコンから取引先のサーバーに攻撃が入ったとしたら。。。実は、他人事じゃないじゃない、とても怖いことです。

「わからないから触らない」ような蓋をすることは、お勧めできません。この記事を読んだ方にも、一緒に「知らないこと」への恐怖を、感じて欲しいです。いざとなった時、「無知は言い訳にならない」のですから。

こういった「手口を知り、正しく恐れる」という行為は、アナログな詐欺に対しても、有効だと思いますので、ぜひ一度、自分の行動を見直してみてください。

（マチルダ）

この記事が気に入ったらサポートをしてみませんか？