目次
情報資産が抱える脅威
今回は、情報資産が抱える脅威について解説していきたいと思います。これらは「情報セキュリティ」に関する事になってきますので、ITパスポートでは平成26年5月から出題数が増加しました。
出題数が増えた、ということは点を稼ぐチャンスということなので、是非とも覚えていってくださいね!
また、社会に出てからこういった情報資産は重要になってきます。
今から学んでおくことでしっかり対策を立てることができるので、頑張っていきましょう!
情報資産
コンピュータには重要な情報が多く含まれています。連絡アドレス帳に登録した情報や、ネットショッピングを利用する際に入力したクレジットカードの情報などなど。
こういったものは全て大事な「情報資産」であり、なくしたり、盗まれたりしてしまうと、悪用される危険があるのです。
だからこそ様々な対策を行ってしっかりと守らなければいけません。
情報をなくしたり、盗まれたりする要因のことを「脅威」と呼びます。
情報資産が抱えている脅威には「技術的脅威」「人的脅威」「物理的脅威」の3種類の脅威があります。
それぞれ見ていきましょう!
技術的脅威
まずはコンピュータ技術を使って行われる「技術的脅威」の主な種類を紹介していきたいと思います。
マルウェア
「マルウェア」とは悪意のこもったソフトウェアのことで、コンピュータやデータに対して悪さをしようと作られたソフトウェアとなっています。
電子メールに添付されているファイルを開けてしまったり、マルウェアの入ったUSBメモリを使用してしまったりすることで感染してしまいます。
感染すると様々な被害を受けることとなります。
<マルウェアの種類>
| 種 類 | 特 徴 |
|
コンピュータ
ウイルス |
コンピュータ内のファイルを破壊したり、関係のないものを画面に表示したりする。他のソフトに感染することにより増える。ワープロソフトや表計算ソフトに感染する「マイクロウイルス」などがある。 |
| ワーム | コンピュータウイルスと被害内容は同じ。しかし、他のソフトに感染するのではなく、自身をコピーしながらネットワークに接続されたコンピュータ間を移動することで自己増殖する。 |
| トロイの木馬 | 問題なさそうな普通のソフトと装ってコンピュータ内に侵入し、データの消去やファイルの外部流出などを行うもの。増えることはなく、単独のソフト。 |
|
ボット (BOT) |
ネットワークを介して他人のコンピュータを操る。そうすることでパスワードなどの重要情報を盗む、迷惑メールを送信する、特定のサイトに一斉攻撃を行うなどの行為をする。感染したコンピュータを「踏み台(攻撃するための中継地点)」として利用することで、攻撃元を詐称するという目的もある。 |
|
スパイウェア |
ユーザが認識することなく悪意のあるソフトウェアをインストールさせる。感染したコンピュータの行動を監視し、個人情報やパスワードなどの情報を盗む。キーボードの入力情報を記録する「キーロガープログラム」を悪用するなどして実行。 |
| ランサムウェア | コンピュータに保存されているデータを勝手に暗号化し、ユーザが正常にデータへアクセスしないようにさせる。元に戻すために代金をユーザに要求する。 |
|
ガンブラー
(Gumblar) |
Webサイトを管理するコンピュータに感染し、Webサイトを改ざんする。また、ユーザが感染したWebサイトを閲覧することで、閲覧したユーザのコンピュータも感染してしまう。 |
バックドア
「backdoor」とは裏口という意味で、一度侵入したコンピュータに後から何度も不正ログインできるようにした秘密の入口のことを「バックドア」と呼びます。
一度感染しても、すぐに分かるわけではないので発見が遅くなってしまうのがこれです。
スパムメール
広告などを無差別に送りつけていくメールのことを「スパムメール」と呼びます。先程紹介したボットによる踏み台を利用して送っているため、送り主を特定することができないのです。
RAT
手元にあるコンピュータから、ネットワークを介して遠隔地にあるコンピュータを操作するツールの総称を「」と呼びます。
RATによりコンピュータに不正アクセスされデータを盗まれたり、ハードウェアを破壊されたりしてしまう危険があります。
本来の仕様としては、自宅から会社にあるPCを操作するという正当な目的があるツールのため、ウイルス対策ソフトで検知されない場合があるのです。
人的要因
「人」が原因でおこる脅威を「人的脅威」と呼びます。コンピュータの置き忘れや操作ミスなど、情報を持っている人のうっかりミスや、他の人に騙されたなどで情報を取られてしまう、ということがこれに当たるのです。
ソーシャルエンジニアリング
本人を偽ってパスワードを聞き出したり、緊急事態だと装って組織内部の機密情報を聞き出したりなど、人間の心理の隙を突いて盗む行為のことを「ソーシャルエンジニアリング」と呼びます。
例えば、PCを点検に来たといって情報を盗み見たり、Aという人だと偽って「忘れてしまったから教えてくれ」と聞いたりすることがこれに当たります。
なりすまし
盗んだIDやパスワードを利用して、正規のユーザであるというふりをすることを「なりすまし」と呼びます。
情報を盗んだり、ネットワーク上で起こした悪事を正規のユーザのせいにしたりなどをします。
クラッキング
「クラッキング」とは、悪意を持って他人のコンピュータの情報を見たり破壊したりする行為のことです。
クラッキングの多くは、ネットワークを介して行われています。
物理的脅威
大雨や地震、落雷などの災害や、コンピュータの故障など、コンピュータが物理的に被害を受けて情報を失ってしまう脅威のことを「物理的脅威」と呼びます。
空き巣や強盗など、コンピュータの盗難や破壊もこれに含まれます。
脆弱性
「脆弱性」というのは、ソフトウェアやシステムなどのセキュリティ上の弱点や欠点のことです。もともと攻撃にもろい仕様となっていたり、ずさんなセキュリティ管理を行っていたりすると、悪意を持っている第三者の攻撃の的になってしまう可能性があります。
脆弱性の要因となるものを見ていきましょう。
セキュリティホール
プログラムの不具合や設計ミスによって生じてしまう欠陥のことを「セキュリティホール」と呼びます。セキュリティホールの脆弱性を狙って攻撃されてしまう恐れがあるのです。
ソフトウェアのメーカなどが無償で配布するプログラムである「セキュリティパッチ」を適用することで、防ぐことが可能となっています。
シャドーIT
従業員が企業のIT部門などの許可を得ていないデバイスで業務をすることを「シャドーIT」と呼びます。
デバイスに適切なセキュリティ設定がされていなかったり、盗難や紛失してしまったりすることにより、外部に情報が漏洩してしまう可能性があります。
攻撃手段
とこれまで記述してきたとおり、情報資産に脅威を与えるために様々な手法を用いて攻撃してきます。
続いては、その攻撃手段について見ていきたいと思います。
パスワードクラック
推測されるパスワードで繰り返しログインを試すなど、他人のパスワードを不正に探り当てていくことを「パスワードクラッキング」と呼びます。
コンピュータを使用すれば簡単に大量の処理を短い時間で行うことができるため、割り出してしまう可能性は十分にあるのがこれです。
考えられるありとあらゆる文字列でログインを試みる「総当たり攻撃(ブルートフォース攻撃)」や辞書に載っている単語の情報を基に試す「辞書攻撃」などがあります。
また、同じIDとパスワードを複数のサービスで使い回しているユーザが多いことから、1つのサービスから流出したIDとパスワードを使用して、別のサービスへとログインする攻撃のことを「パスワードリスト攻撃」と呼びます。
標的型攻撃
無差別に攻撃する「パスワードクラック」とは違い、特定の組織を狙って電子メールを送信するなどしてマルウェアに感染させる攻撃方法のことを「標的型攻撃」と呼びます。
さらに、この標的型攻撃が発展したものに、標的とする組織がよく利用しているWebサイトを改ざんし、対象ユーザが使用した時にだけマルウェアがダウンロードされるように仕掛ける「水飲み場型攻撃」もあります。
フィッシング詐欺
銀行や警察などを装った偽のWebサイトやメールを使用し、暗証番号やパスワードなど重要な情報をだまし取る詐欺のことを「フィッシング詐欺」と呼びます。
ワンクリック詐欺
ユーザがWebサイトに掲載されたURLをクリックするだけで「契約が完了しました」といったメッセージを表示し、料金を不正に請求する詐欺のことを「ワンクリック詐欺」と呼びます。
ユーザは表示された「~日以内に支払わなければ法的手段をとる」や「貴方の個人情報を取った」などの文章を読んで、焦って支払わせる、という被害を受けることとなります。
ドライブバイダウンロード
ユーザがWebサイトを閲覧した際、ユーザの意図にかかわらずPCに悪意あるソフトウェアをダウンロードさせて感染させる攻撃手法のことを「ドライブバイダウンロード」と呼びます。
Webサイトを見ただけで感染してしまうため、注意をしていたとしても感染してしまう事があるのがこれです。
MITB
マルウェアなどでユーザを乗っ取り、WebブラウザとWebサーバ間の通信を監視することで、情報を盗聴したり改ざんしたりする攻撃手法のことを「MITB(Man In The Browser)」と呼びます。
ユーザのインターネットバンキングへのログインを検知して、ユーザが入力した振込先のデータを改ざんし、攻撃者の口座に送金させるのです。
クロスサイトスクリプティング
入力フォームなどのWebページに入力されたデータをそのままユーザのWebブラウザに表示するようになっているWebサイトの脆弱性を突いて攻撃する手法のことを「クロスサイトスクリプティング」と呼びます。
例えば、電光掲示板に悪意のあるスクリプト(プログラム)を埋め込み、それを投稿することで、その掲示板を見に来たユーザのブラウザ上でスクリプトを実行し、の情報を盗んだり、他のサーバを攻撃させたりするのです。
SQLインジェクション
データベースを操作するための言語のことを「SQL」と呼びます。
ソフトウェアの脆弱性を利用して、悪意を持って構成したSQL文を入力していくことで、データベースのデータを不正に盗んだり、改ざんしたりするような手法のことを「SQLインジェクション」と呼びます。
DoS攻撃とDDoS攻撃
サーバに一度に大量のデータを送信し、サーバの機能やサービスを停止させる攻撃手法のことを「攻撃」と呼びます。また、トロイの木馬によって複数のコンピュータを乗っ取り、その乗っ取ったコンピュータから一斉にDoS攻撃を仕掛けることを「攻撃」と呼びます。
1台のコンピュータから攻撃するDoS攻撃よりも更に強くサーバに負荷を掛けることができるため、機能の停止に繋がりやすくなるのです。
キャッシュポイズニング
IPアドレスとドメイン名を変換するのはDNSサーバでした。DNSサーバはこの2つの紐付け情報を一度にキャッシュと呼ばれる高速な記憶装置に保存することで、それ以降の変換を高速化しているのです。
このキャッシュに保存されたデータを書き換え、ユーザを悪意あるサイトへと誘導する攻撃手法のことを「キャッシュポイズニング」と呼ばれています。
ユーザは偽のWebサイトへと気付かないまま進めてしまうので、個人情報やクレジットカードなどの重要情報を入力してしまい、情報を盗まれてしまうのです。
IPスプーフィング
送信元に偽のIPアドレスを設定したパケットを送り、正規のユーザになりすまして不正アクセスを行う攻撃手法のことを「IPスプーフィング」と呼びます。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアにセキュリティホールが発見されたときに、その情報の公表やセキュリティパッチの配布が行われる前に、血管部分を狙って攻撃する手法のことです。
見つかった直後に攻撃するため「ゼロデイ」となっています。
バッファオーバフロー攻撃
プログラムがあらかじめ用意しているデータ領域を超えるサイズのデータが入力され、正常なプログラムの制御を失ってしまった状態(バッファオーバフローと呼ばれる)をわざと引き起こすことで、コンピュータに想定外の動作をさせる攻撃の手法のことを「バッファオーバフロー攻撃」と呼びます。
入力サイズをチェックする機能をあらかじめプログラムに組み込んでおくことで未然に防ぐことが可能になりますが、そのまま放置してしまうと、重大なセキュリティホールとなりかねません。
サイバー攻撃
コンピュータやシステムに被害を与えることを目的としており、ウイルスや処理しきれないほどの大量のデータを送りつけたり、不正侵入してデータの改ざんや破壊を行ったりする攻撃の総称を「サイバー攻撃」と呼びます。
サイバー攻撃は、特定の個人や組織を狙うものや、不特定多数の人をねらうものがあります。
不正のメカニズム
内部不斉などの不正行為自体は、「機会」「動機」「正当化」の3つの要素が揃ったときに実行されると考えられています。
この3つの要素のことを「不正トライアングル」と呼びます。
機会
情報システムの脆弱性や組織で規定されているルールの不徹底など、不正行為を実行しやすいまたは、可能である環境のことです。
動機
日々のノルマ設定によるプレッシャーや待遇に対する不満など、不正行為を実行してしまうきっかけとなるものです。
正当化
不正行為を「して当然」「当然の行為である」というこじつけや責任転嫁など、不正行為を自ら納得させるための自分勝手な理由付けのことです。
まとめ
いかがだったでしょうか?今回は情報資産が抱える脅威について解説させていただきました。
他の分野と比べてみるとかなりボリューミーだったと思いますが、インターネット社会において、情報の流出は命取りとなってしまうのが現状です。
だからこそ、どんな攻撃手段があるのか、どういった仕組みなのかを理解しておければ対処のしようがあるというわけです。
一番最初にお話ししたとおり、ここはITパスポートの試験にも出やすくなっている場所なので、しっかりと覚えていきましょう!
それでは今回はここまで!
