サイバーセキュリティの脅威と脆弱性の種類

巧妙化する攻撃に備えよ

2024年5月11日
著者: Ahona Rudra
翻訳: 永 香奈子

この記事はPowerDMARCのブログ記事 Types of Cybersecurity Threats and Vulnerabilities の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

現在、サイバーセキュリティの脅威と脆弱性は至るところに存在しており、組織は競争力を維持するためにそれらをうまく乗り越える必要があります。
脅威の状況は常に進化しています。
幸いなことに、AIを活用した強力なツールが登場し、AI搭載の言語モデルのように人気を集めています。

言語モデルは、「メールのフィッシングを防ぐ方法は？」や「エッセイを書いてください」といった簡単なプロンプトに即座に応答しますが、AI駆動のサイバーセキュリティソリューションは、攻撃の検出、緩和、インシデント対応において能動的な役割を果たします。
しかし、AIは完璧ではありません。
情報の一部はしばしば正確である一方で、欠点もあり、誤情報を広める可能性もあります。

重要な脆弱性を発見するために、私たちのガイドは良い出発点となるでしょう。

重要なポイント

1. AIはサイバーセキュリティの防御と攻撃の巧妙化の両方を強化します（例：ソーシャルエンジニアリングで使用されるディープフェイク）。
2. マルウェアは「Ransomware-as-a-Service（RaaS）」のような亜種とともに進化しており、強固な予防と対応が求められます。
3. フィッシングやソーシャルエンジニアリングの手口（ビジネスメール詐欺（BEC）やブランドなりすましを含む）は、人間の信頼を悪用します。
4. ソフトウェアの脆弱性（ゼロデイ攻撃やファイルフォーマットの脆弱性など）および人的ミスへの対処には、定期的な更新、トレーニング、メール認証（DMARC、SPF、MTA-STS）が必要です。
5. IoTの脆弱性やサプライチェーン攻撃による新たな脅威は、必要なセキュリティ対策の範囲を広げています。

一般的なサイバーセキュリティの脅威

1. マルウェア攻撃

悪意のあるソフトウェアは、コンピュータやそのシステムに侵入し損害を与えることを目的とした行為を伴います。
マルウェアにはさまざまな形態があり、しばしばメールの添付ファイル、リンク、またはダウンロードを通じて配布されます。
ウイルスやトロイの木馬はその一例です。

一度インストールされると、マルウェアは個人情報にアクセスしたり、キーストロークを記録したり、コンピュータを制御したりすることができます。

ウイルス

コンピュータウイルスは、起動されるとさまざまなプログラムに侵入し、自己複製を行うことができます。
その結果、システムの動作が遅くなり、感染したファイルを使用して新たなデバイスへ拡散しようとします。

トロイの木馬

これらの標的型脅威は、しばしば正規のソフトウェアを装っていますが、内部に隠された悪意のあるコードを含んでいます。
それは、システムへの不正な侵入経路を探すサイバー犯罪を目的としています。

ランサムウェア

ランサムウェアがファイルやシステムに侵入すると、データを暗号化することでアクセスを遮断し、復号キーと引き換えに支払いを要求します。
支払いはしばしば暗号通貨で行われ、攻撃者が設定した期限内に支払われない場合、ファイルは永久に失われる可能性があります。
WannaCryやNotPetyaのような著名な事例では、大規模な混乱を引き起こしました。
ほとんどのランサムウェアは.exeのような一般的な拡張子のファイルを暗号化しますが、特定のファイルタイプが標的とされることもあります。
ランサムウェアは、しばしばメールを通じて展開される可能性があります。
サブタイプには、クラウド上でサイバー犯罪者がランサムウェアのツールを販売する「サービスとしてのランサムウェア（RaaS）」、ファイルを暗号化し、復号のために鍵を必要とする「暗号型ランサムウェア／エンクリプタ」、被害者を支払いへと誘導するために偽の警告で脅す「スケアウェア」、支払いがあるまでファイルをロックする「ロッカー」、暗号化する代わりに被害者のデータを公開すると脅迫する「ドックスウェア／リークウェア」などがあります。

スパイウェア

スパイウェアは、ユーザの知らないうちにデバイスから情報を収集します。
この情報には、パスワードやその他の個人情報が含まれており、攻撃者に盗まれて販売される可能性があります。

未知の送信者からの添付ファイルは、決してダウンロードしたり開いたりしないでください。
常にウイルス対策ソフトを使用し、それを最新の状態に保ってください。
特に、メールが未知の送信者から届いた場合は、そのメール内のリンクをクリックする際に注意してください。

2. フィッシングとソーシャルエンジニアリング

フィッシング攻撃は、しばしばメールを通じて人をだまし、機密データ（ログイン認証情報や財務情報など）を提供させたり、悪意のあるリンクをクリックさせたり、有害な添付ファイルをダウンロードさせたり、その他の損害を与える行動を取らせたりするための操作的な手口を用います。
ソーシャルエンジニアリングは、人間の心理、信頼、感情につけ込むものであり、これらの攻撃においてしばしば重要な役割を果たします。

フィッシングメール

攻撃者は、信頼できるブランド、銀行、政府機関、あるいは企業の幹部を装って、本物のように見える偽のメールを送信します。
その目的は、受信者に悪意のあるリンクをクリックさせて偽のWebサイトに誘導したり、マルウェアを含むダウンロードを実行させたり、個人情報を漏らさせたりすることです。
これらのメールは、パンデミックに関する不安、ブランドのなりすまし、偽の配送通知（郵便に関連したテーマ）、緊急の依頼や報酬の約束、あるいは不正な請求書といったさまざまなテーマを用いることがあります。
ビジネスメール詐欺（BEC）は、攻撃者が幹部（CEO詐欺）や弁護士になりすまして、従業員に資金を送金させたり、機密情報を漏らさせたりする、特定のタイプのフィッシングです。
その他のBECの形態には、従業員のアカウントを直接乗っ取る方法や、単純にメールを通じてデータ窃取を試みる手口などがあります。

ソーシャルエンジニアリング詐欺

詐欺師は、人間の心理、信頼、感情につけ込んで被害者をだまします。
彼らは、なりすまし、作り話を用いた詐欺（プレテキスティング）、何か魅力的なもの（無料ダウンロードなど）を提示する誘惑（ベイティング）、セキュアなエリアに物理的に侵入するために誰かの後に続く行為（テイルゲーティング）、さらにはAI生成のディープフェイクを使って標的を操作する手口を用います。
スケアウェアはソーシャルエンジニアリング（時にはランサムウェア）の一種で、偽の警告を用いてユーザを怖がらせ、有害な行動を取らせようとします。
最終的な目的は、多くの場合、金銭や機密情報を引き出すことです。

フィッシングやソーシャルエンジニアリングの被害を避けるためには、次の点に注意してください。
不明な送信者からのメールや、個人情報の提供を求めるメールには警戒しましょう。
リンクをクリックしたり認証情報を入力したりする前に、送信者のメールアドレスとリンクのURLが正当であることを必ず再確認してください。

疑わしいリンクを決してクリックせず、予期しない添付ファイルはダウンロードしないでください。
不自然な依頼や文面に注意を払ってください。
DMARC、SPF、DKIMといったメール認証プロトコルを導入することで、送信者の正当性を検証し、多くのフィッシング攻撃で使用されるドメインスプーフィングから保護することができます。

3. 分散型サービス妨害（DDoS）攻撃

DDoS（分散型サービス妨害）攻撃は、オンラインサービス、Webサイト、またはネットワークを標的とします。
これらの攻撃は、大量のトラフィックを送り込むことで、正規のユーザが対象にアクセスできないようにすることを目的としています。
標的には、HTTP接続を通じてアクセス可能なWebサイト、ネットワーク、サーバなどが含まれます。

これらは、ボットネット（感染したコンピュータのネットワーク）、侵害されたIoTデバイス、または他の乗っ取られたコンピュータからの攻撃を受けます。
攻撃者は、これらのリソースを利用して、注目度の高い標的に対してDDoS攻撃を仕掛けます。
2023年には、前年と比べて攻撃件数が47%増加しました。

新たに出現しているサイバーセキュリティの脅威

1. IoTの脆弱性

IoT（モノのインターネット）は、日常的なセンサー機器やソフトウェア機器をWebを通じて他の機器と接続し、利便性を高める技術です。
組織がインフラにIoT機器をますます統合していく中で、これらの機器がもたらす潜在的な脆弱性に対処するために、クラウドアプリケーションの防御が重要となっています。
また、セキュリティ上およびプライバシー上の脅威も潜在的に存在します。

セキュリティ上の問題

IoT機器には、強固なセキュリティ機能が備わっていないことが多く、サイバー攻撃に対して無防備な状態にあります。
ファームウェアの更新が行われていないことが脆弱性を高め、スマートホームのカメラや医療機器といったデバイスが悪用される標的となる可能性があります。
これらの機器は、DDoS攻撃のためにボットネットに取り込まれることさえあります。
これらのリスクは、旅行中のサイバーセキュリティなど、さまざまな状況に及び、信頼できないネットワークへの接続によって機密データが漏洩する恐れもあります。

プライバシーに関する懸念

IoTによるデータ収集機器は、個人のプライバシーを損なう可能性のある機微な情報を収集することがあります。
不正アクセスが行われれば、個人の安全や福祉に対する脅威となる可能性があります。

2. 人工知能（AI）および機械学習（ML）の脅威

人工知能（AI）と機械学習（ML）は、サイバー防御において大きな可能性を秘めています。
しかしそれと同時に、攻撃者がその力を悪用する可能性もあります。

AIによる攻撃

サイバー犯罪者は、AIアルゴリズムを活用して攻撃の検出を困難にし、より個別化された攻撃を行います。
自動的な脆弱性の発見や、リアルな偽動画・音声を生成するディープフェイクの作成を通じて、攻撃の巧妙さはますます高まっており、ソーシャルエンジニアリングのリスクを大きく悪化させる可能性があります。

AIによる防御

セキュリティの専門家は、脅威をより迅速に検出し、より効果的に対応するためにAI/MLツールに依存しています。 これらのツールは、ネットワークトラフィックやユーザ行動から学習し、異常を識別して新たな攻撃パターンに適応する、適応型のメカニズムを使用しています。

3. サプライチェーン攻撃

サプライチェーン攻撃は、組織とそのサプライヤー、契約業者、またはパートナーとの間にある信頼関係を悪用します。

侵害されたソフトウェアアップデート

攻撃者は、サプライチェーンに属するベンダを侵害することにより、組織のソフトウェア供給経路に侵入し、正規のアップデートに偽装した悪意のあるコードを配布することがあります。
これにより、気づかずにインストールしたユーザのコンピュータが侵害され、情報漏洩やシステムの乗っ取りといったさらなる混乱や被害につながります。

サードパーティのリスク

組織は、セキュリティ対策が十分でないサードパーティのサプライヤーやベンダから発生するサイバーリスクに直面する可能性があります。
ベンダにおける侵害は、組織のデータが漏洩したり、ネットワークへの侵入口を提供したりする恐れがあり、結果として情報漏洩、財務的損失、そして組織の評判への重大な損害につながる可能性があります。
サードパーティ管理ソリューションを活用することで、ベンダのセキュリティ対策を継続的に監視し、サイバーセキュリティ基準への準拠を確保することにより、これらのリスクを軽減できます。

サイバーセキュリティの脆弱性の種類

サイバーセキュリティの脆弱性にはさまざまな形態があり、組織のデータやシステムに対してそれぞれ異なる脅威をもたらします。
これらは、サイバー攻撃者にとっての侵入口として機能します。
主に2つのカテゴリに分類されます。

ソフトウェアやシステムに影響を与える技術的な脆弱性と、ユーザの行動や操作に起因する人為的な脆弱性です。

1. ソフトウェアおよびシステムの脆弱性

これらは、攻撃者が悪用できるコードの欠陥やシステム構成上の不備です。
一般的な種類には以下のようなものがあります。

未修正のソフトウェア

セキュリティパッチやアップデートを定期的に適用しないことにより、システムは既知の脆弱性に対して無防備となり、攻撃者が積極的に悪用する可能性があります。
定期的なソフトウェアの更新とセキュリティパッチの適用は、必要不可欠な防御手段となります。

ゼロデイ脆弱性

これらは、攻撃者によって最初に悪用される時点で、ソフトウェアベンダや一般に知られていない欠陥です。
セキュリティ研究者やソフトウェアベンダはこれらの問題を特定し修正するために取り組みますが、修正が提供されるまでの間に、攻撃者にとっての攻撃の好機が存在します。

エクスプロイトベースの攻撃

攻撃者は特定のコード（エクスプロイト）を使用して脆弱性を悪用します。
これには、ブラウザの欠陥を利用してマルウェアをダウンロードさせる悪意ある広告（ブラウザ・エクスプロイトキット）、一見無害に見えるWord文書やPDFファイルに悪意のあるコードを埋め込むファイル形式のエクスプロイト、その他の特定ソフトウェアの弱点を狙う手法などが含まれます。

中間者（MITM）攻撃

この攻撃は、攻撃者が2者間の通信を傍受し、メッセージを改ざんしたり、認証情報などの機密情報を盗んだりするものです。
これを軽減するには、転送中のデータに暗号化を施すことが重要です。
MTA-STSのようなプロトコルは、メールサーバ間の通信においてTransport Layer Security（TLS）暗号化を強制し、メール送信のセキュリティを確保します。
デジタル署名付きのメールを利用したり、可能であればエンドツーエンド暗号化を使用したりすることも有効です。

2. 人的ミスおよび内部脅威

人間の行動は、意図的であれ偶発的であれ、重大なサイバーセキュリティ上のリスクを引き起こします。

フィッシングおよびソーシャルエンジニアリングへの脆弱性

従業員は、フィッシング攻撃やソーシャルエンジニアリング詐欺に対して、悪意のあるリンクをうっかりクリックしたり、マルウェアをダウンロードしたり、機密情報を漏らしたりする可能性があります。
これらの脅威を認識し回避するためには、トレーニングや意識向上プログラムが極めて重要です。

内部脅威

脅威は、現在または過去の従業員、契約業者、またはパートナーといった、システムやデータへのアクセス権を持つ人物から発生することがあります。
これらは、システムの誤設定のような偶発的なものである場合もあれば、意図的なデータの窃取や破壊行為といった悪意あるものもあります。
内部攻撃は、情報漏洩、業務の混乱、財務的損失につながる可能性があります。

不適切なセキュリティ習慣

弱いパスワードの使用、認証情報の共有、安全でないWi-Fiの利用、スパムに引っかかるといった行為は、脆弱性を生む原因となります。
スパムメールは、しばしば商品を宣伝したりマルウェアを拡散したりする迷惑な大量送信メールであり、スパムフィルタで対策できますが、ユーザ自身の注意も重要です。
不必要にメールアドレスをWeb上で公開しないようにし、疑わしいメールには決して反応しないでください。
送信者の認証に用いられるSender Policy Framework（SPF）は、スパムやなりすましの対策に役立ちます。

スプーフィングの脆弱性

攻撃者は、信頼できる送信元を装ってメールヘッダーを偽造（スプーフィング）することができます。
送信者のメールアドレスを常に二重に確認し、不自然な依頼には注意してください。
DMARCのようなメール認証は、直接的なドメインスプーフィングに対抗するために特別に設計されています。

これらの人為的な脆弱性は、強固なセキュリティ意識向上トレーニング、厳格なアクセス制御、疑わしい活動の監視、そしてVPN for Windowsのような技術的ソリューションを通じて軽減することができます。
特にリモートワーカーや公共Wi-Fiを使用するユーザにとって、インターネットトラフィックを暗号化しデータを保護するVPNは有効です。

最後に

絶えず進化する脅威や脆弱性が、デジタル環境に満ちあふれています。
そのため、組織や個人は、常に警戒を怠らず積極的な姿勢を維持することが、オンライン上での安全を保つために欠かせません。
高度化するマルウェアやAIを駆使した攻撃、巧妙なソーシャルエンジニアリング、サプライチェーンリスクなど、多様な脅威について常に情報を得ておくこと、そして継続的に強固なセキュリティ対策へ投資することが極めて重要です。

さまざまなサイバーセキュリティ上の脅威や脆弱性を理解し、パッチ適用やメール認証といった技術的防御を実装し、セキュリティ意識を育む文化を築くことで、私たちはデジタル資産をより良く保護することができます。
今日の複雑なサイバー環境において、唯一有効な方法は、積極的な姿勢を取ることです。