「マイクロソフトニュース ZUU ONLINE」様よりシェア、掲載
ありがとうございます。感謝です。
サイバー攻撃による個人情報流出が起こり続ける根本的理由とは?
2020/06/25 20:30
ECサイトなどのウェブサイトやスマホアプリがサイバー攻撃を受け、個人情報やクレジットカード情報などが盗み出される事件が後を絶たない。
いったい、なぜ根絶できないのか?
サイバー攻撃に詳しい〔株〕サイバーセキュリティクラウド取締役CTOの渡辺洋司氏に話を聞いた。
■サイバー攻撃者はパスワードをダークウェブで売買している
――個人情報やクレジットカード情報が盗まれたサイバー攻撃事件が、近年もしばしば報道されています。攻撃者の目的は、やはり金銭でしょうか?
【渡辺】 攻撃者は様々な目的でサイバー攻撃をするのですが、個人情報やクレジットカード情報を盗む場合は、金銭的な利益を目的としていることが多いでしょう。他人のクレジットカードを使って高額な商品や換金性の高い商品を購入したり、盗み出した個人情報を売ったりするのです。
他には、例えば、政治的なメッセージを発信するためにウェブサイトを改竄するサイバー攻撃や、怨恨や競合の妨害のためにサーバーをダウンさせるサイバー攻撃もあります。愉快犯によるものもありますし、外部のだけでなく、内部犯行のケースもあります。
――サイバー攻撃の方法にも、様々なタイプがあるようですね。
【渡辺】 攻撃者は目的のためにあらゆる方法を取ります。目的と方法が対応しているわけではありません。
近年、報道されたサイバー攻撃を見ると、方法には大きく分けて2つのタイプがあります。パスワードリスト攻撃とシステムの脆弱性を突いた攻撃です。
――まず、パスワードリスト攻撃とは、どういうものでしょう?
【渡辺】 ECサイトなどの会員制のサイトに、他の誰かのID・パスワードでログインするものです。つまり、アカウントの乗っ取りですね。
例えば、昨年、大手カード会社のアプリに対してパスワードリスト攻撃が行なわれ、最大1万6,000件以上の顧客IDに不正侵入される事件が起きています。
――攻撃者がどこかでパスワードを盗んでいる?
【渡辺】 まず、パスワードに使われやすい文字列を様々に組み合わせて、片っ端から試すんです。この攻撃を「辞書型」と呼んでいます。ランダムな文字列を総当たりで試すケースもあります。その中に正しいパスワードがあると、ログインできるわけです。
正しいとわかったパスワードはリスト化されて、他のサイトの攻撃にも使われます。また、そのリストはダークウェブで売買されますから、それを買ってパスワードリスト攻撃をする攻撃者も多くいます。
――パスワードリスト攻撃の被害を防ぐためには、どうすればいいのでしょう?
【渡辺】 簡単なパスワードを使わないことや、複数のサイトで同じパスワードを使い回さないことですね。
サイトの管理者にも、一定時間の間に何回もパスワードを間違えたら、そのアカウントを凍結するように設定したり、攻撃を仕掛けてきたIPアドレスをリスト化しておいて、そこからのアクセスではログインできないようにしたりと、対策できることはあります。
とはいえ、複数のサイトで同じパスワードを使い回していて、そのパスワードがダークウェブで売買されていたら、攻撃者が1回アクセスするだけでログインできてしまうかもしれませんから、ユーザー個人がパスワードの管理に気をつけることが重要です。
――自分が使っているサイトで、他のユーザーのアカウントが乗っ取られたら、自分も被害に遭う可能性があるのでしょうか?
【渡辺】 単に、あるユーザーのアカウントを乗っ取ったからといって、他のユーザーのパスワードを知ることはできません。けれども、サイトの管理者のアカウントが乗っ取られると、多数のユーザーの個人情報が見られてしまう可能性があります。
クレジットカード情報については、サイトとは別のサーバーに置くことを定めたガイドラインがあるので、それに従っていれば、管理者のアカウントを乗っ取られても、見られることはありません。ただ、必ずしもすべての管理者が従っているとは限りません。
■ニュースでよく聞く「脆弱性」とは?
――もう一つの、システムの脆弱性を突いた攻撃とは、どういうものでしょうか? 脆弱性という言葉は、ニュースでよく聞きますが……。
【渡辺】 私はエンジニアなので専門的な説明をしてしまいがちですから、わかりやすく当社の社長(大野暉氏)がよく使う言葉で言うと、ゲームの「隠しコマンド」のようなものです。
ゲームと同じく、ウェブサイトなどのシステムもプログラムで作られているわけですが、攻撃者はそのプログラムの中に、「隠しコマンド」を入力するとサーバーに侵入できてしまうバグを見つけるのです。これが、システムの脆弱性です。ゲームの「隠しコマンド」には意図的なものが多いですが、もちろん、システムの脆弱性は意図的なものではありません。
サーバーに侵入し、サーバーの管理者になってしまえば、アカウントを乗っ取るよりもはるかに多くのことができます。同じサーバーで動かしている他のサービスにも侵入できますし、サーバーに置かれているデータベースも見られます。企業の社内システムに入って情報を盗むこともできます。
――脆弱性を攻撃者よりも先に見つけて修正する必要があるわけですね。
【渡辺】 その通りなのですが、システムのプログラムには、各システムの開発者が独自に書いている部分と、インターネット上のライブラリで公開されている部品を使っている部分とがあって、公開されている部品に脆弱性が見つかった場合は、その脆弱性も公開されるんです。注意喚起をするためなのですが、それは同時に、攻撃者に脆弱性を教えることにもなってしまいます。
ですから、非常にクリティカルな脆弱性の場合は、関係各所に先に伝えて、すぐに修正できるようにしてから公開することもあります。
――脆弱性を見つけては修正する、ということを繰り返しているのに、いつまでも完璧にならないのは、なぜですか?
【渡辺】 それは、皆さんが使っているパソコンも、そこに入っているソフトウェアも、そのソフトフェアのプログラムに使われているコンピュータ言語も、どんどんアップデートされているからです。それに合わせて、どんどん新しいプログラムが書かれていて、脆弱性もでき続けているわけです。
脆弱性が絶対にないようにチェックをするには時間がかかりすぎて、チェックが終わった頃には、もう時代遅れで使えないものになってしまっています。技術の進歩のスピードと、どこでバランスを取るかという問題ですね。
――システムの脆弱性を突く攻撃からサーバーを守るには、脆弱性の修正を速やかにする以外に、どんな方法があるのでしょう?
【渡辺】 当社が提供している「攻撃遮断くん」のようなWAF(Web Application Firewall)を使う他、ネットワークを設定によって防御する方法などがあります。
サイバー攻撃事件の中には、報道だけでははっきりとはわかりませんが、ネットワークの設定の不備を突かれた可能性があるものもあります。
――ユーザー個人としてできる対策はあるでしょうか?
【渡辺】 それぞれのサービスを利用するリスクを知っておくことでしょうか。例えば、ECサイトに登録するクレジットカードに利用限度額を設定することで、万が一のときでも、それ以上の損害が出ないようにできます。
また、システムの脆弱性を突く攻撃は、他の手法と組み合わせて使われることもあります。昨年起きた、あるメーカーのECサイトが攻撃された例では、攻撃者はサーバーに侵入したあと、正規のドメイン内にフィッシングサイトを作って、偽のキャンペーンのメールをユーザーに送ることで、フィッシングサイトにユーザーを誘導していました。そして、フィッシングサイトで、最大28万件以上のクレジットカード情報を盗み出したのです。
こうしたケースでは、実際には難しいこともあるかもしれませんが、メールの送信元のアドレスやサイトのURLなどをよく確認することで、被害に遭うのを防げるのではないでしょうか。たちが将来路頭に迷うのを黙って見ているのもまたブラック企業の経営者だと思います」
■サイトの管理者が攻撃されて、自分の情報が漏れてしまったら?
――サイバー攻撃対策というと、セキュリティソフトをパソコンにインストールする、という方法がすぐに思いつきますが……。
【渡辺】 それは、パソコンをコンピュータウイルスやマルウェアから守るための方法ですね。パソコンからサーバーに侵入して情報を盗み出すこともできますが、ここまでお話してきたウェブサイトからの情報漏洩とは、また別の話です。
パソコンへの攻撃には、コンピュータウイルスが入ったファイルを添付したメールを送りつける標的型攻撃や、先ほど挙げた例のように、偽のキャンペーンのメールなどで不正なウェブサイトに誘導したりするものがあります。
――ウェブサイトから自分の情報が漏洩した場合、そのサイトの運営者に補償してもらうことはできるのでしょうか?
【渡辺】 運営者の判断によりますね。非常に多くの人数の個人情報が漏洩してしまったら、企業が支払える補償金の総額には限りがありますから、1人当たりの補償額は数百円の金券だけというケースもあります。ビジネスで損害が出た場合は、訴訟の話も出るでしょう。
――サイバー攻撃をした攻撃者は、きちんと捕まるのでしょうか?
【渡辺】 不正アクセス禁止法での検挙件数は、『警察白書』によると、平成30年(2018)には564件だったということです。平均すると毎日1~2人が捕まっている計算です。
サイバー攻撃を取り締まる法律には、コンピュータウイルスを作成、提供、保管すると「ウイルス作成罪」、オンラインバンキングを不正に操作すると「電磁的記録不正作出及び供用罪」や「電子計算機使用詐欺罪」、ウェブサイトの改竄やコンピュータウイルスの埋め込みなどを行なうと「電子計算機損壊等業務妨害罪」というように、他にも様々なものがあって、これらには厳しい罰則も定められています。また、攻撃者に対して損害賠償が命じられることもあります。
――お話を聞くと、サイバー攻撃との闘いはずっと続くのだということがわかりました。
【渡辺】 サイバーセキュリティは企業にとってコストではなく投資だと言われますが、ますます重要性が増していて、投資額が大きくなっています。一方、サイバー攻撃は低コストでできるので、安い金額で仕事を請け負う攻撃者が多くいます。これも、サイバー攻撃がなくならない要因の一つです。
別の言い方をすれば、攻撃者は低コストで攻撃できるところを狙っているんです。ですから、防御をして、攻撃にコストがかかるようにしておけば、特別な目的を持っている場合は別でしょうが、攻撃者はそこを攻撃するのを後回しにします。そう考えると、サイバーセキュリティ対策は、費用対効果が高い投資ではないでしょうか。
渡辺洋司(サイバーセキュリティクラウドCTO)
(『THE21オンライン』2020年05月22日 公開)
0コメント