情報セキュリティリスクにおける「脅威」と「脆弱性」
最終更新日:2021年04月24日
情報セキュリティリスクとは何か
情報システムやデータが破損したり、データを盗まれたり、盗まれたデータが漏洩したりなど、大切な情報資産の安全を損ねる(かもしれない)リスクが情報セキュリティリスクです。「情報」を抜いて、「セキュリティリスク」と言われることもあります。
ここでは、情報セキュリティの脅威や脆弱性などについて説明していきます。
情報セキュリティの脅威と脆弱性とは
情報セキュリティにとっての脅威とは、情報資産に損失を与える要因のことです。組織が保有する情報資産に対して害を及ぼしたり、または被害が発生したりする可能性のあるものを情報セキュリティの脅威といいます。
情報セキュリティの脆弱性とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことです。
例えば、コンピュータのOSやソフトウェアのプログラムの不具合や設計上のミスが原因となって発生するシステム上の問題点だけではなく、機密情報の管理体制が整っていない、などといった人間の振る舞いに関する問題点も脆弱性と言えます。
情報セキュリティの脅威の種類
情報セキュリティの脅威は、「人的脅威」、「技術的脅威」、「物理的脅威」の3つに分けられます。
人的脅威
「人為的脅威」とは、人が介在して起こる脅威です。以下のようなことが人的脅威になります。
・内部関係者による意図的な資産抜き取り
・従業員がルールに則らず外部に持ち出したPCや記録媒体が盗難に遭って起こる情報漏えい
・安易に紙に書いたパスワードを誰もが見える場所に置くなどから起こる情報漏えい
・システムの操作ミスやメールの誤送信になど、ヒューマンエラーで起こる情報漏えい
技術的脅威
標的型攻撃メールやマルウェア、Webサイトの改ざんなど、プログラムが介在するものは、「技術的脅威」と言われます。
技術的脅威は、偽装してくるもの、プログラム・ソフトウェアの脆弱性を狙ってくるもの、機械的に動作を繰り返し行ってくるものなど様々な形があり、増加の一途をたどり、巧妙になっています。
物理的脅威
ハードウェアが何らかの形で破損してしまうことや、経年劣化などは「物理的脅威」と言われます。
中でも、地震、台風、落雷、家事といった自然災害や、高気温、高湿度などの異常気象は「環境的脅威」と言われます。
内的要因と外的要因
上で挙げた自然災害、侵入者、マルウェア、不正アクセスなどを「外的要因」、操作ミスやセキュリティモラルの欠落などは「内的要因」と分類する場合もあります。
技術的脅威の種類
情報セキュリティの中でも、近年一番の脅威とみられる、ITの技術を使った技術的脅威はたくさんの種類があります。代表的なものをいくつか挙げ、説明していきます。
標的型攻撃
「標準型攻撃」は、特定の組織をターゲットにして、取引先などに偽装したメールを送り付け、添付のウイルスファイル開かせようとします。
また、ウイルスをダウンロードさせるサイトに誘導し、ウイルス感染させて、攻撃対象への嫌がらせや盗み出した情報を基に金銭的利益を得ようとします。
特に、ターゲットとする企業がよく閲覧するWebサイトに不正プログラムを仕込み感染させる攻撃を「水飲み場攻撃」と呼びます。
フィッシング詐欺
「フィッシング詐欺」は、名の知れた金融機関や企業など、信用できる送信元かのように偽装したメールなどを不特定多数、または特定ターゲットに送り、IDやパスワード、クレジットカード番号や、個人情報、財産や企業秘密などを騙し取るネット詐欺の一種です。
フィッシング詐欺は、ウイルスなどの感染と違い、誰でもどのような環境でも、偽物のメールやサイトだと気づかないでIDやパスワードを盗み取られたりする可能性があるため、注意が必要です。
ワンクリック詐欺
「ワンクリック詐欺」は、電子メールや、Webサイトに記載のURLをクリックすると、一方的に、サービスへの入会などの契約成立を宣言され、脅迫めいた手口で料金の振り込みを迫るという詐欺行為です。
DoS攻撃およびDDoS攻撃
「DoS (Denial of Servicesの略)攻撃」とは、特定のWebサイトに対して大量のデータを送り付けることでそのサイトのサービスを妨害する攻撃のことです。
「DDoS((Distributed Denial of Service attackの略)攻撃」は、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取った上で、複数のPCからDoS攻撃を仕掛ける攻撃手段です。
クロスサイトスクリプティング
「クロスサイトスクリプティング」は、攻撃対象の脆弱性があるWebサイトの入力フォームや掲示板などに、悪質なサイトへ誘導するスクリプトを仕掛けることで、ユーザーがアクセスしたときに、サイトに訪れるユーザーの個人情報などを盗み取る攻撃です。
バッファオーバーフロー攻撃
「バッファオーバーフロー攻撃」とは、コンピュータの情報を一時保管する領域「バッファ」の処理できる量を超えるデータを送信し、誤作動を起こさせるサイバー攻撃です。バッファオーバーランともいいます。
ポートスキャン
「ポートスキャン」とは、サイバー攻撃者が攻撃の前段階として行うものです。
対象となるコンピュータの各ポートへポートをスキャンするソフトウェアを使い、接続開始を要請するデータを送り、どのような反応を返すかを確かめます。
その結果、アクセスを受け付けているポートが何番か、どのようなソフトウェアが使用されているか、ソフトウェアの設定がどのようになっているかなどを外部からある程度知ることができるのです。
ポートスキャニング自体は、コンピュータやネットワークの管理者などが管理・運用しているコンピュータにセキュリティ上の問題がないか調べるために実行することもある作業ですが、脅威の場合はこれを悪用しています。
ゼロデイ攻撃
「ゼロデイ攻撃」は、ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見された場合、発見されたセキュリティホールの修正パッチが公開されるまでのタイムラグをついて行われる攻撃の総称です。
脆弱性(セキュリティホールとも言われる、攻撃者に悪用されてしまうようなバグ)が見つかり、修正パッチが公開される日までの間に、この脆弱性をついて攻撃を受け、修正パッチのリリース日(1日目)よりも前に行われる攻撃のため、ゼロデイ(Zero Day 0日目)攻撃と言われています。
総当たり攻撃
「総当たり攻撃」とは、「ブルートフォースアタック」とも呼ばれているパスワードを解読して盗み取る方法の一つです。
「ブルートフォース(Brute-force)」は英語で「力任せ」「強引な」という意味がある単語で、ユーザーのパスワードを解読するため、考えられる全てのパターンを試しパスワードを盗み取ろうとします。
人間の手で総当たりするのは大変な時間がかかりますが、現在の性能が上がっているPCならば短時間で解読できてしまうのです。
類似のもので、多くの人が使用しがちなパスワードを推測して攻撃をしかける「辞書攻撃」というものもあります。
パスワードを盗み取られないようにするには、パスワードは8文字以上、意味がない文字列、大文字小文字英数使用可能な記号などの組み合わせ、簡単に解読できないパスワードを設定するようにしましょう。
自分の個人情報とは無関係な、わかりにくい日本語をローマ字にしたものをパスワードにするのも、効果があると言われています。
まとめ
近年、情報セキュリティ攻撃は複雑・巧妙になり種類も増えて、被害も増大する傾向にあります。必要な対策を取り、攻撃の被害にあわないようにする必要があります。
情報セキュリティの脆弱性が0になることは不可能ですので、常に最新の情報を入手し、万が一攻撃にあった場合はすぐしかるべき機関に相談するように連絡先を調べておくなど、事前、事後の対策を怠らないようにすることが大切です。
総務省の「国民のための情報セキュリティサイト」※1や、内閣サイバーセキュリティセンター「小さな中小企業とNPO向け 情報セキュリティハンドブック」※2
警察庁、総務省、経済産業省と、民間事業者など共同で設置した不正アクセス防止対策に関する官民意見集約委員会の「官民ボード」が提供する、情報セキュリティ・ポータルサイト「ここからセキュリティ」※3など、公的機関も積極的に情報セキュリティについて情報発信していますので、ご参考にしてください。
※1総務省「安心してインターネットを使うために 国民のための情報セキュリティサイト」
※2内閣サイバーセキュリティセンター「小さな中小企業とNPO
向け 情報セキュリティハンドブック」
※3官民ボード 情報セキュリティ・ポータルサイト「ここからセキュリティ!」
◆企業一覧
◆ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら
「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。