中小企業のホームページを狙うサイバー攻撃

  • サイバー攻撃なんて、うちみたいな中小企業には関係のない話でしょ?
  • 会社のホームページのセキュリティ対策は、きっと誰かがやってくれている。

こんなふうにお考えのWeb担当者になってしまった会社員の皆さまや、経営者の皆さまは多いのではないでしょうか。

サイバー空間では、全世界で四六時中、さまざまな攻撃とその防衛戦が繰り広げられていると言われています。

昨年の東京2020オリンピック・パラリンピックの開催期間中には、大会運営に関わるシステムにサイバー攻撃があったそうですが、その数はなんと、約4億5000万回。

【参考】
東京五輪を狙った4.5億回のサイバー攻撃、防ぎきった官民の連携力とは(日経クロステック)

また、2021年5月、アメリカの石油パイプライン会社がサイバー攻撃を受け、5日間の営業停止に。
復旧のため、身代金をおよそ4億8000万円支払ったことで、世界中で大きな話題となりました。

【参考】
サイバー被害の米パイプライン、身代金4.8億円の支払い認める 米紙報道(BBC NEWS JAPAN)

そんなサイバー攻撃ですが、ターゲットになるのは大企業や大都市、大イベントだけではありません。
今回は、そんなサイバー攻撃について解説します。

サイバー攻撃は狙う相手を選ばない

今では、全世界で1ヶ月で約3億件も行われ、その被害額は年額でおよそ110兆円に上ると言われているサイバー攻撃。

【参考】
2022年4月・5月ノートン サイバー攻撃ブロック数レポート(PR TIMES)
マカフィー、CSISとの共同調査によるサイバー犯罪の経済的影響に関するレポートを発表(PR Wire)

現代では、サイバー攻撃の標的は、オリンピックのような大イベントや大企業、大都市だけではなくなりました。
昨年10月には、徳島県の人口8000人ほどの小さな町の病院がサイバー攻撃を受けたことも。

およそ8万5000人分ものカルテが盗まれ、閲覧できなくなり、カルテの個人情報を公開されたくなければ身代金を払え……と、攻撃者から要求を受けたとか。

しかしその病院は、攻撃者からの身代金要求には乗らず、早期復旧を目指した結果、通常診療は今年1月から再開できたとのこと。
ただ、サイバー攻撃による損害は、およそ3億円と見込まれているようです。

【参考】
サイバー攻撃に遭った町立病院「2カ月間の記録」 (東洋経済ONLINE)
徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書

この病院を襲ったサイバー攻撃の手段は、ランサムウェア(Ransomware)というマルウェア。

ランサム(Ransom)とは身代金の意味で、ランサムウェアは、感染したパソコンやスマートフォン内のファイルを暗号化などによって利用不可能な状態にした上で、ファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアのことです。

なお、マルウェア(malware)とは、malicious(マリシャス:悪意のある)とsoftware(ソフトウェア)の2つの単語を組み合わせて作られた造語です。

コンピューターウイルスやワーム、トロイの木馬、スパイウェアなど、ユーザーのデバイスに不利益をもたらす、悪意のあるプログラムやソフトウェアの総称として、マルウェアという言葉が使われています。

このマルウェアこそが、攻撃者がサイバー攻撃を仕掛ける上での武器です。

この武器が、現代では、技術の進歩と攻撃者の悪意が高まれば高まるほど、とても強力な武器になってしまうという現象が起きています。

現代ではさまざまな種類のサイバー攻撃があり、その目的や手段もさまざま。
次の章では、サイバー攻撃の歴史の一端を解説します。

悪意なき学生から始まったサイバー攻撃

サイバー攻撃の歴史の始まりは、まったく悪意のないものと言われています。

1988年、モリスという、アメリカ・コーネル大学の大学院生が、実験用に作った自己増殖を繰り返すプログラムを、国防総省のコンピューター網に侵入させました。

そのプログラムがエラーを起こし、回線でつながっていた全米の約6000の大学や研究機関のコンピューターにプログラムが侵入。
コンピューターの一部を麻痺させる事態に。

この、【ネットワークを通じて自己増殖をし、侵入したシステムにさまざまな不具合を起こす不正プログラム】は、まるで「虫」のようなので、

「ワーム」と呼ばれ、

この事件はモリスがワームをばらまいた事件なので、モリスワーム事件と呼ばれています。

このモリスワーム事件は、パソコンを遠隔で攻撃できることを世界に最初に知らしめた事件とされています。

その後、1990年代に入ると、「頭脳ゲームで優越感に浸ること」を目的として、次々とセキュリティを突破し、自己顕示欲を満たす攻撃者が現れます。

詳細を知りたい方は「ケビン・ミトニック」という人物名で検索をして欲しいのですが、90年代のサイバー攻撃はゲーム感覚に近いものがあり、悪意の塊とは言えないようなものだったと言われています。

しかし、2000年代に入ると様相が変わります。

大手銀行のシステムに侵入し大金を盗んだり、コンピューターウイルスで数百万台のパソコンをコントロールしたり、政府の機密情報を盗んだりと、さまざまな悪意を操る大物の攻撃者が登場し、世界中の人々の脅威となりました。

2010年頃になると、国家間でサイバー攻撃が行われたり、サイバー攻撃で革命を手助けする攻撃者集団が現れたりと、サイバー空間での「戦争」と言っても過言ではない事件がいくつか起こります。

【参考】
国家間サイバー戦争の幕開け イラン核施設を攻撃したマルウェア「Stuxnet」(2009~10年)(Canon サイバーセキュリティ情報局)
アノニマスとは何者なのか? ダークウェブとの関連性は?(Canon サイバーセキュリティ情報局)

一方で、2010年代後半に入るとサイバー攻撃のトレンドにも変化が。
現在では、徳島県の小さな町の病院が被害を受けたような、身代金を要求するサイバー攻撃が主流となりつつあるようです。

さまざまな手段で仕掛けてくるサイバー攻撃

企業のホームページを狙うサイバー攻撃及びマルウェアには、さまざまな種類があります。

例えば、

  • SQLインジェクション
  • クロスサイトスクリプティング
  • ゼロデイ攻撃
  • ランサムウェア

など。

以下に、解説します。

SQLインジェクションとは

SQLインジェクションとは、ホームページ上のお問い合わせフォームなどに不正なSQL文を注入(インジェクション)することで、Webアプリケーションのデータベースを不正に操作する攻撃手法です。

SQLとは、データベースを操作する言語のこと。

Webアプリケーションがデータベースと連携する場合、SQL文が使われることが多く、攻撃者はこの状況に目をつけて、ユーザーIDやパスワードを入力するフォームなどに不正なSQL文をインジェクションして、

  • データベースに登録された会員情報を盗んだり、
  • 認証を回避してシステムにログインしたり

します。
また、ホームページを改ざんして、

  • ユーザーをフィッシングサイトに誘導
  • ホームページをランサムウェアなどのマルウェアに感染

といったことを攻撃者は行います。

クロスサイトスクリプティングとは

クロスサイトスクリプティングとは、脆弱性のあるホームページの入力欄などに、ユーザーのCookie情報を攻撃者に自動送信するようなJavaScriptを、罠として仕込む攻撃手法です。

その罠によって、攻撃者が仕掛けたホームページのスクリプトが実行され、その結果、訪問したユーザーの個人情報が盗まれたりします。

具体的には、

  1. 攻撃者が、脆弱性があるホームページの入力欄などに罠を仕掛ける。
  2. ユーザーが、罠が仕掛けられたホームページを訪問する。
  3. ユーザーが、スクリプト(文字列の記載のみで実行できるプログラム)が仕込まれているリンクをクリック。
  4. 仕掛けられたスクリプトが実行される。
  5. 別のホームページ(Webサイト)に遷移(クロスサイト)して、悪意のあるスクリプトが実行される。

という流れで攻撃してきます。

その結果、

  • フィッシング詐欺
  • セッションハイジャック
  • ホームページの改ざん

といったことを攻撃者は行います。

ゼロデイ攻撃とは

ゼロデイ攻撃とは、

  • OSやアプリケーションなどのソフトウェアに脆弱性が見つかってから、
  • ソフトウェアが修正プログラムによって修正されるまで

の期間に実行されるサイバー攻撃のことです。

脆弱性とは、コンピュータプログラム上の、セキュリティ上の欠陥や不具合のこと。

脆弱性が認定されてプログラムの修正が完了すればサイバー攻撃を阻止できますが、未知の脆弱性や、脆弱性が修正されるまでの期間、ずっと攻撃を受けることもあります。

この攻撃のことをゼロデイ攻撃といいます。

ゼロデイ攻撃は、開発者であるベンダーやソフトウェアを導入している企業が脆弱性に気づくまで攻撃され続けてしまうので、気づくのに遅れると被害は大きく拡大します。

ランサムウェアとは

ランサムウェアに関してはすでに解説済みですが、改めて解説します。

ランサム(Ransom)とは身代金の意味。

ランサムウェアは、感染したパソコンやスマートフォン内のファイルを暗号化などによって利用不可能な状態にした上で、ファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアのことです。

2010年代後半から、世界的に被害が拡大している、このランサムウェア。

日本国内では、2017年6月、国内における初のランサムウェア作成容疑で、14歳の少年が逮捕されたことが話題になりました。

【参考】
中学生の「ランサムウェア逮捕劇」に見る危険性(CNET Japan)

ランサムウェア増加の背景の1つとして、サイバー攻撃用のソフトウェアをサブスクリプション(定額課金)などで、ダークウェブ上で取り引きする闇ビジネスの存在を指摘する声もあります。

【参考】
増え続けるランサムウェア--ハッカーの魔の手から逃れるために必要なこと(ZDNET Japan)

SQLインジェクションやクロスサイトスクリプティングでホームページを改ざんする際に、ユーザーをランサムウェアに感染させる仕組みを、ページ内に設置する攻撃者もいるようです。

その結果、いつの間にか自社のホームページが、ランサムウェアをばらまく感染源として攻撃者に利用されてしまう可能性もあるようです。

◆    ◆    ◆    ◆

その他、ホームページに1秒間に数万回ものアクセスを送りつけることでサーバーをダウンさせるDoS攻撃など、企業のホームページを狙うサイバー攻撃は、多岐にわたっています。

テクノロジーの発展とともに、セキュリティ脅威は今も拡大し、同時に、セキュリティ対策も進歩しています。

サイバー攻撃を仕掛けるのもセキュリティ対策を施すのも、すべて人がやること。
常に最適解となるセキュリティ対策を行い、自社のホームページを守りたいものです。

ホームページ制作なら横浜のクオリティロードへ

なお、株式会社クオリティロードWeb制作チームでは、ホームページ制作をご検討されているお客さまの、さまざまなご要望に総合的にお応えするため、多様なWebサービスをご提供しています。

ホームページのコンセプト作りからデザインまで、トータルでお手伝いいたします。
Web集客を成功させたい中小企業・中小事業者さま、株式会社クオリティロードWeb制作チームにお任せください。

ご興味のある方は、以下のバナーから詳細をご覧ください。

あわせて読みたいコラム

中小企業のホームページを狙うサイバー攻撃
保護されていない警告が出る理由と解除方法
httpsとhttpの違いとセキュリティ上のメリット