サイバーセキュリティの基礎:知っておくべきこと

デジタル世界のつながりが広がれば広がるほど、セキュリティの問題は重要性を増していきます。サイバー攻撃が着実に増え続ける中、データセキュリティはそれに遅れをとらないことが必要であり、できれば少なくともその一歩先を行きたいところです。セキュリティ強化のための新たなソリューションが生まれています。では、それはどのようなものなのでしょうか? 実際にインターネットからもたらされる脅威には、どのようなものがあるのでしょうか?

サイバーセキュリティとサイバー攻撃

今から30年以上前にインターネットが発明された当初、そもそも個人ユーザーのセキュリティにはほとんど目が向けられていませんでした。オンライン犯罪などというものが現れるとは、誰も想定していなかったのです。しかし、その後事情は変わり、「サイバーセキュリティ」や「サイバー犯罪」といった用語が生まれました。

サイバーセキュリティとは

サイバーセキュリティとは、情報 通信技術におけるセキュリティのあらゆる側面を扱う分野で、広範囲にわたる対策、概念、ガイドラインが含まれます。その目的は、インターネットに接続されたコンピュータ、サーバー、モバイルデバイス、ネットワークをサイバー空間全体からの不正アクセス、データ盗難、攻撃、不正操作から保護することです。

サイバー攻撃とは?

サイバー攻撃とは、他者のコンピュータネットワークやシステムに対する敵対的な攻撃で、ネットワークやシステム上で情報を盗み見したり、損害を与えたり、自らの利益になるように操作したりする行為を指します。サイバー犯罪のターゲットになるのは、個人、企業、政治機関、公的機関のほか、一国のインフラ全体が標的になることもあります。

接続されるデバイスが増えれば攻撃も増える

現実を見ると、サイバーセキュリティの重要性はますます高まっています。ドイツ連邦情報セキュリティ庁(BSI)によれば、世界最大の自動車メーカー、フォルクスワーゲンのITネットワークは一日に6,000回も攻撃を受けています。インフィニオンのようなハイテク企業も、多くのサイバー攻撃の標的となっています。インフィニオンでは事業継続性(BC)部門がこうした攻撃に対する防御を担当しています。

BSIによれば、ドイツ政府のネットワーク自体にも、特殊性の高い深刻な攻撃が毎日20件ほどあるといいます。サイバーセキュリティ会社カスペルスキー ラボのエキスパートたちは、世界中で一日に約36万個の新しい悪意のあるファイルを見つけています。オンラインショップや電子メールプロバイダなど、多数の顧客データを持つ企業は特に被害を受けます。そうした攻撃の目的は、アカウント情報やパスワードなどの個人情報データを盗むことです。

家電製品がインターネットに接続されれば、とても便利になります。例えば、外出先からスマートフォンで暖房のスイッチを入れておけば、帰宅したときにはリビングが暖まっているというわけです。しかし、こうした製品は攻撃が可能な領域、つまりサイバー攻撃の「入口」になるおそれもあります。ドイツの統計情報サイトのスタティスタによれば、世界のコネクテッドデバイスの数は2025年までに約750憶になると予想されています。

攻撃者のタイプとターゲット

サイバー犯罪には様々な側面があります。

·       内部攻撃者と外部攻撃者

·       「一匹狼」タイプと組織犯罪

·       金銭目的の犯罪

·       政府に支援された攻撃者

·       密かに攻撃するタイプと、世間の注目を集める目的で攻撃するタイプ

攻撃のターゲット

インターネット経由で接続されたデバイスには、遠く離れた人と連絡し合えるなど、便利な機能があります。しかし、そうした機能のせいで、デバイスが攻撃者のターゲットになる可能性もあります。

  • サイバー犯罪者は、個人ユーザーのプライバシーを侵害したり、パスワードを盗んだり、銀行口座からお金を引き出したり、被害者のお金で買い物をしたりします。
  • ルーター、タブレット、カメラ、パソコンなどの個人が使用する接続デバイスの多くは、適切なセキュリティ対策が施されていないと、攻撃者に乗っ取られ、ボットネット(攻撃者に遠隔操作されるデバイス群)に組み込まれる可能性があります。こうしたボットネットでサービス妨害(DoS)攻撃が実行され、通信サービスの停止などが起こります。
  • 攻撃者はスパイ行為によって企業秘密を盗もうとしたり、企業のシステムを妨害したりします。ドイツ連邦憲法擁護庁によれば、同国ではこの種の犯罪による損害額が年間約500億ユーロに及びます。
  • 国家のインフラが攻撃された場合、国内の送電網(2015年のウクライナのケース)やインターネット網全体(2007年のエストニアのケース)が機能停止に陥ります。

変わるサイバー脅威

サイバー脅威の世界は急速に変わりつつあります。頭脳的な攻撃者は、新しい攻撃手法を絶えず考案しています。例えば、データを暗号化してコンピュータをロックし、暗号の解除と引き換えに身代金を要求するランサムウェアなどがそうです。攻撃が続いている間にも、マルウェア(悪意のあるプログラム)はさらに特殊化が進んでひとり歩きを始め、「賢く」なっていきます。

「ランサムウェア」の定義

攻撃者はランサムウェアを使うことで、被害者のコンピュータを操作し、使用不能にすることができます。そのパソコンやサーバーと保存されたデータを、事実上そのまま乗っ取るわけです。そして、パソコンとデータを元に戻す条件として、被害者(個人または企業)に身代金(ランサム)の支払いを要求するのです。

インフィニオンのサイバーセキュリティ市場の専門家であるデトレフ フードーは次のように述べています。「2年前は、フィッシングによるデータ盗難が最大の問題でした。しかし、現在はランサムウェアが、セキュリティ専門家や法執行当局が特に重点を置く対象の一つになっています」

相互に通信し合うデバイスの数が増えるにつれて、考えられる攻撃シナリオの複雑性も増してきます。フードーはこの点を具体的な例をあげて説明します。「ある病院では、コンピュータ断層撮影(CT)によるX線写真が患者のかかりつけ医に自動的に送られます。その装置は病院のITシステムに接続されていますが、医療機器メーカーから納入されたものです。もし装置自体が保護されていなければ、誰かがその装置に侵入し、ITシステムを操作できてしまいます。つまり、病院のITシステムを保護するだけでは不十分で、接続されている装置もサイバー攻撃から保護しなければならないのです」。

量子コンピュータ:新たな脅威

量子コンピュータ:新たな脅威

テクノロジーは進歩を続けています。人工知能(AI)は防御側の役に立ちますが、サイバー攻撃のさらなる効率化にも利用されるおそれがあります。量子コンピューティング用の高性能システムも、デジタル世界の新たな脅威です。

サイバー空間の機密データは暗号化によって保護されていますが、現在使用されている暗号化アルゴリズムの多くは、量子コンピュータで解読される可能性があります。専門家の予測では、今から10~15年後には量子コンピュータが実用化されるといわれています。今後、考えられる対策として、「ポスト量子耐性」と呼ばれる新しいアルゴリズムが標準化されるでしょう。

最多で最大のサイバーリスクは何か

攻撃はさまざまな弱点を利用して仕掛けられます。個人ユーザーの家庭内ネットワークだけでなく、企業や公的機関、あるいは政府のネットワークでも同じです。このことに伴うリスクは幅広く多種多様です。

  • ユーザー自身も弱点になりえます。感染したUSBメモリを使ったために自らマルウェアを取り込んでしまう、自分の誕生日など推測しやすいパスワードを使う、機密性の高いデータを暗号化しない(または暗号化のしかたが不適切)といったことが考えられます。
  • ブロードバンドルーターなどのネットワーク機器もセキュリティ上の脆弱点になりえます。ドイツでは2016年秋、広く使用されているルーターが攻撃されたため、約100万人がデジタルテレビや電話、インターネットを2日間使えなくなりました。
  • 国の重要なインフラへの攻撃はさらに危険です。敵対者が病院や空港、鉄道、パイプライン、銀行、電力設備などにデジタル攻撃を仕掛け、死傷者を出し、経済に深刻な打撃を与えようとすることがあります。防御側には、この種の攻撃がいつ、どこで、どのように行われるかがわからない場合があります。

過去の主要なサイバー攻撃の一覧

 
2007年

DoS攻撃により、エストニア全国でインターネットが機能停止。

2010年

コンピュータワームStuxnetにより、イランのウラン濃縮施設が閉鎖。

2011年

日本のソニーが7,700万人の利用者データを盗まれた。

2012年

アマゾンの子会社ザッポスが2,400万人分の顧客アカウントデータを盗まれた。

2013年

米国アドビが約3,800万人分の顧客データ記録を盗まれた。

2014年

米国ヤフーが約10億人分の顧客アカウントデータをハッキングされた。電話番号、生年月日、暗号化されたパスワード、パスワードの回復に使われる暗号化されていないセキュリティ質問が流出。同年、eBay(イーベイ)も計1億4,500万人分の顧客データを盗まれた。

2015年

ドイツ連邦議会がサイバー攻撃を受け、コンピュータを交換する事態となった。

2016年

通信業者ドイツテレコムのルーターなどへのマルウェアMiraiによる攻撃の結果、約100万世帯でテレビ、インターネット、電話が24時間使えなくなった。アメリカの大統領選挙期間中、ソーシャルボットから偽情報や偽ニュースが民主党支持者に送られた。

2017年

Windowsの脆弱性を利用したマルウェアWannaCryによる攻撃が世界中で発生。ランサムウェアNotPetyaにより、数十万台のコンピュータのハードドライブ上のファイルテーブルが暗号化された。

2018年

シンガポールで国民150万人の医療データが盗まれた。

2019年

ドイツの医師薬剤師銀行へのフィッシング攻撃により、数百件の不正データ転送が起きた。

 

新しいセキュリティ概念でサイバーセキュリティを強化する

今や、ファイヤウォールやアンチウイルススキャナなどの従来の手法だけでは、さまざまな異なる方法での攻撃に太刀打ちできません。攻撃があまりにも高度化しているのです。インターネットやコネクテッドビークル(インターネットに接続された乗り物)、スマートホーム、スマートグリッド、産業用インターネットなどを安全に利用するには、新しいセキュリティ概念が必要になっています。このような概念は、「セキュリティ バイ デザイン」と呼ばれる技術的アプローチに基づくもので、開発段階で製品やシステムに組み込まれます。現在、多くのIoT(モノのインターネット)関連業界でセキュリティ規格の策定が進められており、新製品に取り入れられつつあります。

暗号化と認証によるサイバーセキュリティ

目的は、承認されたユーザー、コンピュータ、マシン、一般的ネットワークノードだけが情報にアクセスできるようにすることによって、情報を保護することです。そのためには、セキュリティで保護されたID情報と、アクセス主体の認証という2つの段階が必要です。それがどのようなものかは、コネクテッドカー(インターネットに接続された自動車)の例を見ればわかります。未来の車には、今よりはるかに多くの電子機器が搭載されます。したがって、脆弱性を持つ可能性のある外部インターフェイスの数も多くなります。

そうしたインターフェイスを保護するため、車に搭載されるソフトウェアは定期的な更新が必要になります。そのためには、更新プログラムを供給するコンピュータと車の制御システムに付いたゲートウェイが、互いを認証することが必要です。つまり、この2つの装置だけが互いにデータをやりとりすることを許可されるわけです。さらに、このインターフェイス間の通信は盗聴防止のため暗号化し、検出されない妨害を防ぐために完全性を保護しなければなりません。更新のために修理工場に行く必要がないように、こうした通信はスマートフォンと同じようにOTA(無線通信)で送信されるケースが増えていくはずです。

そのためには適切なハードウェアが必要になります。インフィニオンが制御ユニットに認証と暗号化を担うチップを搭載しているのは、これが理由です。このようなセキュリティが確保されたID確認プロセスは、機器間の通信において極めて重要なのです。

接続性:過去と未来

一例として、市場アナリストの予測によれば、2025年までには約1億台の自動車がインターネットに接続され、いわば「四輪付きコンピュータ」になるだろうといわれています。さらに、路者間(V2I)や車車間(V2V)の通信が発達し、5GやITS-G5などの新しい規格を使用する自動運転車も登場すると予想されています。

生産機械や鉄道信号システム、医療機器、自動車、航空機などの古い製品やシステムは、実際的な難題を突きつけています。メーカーはそうした製品の保守をすでに中止しており、設備を更新するには多大な費用と労力がかかることになります。このような場合によく試される方法は、セキュリティゲートウェイやファイヤウォールを利用して、そうした古い装置を他のシステムから分離することです。しかし、ウクライナで起きた送電網攻撃のように、攻撃者がこうした保護対策を突破する手段を見つけた場合、この方法は効果的ではありませんでした。

インターネットセキュリティのチェックリスト

インターネットを安全に使いたいなら、ここに挙げるチェックポイントを常に守りましょう。

  1. ソフトウェアを常に最新にしておきましょう。
  2. アンチウイルススキャナとファイヤウォールを利用しましょう。
  3. 強力なパスワードと保護されたパスワード管理ソフトを使用しましょう。パスワードは最低10文字、できれば12文字以上で、数字、大文字と小文字、特殊文字を含めるように決め、サービスごとに異なるパスワードを使いましょう。理想的なのは、意味のない文字列を使うことです。便利な方法の一つとして、一つの文の語頭の文字を拾い、数字と特殊文字を加えるというやり方があります。例えば、「I go to New York every May 31 and visit the Statue of Liberty!」という文から、「IgtNYeM31&vtSoL!」というパスワードができます。

    さらに、もう一つアドバイスがあります。銀行などの重要なアカウントでは、多要素認証(MFA)を有効にしましょう。これを有効にすると、アカウントにログインするとき、ログインの要求を検証するために追加のセキュリティコードがユーザーに送信されます。パスワードを盗んだ攻撃者はこの追加のコードを入手できないので、ログインすることができません。各種のMFAの手法の中では、ユーザーの携帯電話にテキストメッセージが送信される方法より、認証アプリの方が高いセキュリティになります。攻撃者はこの種のテキストメッセージを盗み取る方法をすでに知っているからです。
  4. パソコンを使うときは、管理者としてではなく、通常ユーザーとしてログインしましょう。管理者の方がシステムにアクセスできる範囲が広いためです。マルウェアに感染したコンピュータに管理者としてログインしている場合、感染しているソフトウェアを実行したときにそのソフトウェアがアクセスできる範囲も広がり、被害が大きくなるおそれがあります。
  5. 特に知らない差出人からのメールについては、メール内のリンクをクリックしないようにしましょう。また、添付ファイルを開くときにも注意が必要です。開く前に、必ずアンチウイルススキャナでチェックしましょう。
  6. 重要なデータはすべて、定期的に別のハードドライブかクラウドに保存しましょう(ただし、この方法では、保存されたデータをランサムウェアが暗号化することを防ぐことはできません。ランサムウェアを阻止するには、データをDVDに保存するか、ドライブに保存してからデータを読み取り専用にする必要があります。
  7. 機密性の高いデータやメールは暗号化しましょう。
  8. インターネット上に公表する情報は慎重に選びましょう。
  9. 保護されていない無線LANには接続しないようにしましょう。緊急にネットワークが必要な場合、スマートフォンで携帯電話用のデータ通信接続を利用しましょう。
  10. ネットサーフィン、メールの作成、コンピュータでの作業を行うときは、常に注意し、疑いの目を持ちましょう。信頼できる人が書いたと思われるものでも、書かれていることをすべて信じてはいけません。誤って間違った情報を伝えているかもしれませんし、ウイルスが送信される可能性もあります。十分注意せずにリンクをクリックしたり、ファイルをダウンロードしたりしないようにしましょう。メールの場合、奇妙な文面のものや、何か特別な依頼をしてきているものは、本当にその差出人からのものかを確認しましょう。
  11. 異なるシステムで同じパスワードを使わないようにしましょう。
  12. 新しいスマート家電を買ったときは、初期設定の標準パスワードをすぐに変更しましょう。
  13. 信用できないウェブサイトからアプリやソフトウェアをダウンロードしないようにしましょう。

公的機関によるサーバーセキュリティ強化策

電力、医療、金融、交通などは、国の重要なインフラを構成する部門です。ヨーロッパの市民には、そうした各部門が提供する基本的サービスを受ける権利があります。もしこれらのインフラが攻撃を受ければ、おそらく大規模なサービス停止と混乱を招き、人的な被害も生じるでしょう。そのため、公的機関はこれらの部門のサイバーセキュリティを強化するための対策をとっています。

  • 2015年に発効したドイツのITセキュリティ法は、国内約2,500施設の運営者に、施設内のITシステムを特段に保護するよう義務づけています。例えば、より厳格なセキュリティ要件を充足し、監査においてその証拠を提示しなければなりません。また、データの不正利用が見つかった場合は消費者に警告することも義務づけられています。さらに、各事象を当局に報告しなければなりません。これに相当する欧州連合(EU)の法律は「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」と呼ばれ、すべてのEU加盟国に等しく適用されます。
  • 米国では、大統領政策指令第21号により、16の重要インフラ部門と、各部門のセキュリティ監督責任を負う政府機関が指定されています。一部の部門には規制が適用されていますが、ほとんどは自主規制により運営されています。リスク考慮とベストプラクティスの順守を確保するため、米国立標準技術研究所(NIST)のサイバーセキュリティ枠組みが広く利用されています。
  • それと同時に、公的機関はサイバー攻撃に対する防御に関する個人ユーザーへの支援も行っており、その一環として、オンラインサービスプロバイダーやハードウェアメーカーの取り組みを活用しています。EUが採択したサイバーセキュリティ法のもとで、消費者向けデバイスの認証に関する一貫性のある規制が策定されることになっています。この施策の目的は、EUのB2C(企業対消費者)市場における消費者向け電子製品(CE)のセキュリティ水準を引き上げることです。さらに、B2B(企業間)市場における製品、ソリューション、サービスについても、認証済みITセキュリティの実装を拡大する予定です。公共部門(B2G=企業対政府)においては、全EU加盟国におけるITセキュリティの強化と協調を進めることを目指しています。
  • 米国では、消費者や非営利団体、小規模企業のサイバーセキュリティを推進するため、全米サイバーセキュリティ啓発月間を設けています。また、年間を通して、連邦取引委員会などの政府諸機関が関連リソースを提供しています。
  • 欧州委員会は、2019年末に「EUサイバーセキュリティ コンピテンス センター(ECCC)」という機関の新設を予定しています。今後、新たな脅威とその脅威に対する適切な対抗策に関するノウハウが同センターに蓄積されます。EU全域の600カ所を超える試験検査機関のネットワークが創設されることになっています。

 

「ボット」とは、インターネットに接続したデバイス(コンピュータなど)上で稼動するソフトウェアで、マルウェアに感染していて遠隔制御できるものを指す。攻撃者は多数のボットを結合し、デバイスの所有者が知らない間に利用できる巨大な「ボットネット」を構築する。ボットネットはDDoS(分散型DoS)攻撃にしばしば利用される。

DDoS攻撃では、ウェブサイトなどのサービスに大量のリクエストが送りつけられ、そのため完全な機能停止までは行かなくとも、非常に大きな制約下でしか機能しなくなる。この種の攻撃は、ボットネットを利用し、ボットネット内のすべてのボットにリクエストの送信を命令することによって行われることが多い。

暗号アルゴリズムに対する強力な攻撃。アルゴリズムを解読するため、可能性のあるあらゆる組み合わせが自動的かつ体系的に試行される。

他人の個人情報を悪用すること。個人情報の不正利用ともいう。

詐欺的なメールなどのメッセージを使って被害者をだまし、個人情報やパスワードを漏らす行為をさせようとする攻撃の手口。

個人や少人数のグループを標的にしたフィッシング攻撃。標的を定めた攻撃であるため、メッセージが特に受信者本人に宛てて作られている場合もあり、詐欺であることを非常に見分けにくい。

地位の高い社員や信用できる人物を名乗ってメールを送り、送金やその他のコンピュータ操作をするように仕向ける詐欺。

コンピュータシステムに感染して使用不能にし、多くの場合、重要なデータを暗号化するマルウェア。そのうえで、攻撃者はシステムの解放やデータの暗号解除と引き換えに金銭を要求する。

無害に見えるプログラムの中に隠れているため、気づかれずにコンピュータに入り込むファイル。直接的に、あるいはインターネットから他のマルウェアをダウンロードすることで、システムに損害を与える。

メールの添付ファイルなどの形で、あるコンピュータから別のコンピュータへと広がっていくマルウェア。

自身を複製し、メールソフト内のアドレス帳などを経由して自動的に、したがって急速に拡散するタイプのマルウェア。

セキュリティ上の脆弱性が発見されて除去される前に、その弱点を悪用する攻撃。

個人情報を編集し、インターネット上で、無断で公開すること。

望まれない、または有害な機能を持つコンピュータプログラム。

セキュリティ上の脆弱性を悪用し、SQL言語で書かれたコードを注入する攻撃手法

信用できるものに分類されたコンテキストに、信用できない情報をウェブサイトから挿入する攻撃手法。

サイバーセキュリティの将来

いずれにしても、今後、サイバーセキュリティを強化していくことは、電気 電子業界自体の利益になることでもあります。ドイツ電気電子工業連盟(ZVEI)は、次のように表明しています。「個人情報や技術データが保護されていなければ、デジタル化の利点を活用することはできません。消費者保護、製品品質の確保、顧客忠誠度向上の観点から、サイバーセキュリティの重要性は増大すると確信しています」

まず行動を起こしているのがルーターの製造業者であることは、驚くことではないでしょう。結局のところ、ルーターはあらゆる家庭内ネットワークの中心となる機器です。家庭内ネットワークとインターネットを結ぶインターフェイスであり、したがって格好の攻撃のターゲットなのです。

 

更新:2019年10月