APT (Advanced Persistent Threat) : エーピーティー
特別な訓練を受けた泥棒たちのことです。銀行や美術館に侵入する人と住宅に侵入する人ではやり方が違うので相手に合わせた対策が大事です。
長期間にわたって執拗にターゲットを分析し、侵入が成功するまで攻撃を継続する高度な脅威です。
このような攻撃を行う攻撃者グループはAPTグループとも呼ばれ、国を後ろ盾にするサイバー攻撃グループ等の存在が確認されています。
ターゲットとなる国や企業にとって重要な情報を盗み出すケースや、電力等のインフラを破壊する等、大きな影響に繋がる可能性がある危険度の高い攻撃だと言えます。
かつてはテイラーメードでマルウェア(ウイルス)を作る高度な技法を持つことで知られていましたが、最近のアンダーグラウンドにおけるサイバー犯罪エコシステムの活性化により、これらのサービスを用いて攻撃をおこなったり、無差別攻撃を繰り広げるサイバー犯罪者がすでに確保している侵害経路を利用して、攻撃をおこなう手法が最近では見受けられています。
Backdoor:バックドア
泥棒が盗んだものを持っていけるように、勝手に抜け穴を作ります。家の見回りをしていつもと違うことが無いかチェックしましょう。
一度システムに侵入した攻撃者が、再びそのシステムにアクセスできるように確保しておく裏口のことです。
具体的には、ツールをインストールすることによって、そのツール経由で外部からのアクセスを可能にしたり、ターゲットのシステムの設定を変更して新たに通信経路を設けたり、そのシステムにアクセスできるユーザーアカウントを作っておくことなどが該当します。
こうして仕掛けたバックドアを用いて、攻撃者は感染した端末を操ることができるようになります。
C&C: シーアンドシー
感染させた子分を攻撃者のボスがあやつることです。
C2(シーツー)、あるいは Command & Control (コマンド アンド コントロール)ともいいます。
攻撃者が、被害者の端末に感染させたマルウェア(ウイルス)に対して、指示を送ったり、逆に感染した端末から情報を受け取るための通信を指します。
C&Cサーバーは、感染させたシステムやボットネットを操るために、遠隔から命令を送るためのサーバーです。
DDoS: ディードス
大きなじゃまがドアにつっかえてしまっていて、そのドアが使えなくなって困っている状態です。
対象のWebサイトやシステムに対して、多数の端末から一度に大量の問い合わせをおこなうことで、対象のシステムに負荷をかけ、サービス停止に陥らせようとする攻撃です。
Exploit:エクスプロイト
窓の鍵の調子が悪くて、悪い泥棒さんが特別な鍵を使って、外から入って来ることです。普通の人は窓から入ってこないですけどね。しっかりとメンテナンスが大事です。
ソフトウェアやシステムがあらかじめ持っているセキュリティの脆弱性を悪用しようとするプログラムやコードのことです。
さまざまな脆弱性をついて攻撃することができるよう、複数のエクスプロイトを統合したパッケージをエクスプロイトキットと呼びます。エクスプロイトキットは攻撃において非常に便利であるため、攻撃者は、アンダーグラウンドでエクスプロイトキットを入手することによって、比較的簡単に攻撃を仕掛けることができます。
エクスプロイトによる攻撃を防ぐためには、OSやソフトウェアのバージョンを最新の状態に保つことが重要です。
Forensics: フォレンジック
泥棒に入られてしまったときに、警察に家の中を調べてもらうことです。犯人の手がかりがつかめるかもしれません。
ウイルスに感染したシステムや、攻撃によって侵入されたシステムを調査し、侵入経路や改ざんされた箇所を突き止める作業のことです。
攻撃がおこなわれた端末に残された手がかりや、ネットワークのログを調査することによって、法的証拠を探し出すことを目的におこなわれます。
Gateway:ゲートウェイ
外の世界と中の世界を区別する門です。悪い人が入ってこないように、ちゃんと見張りが必要です。
外と中のネットワークを中継する門の役割を担っており、外から中に侵入しようとするウイルスや不正な攻撃をブロックする機能はセキュリティ対策においても重要な役割を果たしています。
Hacker: ハッカー
すごい知識を持っていても、どう使うかでヒーローと犯罪者に分かれます。
コンピューターやネットワークに対する深い知識と技術を持つ人を総じてハッカーと呼びます。
かつては攻撃者をブラックハッカー/ブラックハット、セキュリティ専門家をホワイトハッカー/ホワイトハットと呼んでいましたが、用語の使い方が人種差別につながるという世情から、現在では、アタッカー(攻撃者)、エシカルハッカーという用語に置き換えることが奨励されています。
Insider Threat:内部脅威
疑いたくはないけれど、大騒ぎにしたあげく、犯人が知り合いだったなんてことも・・・
外からの攻撃による脅威ではなく、組織内部の人によるデータの漏えいや、データの破壊などの脅威を指します。悪意を持つ者による犯行の場合もあれば、悪意はなく不注意などの過失によるリスクも含みます。
欧米では、内部脅威対策は政府や重要インフラにおいても対策フレームワークがあり、対策が必須とされています。
しかし、日本においては、外からの攻撃よりも内部からの情報漏えいのほうがはるかに多い割に、これまで具体的な対策がなされていない組織が多く、セキュリティ対策の盲点として緊急の対応が求められている領域です。また退職者が、転職先に前の職場のデータを持ち込むなどの営業秘密侵害の摘発件数は年々増加傾向にあります。
Jamming:ジャミング
特殊なビームで動けなくなっちゃう・・・
電波によって、通信やシステムの動作を妨害することです。電波をはじめとする電子戦において、ジャミングにより相手の通信や捜索といった能力を低減、無効化させることができます。
Keylogger:キーロガー
自分がパソコンでやっていることを全部見られていたら、コワイですよね。
ユーザがタイプしているキーストロークを監視して、記録する技術です。この技術をマルウェア(ウイルス)が利用することにより、ユーザのID、パスワードなどの個人情報が盗まれるリスクがあります。
その組織内の情報を盗むために、ある組織では部長以上の役職の人が使用している端末の約半分にキーロガーの機能を持ったマルウェアが感染させられていたなどの被害が発生しています。
Lateral Movement: ラテラルムーブメント
ドミノ倒しのように広がります。
1台の感染した端末から、同じネットワーク内にある別の端末にアクセスしていくことです。
最初に感染させた端末に攻撃者が欲する情報がなかったとしても、その最初の端末を開始点としてネットワークに侵入し、内部ネットワークを移動して、別の端末へアクセスし、狙ったデータを窃取し持ち出しを試みたりします。
Malware:マルウェア
Malicious(マリシャス=悪意ある) Software(ソフトウェア)を由来とした言葉です。人を助けたり、便利になるためのソフトウェアを作りましょう。
コンピューターウイルスのことで、システムからデータを勝手に盗んだり、システムを壊したりします。
NMAP:エヌマップ
泥棒は狙っている家の状態(洗濯物や照明やカーテン)から家に人がいる時間を事前に調べます。不審な人を見かけたら家族に相談しましょう。
狙おうとしている企業のシステムに欠陥や空いているポート(侵入拠点)がないかを探す(ポートスキャン)為のツールです。
Obfuscation:難読化(なんどくか)
ひつじさんのフリをしているけど、実はオオカミかも。
攻撃者がウイルスを作る際、自分の作成したウイルスが解析できないようコードを解読困難な状態に変換することです。
ウイルスを解析する技術者になる為には、難読化されたコードまで解析する高度な技術が必要になります。
Phishing:フィッシング
どんな獲物がかかるかな~?攻撃者は常にだましのテクニックを磨いています。
人をだましてIDやパスワードを聞き出したり、お金を振り込ませたりする攻撃の手口です。
Quarantine: 隔離
病気がうつらないように、病気にかかっている人を別の部屋にうつすことです。
感染した端末を隔離したり、悪意あるメールを隔離することです。
なるべく早く隔離の対処をおこなうことにより、組織に与えるダメージを最小化することができます。
Ransomware:ランサムウェア
人質を返す代わりに、お金をちょうだい!と脅迫する悪い人です。
ランサムウェアは、コンピューターシステムまたはデータへのアクセスをブロックし、通常、被害者が攻撃者に手数料を払うまでアクセスを暗号化する悪意あるソフトウェアの一種です。 多くの場合、身代金の要求は期限付きで届き、その期限までに身代金を支払わない場合、データが永久に失われてしまいます。
ただし、身代金を払ったからといって100%データが戻る保証はありません。さらに昨今では、データを暗号化させる前に、その対象データを攻撃者が窃取しておき、データが復旧したあとに、さらに身代金を支払わないと、その窃取したデータを外部に公表すると脅す二重脅迫型のランサムウェアもあります。
プルーフポイントによる7か国を対象とした調査において、日本はもっとも身代金支払い率が少ない国であることが分かっています。一度、身代金の支払いをおこなうと、攻撃者にとって「この企業は身代金を支払う企業である」との印象を与えてしまうことから、再び同様の攻撃を受ける事例を多々みかけます。そのため、日本の企業は身代金を支払う率が低いことが続けば、攻撃者にとって攻撃する価値のない国と受け止められ、ランサムウェアの被害縮小につながる可能性があります。
Social Engineering:ソーシャルエンジニアリング
仲がいいふりをして、色々聞きだして、その情報を使って悪さをする人もいます。「親戚だよ」とか「両親の友達」なんて言ってきてもすぐに信じちゃダメ。
人が興味を持つテーマや、たくみな話術で人をだまそうとする攻撃です。
Targeted Attack:標的型攻撃
特定の人を狙って攻撃します。
その組織に入ることを念頭に、狙いすまされて実行された攻撃です。
Unauthorized Access:不正アクセス
勝手に他人の家に入ることです。たとえ鍵が開いていても、他人の家に入ってはいけません。
許可されていないのに、そのシステムに不正にアクセスすることです。
Vulnerability:脆弱性
ロープが切れそうになっていて、とても危険な状態です。定期的にチェックが大事です。
システムやソフトウェアなどが持つ欠陥です。攻撃者は放置された脆弱性をついて、システムへの侵入を試みるため、脆弱性を見つけた場合は、すぐに修正パッチを適用することが重要です。
しかし、攻撃者がもっとも攻撃に利用する脆弱性はシステムの脆弱性ではなく、「人」が持つ脆弱性です。組織にとって最大の資産である「人」が、最大の脆弱性とならないよう、セキュリティ意識向上トレーニングを通して、人の防衛力を強める必要があります。
Watering Hole Attack:水飲み場攻撃
水を飲みにきた鹿を襲うために、ワニがずっと待ち構えています。
特定の業界や職種のユーザーが通常使用するウェブサイトを感染させ、悪意のあるサイトへ誘うことで、ユーザーへのセキュリティ侵害を意図した標的型攻撃です。 別名、戦略的ウェブサイト侵害攻撃とも呼ばれます。
XSS: クロスサイトスクリプティング
Webページの裏にいつの間にか、モンスターが住み着いています。
Webサイトの脆弱性を利用して、HTMLに悪質なスクリプトを埋め込む攻撃です。
Yubikey:ユビキー
重要な情報がある金庫は、暗証番号(人が覚えているもの)以外に物理的な鍵(特別な人が持っているもの)も使って厳重に管理しています。
コンピュータやシステムへのアクセスを保護する、認証用のハードウェア認証デバイスのことです。
Zeroday:ゼロデイ
ボートに穴を開けられてしまうのですが、その穴をふさぐための道具がない状態です。
まだ修正パッチが作られていない脆弱性をついた攻撃です。