情報セキュリティにおける脅威とは、情報資産(データやシステム)に対して悪影響を及ぼす要因のことです。脅威は発生源ごとに大きく3つに分類されます。

目次 [ close ]
  1. 人的脅威
    1. 二重脅迫(ダブルエクストーション)
    2. ビジネスメール詐欺(BEC)
    3. 内部不正
    4. 誤操作・紛失
    5. ソーシャルエンジニアリング
    6. シャドーIT
    7. ダークウェブ
    8. 不正のトライアングル
  2. 技術的脅威
    1. マルウェア
    2. マクロウイルス
    3. ランサムウェア
    4. ボット
    5. スパイウェア
    6. トロイの木馬
    7. ワーム
    8. クロスサイトスクリプティング
    9. DoS攻撃・DDoS攻撃
    10. フィッシング
    11. 標的型攻撃
    12. ブルートフォース攻撃
    13. バックドア
    14. RAT
    15. キーロガー
    16. DNSキャッシュポイズニング
    17. ドライブバイダウンロード
    18. クロスサイトリクエストフォージェリ
    19. クリックジャッキング
    20. クリプトジャッキング
    21. マン・イン・ザ・ミドル攻撃
    22. プロンプトインジェクション攻撃
    23. 敵対的サンプル
    24. ゼロデイ攻撃
  3. 物理的脅威
  4. 脆弱性

人的脅威

人的脅威は、人間の行動(意図的、または不注意)によって引き起こされる脅威です。悪意を持った攻撃だけでなく、知識不足やミスによる被害もここに含まれるのがポイントです。

二重脅迫(ダブルエクストーション)

二重脅迫は、ランサムウェアを用いた極めて悪質な攻撃手法です。以下の2段階で被害者を追い詰めます。

  • 1つめの脅迫:データの暗号化
    ランサムウェアでファイルを使えない状態にし、「元に戻したければ身代金を払え」と要求します。
  • 2つめの脅迫:データの暴露
    身代金を払わないなら、事前に盗んでおいた機密情報をネットに公開するぞ」と、情報の漏洩を盾にさらなる脅迫を行います。

従来の攻撃は「バックアップ」があれば無視できましたが、二重脅迫は「情報の公開」を人質にするため、バックアップを持っていても防げないのが恐ろしい点です。

ビジネスメール詐欺(BEC)

ビジネスメール詐欺は、巧妙に作成された偽メールを使って、企業の従業員を騙し、金銭を奪い取る詐欺手法です。自社の経営層や取引先になりすまして、以下のような内容でメールを送りつけます。

  • 口座変更の案内
    取引先を装い、「振込先口座が変更になった」という偽の請求書を送る。
  • 緊急の極秘指示
    社長を装い、「極秘の買収案件で至急資金が必要だ。誰にも言わずに振り込め」と指示を出す。

内部不正

内部不正、は従業員や元従業員が、重要な情報を故意的に持ち出したり悪用したりすることです。

誤操作・紛失

誤操作・紛失は、メールの誤送信や、USBメモリ・ノートPCの置き忘れ、誤ってデータを削除してしまうことです。

ソーシャルエンジニアリング

心理的な隙を突いて不正に情報を盗み出す行為です。社員になりすましてパスワードを聞き出したり、パスワードなどを画面に入力するところを背後からのぞき見するショルダーハッキングなどがあります。

シャドーIT

シャドーITは、企業のシステム部門が許可しておらず、従業員が独自に導入・利用しているIT機器やサービスのことを指します。

「影(Shadow)」のように管理の目が届かない場所で利用されることから、このように呼ばれています。

ダークウェブ

ダークウェブは、インターネットの一部でありながら、専用のツールや特別な設定がないとアクセスできない、秘匿性の高い領域のことです。ダークウェブでは、以下のようなものがビットコインなどの暗号資産で売買されています。

  • 盗まれた個人情報: クレジットカード番号、メールアドレス、パスワードのリスト
  • 違法な物品: 薬物、武器、偽造通貨、偽造パスポート
  • サイバー犯罪ツール: 他人のPCを攻撃するウイルス(マルウェア)や、システムの弱点(脆弱性)の情報

不正のトライアングル

不正のトライアングルは、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した、「人はなぜ不正を働くのか」というメカニズムを説明する理論です。「動機・機会・正当化」という3つの要素がすべて揃ったときに、人は不正を実行してしまうと考えられています。

不正を構成する3要素

  1. 動機
    • 不正を行う「心理的なプレッシャー」や「必要性」です。
    • : 個人の借金、ノルマ達成への過度なプレッシャー、生活苦、ギャンブル依存など。
  2. 機会
    • 不正を「やろうと思えばできてしまう」環境や状況のことです。
    • : 1人だけに経理を任せている(チェック体制がない)、パスワードが共有されている、在庫管理がずさんである。
  3. 正当化
    • 不正を「悪いことではない」と思い込むための自分勝手な理屈です。
    • : 「会社は自分を正当に評価していない」「これは一時的に借りるだけだ」「みんなやっていることだ」という言い訳。

技術的脅威

技術的脅威は、IT技術を駆使しサイバー空間で行われるインターネット上で行われるサイバー攻撃です。主にコンピュータウイルスや不正アクセスが中心となります。

マルウェア

マルウェアは、コンピュータウイルスワームトロイの木馬ランサムウェアなど、悪意のあるソフトウェアの総称です。

マクロウイルス

ランサムウェア

ボット

スパイウェア

トロイの木馬

ワーム

クロスサイトスクリプティング

DoS攻撃・DDoS攻撃

フィッシング

標的型攻撃

ブルートフォース攻撃

バックドア

RAT

キーロガー

DNSキャッシュポイズニング

ドライブバイダウンロード

クロスサイトリクエストフォージェリ

クリックジャッキング

クリプトジャッキング

マン・イン・ザ・ミドル攻撃

プロンプトインジェクション攻撃

敵対的サンプル

ゼロデイ攻撃

ゼロデイ攻撃は、ソフトウェアやOSに「修正プログラム(パッチ)」が提供される前に、その脆弱性(セキュリティ上の弱点)を突いて行われるサイバー攻撃のことです。

「ゼロデイ」という名前は、脆弱性が発見された日を「1日目」としたとき、対策が整う前の「0日目(当日)」に攻撃が行われることに由来しています。

物理的脅威

物理的脅威は、サイバー攻撃のようなデータ上のやり取りではなく、施設、設備、機器などの「実体」に対して直接的に悪影響を及ぼす物理的な要因のことです。

どれだけ強力なファイアウォールを築いても、サーバー室の鍵が開いていたり、地震で機器が壊れたりすれば、情報は守れません。

脆弱性