脅威と脆弱性
脅威とは何か
Section titled “脅威とは何か”情報セキュリティにおける脅威とは、情報資産に損害を与える可能性のある要因のことです。企業や個人が持つデータやシステムは、さまざまな脅威にさらされています。
脅威は大きく人的脅威・技術的脅威・物理的脅威の3つに分類されます。この分類を理解したうえで、それぞれの具体例を押さえることが試験対策のポイントです。
人的脅威とは、人間の行動によって引き起こされる脅威のことです。悪意を持った行為だけでなく、うっかりミスも含まれます。
意図しない脅威(過失)
Section titled “意図しない脅威(過失)”人的脅威のなかでも、悪意なく発生するものには次のようなものがあります。
- 漏えい:機密情報を誤って外部に公開してしまうこと。たとえば、メールの宛先を間違えて顧客情報を送ってしまうケースです
- 紛失:USBメモリやノートパソコンなど、情報が記録された機器を失くしてしまうことです
- 破損:データやハードウェアを誤って壊してしまうこと。操作ミスでファイルを削除してしまうことも含まれます
- 誤操作:システムの設定を間違える、本来削除すべきでないデータを消してしまうなど、操作上のミスによる被害です
意図的な脅威(故意)
Section titled “意図的な脅威(故意)”悪意を持って行われる人的脅威には、次のようなものがあります。
盗み見とは、他人のパスワードや機密情報を、肩越しに画面をのぞき見るなどして不正に知ることです。オフィスや公共の場でパソコンを操作しているとき、背後から画面を見られる「ショルダーハッキング」はその典型例です。
盗聴とは、通信内容を不正に傍受することです。ネットワーク上の通信データを盗み見る行為や、電話の内容を不正に聞く行為が該当します。
なりすましとは、他人のIDやパスワードを使って、本人になりかわってシステムにログインしたり、メールを送ったりする行為です。
クラッキングとは、悪意を持ってコンピュータやネットワークに不正侵入したり、データを改ざん・破壊したりする行為です。技術的スキルを使って行われる攻撃的な行為を指します。
内部不正とは、組織の内部の人間(従業員や元従業員など)が、アクセス権限を悪用して情報を持ち出したり、破壊したりする行為です。外部からの攻撃に比べて発見が遅れやすく、被害が大きくなりがちです。
ソーシャルエンジニアリング
Section titled “ソーシャルエンジニアリング”ソーシャルエンジニアリングとは、技術的な手段ではなく、人間の心理的な隙や行動の癖を利用して、機密情報を不正に入手する手法の総称です。
具体的な手口には次のようなものがあります。
- システム管理者を装って電話をかけ、「メンテナンスのためパスワードを教えてください」と聞き出す
- オフィスのゴミ箱から、パスワードが書かれた付箋やメモを拾い集める(トラッシング)
- 肩越しに画面やキーボード入力をのぞき見る(ショルダーハッキング)
試験で出るポイント
ビジネスメール詐欺(BEC)
Section titled “ビジネスメール詐欺(BEC)”ビジネスメール詐欺(BEC: Business Email Compromise)とは、取引先や経営者になりすましたメールを送り、金銭の振り込みや機密情報の送信をだまし取る詐欺の手口です。
たとえば、取引先の担当者を装って「振込先の口座が変わりました」と偽のメールを送り、攻撃者の口座に送金させるケースがあります。メールアドレスや文面を巧妙に偽装するため、見分けるのが非常に難しいのが特徴です。
二重脅迫(ダブルエクストーション)
Section titled “二重脅迫(ダブルエクストーション)”二重脅迫(ダブルエクストーション)とは、データを暗号化して使えなくしたうえで、さらに「盗んだデータを公開する」と脅迫する攻撃手法です。身代金を払わなければデータが公開されるという二重のプレッシャーをかけることから、この名前が付いています。後述するランサムウェアと組み合わせて行われることが多い手口です。
ダークウェブ
Section titled “ダークウェブ”ダークウェブとは、通常のWebブラウザではアクセスできない、特殊なソフトウェア(Torなど)を使わないと閲覧できないインターネット上の領域です。匿名性が非常に高く、盗まれた個人情報やクレジットカード情報、マルウェアなどが売買される場として悪用されています。
技術的脅威とは、コンピュータの技術を悪用して行われる脅威のことです。なかでも中心的な存在がマルウェアです。
マルウェアとは
Section titled “マルウェアとは”マルウェア(malware)とは、「悪意のあるソフトウェア」の総称です。malicious(悪意のある)とsoftware(ソフトウェア)を組み合わせた造語で、コンピュータウイルス、ワーム、トロイの木馬など、利用者に被害を与えるすべてのプログラムを含みます。
マルウェアの種類と特徴
Section titled “マルウェアの種類と特徴”マルウェアにはさまざまな種類があります。ITパスポート試験では、それぞれの特徴と違いを理解しておくことが重要です。
| 種類 | 特徴 | 宿主 | 自己増殖 |
|---|---|---|---|
| コンピュータウイルス | 他のプログラムに寄生して動作する | 必要 | する |
| ワーム | 単独で動作し、ネットワークを通じて拡散する | 不要 | する |
| トロイの木馬 | 有用なソフトウェアに見せかけて侵入する | 不要 | しない |
コンピュータウイルスは、他のファイルやプログラムに寄生(感染)して動作するマルウェアです。宿主となるファイルが必要で、感染したファイルを実行すると増殖します。
ワームは、他のファイルに寄生せず、単独で動作するマルウェアです。ネットワークを通じて自動的にコンピュータからコンピュータへ拡散するため、感染スピードが非常に速いのが特徴です。
トロイの木馬は、一見すると便利なソフトウェアやゲームなどに見せかけて利用者にインストールさせ、裏で不正な動作を行うマルウェアです。ギリシャ神話の「トロイの木馬」のように、正体を隠して侵入することからこの名前が付けられました。自己増殖はしません。
試験で出るポイント
その他の重要なマルウェア
Section titled “その他の重要なマルウェア”ランサムウェアは、感染したコンピュータのファイルを暗号化して使用不能にし、元に戻すことと引き換えに金銭(身代金=ransom)を要求するマルウェアです。近年、企業を標的とした被害が増加しており、試験でも頻出です。
スパイウェアは、利用者に気づかれないようにコンピュータに侵入し、個人情報や操作履歴などを外部に送信するマルウェアです。
キーロガーは、キーボードの入力内容を記録するソフトウェアです。パスワードやクレジットカード番号など、キーボードから入力した情報を盗み取る目的で悪用されます。スパイウェアの一種として分類されることもあります。
ボットは、感染したコンピュータを外部から遠隔操作できる状態にするマルウェアです。攻撃者は大量のボット感染コンピュータを「ボットネット」として束ね、一斉に攻撃命令を送ることで大規模な攻撃を行います。
RAT(Remote Access Trojan)は、感染したコンピュータを遠隔から不正に操作するためのトロイの木馬の一種です。攻撃者はRATを通じて、ファイルの閲覧・コピー、カメラやマイクの起動など、あたかもそのコンピュータの前にいるかのように操作できます。
バックドアは、正規の認証を経ずにシステムに侵入するための「裏口」のことです。一度侵入に成功した攻撃者が、次回以降も簡単に侵入できるよう、密かに設置します。
マクロウイルスは、表計算ソフトやワープロソフトなどのマクロ機能(操作の自動化機能)を悪用したウイルスです。マクロが埋め込まれた文書ファイルを開くだけで感染するため、メールの添付ファイルを通じて広がるケースがよくあります。
ファイルレスマルウェアは、ディスク上にファイルとして保存されず、メモリ上で直接動作するマルウェアです。ファイルとして存在しないため、従来のウイルス対策ソフトでは検出が難しいという特徴があります。
マルウェア以外の技術的脅威
Section titled “マルウェア以外の技術的脅威”迷惑メール(スパム)は、受信者の意思にかかわらず大量に送りつけられるメールのことです。広告目的のものが多いですが、マルウェアが添付されていたり、フィッシングサイトへ誘導するものもあり、セキュリティ上の脅威となります。
ファイル交換ソフトウェア(ファイル共有ソフトウェア)は、インターネットを通じて不特定多数の利用者とファイルをやり取りするソフトウェアです。利用者が意図せず機密情報を公開してしまったり、ソフトウェアに仕込まれたマルウェアによって情報が漏えいしたりするリスクがあります。
物理的脅威とは、物理的な要因によって情報資産が損なわれる脅威のことです。
- 災害:地震、台風、洪水、落雷、火災などの自然災害により、サーバーやネットワーク機器が損壊し、データが失われるリスクがあります
- 破壊:悪意のある人物がサーバーやネットワーク機器を物理的に壊す行為です
- 妨害行為:電源ケーブルを抜く、通信回線を切断するなど、システムの正常な動作を物理的に阻害する行為です
物理的脅威への対策としては、サーバールームの入退室管理、耐震設備の導入、遠隔地へのバックアップなどがあります。
脅威と脆弱性の関係
Section titled “脅威と脆弱性の関係”ここまで見てきた「脅威」とは別に、もうひとつ重要な概念が脆弱性です。
脆弱性とは、情報資産が持つ「弱点」や「欠陥」のことで、脅威に対して被害を受けやすくする要因です。脅威が「攻撃する側の要因」であるのに対し、脆弱性は「攻撃を受ける側の弱点」です。
たとえるなら、脅威は「泥棒」で、脆弱性は「鍵のかかっていない窓」です。泥棒がいても窓にしっかり鍵がかかっていれば被害は防げます。逆に、鍵が開いていても泥棒がいなければ被害は起きません。脅威と脆弱性の両方がそろったとき、セキュリティ事故(インシデント)が発生します。
試験で出るポイント
脆弱性の種類
Section titled “脆弱性の種類”技術的な脆弱性
Section titled “技術的な脆弱性”バグとは、プログラムに含まれる誤り(不具合)のことです。バグがあると、意図しない動作が発生し、攻撃者に悪用される可能性があります。
セキュリティホールとは、ソフトウェアやシステムに存在するセキュリティ上の欠陥のことです。バグが原因で生じることが多く、攻撃者はセキュリティホールを狙って不正アクセスやマルウェア感染を試みます。ソフトウェアの更新プログラム(パッチ)を適用して修正することが基本的な対策です。
人的な脆弱性
Section titled “人的な脆弱性”人的脆弱性とは、人間の行動や意識の不足が原因となる脆弱性のことです。たとえば、パスワードを付箋に書いてモニターに貼っている、セキュリティ研修を受けていない従業員がフィッシングメールに引っかかる、といったケースが該当します。技術的な対策だけでは防ぎきれないため、教育・訓練による意識向上が重要です。
シャドーIT
Section titled “シャドーIT”シャドーITとは、企業のIT部門が把握・管理していないIT機器やサービスを、従業員が業務で使用することです。たとえば、会社が許可していない個人のスマートフォンやクラウドサービスを業務に使うケースが該当します。
シャドーITの問題点は、IT部門がセキュリティ対策を施せないため、情報漏えいやマルウェア感染のリスクが高まることです。テレワークの普及に伴い、シャドーITのリスクは増大しています。
試験で出るポイント