- セキュリティ脅威は、一般的なマルウェア、標的型攻撃、詐欺の3種類に分類できます。
- 標的型攻撃は組織を狙った持続的な攻撃であり、多層的な防御体制が必要です。
- 新しい技術の発展により攻撃手法は巧妙化し、複数の手法を組み合わせた攻撃が増加しています。
1. 脆弱性ってどれぐらい怖いの?
よくニュースで「脆弱性」という言葉を目にするんだけど、なんか怖そうだよね。
「脆弱性」とは、プログラムの不備や設計ミスで「期待される動作」ができていないことです。
たとえば、本来アクセスできないはずの情報が見えてしまったり、必要な確認がスキップできてしまったりする問題です。
1.1. 脆弱性と多層防御
脆弱性の深刻度は、「処理のどこに不備があるのか」という内容によって大きく異なります。
しかし、一つの脆弱性だけが原因で「完全に乗っ取られる」ということはそうそうありません。
現在のシステムは複数の防御策を重ねる「多層防御」が一般的で、一つの脆弱性が見つかっても、他の防御策が機能して被害を防ぐことができるからです。
逆に言うと、攻撃者は、複数の脆弱性やユーザーの誤操作を組み合わせて、「乗っ取った」話がニュースになるわけです。
2. セキュリティ脅威と現実的なリスク評価
「脆弱性」がどれぐらい危険なのか、「現実的な危険性」を理解するために、セキュリティ脅威を、攻撃の特徴や目的から3つの種類に分けて考えてみましょう。
- 一般的な「ウイルス」(Commodity Malware)
- 標的型攻撃(Targeted Attack)
とくに「高度で持続的な脅威(Advanced Persistent Threat)」 - スキャム(Scam, Phishing, Social Engineering Attack)
| 分類 | 内容 | 技術的 | 心理的 |
|---|---|---|---|
| 一般的な「コンピュータウイルス」 (Commodity Malware) | 大量に配布・伝播して「感染」したデバイスの動作を妨害する | 中程度 | 中程度 |
| 標的型攻撃 (Advanced Persistent Threat) | 特定の企業・組織を狙って機密情報を盗んだりシステムを破壊したりする | 高い | 非常に高度 |
| 詐欺(Scam) | 大量に表示して人を騙して金銭や個人情報を詐取する | 低い | 単純だが効果的 |
2.1. 一般的なウイルスは「スリ」のような存在
一般的に「セキュリティ」でイメージするのは、古典的なコンピュータウイルスです。
しかし、現在ではこのような不特定多数へのシステム攻撃への対策は進んでいます。
まず1つ目は「一般的なウイルス(Commodity Malware)」です。
これは不特定多数のコンピュータを攻撃対象とし、システムに害を及ぼすプログラムを大量に広めようとします。
「マルウェア」とは、悪意のあるソフトウェアの総称です。
その中でも広く拡散することを目的とした一般的なものを「コンピュータウイルス」といます。
「スリ」は街中で不特定多数の人を狙い、気づかないうちに財布などを抜き取ります。
一般的なウイルスも同じように、多くのコンピュータに忍び込もうとします。
対策のポイントは「基本的な用心」です。
スリ対策として財布を内ポケットに入れたり、カバンのチャックをしっかり閉めたりするように、不審なアプリをインストールしない、OSの更新を欠かさないなどが大切です。
最近のスマートフォンは、セキュリティ機能が強化され、不正なプログラムの自動実行は難しくなっています。
主な原因は、アップデートを放置したまま利用していたり、ユーザー自身が信頼性の低いプログラムの実行許可してしまっていることが多いです。
2.2. 標的型攻撃は「銀行強盗」に似ている
2つ目は「標的型攻撃」です。
標的型攻撃の中でも特に高度で持続的なものを「APT(Advanced Persistent Threat)」と呼びます。
特定の組織や重要な個人を長期的に狙い、様々な手段を組み合わせて執拗に攻撃を続けるのが特徴で、機密情報を盗んだりシステムを壊したりします。
「銀行強盗」は、価値の高い標的を決め、計画的に攻撃を仕掛けます。
標的型攻撃も同様に、特定の組織の重要な情報を狙って、じっくりと準備を重ねます。
対策には「組織的な防衛」が必要です。
銀行が警備員や防犯カメラを配置し、金庫を強固にするように、企業のシステムは情報セキュリティ担当者を配置して監視体制の整備し、重要データを保護するなど、複数の防御層が必要になります。
標的型攻撃(APT)は、特定の組織を狙い、長期間にわたって潜伏し活動する特徴を持ちます。
気付かれにくい形で侵入し、徐々に活動範囲を広げていきます。
このタイプのサイバー攻撃は「綿密な計画や実行の手間がかかる」ので、不特定多数の一般ユーザーが「標的」になるわけではありませんが、重要な立場にある個人や、組織への侵入口として一般の従業員を狙うケースも増えています。
まずは、所属している企業・組織内のシステム管理者からの指示に従って、日ごろからセキュリティを意識することが重要です。
個人のスマホ・パソコンの場合は、まずは一般的な注意(サポート期間やアップデートなど)に従うことが対策の基本です。
2.3. 詐欺は「社会・心理的な攻撃」
3つ目は「詐欺(スキャム/フィッシング)」です。
偽のウェブサイトやメールを使って、お金や個人情報をだまし取る手口です。
オレオレ詐欺やニセ電話詐欺のような犯罪は、人の心理を巧みに突いて金銭をだまし取ります。
フィッシングも同じように、本物そっくりのメールやウェブサイトで個人情報を騙し取ろうとします。
スマートフォンやコンピュータのプログラムとは直接関係なく、だます手段が電話からメールやウェブサイトに変わっただけです。
対策の基本は「疑う習慣」を身につけることです。
知らない電話番号からの着信を警戒するように、突然の請求メールや、普段と様子の違うログイン画面には注意が必要です。
確認の電話をかけるように、別の方法で本物かどうかを確かめることが大切です。
技術的には単純なものですが、一般ユーザーにとってもっとも被害が大きいのは、この「詐欺」のパターン。
2.4. 組み合わせやAIによる巧妙化
これらの攻撃方法は、単独で使われるだけでなく、組み合わせて使われることも増えています。
たとえば、標的型攻撃でウイルスを使ったり、フィッシングメールでウイルスを広めたりする例が見られます。
また、AIなどの新しい技術の発展により、これらの攻撃の境界があいまいになってきています。
たとえば、AIを使った精巧な詐欺メールの作成など、攻撃手法は日々進化しています。
3. ゼロデイ脆弱性とセキュリティアップデート
プログラムの脆弱性は、とくに「APT」で主に関係します。
つまり、企業などの機密情報を盗んだりシステムを混乱させるときの「突破口」として、プログラムの不具合が悪用されてしまうのです。
とくに、未知の脆弱性は、「ゼロデイ脆弱性」といいます。
そのような不具合を、システム開発会社より先にサイバー攻撃者が見つけると、不正アクセスなどの犯罪で悪用するのです。
これらの不具合は、被害が発覚したときにその原因究明の中で見つかることも多いです。
その後の被害拡大を防ぐため、発見された不具合はすぐに修正され、「セキュリティアップデート」としてほかのユーザーに提供されます。
現在では、一般的な「ウイルス」が広まる前に、このような脆弱性は修正されます。
システムのアップデートを適切に実行していることで、かなり防げるようになっているです。
「セキュリティアップデートを速やかに実行するべき」というのは、これが理由です。
現実的には、一人目の被害は防ぎにくくても、二人目以降は「防げるはず」の被害だからです。
![[LINE]「友だちではないユーザーです」って大丈夫?](https://chiilabo.com/wp-content/uploads/2025/02/image-9-39-1024x576.jpg)