Webの脅威の定義
Webの脅威、またはオンラインの脅威は、インターネット経由で望ましくないイベントや動作を引き起こす可能性のあるサイバーセキュリティリスクのカテゴリです。
Webの脅威の発生源となり得るのは、エンドユーザーの脆弱性、Webサービスの開発者または運営者、あるいはWebサービスそのものです。意図や原因に関係なく、Webの脅威の結果は個人と組織の両方に損害を与える可能性があります。
この用語は通常、次のカテゴリのネットワークベースの脅威に適用されますが、これに限定されるものではありません:
- プライベートネットワークの脅威 - より広域のグローバルインターネットに接続されたサブネットワークに影響を与えます。代表的な例としては、家庭のWi-Fiやイーサネットネットワーク、企業のイントラネット、国のイントラネットなどがあります。
- ホストの脅威 - 特定のネットワークホストデバイスに影響を与えます。「ホスト」という用語は多くの場合、企業のエンドポイントや携帯電話、タブレット、従来のPCなどの個人用デバイスを指します。
- Webサーバーの脅威 - WebインフラやWebサービスを提供する専用のハードウェアおよびソフトウェアに影響を与えます。
Webの脅威とは
インターネットベースの脅威は、人々やコンピューターシステムをオンライン上で危害にさらします。フィッシングやコンピューターウイルスなどのよく知られた脅威など、多岐にわたる危険がこのカテゴリに該当します。しかし、オフラインでのデータ窃取など、その他の脅威もこのグループに含まれると言えるでしょう。
Webの脅威はオンライン上の活動に限定されませんが、最終的な損害を与える前にどこかの段階でインターネットを使用します。Webの脅威のすべてが作為的に作成されているわけではありませんが、多くは意図的に、または脅威となり得る可能性を悪用して引き起こされます。
- アクセス拒否。コンピューターやネットワークサービスへの侵入の防止。
- アクセス権の取得。プライベートなコンピューターやネットワークサービスへの無許可または不正なアクセス。
- コンピューターやネットワークサービスの無許可または不正な使用。
- 写真、アカウント資格情報、政府の機密情報など、許可なく非公開データを暴露する行為。
- コンピューターやネットワークサービスの無許可または不正な変更。
近年、Webの脅威の勢力図は著しく拡大しています。スマートデバイスや高速モバイルネットワークなどの技術により、マルウェアや詐欺、その他の複雑な攻撃に使用される経路への接続がいつでも可能な状態になっています。また、モノのインターネット(IoT)を活用した通信、生産性向上などの分野におけるWeb化の普及スピードに、ユーザーのセキュリティ意識が追い付いていない状況です。
日常生活におけるWebへの依存度が高まるにつれ、Web化を採用する分野も指数関数的に増え続け、サイバー犯罪者にとっては魅力的な標的であり続けることでしょう。Webを使用する際の利便性と注意の欠如は最大の懸念事項であり、プライバシーとセキュリティに関する新たなリスクを次々と生み出しています。
通常、攻撃の標的にされるのはコンピューターですが、Webの脅威の影響を最終的に受けるのは人間です。
Webの脅威の仕組み
Webの脅威が発生し、懸念すべき事項となるには特定の状況が必要となります。
すなわち、Webの脅威にはいくつかの基本的な構成要素があります:
1. 脅威の動機は、意図を持った脅威エージェントが危害を加える理由や目標となります。一部の脅威エージェントは意図的に行動しないか、自律的に行動するため、動機を持たない場合があります。
2. 脅威エージェントとは、インターネットに悪影響を及ぼす(脅威の経路として悪用する、または標的そのものとする)可能性のあるものや人物すべてを指します。
3. 脆弱性とは、人間の行動における弱点、技術システムやその他のリソースの欠陥を指し、これらを悪用されると脆弱性攻撃やインシデントによる被害が発生する可能性があります。
4.脅威の結果とは、脅威エージェントが1つまたは複数の脆弱性に対して攻撃した結果の悪影響を指します。
これらの構成要素の連携により、脅威はコンピューターシステムへの攻撃となります。脅威の動機には、金銭の窃取、スパイ行為、情報収集、報復、妨害行為などがあります。
脅威エージェントは通常、悪意のある人間です。観点を広げると、エージェントは、本来の脅威エージェントに有利に行動するように誘導されている場合もあります。しかし、脅威エージェントの中には、破壊的な自然現象など、人間の干渉をまったく受けずに活動するものもあります。
脅威エージェントの種類は次の通りです:
- 人間以外:たとえば、悪意のあるコード(ウイルス、マルウェア、ワーム、スクリプト)、自然災害(気象、地形)、ユーティリティ障害(電気、通信)、技術障害(ハードウェア、ソフトウェア)、物理的な危険(熱、水、衝撃)など。
- 意図を持った人間:悪意のある意図に基づき行動します。内部の人間(従業員、請負業者、家族、友人、知人)、外部の人間(プロおよびアマチュアのハッカー、国家レベルの脅威アクターや政府機関、競合企業)の可能性があります。
- 偶発的な人的要因:ヒューマンエラーに基づき作用します。意図を持った人間と同様、この種類のエージェントは内部および外部の人間です。
- 過失に基づく人的要因:不注意な行動や安全上の過失に基づき作用します。このカテゴリにも、内部エージェントと外部エージェントが含まれます。
脆弱性は、犯罪者やプログラムなどにより操作可能な弱点となり得ます。脆弱性はWebの脅威であり、他の脅威を誘発する危険な問題であると言えます。この領域には通常、システムの侵入、悪用、破壊につながる何らかの形の人間的または技術的な弱点が含まれます。
脅威の結果により、個人情報の漏洩、使用するユーザの欺瞞、コンピューターシステムの使用停止、アクセス権限の奪取につながる可能性があります。多くの場合、Webの脅威は次のような被害をもたらしますが、これらに限定されません:
- 風評被害: 顧客やパートナーからの信頼の失墜、検索エンジンのブラックリスト入り、中傷、名誉毀損など
- 運営の中断:運営の停止、ブログや掲示板などのWebサービスへのアクセス拒否など。
- 窃取: 金銭、個人情報、顧客の機密データなど。
サイバー犯罪者は、オペレーティングシステム(OS)やアプリケーションに存在する脆弱性のほぼすべてを使用して攻撃を実行します。多くのサイバー犯罪者がWebの脅威を開発し、次のような最も普及しているOSやアプリケーションを意図的に標的としています:
- Java: Java は30億台以上のデバイスにインストールされており、それらのデバイスには多様なOSが搭載されています。そのため、複数の異なるプラットフォームやOSに存在する特定のJaveの脆弱性を標的とした攻撃プログラムが作成可能です。
- Adobe Reader:多くの攻撃がAdobe Readerを標的としていますが、Adobe社は、Adobe Readerを脆弱性攻撃から保護するツールを実装しています。それにもかかわらず、Adobe Readerは依然としてよく標的にされます。
- Windows と Internet Explorer: 検知されたのが2010年という遠い昔であるにもかかわらず、現在でも攻撃され続けている脆弱性が存在します。Windowsヘルプおよびサポートセンターの脆弱性(MS10-042)や、JPEGファイルの不正な処理に関連する脆弱性(MS04-028)などが該当します。
- Android:サイバー犯罪者は、脆弱性攻撃を使用してroot権限を不正に取得します。これにより、標的のデバイスをほぼ完全にコントロールできます。
Webの脅威の拡散手段
最も注意が必要なWebの脅威は、Webを横断してより多くのシステムを攻撃します。これらの脅威エージェントは多くの場合、人間の操作と技術的なコマンドを組み合わせて使用し、標的に到達します。
この種のWebの脅威は、インターネットの多くの通信チャネルを使用して拡散します。大規模な脅威がグローバルなインターネットを使用した拡散に対応する一方で、より標的を絞った脅威はプライベートネットワークに直接侵入することもあります。
通常、これらの脅威はWebベースのサービスを通じて配信されます。悪意のあるサイバー犯罪者は、ユーザーがよくアクセスする場所にこのような脅威を好んで設置します。公的なWebサイト、ソーシャルメディア、Webフォーラム、メールは、往々にしてWebの脅威の拡散に最適です。
ユーザーが被害を受けるのは、悪意のあるURLをクリックしたり、悪意のあるオブジェクトをダウンロードしたり、個人情報をWebサイトやメッセージの送信者に提供したりした時などです。こうした行動により、Webの脅威が他のユーザーやネットワークに感染し、拡大する可能性があります。悪意がないユーザーが、知らないうちに脅威エージェントになっていることも珍しくありません。
Webの脅威を見抜く方法
Webの脅威は絶え間なく発生していますが、その一般的な特徴を見分けることは可能です。しかし、Webの脅威を見抜くには、細かい部分に目を光らせる必要があります。
Webの脅威の中には、Webインフラのハードウェアへの悪影響が明らかであるものもあります(水や熱など)。そのような脅威であれば発見しやすいのですが、他の脅威は注意深く観察する必要があります。Webサイトの閲覧中やメッセージの受信中にはいつでも、最大限の注意を払うべきです。
そのためのヒントを次に挙げます:
- 文法:攻撃の構築中に、メッセージやWebコンテンツの文法にまで注意が必ずしも行き届いているとは限りません。誤脱字、奇妙な句読点やフレーズがないかよく注意してください。
- URL:有害なリンクは、おとりの役割を果たすアンカーテキスト(表示されるテキスト)の下に隠されていることがあります。リンクの上にカーソルを置くと、本当のリンク先を確認することができます。
- 低品質の画像:低解像度の画像や非公式の画像を使用している場合、悪意のあるWebページやメッセージである可能性があります。
Webセキュリティの脅威の種類
前述したように、Webの脅威には通常、攻撃するための人的および技術的な操作が含まれます。Webの脅威は複数が重なり合っていることが多く、同時に発生する場合もあるので注意が必要です。最も一般的なWebの脅威は次の通りです:
ソーシャルエンジニアリング
ソーシャルエンジニアリングはユーザーを騙し、知らず知らずのうちにユーザー自身の不利益になるような行動を取らせる行為です。このような脅威は通常、ユーザーとの信頼関係を築きながら陥れる手口を使用します。ユーザーを騙す手口には次のようのものがあります:
- フィッシング:正当な機関や人物のふりをして、個人情報を漏洩させる行為。
- 水飲み場攻撃:利用者の多いWebサイトを悪用し、ユーザーを騙して被害に遭わせる手口。
- ネットワークスプーフィング:正規のアクセスポイントを模倣した不正なアクセスポイント。
悪意のあるコード
技術的な脆弱性を作成または悪用するためのマルウェアや、有害なスクリプト(コンピュータープログラミングコマンドの行)が該当します。ソーシャルエンジニアリングが人間関係を悪用するWebの脅威であるのに対し、悪意のあるコードは技術を悪用する脅威であると言えます。悪意のあるコードには次のようなものがありますが、これらに限定されません:
- インジェクション攻撃:正規のアプリケーションやWebサイトに有害なスクリプトを挿入する行為。たとえば、SQLインジェクションやクロスサイトスクリプティング(XSS)などがあります。
- ボットネット:多数のデバイスを乗っ取り「ゾンビ」として、それらのデバイスでネットワークを構成し、自動的に遠隔操作します。スパムキャンペーンやマルウェア攻撃などの促進を目的として使用します。
- スパイウェア:コンピューターデバイス上のユーザーの行動を監視する追跡プログラム。最も一般的な例は、キーロガーです。
- コンピューターワーム:関連プログラムの支援を受けず、自律的に自身を実行、複製、拡散するスクリプト。
脆弱性攻撃
脆弱性攻撃とは、望ましくないインシデントを発生させる可能性がある脆弱性を意図的に悪用することです。
- ブルートフォース攻撃:手動または自動的に、セキュリティの「ゲート」や脆弱性への攻撃を試行する行為。この攻撃では、個人アカウントに対して可能性があるパスワードをすべて生成します。
- スプーフィング:自身の身分を偽り、正規のコンピューターシステムを悪用します。例として、IPスプーフィング、DNSスプーフィング、キャッシュポイズニングなどがあります。
サイバー犯罪
サイバー犯罪とは、コンピューターシステムを介して行われるあらゆる違法行為を指します。こうした行為の計画と実行には、Webがよく使用されます。
- ネットいじめ:脅迫や嫌がらせを使用して、被害者を精神的に虐待する行為。
- 不正なデータ漏洩は、メール漏洩、プライベートの写真、企業の重大なデータ漏洩など、非公開情報の流出が該当します。
- サイバー名誉毀損: ネット中傷とも呼びます。個人や組織の評判を傷つけます。意図的であれ誤りであれ、不正確な情報の流布がサイバー名誉棄損につながります。
- 持続的標的型攻撃(APT):悪意のある行為者がプライベートネットワークにアクセスし、継続的なアクセスを確立します。ソーシャルエンジニアリング、悪意のあるコード、その他の脅威を組み合わせて脆弱性を悪用し、アクセス権を獲得します。
通常、Webの脅威とは、インターネットを使用する際にユーザーを標的とするマルウェアプログラムを指します。これらのブラウザーベースの脅威には、標的のコンピューターを感染させるために悪意のあるソフトウェアが含まれます。このようなブラウザーベースの感染の背後には、脆弱性攻撃ツール(エクスプロイトパック)があります。このツールにより、サイバー犯罪者は次のいずれかに該当するコンピューターを感染させることができるようになります:
1. セキュリティ対策製品がインストールされていない
2. 脆弱性が放置されている一般的なOSやアプリケーション(ユーザーが最新のアップデートを適用していない、または新しい修正プログラムがソフトウェア開発元からまだリリースされていないなどの原因があります)
Kasperskyのインターネットセキュリティエキスパートは、Webの脅威に関与する悪意のあるソフトウェアの中で、最も活発な活動が見られたものを特定しました。その中に含まれる脅威の種類は次の通りです:
- 悪意のあるWebサイト。Kasperskyは、クラウドベースのヒューリスティック分析の手法で悪意のあるWebサイトを特定します。悪意のあるURLとして検知されるWebサイトには、ほとんどの場合エクスプロイトが仕込まれています。
- 悪意のあるスクリプト。サイバー犯罪者は、セキュリティが侵害された正規のWebサイトに、悪意のあるスクリプトを挿入します。このようなスクリプトは、ドライブバイダウンロード攻撃を実行するために使用されます。攻撃を受けたWebサイトの訪問者は、悪意のあるオンラインリソースに知らないうちにリダイレクトされます。
- スクリプトと実行可能PEファイル総じて、これらの役割は次のいずれかです:
-
他の悪意のあるソフトウェアをダウンロードし、起動する
-
オンラインバンキングやソーシャルメディアのアカウントの窃取、またはその他のサービスのログインとアカウント情報の収集を目的としたペイロードを配信する
- トロイの木馬型ダウンローダー。このトロイの木馬型マルウェアは、悪意のある各種のプログラムをユーザーのコンピューターにダウンロードします。
- 脆弱性攻撃と脆弱性攻撃ツール。脆弱性を標的とし、インターネットセキュリティ製品による検知を回避します。
- アドウェア。アドウェアの多くは、ユーザーがフリーウェアやシェアウェアをダウンロードすると、同時にインストールされます。
- 他の悪意のあるソフトウェアをダウンロードし、起動する
- オンラインバンキングやソーシャルメディアのアカウントの窃取、またはその他のサービスのログインとアカウント情報の収集を目的としたペイロードを配信する
Webの脅威の例
Webの脅威の多くの例のうち、よく知られている例をいくつか紹介します:
ランサムウェア WannaCry
2017年5月、WannaCryランサムウェアは多くのネットワークに拡散し、無数のWindows PCをロックダウンしました。この脅威が特に危険であった理由は、完全に自律的に拡散可能なワーム機能を実装していたためです。WannaCryは、Windows内のネイティブな通信言語を悪用して悪意のあるコードを拡散しました。
有名人のiCloudフィッシング
スピアフィッシング攻撃により、多数の有名人のiCloudアカウントが侵害されました。この侵害の結果として、これらのアカウントから無数のプライベート写真が不正に流出しました。
最終的に犯人は特定され、起訴されました。しかし、自分の許可なくプライベートな写真をインターネット上で公開されたという苦しみは、終わることなく現在も続いています。これは、この10年間で最も有名なフィッシング攻撃の1つとなっています。
トロイの木馬から身を守る方法
ほとんどの脅威は、主に2つの弱点によって成功します:
- ヒューマンエラー
- 技術的エラー
Webの脅威から完全に身を守るには、これらの弱点をカバーする方法を見つける必要があります。
エンドユーザーとWebサービスプロバイダーの両方が従うべき全般的なヒントは次の通りです:
1. 常にバックアップを作成する:インシデント発生時のデータ損失を防ぐため、貴重なデータはすべてコピーして安全に保管する必要があります。Webサイト、デバイスドライブ、Webサーバーもバックアップ対象です。
2. 多要素認証(MFA)の有効化:MFAにより、従来のパスワードの認証に加えて、さらにユーザー認証の段階を追加することができます。組織はこの多要素認証をユーザーに対して有効にし、ユーザーは必ずこの認証を使用するようにしましょう。
3. マルウェアのスキャン:感染の有無を定期的にスキャンすることで、コンピューターデバイスのセキュリティを維持できます。個人用デバイスの場合、Kaspersky Total Securityのようなウイルス対策製品を使用しましょう。あらゆるリスクからデバイスが保護されます。企業のエンドポイントデバイスやコンピューターネットワークにも、ウイルス対策製品により保護する必要があります。
4. すべてのツール、ソフトウェア、OSに、最新のアップデートを常に適用しておく:プログラム上でまだ発見されていないセキュリティホールに修正プログラムが適用されていない場合、コンピューターシステムがより脆弱な状態になります。ソフトウェア開発者は定期的に脆弱性を調査し、その対策のためのアップデートをリリースしています。これらのアップデートをダウンロードすることで、自分自身を守りましょう。
真の意味で包括的なセキュリティを実現するには、まずWebサイトの所有者やサーバー管理者などのサービスプロバイダーが対策を講じる必要があります。プロバイダーによる予防措置は、強力な保護の実現にとって必須です。必要な予防措置は次の通りです:
1. Webトラフィックを監視し、通常のトラフィック量とパターンを把握すること。
2. ファイアウォールを実装し、許可されていないWeb接続をフィルタリングして制限する。
3. ネットワークインフラを分布させ、データとサービスの分散化をはかる。各種リソースのバックアップや、地理的なサーバーのローテーションなどの要素も必要となります。
4. 内部調査を実施し、修正プログラムが未適用の脆弱性を特定する。たとえば、SQLインジェクション攻撃ツールによる自社サーバーのテストなどを使用します。
5. セキュリティを適切に設定し、アクセス権とセッションを管理する。
ユーザーが自衛のために実行する必要がある措置は次の通りです:
1. ダウンロードしたものをスキャンし、マルウェアがあるかチェックしましょう。
2. クリックする前にリンクをよく確認し、リンク先が安全で信頼できる場合にのみリンクをクリックするようにしてください。
3. 強力で安全なパスワードを作成し、使い回しを避けてください。セキュアなパスワードマネージャーを使用して、すべてのアカウントとパスワードを管理しましょう。
4. ログインの試行回数を制限し、指定した回数以上の試行後にはアカウントがロックダウンされるように設定してください。
5. メッセージ、メール、その他のコミュニケーションにフィッシングの兆候があるかどうか注意、確認しましょう。
カスペルスキー インターネット セキュリティは、インターネットセキュリティ製品として最高のパフォーマンスと保護性能に相当するAV-TEST賞を2021年に2度受賞しています。すべてのテストにおいて、カスペルスキー インターネット セキュリティは傑出したパフォーマンスを発揮し、サイバー脅威からの保護性能の高さを実証しました。
関連リンク:
