[No.61] サイバー攻撃の種類やその対策、今後の開発でエンジニアが身に付けるべきこと

• 執筆：自動車メーカーの外装領域における剛性解析および冷熱サイクル解析業務経験者。
  現在は、サイバーセキュリティグループ　教育担当として、ネットワーク関連業務に従事している。

サイバー攻撃に焦点を当て、攻撃の種類やその対策、今後の開発においてエンジニアが身に付けるべきことについて紹介します。

身近なサイバー攻撃

サイバー攻撃について、2点ご紹介します。

1つ目は「過負荷を与えると予期しない事態を引き起こす」ことを利用した攻撃です。代表的な例としてWEBページの更新（リロード）は度を超すと攻撃と見なされてしまうF5アタックです。これはDoS攻撃（Denial of Service attack／サービス拒否攻撃）と呼ばれる、サービス停止を引き起こす攻撃の一種です。このDoS攻撃は「情報セキュリティの10大脅威^[1]」の2020年版において、企業向けの攻撃のランキング第10位に挙げられています。

この攻撃の影響を身近なものでたとえると、ライブ等のチケット予約で大勢の人が同時にwebページにアクセスすると過負荷によりサイトにつながらなくなり、”予約ができなかった”という実害が発生するケースがイメージしやすいでしょう。チケット予約という「普通の操作」は度を越すと実害となります。意図的にこのような状況を発生させるとサイバー攻撃になってしまうのです。

2つ目は「短く単純な法則のパスワードは破られやすい」ことを狙った攻撃です。最近では短いものや単純な法則の文字列のパスワードは予測しやすく破られる危険性が高いため、8文字以上かつ数字やアルファベットの大文字・小文字、記号を組み合わせて設定するよう指定されることが当たり前になりました。

有名なものでは、総当たり攻撃と辞書（パスワードリスト）攻撃があります。
総当たり攻撃は文字通り、そのパスワードが使用している文字種と考えうる文字の桁数を全通り試していく攻撃です。

辞書攻撃は、辞書に掲載されている語句そのものや流出したパスワードのリストを用いて総当たり攻撃をより効率良く試していく攻撃です。
もし短い言葉やわかりやすい組み合わせを使用した単純なパスワードを設定しているものが攻撃にあった場合、パスワードを破られ、アカウントに紐づいたクレジットカード等の大切な情報が勝手に悪用されるかもしれません。

このように、普通の操作で攻撃加害者になってしまうことや、特に気に留めず設定した簡単なパスワードが原因で攻撃被害の対象となってしまうことがありします。重要な機密情報でなくても、加害・被害にあってしまう可能性を考えた場合、サイバー攻撃は身近な事柄になっているのです。

また、このような攻撃のなかにはツールを簡単に入手できることで、少ない知識で実行できてしまうものもあり、攻撃実行の心理的なハードルを下げ攻撃者を増やしてしまう一因にもなっています。 難しそうだと考える人が多いサイバー攻撃のイメージとは、実態が異なるのかもしれません。

少しの工夫をするだけで有効な対策になる

サイバー攻撃への対策として、企業であれば業務で扱う情報が外部に流出しないよう、自社のシステムに対する高性能な防御機能や監視システム等を導入することができます。しかし個人では、規模やコストの面でなかなか手の届かないものが多くあります。

そこで、個人でも少し工夫するだけで有効な対策を紹介します。

まずはパスワードの使いまわしをしないことです。パスワードは一度漏れると辞書攻撃の対象となり、パスワード流出の危険性が一気に上がります。そのため、信頼できるパスワード管理ソフトを活用するなどの対策を行い、パスワードを使いまわさないようにしましょう。

次に、当然のことではありますが、不自然なリンクをクリックしないことです。メール等についてくる不自然なリンクをクリックしたが故にPCの乗っ取りを受けて新たな攻撃の踏み台とされてしまったり、PC内の情報を抜き取られてしまったりする最悪の事態などが考えられます。

具体的な対応としては、落ち着いて確認することが大切です。メールの内容をよく読み、URLが公式のものかを確認することで、明らかにおかしなものを回避できます。このような個人で行えるちょっとした工夫でも、サイバー攻撃を未然に防止できるのです。

攻撃対策のためにエンジニアがすべきこと

サイバー攻撃は「身近なものである」「簡単に行われることもある」「対策は個人でもできることがある」ことをお伝えしました。しかし、製品を購入した個人の情報リテラシーに頼るのも限界があります。また、今までネットワークにつながる機能を持っていなかった製品が、当たり前のようにネットワークにつながる時代になってきています。そのため、かつてサイバーセキュリティを考慮する必要のなかった分野がサイバー攻撃の対象になりつつあり、開発に携わるエンジニアにはそれに対する知見が必要となっています。

特に自動車業界においてはサイバーセキュリティについての法規が制定され、製造者は近年中にサイバーセキュリティの対応が求められます。今後の製品開発において、エンジニアはサイバー攻撃への対策を考えることが求められるでしょう。そのためエンジニアは、身近なサイバーセキュリティを「認識すること」から「理解すること」が求められており、知識を身に付けていくことが重要です。