サイバー攻撃(サイバーこうげき、英: CyberattackもしくはCyber attack)は、コンピュータインフラストラクチャーに対し、コンテンツの機密性、完全性、または可用性情報を損なう不正行為。
現実的に、すべてのコンピュータシステムにおいて悪用される可能性のあるバグが存在するため、生活の大抵の場面でより複雑で相互接続されたコンピュータシステムへの依存度の高まりが、サイバー攻撃に対する脆弱性を引き起こす主な要因になっている。完全で安全なシステムを作成することは不可能、非現実的であるが、システムへの攻撃を困難にする防御の仕組みは数多く存在する。
サイバー攻撃の加害者は、犯罪者、ハクティビスト、または国家である可能性がある。彼らはシステムの弱点を発見し、それを悪用してマルウェアを作成、目的を達成し、標的のシステムに送信しようとする。インストールされれば、マルウェアはその目的に応じて様々な影響を与える。サイバー攻撃の検出は、特にマルウェアが発見されないままシステムをスパイしようとする場合、存在しないか遅延が頻発する。発見された場合、標的となる組織は、攻撃に関する証拠を収集し、システムからマルウェアを削除し、攻撃を可能にした脆弱性を閉じようとすることが考えられる。
サイバー攻撃は、標的となる個人、組織、政府に対し、多額の金銭的損失や個人情報の盗難など、多くの損害を与えることが危惧される。通常、犯罪と戦争の手段としては違法ではあるが、攻撃の責任を正確に特定することは困難であり、加害者が起訴されることはほぼ無い。
サイバー攻撃とは、個人あるいは組織が、1台以上のコンピュータおよびコンピュータシステムを使用して、情報の窃盗、公開、変更、無効化、または排除したり、コンピュータ情報システム、コンピュータネットワーク、およびコンピュータインフラストラクチャを侵害したりする試み、と定義できる[1]。必要な侵害の種類(例えば、システムが予期しない応答を生成したり、怪我や物的損害を引き起こしたりすることを要求するなど)について定義が異なる[2]。非国家主体による攻撃を除外する定義もあれば、標的を国家とすることを要求する定義もある[3]。システムの安全性の保持は、機密性(不正アクセスの禁止)、完全性(不正な変更の禁止)、可用性というCIAの3つの要素を維持することにかかる[4]。可用性は、一部のウェブベースのサービスではそれほど重要ではないが、産業用システムでは最も重要な側面になる可能性がある[5]。
情報システム学の杉野隆によれば、企業、個人のサーバおよびパソコンに不正に侵入し改竄、破壊、窃取するものとし、 サイバーテロと同一の特徴として、攻撃側が防御側にとって非常に有利であり、物理的コストの経済的小ささ、匿名性、風評被害を与える点であるとしている[6]。
2017年上半期には、20億件のデータレコードが盗まれたり、サイバー攻撃の影響を受けたりし、ランサムウェアによる支払い額は2016年の2倍に上る20億アメリカドルに達した[7]。 2020年、COVID-19の世界的大流行の影響でリモートワークが増加、サイバーセキュリティの統計では、ハッキングされたデータや侵害されたデータが大幅に増加している[8]。世界の情報セキュリティ市場は、2022年に1,704億ドルに達すると予測される[9]。
時が経つにつれ、コンピュータシステムは日常生活や相互作用の中で益々大きな割合を占めるようになる。システムの複雑さと接続性が高まると、コンピュータテクノロジーの効率、電力、利便性が向上する一方で、システムは攻撃に対してより脆弱になり、攻撃が発生した場合の結果が悪化する[10]。
開発者は、完全に意図通りに動作する製品の提供、という目標があるが、事実上すべてのソフトウェアとハードウェアにバグが含まれる[11]。バグがセキュリティ上のリスクを生む場合、それを脆弱性と呼ぶ[12][13][14]。特定された脆弱性を修正するためによくパッチがリリースされるこが、不明なままのもの(ゼロデイ攻撃)やパッチが適用されていないものは依然として悪用される可能性がある[15]。脆弱性が攻撃に利用された場合、ソフトウェアベンダーはコストに対して法的責任を負わないため、安価で安全性の低いソフトウェアを作成するインセンティブが生まれる[16]。脆弱性は、悪意のあるハッカーによって悪用される可能性がさまざまある。攻撃者にとって最も有用的なことは、攻撃者がユーザーに気付かれることなく、独自のコード(マルウェアと呼ばれる)を潜り込ませ実行できるようにすることである[12]。アクセスを可能にする脆弱性がなければ、攻撃者はシステムにアクセスはできない[17]。
システムの構造と設計上の判断は、システムの安全性が決まる上で大きな役割を果たす[18]。セキュリティを向上させるための従来のアプローチは、攻撃に対して脆弱なシステムを検出し、これらシステムの強化で攻撃をより困難にすることであったが、部分的な効果しかない[19]。高度に複雑で相互接続されたシステムの侵害に対する正式なリスク評価は非現実的であり[20]、セキュリティにどれだけの費用を費やすべきかという関連する質問に答えることは困難である[21]。サイバー脅威は絶えず変化し、不確実な性質を持っているため、リスク評価では、多くの費用がかかる、または軽減できないシナリオが作成されうる[22]。2019年現在では、システムの複雑さやばらつきを意図的に増やして攻撃を困難にすることでシステムを保護するための、市販の広く使用されているアクティブ防御システムは無い[23]。一方、サイバーレジリエンスアプローチは、侵害が発生することを前提とし、マイクロセグメンテーション、ゼロトラスト、事業継続計画などのアプローチを使用して、部品が侵害された場合でも重要な機能を保護することに重点を置かれる[24]。
攻撃の大部分は、すべてのソフトウェアに完全にパッチを適用することで防ぐことが出来る。にもかかわらず、完全にパッチが適用されたシステムは、ゼロデイ脆弱性を利用したエクスプロイトに対して依然として脆弱である[25]。攻撃のリスクが最も高いのは、脆弱性が公開された直後、またはパッチがリリースされた直後であり、これは、攻撃者がパッチを開発して展開するよりも早くエクスプロイトを作成できるためである[26]。
ソフトウェアソリューションは、不正アクセスを防止し、悪意のあるソフトウェアの侵入を検出することを目的とする[27]。ユーザーのトレーニングは、サイバー攻撃(たとえば、疑わしいリンクや電子メールの添付ファイルをクリックしない)、特にユーザーのエラーに依存する攻撃を回避できる[4][28]。しかし、ルールが多すぎると、従業員がルールを無視し、セキュリティの向上が台無しになる可能性がある。一部のインサイダー攻撃は、ルールと手順を使用して防止することもできる[28]。技術的なソリューションは、すべての機密データの暗号化、従業員が安全でないパスワードを使用するのを防ぐ、マルウェアを防ぐためのウイルス対策ソフトウェアのインストール、すべてのデバイスが最新の状態に保たれるようにするための堅牢なパッチシステムの実装など、データを攻撃者に対して脆弱なままにする人為的エラーの多くの原因を防ぐことが可能である[29]。
さまざまなサイバー攻撃防止対策の有効性と費用対効果に関するエビデンスはほとんど無い[27]。セキュリティの強化で攻撃リスクを減衰できるが、複雑なシステムに対しては完全なセキュリティを実現することは不可能であり、多くのセキュリティ対策には許容できないコスト、ユーザビリティの欠点がある[30]。例えば、システムの複雑さと機能性を減らすことは、攻撃対象領域を減らすのに効果がある[31]。システムをインターネットから切り離すことは、攻撃に対する真に効果的な手段の1つではあるが、実現可能なことはほとんどない[20]。一部の法域では、攻撃から保護するための法的要件がある[32]。
サイバーキルチェーンは、加害者がサイバー攻撃を実行する過程である[33]。
マルウェアがインストールされた後、その活動は攻撃者の目的によって大きく異なる[38]。多くの攻撃者は、システムに影響を与えずにシステムを盗聴しようとする。このタイプのマルウェアは時に予想だにしない副作用をもたらすが、多くの場合は検出は非常に困難である[39]。ボットネットは、スパムを送信したり[40]、サービス拒否攻撃を実行したりするために使用できる侵害されたデバイスのネットワークであり、システムが一度に処理できないほど多くのリクエストでシステムを氾濫させ、使用不能にする[35]。攻撃者は、コンピューターを使用してビットコインなどの暗号通貨をマイニングし、自分の利益を得ることも出来る[41]。
ランサムウェアは、データの暗号化または破壊に使用されるソフトウェアである。攻撃者は、標的のシステムの復元に対して支払いを要求する。匿名取引を可能にする暗号通貨の出現により、ランサムウェアの需要が劇的に増加している[42]。
知られているハッカーは、自分のために活動する個人であるが、多くのサイバーの脅威は、十分なリソースを持つ専門家のチームである[21]。「サイバー犯罪者の収益の増加は、より多くの攻撃につながり、プロフェッショナリズムと高度に専門化された攻撃者の増加に繋がっている。さらに、他の形態の犯罪とは異なり、サイバー犯罪はリモートで実行可能で、多くの場合は適切に拡張される」[43]多くのサイバー攻撃は、内部関係者による要因であったりするが、多くの場合は従業員はセキュリティ手順を迂回して効率的に業務を遂行している[44]。攻撃者は、日和見的に攻撃しやすいものを選ぶのではなく、スキルと洗練度と特定のターゲットを攻撃する決意において大きく異なる[44]。攻撃者のスキルレベルによって、どのタイプの攻撃を仕掛ける準備ができているかが決まる[45]。最も巧みな攻撃者は、強化されたシステム上で長期間検出されずに存続する可能性がある[44]。
動機や目的も異なる。予想される脅威が受動的なスパイ活動、データ操作、または能動的なハイジャックのいずれであるかに応じて、異なる軽減方法が必要になる場合がある[39]。
ソフトウェア開発と政府は、主に未公開の脆弱性(ゼロデイ)に関心があり[46]、一方、組織犯罪グループは、既知の脆弱性に基づいてすぐに使用できるエクスプロイトキットに興味を持っており[47][48]、ずっと安価で済む[49]。買い手と売り手の両方がダークウェブに広告を掲載して追跡不可能な取引に暗号通貨を使用している[50][51]。さまざまなシステムを攻撃できるソフトウェアの作成と保守が困難なため、犯罪者はエクスプロイトを直接使用するよりも、エクスプロイトを貸し出すことでより多くのお金を稼ぐことができることを発見した[52]。
サイバー攻撃を起こすために使用できるパッケージ化されたソフトウェアを、ハッカーが販売するサービスとしてのサイバー犯罪は、従来のハッキングよりもリスクが低くため、利益の高い活動として増加している[51]。この主な形態は、侵害されたデバイスのボットネットを作成し、別のサイバー犯罪者に貸したり販売したりすることである。様々なボットネットがDDoS攻撃やパスワードクラッキングなどのさまざまなタスクに装備されている[53]。ボットネットの作成に使用されたソフトウェアや[54]購入者のマルウェアをボットネットのデバイスにロードするボットを購入することも可能である[55]。売り手の管理下に保持されたボットネットを使用したサービスとしてのDDoSも一般的であり、サービス製品としての最初のサイバー犯罪である可能性があり、セルラーネットワーク上のSMSフラッディングによっても犯される可能性がある[56]。サービスとしてのマルウェアとランサムウェアは、技術的な能力を持たない個人がサイバー攻撃を実行することを可能にした[57]。
サイバー攻撃の標的は、個人から企業、政府機関まで多岐にわたる[10]。多くのサイバー攻撃は失敗に終わるが、成功したサイバー攻撃は壊滅的な結果をもたらす可能性がある[20]。サイバー攻撃の悪影響を理解することで、組織は防御戦略の費用対効果を高めることができる[27]。ある論文では、サイバー攻撃によって引き起こされる被害をいくつかの領域に分類している[58]
毎日何千ものデータベースが個人から盗まれている[10]。 2020年の推定によると、データ侵害の55%は組織犯罪、10%はシステムアドミニストレーター、10%は顧客や従業員などのエンドユーザー、10%は国家または国家に関連する主体によって引き起こされた[63]。機会主義的な犯罪者は、多くの場合はマルウェアやソーシャルエンジニアリング攻撃を使用してデータ侵害を起こす可能性があるが、セキュリティが平均以上であれば、通常は別の場所に移動する。より組織化された犯罪者はより多くのリソースを持って、特定のデータをターゲットにすることに重点を置いている[64]。両者とも、金銭的利益を得るために入手した情報を販売している[65]。データ侵害のもう一つの原因は、特定の目的を狙う政治的動機を持つハッカー、たとえばアノニマス[66]がある。国家支援のハッカーは、政治弾圧やスパイ活動などの目的で、自国の国民または外国の団体を標的にする[67]。
データ侵害後、犯罪者はユーザー名、パスワード、ソーシャルメディアや顧客ロイヤリティのアカウント情報、デビットカードやクレジットカードの番号などのデータを販売して取引をする[65]。個人の健康情報も含まれる[65]。この情報は、スパム、被害者の忠誠心や支払い情報を利用して商品を入手する、処方薬詐欺、保険#保険詐欺など、さまざまな目的で使用される可能性がある[68]。疑わしい活動が疑われると、調査員はコンピューター侵入の兆候とセキュリティ侵害インジケーターを調査する[41]。違反による消費者の損失は通常、企業にとってマイナスの外部性となる[69]。
重要インフラとは、医療、水道、輸送、金融サービスなど、最も重要だとされるインフラのことであり、その機能をネットワークアクセスに依存するサイバーフィジカルシステム(英語版)(現実とサイバーが緊密に連結しているシステム)によってますます支配されるようになっている[70][71]。何年もの間、2023年において未然のサイバー攻撃の大惨事について警告されてきた2023年現在[update][72]。こうした極端なシナリオが今後も起こりうるが、多くの専門家は、物理的な損害を与えたり恐怖を広めたりするという課題を克服できる可能性は低いと考えている[72]。時には重要なサービスの中断につながるような小規模なサイバー攻撃が定期的に発生している[73]。
侵害による経済的損害(風評被害など)については、直接的なコストを除いて実証的な証拠はほとんどない[74]。法的、技術的、広報的な復旧活動などの事項について[75]。サイバー攻撃と株価の短期的な下落との相関関係を調べた研究では、矛盾した結果が発見された。損失が僅かとする研究の一方、影響がないとする研究もあり、方法論的な根拠でこれらの研究を批判する研究者もいる。株価への影響は、攻撃の種類によって違いが生じることがある[76]。一部の専門家は、証拠は、侵害による直接的なコストや風評被害が、侵害の防止を十分に動機になるほど十分ではないと示していると主張する[77][78]。
政府のウェブサイトやサービスもサイバー攻撃の影響を受ける内の一つである[73]。一部専門家は、サイバー攻撃が社会の信頼や政府への信頼を弱めると説いているが2023年現在[update]、これには限定的証拠しかない[72]。
攻撃に迅速に対応することは、被害を最小限に抑える効果的な方法である。対応には、技術的な調査から法務や広報まで、さまざまな技能が必要とされる可能性がある[79]。サイバー攻撃対策として、一部の企業は攻撃が検出される前にインシデント対応を計画し、インシデントを処理する準備のためにコンピューター緊急対応チームCSIRTが指定される[80][81]。
多くの攻撃は検出されない。そのうち、発見まで平均は197日である[82]。一部のシステムは、ファイアウォール、アンチウイルスソフトウェア、侵入検知システムなどを使用し、攻撃を示す可能性のある異常を検出してフラグを立てることが出来る。不審なアクティビティが疑われば、調査員は攻撃の痕跡と侵害の痕跡を探索する[83]。攻撃が、完全性(データの変更)や機密性(データを変更せずにコピーすること)ではなく、情報の可用性(例えば、DoS攻撃)を標的とする場合、発見はより迅速に実行される[84]。国家主体の攻撃は秘密にされる可能性が高い。精巧なエクスプロイトを使用した高度な攻撃は、加害者はエクスプロイトの有用性を保護したいため、検出または発表される可能性が低くなる[84]。
証拠の収集は迅速に行われ、すぐに消去される可能性が高い不安定な証拠が優先される[85]。侵害に関するデータを収集することで、後の訴訟や刑事訴追を容易にすることができるが[86]、データが法的基準に従って収集され、管理の連鎖が維持されている場合に限る[87][85]。
攻撃後、影響を受けたシステムの封じ込めは、多くの場合で最優先度が高く、遮断、隔離、サンドボックスシステムの活用で、脆弱性を修正し再構する者[85]、の詳細を見つけそれが実行されうる[88]。システムが侵害された正確な方法が特定されると、通常、侵害を封じ込めて再発を防ぐために対処する必要がある技術的な脆弱性は1つあるいは2つである。[89]。ペネトレーションテストにおいては、修正が期待通りに機能していることを確認できる[90]。マルウェアが関与している場合、組織はすべての侵入および流出ベクトルを調査して閉じ、すべてのマルウェアを見つけてシステムから削除する必要がある[91]。封じ込めは調査を危険にさらす可能性があり、いくつかの戦術(サーバーのシャットダウンなど)は会社の契約上の義務に違反する可能性がある[92]。侵害が完全に封じ込められた後、会社はすべてのシステムを稼働可能に復元することに取り組むことができる[93]。バックアップを保持し、インシデント対応手順をテストすることで、復旧が改善される[24]。
サイバー攻撃の帰属を特定するのは困難であり、サイバー攻撃の標的となった企業への関心は限定的である。対照的に、秘密情報機関は、攻撃の背後に国家の存在の有無を調べることに強い関心を持っていることがよくある[94]。体面で行われる攻撃とは異なり、サイバー攻撃の背後にいるエンティティを特定することは困難である[95]。サイバー攻撃の帰属に関わるさらなる課題は、実際の加害者が他人が攻撃をしたように見せかける偽旗攻撃の可能性である[94]。攻撃のあらゆる段階において攻撃者の目標と身元の特定を助けるために使用できる、ログファイルのエントリなどの痕跡を残す可能性がある[96]。攻撃の後、調査員はよく、見つけられる限り多くの痕跡を保存することから始め[97]、次に攻撃者を特定しようとする[98]。法執行機関はサイバー・インシデントを調査する場合があるが[99]、犯人が捕まることは滅多にない[100]。
ほとんどの国では、サイバー攻撃は国際法における武力行使を規定する法律の下に規制されていることに同意しており、したがって、戦争の一形態としてのサイバー攻撃は侵略の禁止に違反する可能性が高い[101]。よって、それらは侵略犯罪として起訴される可能性がある[102]。また、サイバー攻撃は国際人道法によって規制され[103]、民間インフラを標的とした場合は戦争犯罪、人道に対する罪、またはジェノサイド行為として起訴される可能性があることにも同意している[102]。国際裁判所は、根拠のある帰属なしにこれら法律を執行することはできない。また、攻撃の根拠のある帰属なしには、国家による対抗措置もまた合法ではない[104]。
多くの国では、サイバー攻撃はサイバー犯罪を対象とした多くの法律に基づき起訴が可能である[105]。その攻撃が被告人による攻撃として合理的な疑いより立証可能なのかも、刑事訴訟における大きな課題である[106]。2021年、国際連合加盟国サイバー犯罪条約草案の交渉を開始した[107]。
アメリカの多くの管轄裁判所は、サイバー攻撃によって個人データの侵害を通知することを義務付けるデータ侵害通知法(英語版)がある[108]。
Lokasi Pengunjung: 3.22.241.139