この記事は、Umbrella – US Revenue MarketingのLorraine Bellonによるブログ「Cybersecurity Terms and Threats You Need to Know in 2020」(2020/1/14)の抄訳です。
専門用語が延々と続くのを聞いて、楽しむ人がいるでしょうか?
おそらくいないでしょう。
専門用語によって混乱する場合も多くあります。セキュリティ会議に初参加する場合などは、技術的な用語や接頭語を解説してくれる通訳が必要だとさえ感じるかもしれません。
サイバーセキュリティに精通する Cisco Umbrella チームですが、混乱を招くのは避けたいところです。今回の記事では、2020 年に知っておくべき重要なサイバーセキュリティ用語について解説します。
パート 1:脅威
バックドア:プログラムまたはシステムに(一般的には不正な目的で)迅速かつ秘密裏に侵入するための入口。バックドアは既知の脆弱性を使用して攻撃者により設置され、システムへの侵入に使われる可能性があります。
ボットネット:「ロボットネットワーク」の略語。感染した複数のマシンから構成されるネットワークを指します。暗号通貨の不正マイニングから DDoS 攻撃、ブログに対するスパムコメントの自動入力といった不正アクティビティに使用されます。
コマンド&コントロール(C2)攻撃:ネットワークの内部から始まる種類の攻撃。その性質から特に危険です。ファイアウォールなどのセキュリティ技術は、ネットワークに侵入しようとする不正操作や悪意のあるファイルを認識して阻止するように設計されています。ただし C2 攻撃は一般的な脅威よりも厄介です。当初はファイルが有害な兆候を示さないため、ファイアウォールによって無害だと判断され、ネットワーク内への侵入を許してしまう可能性があるためです。ファイルが侵入に成功しても、一定期間(またはリモートからの操作があるまで)は休止状態になります。休止状態を抜け出した後は悪意のあるドメインに到達し、有害なデータをダウンロードして、ネットワークを感染させます。
サービス妨害(DoS)攻撃:被害者のリソースを枯渇させることで、システムを使用不可または到達できない状態、つまり実質的なシステムダウンに陥らせる手口。金銭的、政治的、または他の動機で Web サイトやサーバをオフライン(ダウン)状態にさせることが目的です。DDoS(分散型サービス妨害攻撃)は DoS 攻撃の一種で、一般に複数のホストをボットネットを介して使用します。
ドライブバイダウンロード:悪意のある Web ページにアクセスした被害者に、通知や同意なくマルウェアを秘密裏にインストールする攻撃。多くのケースでは、ブラウザやブラウザ用プラグインに存在する脆弱性を利用することで、無害なアクティビティに見せかけてダウンロードを強制します。最新の安全なブラウザを使用することで、この種の攻撃から保護できます。
エクスプロイト:システムの弱点(脆弱性)を突いた攻撃。不正なソフトウェアやデータ、さらにはソーシャルエンジニアリング(IT サポートなどの正当な人物を装ってパスワードを聞き出す手口)まで利用されます。エクスプロイトのリスクを最小限に抑えるには、ソフトウェアを最新の状態に保ち、ソーシャルエンジニアリングの手口について把握していることが重要です(以下を参照)。
マルウェア:システムの破損、損傷、または無効化を意図したプログラムの総称。最近の例には Razy、TeslaCry、NotPetya、Emotet などがあります。
- 仮想通貨マイニングマルウェア:暗号通貨を採掘するための、攻撃者によるシステムリソースのハイジャック。仮想通貨マイニング自体は、悪意があるとは限りません。多くのユーザは自身のシステムで暗号通貨を採掘しているからです。ただし、仮想通貨マイニングマルウェアはブラウザベースまたはソフトウェアベースの脅威です。攻撃者にとっては、自身のリソースを消費せずに済む、匿名で楽な金銭獲得手段だと言えます。仮想通貨マイニングマルウェアの脅威について、詳しくはこちらをご覧ください。
- ランサムウェア:攻撃者のみ知る暗号化キーを使用して、被害者のデータを暗号化するマルウェア。データは、被害者が身代金(通常は暗号通貨)を支払って復号するまで使用できなくなります。ランサムウェアは急速に拡大している深刻な脅威です。詳しくは、最新のランサムウェア防御ガイドをご覧ください。
- ルートキット:システム内に隠れて検出を防ぎ、攻撃者によるシステムへの継続アクセスを可能にする不正コード。システムへのフルアクセスを取得した攻撃者は、ルートキットを使用することで、長期間にわたってアクセスを維持できます。
- スパイウェア:ユーザ自身の情報やオンライン履歴を収集してサードパーティに送信する不正なソフトウェア。
- トロイの木馬: 悪意のあるコードが内部に潜む、一見無害なプログラム。侵害による被害は、データの窃取からシステムの遠隔制御まで、ケースごとにさまざまです。「トロイの木馬」の名称は、ギリシャ新話に登場する同名の装置に由来しています。
- ウイルス:電子メールの添付ファイルやオンラインでダウンロードしたファイルなどに付加されているコードの総称。ウイルスに感染すると、システムファイルの削除からデータの破損まで、幅広い被害を被る可能性があります。病原体のウイルスと同じく、複製を繰り返しながらネットワーク全体に拡散します。
- ワーム:本体を複製しながら他のコンピュータに拡散するマルウェア。感染したシステムに及ぼす損害の種類は多岐にわたります。ただしウイルスと異なり、ワームは独立して存在、動作します。添付ファイルなどの他のファイルに隠れていることはありません。
中間者攻撃(MITM 攻撃):名前から想像できるタイプの攻撃。攻撃者は、2 つの当事者間で(双方に悟られないように)メッセージを傍受、中継、改ざんします。暗号化の解除やログイン情報の窃取、システムへの不正アクセスなどに使用される手口です。
フィッシング:正当なコミュニケーション(オンラインバンキング関連の連絡メールなど)を模倣し、機密情報を盗む手口。ルアーで魚をおびき寄せる釣りと同様に、攻撃者は偽の電子メール、フォーム、Web ページを表示させ、そこに個人情報を入力するよう被害者を誘導します。
- スピアフィッシングはフィッシング攻撃の一種です。名刺や SNS のプロファイルといった公開情報を基に、特定の個人を標的にする手口です。
- ホエーリングはスピアフィッシングが高度化した攻撃で、CEO や政府高官といった重要人物を狙います。
ソーシャルエンジニアリング:被害者を操り情報を盗み出そうとする手口の総称。電子メール、電話、Web フォーム、ソーシャルメディアなどが操作に使われます。信頼できると思える相手には、パスワード、ログイン情報、マイナンバーといった情報をたやすく伝えがちです。しかし相手は本物でしょうか?重要な情報を共有する際は細心の注意が必要です。公式のカスタマーサポート番号にかけ直すなど、相手の身元を確認する対策も必須です。
ゼロデイ(0-day):修正プログラムが存在しない、新しいソフトウェア脆弱性をエクスプロイトすること。脅威からの防御は難題ですが、単独で行う必要はありません。Cisco Talos のセキュリティ専門家がサポートいたします。
パート 2:ソリューション
マルウェア対策:上に記載されているウイルスやワームなどのマルウェアをブロック、根絶、破壊するための、多岐にわたるソフトウェア。新しい脅威にも効果を発揮させるには、マルウェア対策を定期的に更新する必要があります。マルウェア対策は、オンプレミスかクラウドかを問わず、ネットワークチェーン内の各所(電子メール、エンドポイント、データセンター、クラウドなど)に配置できます。
クラウド アクセス セキュリティ ブローカ(CASB):環境全体で使用されているクラウドアプリケーションを検出し、レポートを生成できるソフトウェア。クラウドアプリケーションとそのリスクプロファイルを可視化し、特定のアプリをブロック/許可できます。クラウドアプリケーションの保護について、詳しくはこちらをご覧ください。
クラウド セキュリティ: 情報セキュリティとネットワークセキュリティのサブカテゴリ。「クラウドセキュリティ」とは、パブリック、プライベート、またはハイブリッドクラウド環境で機密データを保護するためのセキュリティポリシー、テクノロジー、アプリケーション、制御を指す、広範な用語です。
DNS レイヤ セキュリティ:脅威防御の最前線。インターネットアクセスへの第一段階は DNS の解決です。DNS 保護ソリューションは、悪意のある宛先への要求を、接続が確立される前にブロックします。ポートやプロトコルを利用した脅威についても、ネットワークやエンドポイントに到達する前に阻止します。DNS 保護ついて、詳しくはこちらをご覧ください。
電子メール セキュリティ:電子メールメッセージのアクセスとコンテンツから組織を保護するためのテクノロジー、ポリシー、プラクティス。多くの攻撃では、電子メールを使った詐称(「フィッシング」の項を参照)や、電子メールの不正な添付ファイルとリンクが使われています。堅牢な電子メール セキュリティ ソリューションは、電子メールがネットワーク経由で送られてきたのか、ユーザのデバイス上にあるのかを問わず、攻撃から保護します。
暗号化:メッセージをスクランブル(特定の復号方法でしか内容がわからないように攪乱)することで、相手に届くまでに読み取られることを防ぐプロセス。暗号化にはいくつかの方式があり、堅牢なセキュリティ戦略で要となる要素です。
エンドポイント セキュリティ:DNSレイヤセキュリティが脅威に対する最初の防御ラインである場合、エンドポイントセキュリティを最後の防御ラインと考えるかもしれません。エンドポイントには各種 PC、タブレット、スマートフォン、デスクフォン、ウェアラブルデバイスなどが含まれます。ネットワークアドレスを持つ限り、あらゆるデバイスが侵入経路になり得ます。エンドポイント セキュリティ ソフトウェアをエンドポイントに導入すれば、脅威の検出、防御、修復の各機能により、ファイルベース/ファイルレスを問わず各種マルウェアから保護できます。
ファイアウォール:無法地帯とも言えるインターネットトラフィックに対して信頼性の有無を判断し、セキュリティルールに基づいてアクセスを制御するソリューション。ハードウェアベースとソフトウェアベースの製品に分かれるほか、スタンドアロンのセキュリティアプライアンスやクラウド提供型ソリューションも存在します。
次世代ファイアウォール(NGFW):進化した業界最先端のファイアウォール。他のセキュリティスタックと全面統合されることが多い、脅威に重点を置いたソリューションです。ネットワークからエンドポイントに至るまで、ファイアウォール機能、アプリケーション制御、脅威防御、高度なマルウェア防御に向けた包括的な統合ポリシー管理を提供します。
セキュリティ情報およびイベント管理(SIEM):セキュリティ情報管理(SIM)製品とセキュリティイベント管理(SEM)製品を指す、広義な用語。SIEM により情報とイベントを一元化し、セキュリティチームが活用できます。
Secure Web Gateway(SWG):すべての Web トラフィックを検査して記録することで、透過性、制御、保護を向上させるプロキシ。マルウェアの有無について受信ファイルをリアルタイムで検査できるほか、サンドボックス機能や、全体または部分的な SSL 復号、コンテンツフィルタリング、特定のユーザアクティビティを指定アプリでブロックする機能などを利用できます。
Secure Internet Gateway(SIG):幅広い接続形式、コンテンツ制御、アクセステクノロジーを統合し、ネットワーク内外でインターネットアクセスを保護する、クラウド提供型のソリューション。クラウド提供型という性質のため、ユーザの場所や接続先を問わずトラフィックをゲートウェイにルーティングし、検査とポリシー適用によりアクセスを保護できます。ハードウェアやソフトウェアを追加せずに、従来のネットワークエッジを超えてセキュリティを拡張できるのが特徴です。ユーザ、デバイス、エンドポイント、データを保護するための最新の包括ソリューションとして、数千の企業が採用しています。
Secure Access Service Edge(SASE):Gartner 社により導入された、エンタープライズネットワーク・セキュリティ分野の完全に新しい概念。SASE とは、ネットワークとセキュリティサービスを一つに統合したユニファイドソリューションを指します。データセンターからリモートオフィス、ローミングユーザに至る全体をくまなくカバーし、強力なセキュリティを実現します。独立した強力なソリューションが一元化されているため、クラウドからどこにでも展開できるのが特徴です。ネットワーク保護に必要な労力とコストを削減しつつ、ネットワークのパフォーマンスを向上させ、防御を強化できます。
サイバーセキュリティは絶えず急速に進化しているため、対応することは困難です。ぜひ今回の記事をブックマークに追加してご活用ください。新しい脅威やテクノロジーに関する最新情報も適宜追加していきます。詳細については、サイバーセキュリティ調査に関する最近のブログ記事をご覧いただくか、今月にバルセロナで開催予定の Cisco Live EMEA にてシスコの担当者に尋ねください。ぜひお気軽に質問やコメントをお寄せください。