いまや企業にとって「情報」は最重要資産の1つであり、情報システム担当者に対しては、この情報を守る使命が課せられるようになっている。とはいえ、次々と新しいサイバー攻撃手法が登場するなど、情報セキュリティの世界は覚えなければならない知識が多すぎる。とりわけ中堅・中小企業の情報システム担当者にとっては、一人で行う業務が多岐にわたるなか、とてもセキュリティの勉強にまで時間も手間も割けられないというのが本音だろう。そこで本連載では、“必要最小限”をモットーに、情報システム担当者としてこれだけは知っておかねば“ダメ、ゼッタイ”なセキュリティ用語をテーマ別にコンパクトに解説する。第5回は不正送金についてだ。
ここ数年、国内で深刻な被害をもたらしているのが、オンラインバンキングでの不正送金事件だ。警察も取り締まりに力を入れているこのサイバー犯罪には、最新の攻撃手法が用いられることが多い。
MITB攻撃
「MITB」攻撃とは、「Man in the Browser」攻撃の略で、文字通り、感染したマルウェアがユーザーのブラウザを実質的に乗っ取ってしまうという攻撃手法である。国内では2014年にオンラインバンキングの不正送金に悪用されたことから特に危険性が叫ばれた。MITB攻撃では、通常の認証後に送金先が変更されるという手口がよく用いられることから、銀行側も利用者側も攻撃に気づきにくい。
ドライブ・バイ・ダウンロード攻撃
ユーザーがWebページを閲覧しただけでマルウェアに感染してしまうのが、「ドライブ・バイ・ダウンロード」攻撃である。正規のWebサイトが攻撃者により改ざんされ、不正なコードやスクリプトが埋め込まれることで、サイト閲覧者は強制的にマルウェアをインストールされてしまう。MITB攻撃をはじめ不正送金のマルウェアが仕込まれることも多い。
水飲み場型攻撃
「水飲み場型攻撃」は、ドライブ・バイ・ダウンロードを応用した標的型攻撃の一種である。ある特定の人や組織がよく訪れるWebサイトを改ざんしてドライブ・バイ・ダウンロード攻撃を行うというもので、肉食獣が水飲み場に集まる獲物を狙うのになぞらえて、水飲み場型攻撃と名付けられた。やはり不正送金マルウェアに感染させる手口の1つとされている。
監修:ソフォス
ソフォスは1995年の創立以来30年以上ITセキュリティ製品を取り扱うベンダーとして、150ヶ国10万社以上の法人企業と 1億人以上のユーザーに利用されている。さらに同社は、脅威データの収集、相関分析、解析を行い、ユーザーに最善な保護を提供し続ける「SophosLabs」を有し、24時間 / 365日新種の脅威に対処し監視・解析を行っている。
ソフォスのHPはこちらセキュリティ業界の最新情報やソフォスの製品情報をお届けする
SOPHOS INSIGHTはこちら
(マイナビニュース広告企画:提供 ソフォス)
[PR]提供:
