攻撃者の種類をイメージしてみる
私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で”不正のトライアングル~内部不正の原因と対策~”について書きました。
今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。
安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。
攻撃者の種類
サイバー攻撃をする人をイメージすると、難しい技術で脆弱性(弱点)を攻撃してくるんだろうな。と、漠然と不安になります…
ですが、情報セキュリティに関する攻撃者といってもさまざまな種類の人がいるそうです。代表的な攻撃者の種類は、次のようなものがあります。
スクリプトキディ
インターネット上で公開されている簡単なクラッキングツール(コンピュータを不正に利用することを目的としたツール)を利用して不正アクセスを試みる攻撃者の事です。 他人が作ったツールを利用して、台本通りにしか攻撃できない幼稚な攻撃者という意味合いが込められています。
内部関係者
従業員や業務委託先の社員など、組織の内部情報にアクセスできる権限を不正利用して、情報を持ち出したり改ざんしたりする攻撃者の事です。
愉快犯
人や社会を恐怖に陥れて、その様子を見て喜ぶことを目的にサイバー犯罪を行う攻撃者の事です。2000年頃(初期)の攻撃者は個人によるもので、自分のスキルをアピールするためにいたずら目的とした愉快犯が多かったようです。
詐欺犯
送信者を詐称した電子メールを送付したり、本物そっくりのWebサイトに誘導して個人情報(ログインID、パスワード、クレジット情報)などを摂取するような詐欺を行う攻撃者の事です。
故意犯
罪を犯す意思をもって犯罪を行う攻撃者が故意犯です。逆に、犯罪を行う意思がないのに注意義務を怠るなどの過失によって罪を犯してしまう攻撃者のことを過失犯といいます。
いままでサイバー攻撃をする人と言われても、いまいち具体的なイメージが湧きませんでした。ですが、こうして攻撃者の種類を学習することによって、セキュリティ対策についてより現実的な検討ができるのではないかと思いました。自分の近くにも攻撃者が潜んでいるような気がしてドキドキしてきます。
攻撃の動機
サイバー攻撃をする動機というと、個人情報(ログインID、パスワード、クレジット情報)を搾取して金銭目的とする動機が多いイメージですが、情報セキュリティに関する攻撃の動機には、様々なものが考えられるそうです。代表的な動機は次のようなものがあります。
金銭奪取
金銭的に不当な利益を得ることを目的に行われる攻撃です。個人情報(ログインID、パスワード、クレジット情報)など金銭につながる情報を得ることも含まれます。ハクティビズム
ハクティビズムはハッカーの思想のことで、政治的・社会的な思想に基づき積極的にハッキングを行います。ウィキリークスやアノニマスが有名です。サイバーテロリズム
ネットワークを対象に行われるテロリズムです。人に危害を与える、社会機能に打撃を与える、といった深刻かつ悪質な攻撃のことを指します。政府機関や銀行、インフラ関連(公共施設、水道、電気、交通機関)のシステムが標的になる、大規模な攻撃が考えられます。
不正のトライアングル理論の1つである攻撃の動機、普段身近でよく聞く金銭目的のものから、社会的思想や国家的規模のものまで、サイバー攻撃や不正行為が行われるきっかけは色々ある事がわかります。
※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。
徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著
攻撃者の種類や動機を具体的にイメージしていくと、対策方法もそれぞれ検討する必要があるんじゃないかなと思いました。
例えば、内部関係者に対しては不正されない環境を作り、また詐欺メールや詐欺サイト(詐欺犯)に対しては、騙されないように組織内に注意喚起をしていく必要があると思います。
「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。
弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。
Web制作ならアズシエルにご相談ください。
Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!
この記事をSNSでシェアする!