株式会社ジンテック

Jライブラリー

攻撃者の心理を知る:サイバー犯罪の動機と手口の裏側(第8回)

名和利男 コラム

サイバー攻撃は単なる技術的な問題ではなく、攻撃者の心理や目的が深く関与しています。特に金融機関は、攻撃者にとって高い価値を持つ標的です。防御策を強化するためには、攻撃者がどのような心理で、どのような目的を持って攻撃を仕掛けてくるのかを理解することが重要です。本コラムでは、サイバー攻撃者の視点を取り入れ、彼らの動機や手法について深く掘り下げ、金融機関が備えるべきリスク対応策の重要性について解説します。

攻撃者の目的と種類

経済的利益を追求するサイバー犯罪者

サイバー攻撃者の中には、純粋に経済的な利益を追求する犯罪集団が存在します。これらのグループは、銀行口座やクレジットカード情報など、金銭的価値の高い情報を狙い、個人や企業に損害を与えます。特に、顧客情報や口座情報を狙ったフィッシング詐欺は金融機関にとって大きなリスクです。たとえば、金融機関のブランドを模した偽の電子メールやウェブサイトを通じて顧客情報を不正に取得し、その情報を悪用する事例が多く報告されています。このような攻撃者にとって、金融機関は常に魅力的な標的です。

政治的・社会的メッセージを広めるハクティビスト

一部の攻撃者は、経済的利益ではなく、社会的・政治的なメッセージを広めるために活動しています。彼らは「ハクティビスト」と呼ばれ、自己の主張を広めるために金融機関のデータ改ざんやシステム停止を狙うことが多いです。たとえば、金融業界の特定の政策や企業活動に抗議する目的で、金融機関のウェブサイトを改ざんし、社会の注目を集める手口がしばしば用いられます。このようなハクティビストによる攻撃は、金融機関のブランドイメージにも影響を及ぼす可能性があるため、注意が必要です。

国家支援のサイバー攻撃者

さらに高度な攻撃者として、国家の支援を受けたサイバー攻撃グループが挙げられます。彼らは、国家の意向に従い、金融機関を通じて経済制裁の回避や政治的な影響力を広げるための戦術を展開します。金融システムやインフラへの侵入を図り、経済的混乱や国家間の緊張を生じさせることを狙うケースもあります。こうした攻撃は、一般の犯罪者によるものよりも高度で、影響も広範囲に及ぶため、金融機関にとって非常に大きな脅威です。

攻撃手法とその進化

フィッシングやマルウェアの高度化

攻撃者の手口は進化し続けており、フィッシング詐欺やマルウェア攻撃も巧妙化しています。たとえば、金融機関の正式な文書を偽装し、顧客をだまして個人情報を提供させるフィッシング攻撃は、顧客の信頼を悪用する巧妙な手法です。また、マルウェアの種類も増え、銀行トロイの木馬(銀行の口座情報やクレジットカード情報を盗むために設計されたマルウェアの一種)やランサムウェアといった新たな脅威が登場し、金融システムのセキュリティを突破するための方法が絶え間なく開発されています。

ここ数年、フィッシング詐欺が急増し、ワンタイムパスワード(OTP)がサイバー犯罪者に盗まれる事例が頻発するようになりました。OTPは二要素認証(2FA)の一環として導入されましたが、犯罪者は銀行トロイの木馬や偽のログインページを活用して、ユーザーからOTPを巧妙に収集する手法を確立しています。このような高度化する攻撃手法に対抗するため、シンガポールの銀行は2024年7月にOTPの廃止を決定し、デジタルトークンへの移行を推進しています[1]。これは、フィッシング攻撃に対するセキュリティの進化を象徴する事例といえます。

標的型攻撃と心理的操作の重要性

標的型攻撃では、金融機関の内部情報や関係者の心理を狙い撃ちにすることが一般的です。攻撃者は、従業員を装って関係者に接触し、信頼を得てからシステムに侵入するソーシャルエンジニアリングを利用することがあります。特に、金融機関の幹部や管理職を標的とし、個人情報やアクセス権を巧妙に取得することで、さらなる被害をもたらすリスクが高まります。

2024年、ある企業がサイバー犯罪者をリモートワーカーとして誤って雇用した事例がありました。この攻撃者は、履歴や個人情報を偽り、IT分野の職務に就いた直後から企業のネットワークにアクセスを開始しました。内部の信頼を巧みに利用し、少しずつ機密データにアクセスする権限を得た攻撃者は、その後、大量の機密情報をダウンロードしました。最終的に攻撃者は、この情報を公開または販売すると脅迫し、身代金として暗号通貨で6桁の金額を要求しました[2]。この事例は、標的型攻撃において、攻撃者が心理的操作を駆使して組織内部に侵入するリスクの深刻さを示しています。

攻撃者視点を理解することの意義

守りの意識を超えたリスク対応の必要性

サイバー攻撃に対する効果的な対策を講じるためには、単なる防御を超えて、攻撃者の視点でリスクを捉えることが求められます。攻撃者がどこに脆弱性を見出し、どのような手口で侵入を図るかを理解することで、金融機関は防御策の優先順位や効果的な対応策を策定できます。攻撃者の意図や行動パターンを知ることは、防御の枠を超えたリスク対応策の構築に役立つでしょう。

心理的リスク管理の重要性

攻撃者の心理を考慮したリスク管理は、サイバーセキュリティの早期対応と予防に寄与します。たとえば、攻撃者が心理的に好む脆弱性(例:人間の信頼や判断ミス)を予測し、これに対応する対策を組み込むことで、組織全体で包括的なリスク対応が可能になります。金融機関における心理的アプローチは、単なる技術的防御を超え、リスク管理を強化するための有効な手段となります。

おわりに:持続可能な防御策の構築

攻撃者の心理や動機を理解することは、金融機関が長期的なリスク管理を行うために必要不可欠です。サイバー攻撃者の視点を取り入れた対策を構築することで、ただの防御ではなく、持続可能なサイバーセキュリティ体制を築くことが可能です。金融機関に求められるのは、攻撃者の動向を理解し、その背後にある心理や意図に応じた包括的なリスク対応です。これにより、組織は単なる「被害者」から、「攻撃者に対応できる防御者」へと一歩進むことができるでしょう。

[1]     Singapore Banks to Phase Out OTPs for Online Logins Within 3 Months
https://thehackernews.com/2024/07/singapore-banks-to-phase-out-otps-for.html

[2]     Firm hacked after accidentally hiring North Korean cyber criminal
https://www.bbc.com/news/articles/ce8vedz4yk7o

※本内容の引用・転載を禁止します。

Cookie の使用について
当ウェブサイトでは、お客様の利便性向上や、サイト改善のためにCookieを使用しています。
詳細についてはCookieポリシーをご覧ください。

pagetop