NEWS【OFFICE110独立支援】法人営業のフランチャイズオーナーを全国で募集中!
NEWSOFFICE110フランチャイズオーナー募集

サイドチャネル攻撃とは?6つの攻撃手法、被害事例、対策を簡単解説【お役立ち情報】 | OFFICE110

「サイバー攻撃の種類と被害」記事一覧

サイドチャネル攻撃とは?6つの攻撃手法、被害事例、対策を簡単解説

サイドチャネル攻撃とは?6つの攻撃手法、被害事例、対策を簡単解説

「サイドチャネル攻撃」という暗号解読方法があります。

これは、機密情報を盗み出すために機器の動作や状態を観察したり、特殊な機器を用いて機器が発する信号を手がかりに情報を盗み出す方法です。

具体的にどうやって情報を盗み出すのか、今ひとつピンとこないのですが…。
イメージできないのも無理はありません。例えば、ICカードに付いている金属チップや、パソコンから発せられる電磁波をもとに情報を盗み出すんですよ。

サイドチャネル攻撃の手口にはいくつか種類があり、手法も巧妙で、対策を取らなければ誰もが被害に遭う可能性があります。

そこで本記事では、サイドチャネル攻撃の基本から攻撃手法被害事例効果的な対策までわかりやすく解説します。

この記事の目次

  1. 1.サイドチャネル攻撃とは?

  2. 2.サイドチャネル攻撃の6つの攻撃手法

  3. 3.実際にサイドチャネル攻撃を受けた被害事例

  4. 4.サイドチャネル攻撃に効果的な対策は?

  5. 5.サイドチャネル攻撃を防ぐ!おすすめのセキュリティ対策商品

  6. 6.まとめ

サイドチャネル攻撃とは?

サイドチャネル攻撃とは?

サイドチャネル攻撃とは、機器が発している暗号を解読して情報を読み取る攻撃です。

通常、サイバー犯罪者が情報を盗むには、ウイルスに感染させたり不正アクセスを行います。
しかしサイドチャネル攻撃は、機器が発する信号正常時と異常時の動作の違いなどから情報を盗み取ります。

暗号を解読して情報を盗む行為に、機器を破壊して暗号を解読する「破壊攻撃」があります。
しかしサイドチャネル攻撃は、機器を破壊せずそのままの状態で暗号を解読するため「非破壊攻撃」になります。

テンペスト攻撃との違い

サイドチャネル攻撃とよく似た攻撃の一つに、「テンペスト攻撃」があります。

どちらも機器が発する電磁波や信号を読み取って情報を盗むことを指しますが、サイドチャネル攻撃は暗号を解読する攻撃に対し、テンペスト攻撃は盗聴を目的に行われます。
つまりテンペスト攻撃は、ラジオのように電磁波や信号を受信することはできますが、暗号を解読することはできません

その点では、暗号化しても情報が知られてしまう「サイドチャネル攻撃の」方が厄介です。

サイドチャネル攻撃の6つの攻撃手法

次に、サイドチャネル攻撃の種類を6つご紹介します。

  1. 1. タイミング攻撃
  2. 2. 電力解析攻撃
  3. 3. 電磁波解析攻撃
  4. 4. 故障利用攻撃
  5. 5. キャッシュ攻撃
  6. 6. 音響解析攻撃

高度な知識と技術が必要な犯罪ですが、今後便利な犯罪ツールが開発されますます増加する可能性もあるので注意が必要です。

①タイミング攻撃

タイミング攻撃とは、機器に様々な命令を出し、命令を処理する時間差を分析して情報を盗む攻撃です。

例えば、英字と数字のみで構成される8桁のログインパスワードを見つけ出すために1文字目の英字と数字を全て試し、応答時間を取得します。
入力文字列を少しづつ変えてその応答時間を見ていくことで、隠されたパスワードをあぶり出すことができるというわけです。

例えば、もしも1文字目に「d」を試したときだけ応答時間が長かった場合は、1文字目は「d」だと判断できるわけです。

②電力解析攻撃

電力解析攻撃とは、簡単にいうと「タイミング攻撃の電力版」です。
タイミング攻撃では命令を処理する時間差で暗号を解読しようとしましたが、電力解析攻撃は「電力消費」の違いで暗号を解読します

つまりコンピュータによる暗号化や複合処理をする際の消費電力を測定し、その消費電力を分析して暗号を解読します。
海外では電力解析攻撃ツールが販売されているため、専門知識のある人なら誰でもできてしまう攻撃です。

③電磁波解析攻撃

電磁波解析攻撃は、コンピュータやIoT機器などの本体やケーブルから発せられる、微量の電磁波から情報を盗み取る攻撃です。

④故障利用攻撃

故障利用攻撃は、ICカードについているICチップなどに衝撃を加えて正常に動作しないようにし、ICチップの仕様や設定を変えてしまう攻撃です。

または正常時と故障時の動きを比較し、その差から暗号や情報を盗み取ることもできます。

⑤キャッシュ攻撃

「キャッシュ」とは、よく利用するデータをあらかじめ端末内に取得しておくことで、データの読み込み時間を短縮する機能です。

キャッシュの中に入っていないデータは、取り出して使うまでやや時間がかかります。
そこでキャッシュ攻撃は、その時間差を利用した攻撃(ページキャッシュアタック)です。

サイバー犯罪者が欲しいデータを無理やり呼び出し、呼び出されるまでにかかる時間によって、キャッシュに入っているデータが何かを推測します。

⑥音響解析攻撃

コンピュータが動くときに発するノイズを解析して、情報を推測し盗もうとする攻撃(音声解析攻撃)です。

【限定20社】サイバーセキュリティ無料診断実施中!通常10万円以上の現地調査が0円

実際にサイドチャネル攻撃を受けた被害事例

サイドチャネル攻撃によって被害を受けた、また改造製品が出回った事例をご紹介します。

被害事例①テレビのB-CASカード改造

地上デジタル放送のテレビを見る際、受信機に差し込むカードを「B-CAS」カードといいます。
このカードを差し込むと、契約した有料放送などを一つの受信機で見ることができます。

しかし2012年に、この「B-CAS」カードを改造して有料チャンネルが登録なしで見放題になる「BLACKCASカード」が出回りました。
B-CASカードのICチップに含まれる暗号を書き換えて、有料チャンネルを登録なしで見られるように改造したものです。

被害事例②Googleの「Titan セキュリティキー」に脆弱性

Googleが販売した「Titanセキュリティキー」に、サイドチャネル攻撃によって情報が盗まれる脆弱性が発覚しました。

「Titanセキュリティキー」は、安全・簡単に二段階認証をおこなうための商品です。
ログインした後にUSBポート口にキーを差し込み、表面に触れると二段階認証が完了します。

しかしこの商品本体を分解して「電磁波解析攻撃」を行ったことにより、二段階認証の暗号が解読され突破されてしまう脆弱性が見つかったという事例です。

サイドチャネル攻撃に効果的な対策は?

サイドチャネル攻撃で情報を盗み取られないために、今からできる対策をご紹介します。

対策①機器をしっかり管理する

サイドチャネル攻撃は、ターゲットの機器がサイバー犯罪者の手元になければほぼ不可能な攻撃です。
ということは、大切な機器を日頃からしっかり管理することである程度は防げます。

    【機器の紛失を防ぐには?】

  • 機器にセキュリティワイヤーをつける
  • 機器の持ち出しは最低限度に留める
  • 大切なデータや情報はクラウド上に保管
  • 機器紛失時のフローを決めておく

さらに、「機器紛失時のフロー」をしっかり決めておくことも重要です。
機器を紛失したらまずどこへ連絡すべきなのか、社内で統一しておきましょう。

テレワークが増えて機器を外部へ持ち出すようになったので、さらに注意しないといけませんね。
万が一機器を紛失しても情報が漏れないよう、大切な情報はクラウド上に保管することがおすすめですよ。

対策②耐タンパー性のある機器を利用する

耐タンパー性とは、情報を読み取ろうとする動きを察知した際に機器自体が自動で内部の情報を破壊してくれる性質
この性質があれば、機器が盗まれたり、サイドチャネル攻撃が行われた際に情報漏洩を防げます

現在のパソコンや機器にはほとんど耐タンパー性がありますが、まれに古い機種のパソコンを使用する際には耐タンパー性が無いこともあるので注意が必要です。

対策③機密情報を適切に管理する

情報の管理方法は紙、クラウドとさまざまですが、機密情報はなおさら信頼性の高い方法で管理しましょう

例えば、情報を置く機器としては国際規格の「HSM(ハードウェアセキュリティモジュール)」の導入がおすすめです。
HSMは暗号解読による情報漏洩を防ぎ、情報を適切に管理してくれます。

導入コストがかかりますが、情報漏洩のリスクを抑えられる上に、機器の処理スピードの向上から業務の効率化につながります。

サイドチャネル攻撃を防ぐ!おすすめのセキュリティ対策商品

サイドチャネル攻撃を防ぐために、おすすめのセキュリティ対策商品をご紹介します。

情報の完全消去・バックアップなら「Air Back」

air back

サイドチャネル攻撃を防げるセキュリティ対策商品なんてあるんですか?
はい、ございます!情報をあらかじめ安全な場所へバックアップしておき、機器が盗まれたら情報を完全消去すれば良いのです。

Air Back」は機器内の情報を遠隔で完全に消去してくれるので、PCの盗難や紛失でも安心です。
さらにデータのバックアップや暗号化に優れているため、関係者しか出入りできない安全な空間に大切な情報を保存できます

    【Air Backの機能】

  • ファイルのみバックアップするため軽快に動作する
  • バックアップデータを暗号化して保存
  • アプリやソフトの使用中でもバックアップ可能
  • ファイル更新時、シャットダウン時などバックアップタイミングの設定が可能

セキュリティ対策のオールインワン「Cyber Box Pro」

CYBER BOX PRO

情報漏洩の脅威は、サイドチャネル攻撃だけではありません。例えばウイルス感染などの外的要因だけではなく、社員による情報の持ち出しやヒューマンエラーなどの内的要因も考えられます。
では、どうやって対策すれば良いのでしょうか?できる限り費用や人員を費やしたくないのですが…。
では、企業に必要なセキュリティ機能をパッケージ化した「Cyber Box Pro」がおすすめです!様々なセキュリティ機能がついて月々9,800円~と、低コストで無理なく運用できます。

Cyber Box Pro」は、中小企業に必要なセキュリティ機能をひとつにまとめた最高峰セキュリティシステム。

セキュリティソフトを一つひとつ導入すると高額になりますが、CYBER BOX PROは必要なセキュリティ機能をパッケージ化して安価で提供しているため、大変導入しやすくなっております。

「CYBER BOX PRO」の基本機能紹介

  1. 1.タフで高機能、大容量のNAS
    大容量7.3TBのBOX型オリジナルデスクトップサーバ。
    SSD搭載で高速起動を実現、障害時の切り分けも簡単です。
  2. 2.リアルタイムバックアップで安心
    ファイルやメールのデータ変化をリアルタイムに検知・バックアップ。
    99世代までのデータを戻すことができます。
  3. 3.ファイル共有・アクセス権限の変更が可能
    ファイルごとにアクセス権限を変更し、閲覧・編集が可能。
    社内外からのデータのやり取りも安心かつ簡単です。
  4. 4.全ての機器のログ解析も
    リアルタイムで、様々なログを手間なく確実に記録。
    不正操作を防止し、原因の調査も簡単です。
  5. 5.セキュリティソフトでサイバー攻撃を防ぐ
    PCウイルスや不正侵入などから、PCやサーバを防御。
    未知の脅威に対しても効果を発揮します。
  6. 6.トラブル時にも安心の遠隔サポートも
    トラブル時には、サポートチームが遠隔でサポート。
    余計な手間もコストもかけず、簡単に問題を解決できます。

またOFFICE110では、通常は10万円以上のセキュリティ診断を無料で実施しております。

「自社にはどんなセキュリティ対策が必要なのか分からない」「何から対策を始めたら良いか分からない」そんな方は、ぜひお気軽にOFFICE110へお問合せください!

中小企業に必要なセキュリティ機能がこれ1台に!『CYBER BOX PRO』

まとめ

現在の機器は、情報が漏洩しないよう暗号化して保存しています。
しかしサイドチャネル攻撃という暗号解読方法によって、情報が盗み出されることがわかりました。

様々な種類がありますがどれも共通しているのは、情報が詰まった対象物がサイバー犯罪者の手元になければできないということです。
大切な機密情報を適切に管理する、機器を紛失しないなど、リスクを抑えるための正しい行動を取ることが大切です。

セキュリティ対策に少しでも不安をお持ちの方は、ぜひOFFICE110へお問合せを。
些細なご相談無料のセキュリティ診断だけでも、スタッフ一同お待ちしております。

【限定20社】サイバーセキュリティ無料診断実施中!通常10万円以上の現地調査が0円

セキュリティ お役立ち情報

お役立ち情報カテゴリ

簡単入力30秒お問い合わせは0120-595-110

\今すぐご連絡ください!0120-595-110/

見積もり・相談完全無料 全国OK 即日対応

24時間365日受付中!お問い合わせはこちら

今すぐご連絡ください!