昨今、個人による消費活動や企業による事業活動のデジタル化が進むと同時に、情報セキュリティリスクが年々高まっています。
警察庁が2022年9月に発表したレポート(令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について)では、冒頭で「サイバー空間における脅威は極めて深刻な情勢が続いている」とされており、また今年に入ってからはロシアによるウクライナ侵攻に付随しての注意喚起(参考:経済産業省「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います」)が経済産業省からも発表され、サイバー空間における脅威に対するより一層の高まりが示唆されています。
このように、昨今の情勢を踏まえたサイバーセキュリティ対策の強化が重要視される中、企業としてはどのようなセキュリティ対策を講じればよいのでしょうか。本記事では、情報処理推進機構(IPA)が2022年8月に発表した「情報セキュリティ10大脅威 2022」での発表内容を参考に、企業が気をつけるべきサイバー攻撃の種類や対策のポイントなどを解説します。
サイバー攻撃とは
そもそもサイバー攻撃とは、インターネットなどのネットワーク環境を経由してコンピューターやサーバーなどに保存されているデータの改ざんや破壊、窃盗などを行う行為を指します。
警察庁の資料によると、サイバー攻撃には以下3つの特徴があるとされており、その手口は年々多様化しています。
● 攻撃の実行者の特定が難しい
● 攻撃の被害が潜在化する傾向がある
● 国境を容易に越えて実行可能である
また、サイバー犯罪の検挙件数も年々増加していることから、企業ではサイバー空間の脅威に対する対処能力の強化が求められている状況です。
サイバー犯罪の検挙件数の推移(画像出典:警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」P24)
※R3上:令和3年上半期
R4上:令和4年上半期
サイバー攻撃が行われる目的
なぜ、ここまでサイバー攻撃が盛んに行われているのでしょうか。そこには、大きく5つの目的が考えられます。
不正な金銭取得
あらゆるサイバー攻撃に共通する目的の一つが、不正な金銭取得と言えます。
代表的な手口はランサムウェアです。端末をロックしたり、保存されているデータを暗号化したりなど、使用できない状態にした上で、元に戻すことと引き換えに「身代金」を要求します。
このような直接的なアプローチによる金銭取得もあれば、不正な形で情報を窃取して、それを材料とし金銭を要求するといった間接的なアプローチも考えられます。
情報窃取・産業スパイ
金銭の取得に付随して、企業情報に関する情報窃取や、産業スパイとしての活動の一環としてサイバー攻撃を行うケースも考えられます。
具体的には「銀行のサイトにそっくりのサイト=フィッシングサイト」を作成し、IDやパスワードを入力させ、当人が気づかないうちにIDやパスワードが窃取され、その後本物の銀行のサイトから不正送金を実行する例があげられます。
2014年に某大手企業が保有する最大3504万件の顧客情報が流出しました。主犯はその企業のグループ企業に勤務していた派遣社員であり、個人情報を名簿業者に売却した事件は産業スパイが危惧される事例となりました。
情報システムの破壊・停止等
競合企業や地政学的な関係に起因した、国および企業の内部システムの破壊や改ざんを行うサイバー攻撃もあります。たとえば公共機関の管理システムが破壊され正しく機能しなくなると、該当地域の社会生活は大打撃を受けることになります。
レピュテーションの低下
上述の「情報システムの破壊・停止等」に関連して、企業や国のレピュテーションの低下を目的とするケースも多いでしょう。
サイバー攻撃による情報漏洩やシステム破壊等が行われると、当然ながら被害企業・団体の信用は失墜します。それにより顧客離れや取引停止といった状況が発生します。
一度このような状態になると、顧客や社会からの信頼を回復するには相当な時間がかかるため、特定の企業を業務妨害したいと考える主体にとっては一つの選択肢になると考えられます。
愉快犯
最後に、金銭や情報窃取等の目的意識を持たない「愉快犯」としてのサイバー攻撃の可能性も考えられます。世間を騒がせることに喜びを見出す犯罪者によるサイバー攻撃は、他の目的群との相対比較で考えると、より事前の予想・対策が難しいと言えます。
サイバー攻撃の種類
情報セキュリティ 10 大脅威 2022 「個人」および「組織」向けの脅威の順位(画像出典:IPA「情報セキュリティ10大脅威 2022」P6)
続いて、サイバー攻撃の種類について見ていきましょう。
情報処理推進機構(IPA)が2022年8月に発表した「情報セキュリティ10大脅威 2022」における「個人」および「組織」向けの脅威から、私たちが日々意識すべき代表的なサイバー攻撃を紹介します。
ランキングは発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付けされていますが、上位の脅威だけ、または上位の脅威から優先して対策すればよいわけではありません。自身または組織が置かれている立場や環境を考慮しながら確認しましょう。
ランサムウェア攻撃
身代金を意味するRansom(ランサム)とSoftware(ソフトウェア)を組み合わせた造語で、暗号化などによりファイルを使用不可能にしたうえで復号のために身代金(金銭)を要求します。2017年に世界中に拡散したWannaCry、最近では二重脅迫を行うMAZEと呼ばれるものが有名で、被害が拡大しています。
| 主な手口 | メールの添付ファイルやWebサイト、不正アプリ、USB経由、もしくはネットワークへの侵入など、利用者の不注意やシステムの脆弱性等を狙ったさまざまな手口が考えられます。 |
|---|
標的型攻撃(マルウェアなど)
官公庁や民間団体、企業など、特定の組織を狙うサイバー攻撃のことです。不特定多数への攻撃を想定したウイルスメール等とは異なり、標的となる企業などに対して十分な下調べを行い、人間関係や使用しているソフトウェアなどを熟知した上で攻撃を行います。
| 主な手口 | メールの添付ファイルやリンク先にウイルスを仕込み、ファイルの開封やリンクへのアクセスを通じてウイルス感染させる手法が広く一般で行われています。また、標的となる組織に不正アクセスしてセキュリティ関連の認証情報等を窃取し、その上で通常ルートでログインしてシステムへのウイルス感染等を進めるという手口も考えられます。 |
|---|
修正プログラムの公開前を狙う(ゼロデイ攻撃など)
VPN製品やパッケージ製品、OSなど、ソフトウェアの脆弱性を悪用した攻撃も増えています。
| 主な手口 | たとえば、発見された脆弱性の解消に向けたパッチプログラム等が提供される前に、該当の脆弱性を突いたサイバー攻撃である「ゼロデイ攻撃」などが手口として挙げられます。 |
|---|
不特定多数を狙ったメール攻撃(フィッシング詐欺など)
不特定多数の対象に対してメールをばらまき、ウイルス感染、機密情報などを窃取する攻撃のことを指します。標準型攻撃の一種である標的型攻撃メール(対象を特定させた上でメールを送付する手口)と比較すると、不特定多数への攻撃を想定している点が異なります。
| 主な手口 | 請求書・賞与支払いといった件名での送付、銀行や上場企業の名を騙ったメールを送り、本物と同じようなサイトに誘導、取引先になりすましての請求書の偽装や、経営者等へのなりすまし、社外の権威ある第三者へのなりすましなど、金銭の決裁権限を持つ責任者やその担当者に対するなりすましの手口が多いです。 |
|---|
予期せぬ IT 基盤の障害に伴う業務停止
Webサイトやサーバー等IT基盤に対して過剰な負荷を与えることで、対象企業のサーバーをダウンさせ、業務に影響を与えるサイバー攻撃はDoS攻撃と呼ばれています。また、その手法を発展させたものがDDoS攻撃です。DoS攻撃が基本的には1つのIPからの攻撃であるのに対して、DDoS攻撃は複数のIPから分散的にDoS攻撃を行います。
| 主な手口 | TCPの接続要求を行うSYNパケットだけを大量に送る「SYNフラッド攻撃」や、pingコマンドの送信元を偽装しつつ大量のパケットを送る「Smurf攻撃」などが、DoS攻撃・DDoS攻撃の主な手口となっています。 |
|---|
サイバー攻撃への対応策
このようなサイバー攻撃に対して、企業はどのような対策を講じれば良いのでしょうか。対策の一例をご紹介します。
それぞれの攻撃手法への対策
まずは、先述した各攻撃手法への対策です。
対ランサムウェア攻撃
セキュリティソフトの導入が有効です。また、メールのフィルタ機能や、セキュリティ装置等を使っての不審なメールの検知・隔離をシステム的に行うことも大切です。
対標的型攻撃
SNSを悪用した手口の周知や不審メールに対する注意力の向上など、従業員のセキュリティ意識の向上が非常に重要となります。また、流行している攻撃の手口を意識的に社内全体に共有することも大切です。
ソフトウェアの脆弱性を悪用した攻撃への予防
自社のシステムを構成するソフトウェア等の脆弱性に関する情報を日々収集し、事前の対策を遅滞なく進めておくことが大切です。それに付随して、システムの定期的なアップデートとセキュリティパッチの更新も忘れずに実施しましょう。
不特定多数を狙ったメール攻撃への対策
他攻撃の対策と同様、従業員への徹底的な手口やリスクの周知が必要です。また、不正アクセスの監視やフィッシング詐欺検知に有効なサービスを導入・活用するなどして、被害発生時の検知を迅速に行うことも、二次三次の被害へと続かないために大切です。
対DoS攻撃・DDoS攻撃
DoS攻撃・DDoS攻撃の場合、被害に遭うと同時に、機器が乗っ取られて加害者になる可能性もあります。よって、自社のリソースが攻撃へと加担しないために、通信の監視などを行って検知スピードを向上させる努力が必要です。
(参考リンク)
◎事例と種類から対策を考えよう!サイバー攻撃対策に有効な可視化ツール7選
従業員教育の徹底
ここまでの各攻撃手法に対する対応策でもお伝えしたとおり、従業員に対するセキュリティ教育は非常に大切な施策となります。セキュリティ意識を向上させるための情報セキュリティ教育の定期的な実施や、情報システム部門からサイバー攻撃に関する最新情報を提供するなど、従業員のセキュリティリテラシーに応じた施策を導入・実施する必要があるでしょう。
(参考リンク)
◎IPAの「10大脅威」、社員教育でどこまで防げる?「情報セキュリティ10大脅威」から学ぶ “社内教育”
自社に最適なセキュリティ対策を講じよう
サイバー攻撃にはさまざまな手法や目的があり、対策方法は異なります。よって、自社の事業内容から「どんなリスクがあるのか」を具体的に洗い出し、それぞれについて対策を講じることが、サイバー攻撃対策においては大切です。
常に最新のセキュリティ情報をキャッチし、増加するサイバー攻撃に備えましょう。
