企業が取り組むべきリスクマネジメントとして、最上位に挙げられるのがサイバー攻撃対策です。
ここでは、サイバー攻撃の定義や目的、最新動向や代表的種類を理解した上で、企業がとるべき効果的な対策について解説します。
クラウドバックアップのおすすめサービスについて知りたい方はこちら
クラウドバックアップについて知りたい方はこちら
目次
サイバー攻撃とは?
攻撃者がサイバー攻撃を行う目的
サイバー攻撃の最新動向
【2022年最新】日本企業のサイバー攻撃の被害事例
サイバー攻撃の代表的な種類
企業が必ず行うべきサイバー攻撃への対策
サイバー攻撃対策に役立つ「使えるクラウドバックアップ」
FAQ
サイバー攻撃とは?
サイバー攻撃とは、パソコンやスマートフォン、サーバなどに対し、システムの破壊、データの改ざんや窃取を目的として、ネットワークを通じた悪意をもってなされる行為のことです。
サイバー攻撃の対象は企業だけに限らず、個人のほか不特定多数を無差別に攻撃する場合もあり、その目的や手段もさまざまです。
企業が保有する個人情報や機密情報がますます膨大になり、資産としての価値も増していることから、サイバーセキュリティは担当部署だけの取り組みではもはや不十分です。むしろ、企業は経営課題としてとらえ、各部署が連携して一体となって対策を講じるべきです。
サイバー攻撃は誰によって行われるのか
サイバー攻撃を行う主体はさまざまです。金銭の窃取や詐取を目的とした犯罪者・犯罪グループ、機密情報を狙う諜報員や産業スパイ、悪意ある組織(ハッカー集団など)のメンバーなどが含まれます。
サイバー攻撃は金銭目的以外にも、企業のイメージダウンを狙った犯行もありますし、自らの政治的、社会的主張に基づき政府機関を攻撃するケースもあります。さらには、単に世間を騒がせる愉快犯的なものも見られます。
警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(2021年3月発表)によると、不正アクセス行為の被疑者(令和2年)の44.8%が20~29歳、20.9%が14~19歳で、犯行が低年齢化しているのが近年の特徴です。
かつては専門的な知識が必要とされたサイバー攻撃ですが、最近では、ランサムウェア攻撃に必要なツールがすべて含まれたキット「RaaS(サービスとしてのランサムウェア)」が安価で手に入るようになりました。そのため、特別なスキルがない素人でも企業を脅かすサイバー攻撃が行えるようになり、その敷居は年々下がっています。
サイバー攻撃の対象
サイバー攻撃の対象は、大きく分けて組織と個人の2つに分けられます。サイバー攻撃が金銭目的の場合、企業が攻撃対象になることが多いですが、別の社会的、政治的目的を持って、政府や行政機関など公的組織が攻撃されることもあります。
また、個人を対象にする場合は、特定個人だけでなく不特定多数を狙ったサイバー攻撃もあります。
参考:「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(警察庁)
(https://www.npa.go.jp/cyber/pdf/R030304_access.pdf)を加工して作成
攻撃者がサイバー攻撃を行う目的
上述の通り、攻撃者がサイバー攻撃を行う目的はさまざまですが、主な3つについて具体的に説明します。
情報・金銭の窃取や売買により利益を収奪する
攻撃者がサイバー攻撃を行う目的の多くは、情報・金銭を収奪し、売買などにより利益を得ることです。
前出の警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(2021年3月発表)によると、令和2年に検挙された不正アクセス禁止法違反の動機別内訳で最も多かったのは、「不正に経済的利益を得るため」(46.8%)で、「顧客データの収集等情報を不正に入手するため」(23.6%)、「好奇心を満たすため」(13.3%)、「嫌がらせや仕返しのため」(9.7%)と続きます。
この調査結果から分かるように、サイバー攻撃のほぼ半分は経済的利益を得るために行われます。令和元年度版の「情報通信白書」は、米国シンクタンクの戦略問題研究所がMcAfeeの協力を得て行った分析結果を引用していますが、それによると2017年にサイバー攻撃により生じた損害は全世界で6,080億ドルになったとのことです。
また、同白書によると、企業がサイバー攻撃を受け、情報流出等の適時開示を行ったところ、企業の株価は平均10%下落し、純利益は平均21%減少しました。
参考:「令和元年版情報通信白書 サイバー攻撃等の経済的損失」(総務省)
(https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113320.html)を加工して作成
競合や敵対する組織の信用を失墜させる
サイバー攻撃は、企業が競合他社の、あるいは国家が敵対する組織の信用を失墜させるためにも行われます。
例えば、近年ランサムウェア攻撃で身代金を支払わない企業が増加しているため、盗んだデータを競合企業に販売するサイバー攻撃グループもあるとのことです。
また、2010年に米国とイスラエルがStuxnet(スタックスネット)というマルウェアを使用してイランの核施設を攻撃して以来、国家も間接的に資金を提供してハッカーを雇い、敵対する組織を標的にしたサイバー攻撃を行っています。具体的には、スパイ活動や敵対する国家の重要インフラや企業を攻撃したり、国内の政治的意見を混乱させるために偽情報を拡散したりしています。
人々の認知や意思決定に対して影響を与える
さらにサイバー攻撃によって、人々の認知や意思決定に影響を与えようとする集団もいます。ハッキングによって政治的意思表示を行う「ハクティビスト」と呼ばれる人たちです。
2010年代初め「アノニマス」などのハッカー集団で知られたハクティビストですが、国家間の機密文書を窃取し、流出させるなどの手法で言論の自由を守ると主張しています。
また、敵対する国家によって同様のサイバー攻撃がなされることもあります。例えば、2019年の英国総選挙の際に、米英自由貿易協定に関する政府の機密文書が盗み出され、SNSを通じて情報が流出しました。英国政府は、ロシアが同選挙に干渉しようとしていたことは間違いないと結論したとのことです。
サイバー攻撃の最新動向
最近増加しているサイバー攻撃として、個人を対象にしたものではフィッシング詐欺、企業を対象にしたものではランサムウェア攻撃が挙げられます。
フィッシング詐欺とは、実在するECサイトの名前などで電子メールやショートメッセージを使ってリンクを送信し、偽のWebサイトに接続させてクレジットカード番号などの個人情報を窃取する手法です。
フィッシング対策協議会が公表している「フィッシングレポート」等によれば、2021年中のフィッシング報告件数は52万6,504件で、2020年の22万4,676件に比べて倍以上に増加しています。
出典:日本サイバー犯罪対策センター
ランサムウェアとは、サイバー攻撃によって対象組織のシステムやデータを使用できなくした上で、復旧と引き換えに多額の身代金を要求するサイバー攻撃のことです。
警察庁が2022年4月に公表した「令和3年におけるサイバー空間をめぐる脅威の情報等について」によると、企業・団体等におけるランサムウェア被害は、2021年中に都道府県警察から警察庁に報告があった件数は146件(上半期61件、下半期85件)で、2020年下半期の21件から右肩上がりで増加しています。
参考:「令和3年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf)を加工して作成
サイバー攻撃関連の通信がこの10年間で約33倍に
サイバー攻撃関連の通信は2012年からの10年間で約33倍になりました。
国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティネクサスによると、2021年に観測されたサイバー攻撃関連通信は合計5,180億パケットに上り、1IPアドレス当たり約175万パケットが1年間に届いた計算になります。これは2012年の53,206パケットの約33倍にあたります。
リモートワーク環境の脆弱性を狙った攻撃が急増
コロナ禍で増えたリモートワーク環境の脆弱性を狙ったサイバー攻撃も急増しています。
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」によると、「テレワーク等のニューノーマルな働き方を狙った攻撃」は2021年は第3位、2022年は第4位にランクインしました。
リモートワークがセキュリティ環境の脆弱性を生む一つの理由は、個人所有の端末の利用です。オフィスで使用していた企業所有の端末ほどセキュリティ環境が高くなく、マルウェア感染のリスクが高くなります。
また、脆弱性対策が不十分なVPN機器を利用し続けると、サイバー攻撃の対象となるリスクが高まり、認証情報や組織の機密情報が外部に流出する被害に遭う恐れがあります。
【2022年最新】日本企業のサイバー攻撃の被害事例
2022年に発生した国内企業・組織を標的にしたサイバー攻撃のうち、注目すべきなのは3月に発生した大手自動車メーカーへのサプライチェーン攻撃です。自動車部品メーカーがランサムウェア攻撃を受け、データが暗号化されました。それをきっかけとして国内大手自動車メーカーへの部品供給が滞り、結果的に国内14工場28ラインの稼働が1日ほど停止しました。
中小企業であった部品メーカーへの攻撃をきっかけとして、親会社や取引先にまで影響を与えた事例で、どの企業でもサイバー攻撃を受ける可能性があり、セキュリティ対策を経営課題としてとらえるべきことを銘記させられました。
また、市民の健康を支えるインフラである医療機関を狙ったサイバー攻撃も増加しています。2022年10月には、沼津市の医療機関の電子カルテアプリがランサムウェアによって暗号化され起動しなくなりました。また同月には大阪府にある大阪急性期総合医療センターが、同じくサイバー攻撃により電子カルテが閲覧不能になりました。
参考:株式会社サイバーセキュリティクラウド 「【2022年最新】日本企業のサイバー攻撃被害事例|トレンドや対策を知ろう」
サイバー攻撃の代表的な種類
ここでは、代表的なサイバー攻撃を紹介します。サイバー攻撃の種類を理解しておくことで、適切な対策を講じることが可能になるはずです。
マルウェア感染
マルウェアとは、ユーザの端末に不利益をもたらすソフトウェアやコードの総称です。マルウェアに社内のパソコンやサーバが感染すると、データが破壊され、閲覧・使用が不能になります。また、端末内の機密データや顧客情報が抜き取られる可能性もあります。そうなると、被害者からの損害賠償請求や刑事罰に課されることにもなりかねず、被害は甚大です。
マルウェアについて知りたい方はこちら
エモテットについて知りたい方はこちら
ランサムウェア攻撃
上述した通り、ランサムウェアとは、サイバー攻撃によって対象組織のシステムやデータを使用できなくした上で、復旧と引き換えに多額の身代金を要求するサイバー攻撃のことです。
ランサムウェアについて知りたい方はこちら
標的型攻撃
標準型攻撃とは、「高度サイバー攻撃」とも呼ばれ、明確な目的を持って特定のターゲットを狙って行われるサイバー攻撃を指します。従来型が不特定多数を対象にしていたのとは対照的に、特定の企業や組織を対象に段階的かつ執拗に攻撃する点が特徴で、従来のセキュリティソフトでは検知できず、対策が困難だといわれています。
DoS攻撃・DDoS攻撃
DoS(ドス)攻撃とは、悪意をもってサーバに大量のデータを送り付け、アクセスを集中させることでサーバをパンクさせる攻撃のことです。 DDoS(ディードス)攻撃は、DoS攻撃の進化版で、複数のIPから大量のアクセスを送るため、犯人を特定することが難しく、対策がより困難です。
ビジネスメール詐欺
ビジネスメール詐欺とは、海外の取引先や自社の職位の高い経営層になりすまして、偽の電子メールを送り、送金を促す詐欺のことです。近年、金銭被害が多額になる傾向があり、日本国内でも増加しています。
SQLインジェクション
SQLとは「Structured Query Language」の略称で、多くのWebサイトやECサイトで使用されているデータベースサーバを操作する「命令文」のことです。そのため、SQLインジェクションの脆弱性が攻撃されると、外部からデータベースを操作され、個人情報や機密情報が漏えいしたり、Webサイトが改ざんされたりします。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見され修正パッチが公開される前(ゼロデイ)のタイミングで仕掛けられるサイバー攻撃です。修正プログラムが適用されていない状態で攻撃を受けるため、対策は困難です。
クロスサイト・スクリプティング(XSS)攻撃
クロスサイト・スクリプティング(XSS)攻撃とは、Webサイトの脆弱性を狙い、ターゲットを悪質なサイトへ誘導するスクリプトを埋め込むことで個人情報を窃取したり、マルウェア感染させたりする攻撃です。
フィッシング
フィッシング詐欺とは、実在するECサイトの名前で電子メールやショートメッセージを使ってリンクを送信し、偽のWebサイトに接続させてクレジットカード番号などの個人情報を窃取する手法です。上述したように個人を対象にしたフィッシングは年々増加しています。
IPAが公開した「(個人を対象にした)情報セキュリティ10大脅威2022」の第1位が「フィッシングによる個人情報の詐取」であり、2021年も第2位でした。
サプライチェーン攻撃
サプライチェーン攻撃とは、標的とする企業を直接標的とするのではなく、サプライチェーンを狙うことです。その理由は、一般的にサプライチェーンは親会社よりもセキュリティ対策が手薄だからです。事例の部分で取り上げたようにその被害はグループ企業や取引先全体に拡大し、甚大になります。
Webサイトへの不正アクセス・改ざん
サイバー攻撃者はWebサイトの脆弱性を狙い不正アクセスを試みると、その中の情報を改ざんしたり、情報を窃取したり、データを消去したりします。また、Webサイトのリンクやファイルの参照先を不正に書き換え、訪問者をウイルスに感染させます。
今やホームページは企業の「顔」ともいうべき存在ですから、その中の情報が不正確だったり、利用者が被害を受けたりすることになれば、企業のイメージダウンは避けられません。
リモートワークを狙った攻撃
リモートワークを狙った攻撃は増加しており、VPN機器や端末の脆弱性を狙ったもの以外にも、RDP(リモートデスクトップ)使用もマルウェアなどの感染のリスクを高めます。RDPは離れた場所で端末にアクセスできる便利な機能ですが、内部の利用者だけでなく、外部の第三者の侵入経路にもなってしまいます。
パスワード関連の攻撃
パスワード関連の攻撃にはいくつかのパターンがありますが、よく知られているものに「ブルートフォースアタック(総当たり攻撃)」があります。
パスワードはアルファベットや数字、記号などの組み合わせのため、そのあらゆる組み合わせを試せば必ずログインできます。現在は誰でも手に入れることができるツールが普及しており、単純なパスワードではあっという間にパスワードが解析されてしまいます。
例えば、数字+アルファベット大文字+小文字の6文字の組み合わせであれば、約1秒で解析されてしまいますが、記号を加えて10文字の組み合わせにすれば解析には5年かかります。
内部不正による故意の情報漏えい
サイバー攻撃は外部の犯罪者によるものとは限りません。企業や組織の内部の人間が経済的利益を得ることを目的として、あるいは個人的な恨みを動機として、故意に情報漏えいさせることもあります。
参考:サイバーセキュリティ.com 「サイバー攻撃とは?その種類・事例・対策を把握しよう」
(https://cybersecurity-jp.com/column/14651#05)
企業が必ず行うべきサイバー攻撃への対策
サイバー攻撃への対策は、企業の経営課題でも優先事項に置くべきものです。ここでは、企業が必ず行うべき3つの対策について説明します。「備えあれば患いなし」という言葉が示す通り、前もって対策を講じておくことで、取り返しのつかない被害が発生することを未然に防ぐことができます。また、各従業員にサイバー攻撃に対する危機意識を持たせることも可能です。
パソコンやブラウザへの対策
経営層は今一度自社のセキュリティポリシーを見直し、社内のセキュリティ体制を万全にするためにどの分野にどれだけの投資をするかを決めるべきです。明確な方針の策定があってはじめて、情報管理担当者は具体的な対策をとることができます。
その中には、端末で使用しているOSやソフトウェアのアップデート、セキュリティポリシーに適合するセキュリティソフトの導入、安全な無線LAN機器の管理などが含まれます。
サーバへの対策
自社でサーバを運用している場合、情報管理担当者はWebサーバで利用しているOSやソフトウェアの脆弱性対策、運用アカウントの管理の徹底、ログ監視の強化などの対策も必要です。
また、定期的にセキュリティ診断を実施することで、サーバやネットワークの脆弱性をみつけることができ、早めの対策が可能になります。情報セキュリティ専門家による診断サービスを利用するのも一つの方法です。
参考:「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_11.html)を加工して作成
社員への対策
全社的にサイバー攻撃対策に取り組むためには経営層や担当者だけではなく、すべての社員のセキュリティ意識を向上させることが不可欠です。定期的なセキュリティ教育や研修を実施し、ひとり一人が当事者意識を持つことが大切といえるでしょう。
サイバー攻撃対策に役立つ「使えるクラウドバックアップ」
使えるねっとが提供する「使えるクラウドバックアップ」はサイバー攻撃対策にも有効です。その理由を3つ説明します。
データスキャンでウイルスを検出
「アクティブプロテクション」はAIベースのテクノロジーで、ファイルやバックアップデータ、バックアップソフトへの疑わしい改変を即座に検出し、データを復旧することで大切なデータを保護します。
脆弱性診断でセキュリティ対策としても安心
バックアップデータと同時にシステムに問題がないか脆弱性診断も行います。
未知のランサムウェア攻撃を識別する際にも非常に有効
Petya、WannaCry、Osirisなどの最新のランサムウェアからもシステムとデータを保護するので、既知のランサムウェアはもちろん、未知のランサムウェアの攻撃を識別する際にも効果的です。
大企業だけでなく、中小企業にとってもサイバー攻撃対策は喫緊の課題です。
用途や容量に合わせて多彩なプランから選べる使えるクラウドバックアップは月単価1,870円(税込)から、30日間の無料トライアルも実施しています。
※本文の一部について、独立行政法人情報処理推進機構 「情報セキュリティ10大脅威 2022」
(https://www.ipa.go.jp/security/vuln/10threats2022.html)を基に作成
FAQ
(1)サイバー攻撃の流れは?
2000年代を境にサイバー攻撃の流れは大きく変化しました。以前は個人の攻撃者が不特定多数を攻撃していましたが、現在は標準型攻撃が増え、サイバー犯罪者が組織化されています。
具体的には依頼者の要請に応じて、事前調査、マルウェア作成、マネタイズ、マネジメント担当者がアンダーグラウンドのマーケットで集められ、綿密な計画が立てられ、サイバー攻撃が実行されます。
(2)実際にサイバー攻撃を受けた場合はどう対応するべき?
サイバー攻撃を受けたら、警察・弁護士などに連絡します。また、被害が拡大しないよう技術的な対策が求められるため、外部のセキュリティ専門家にいちはやく連絡することも欠かせません。
(3)2021~22年中、サイバー攻撃が集中した時期は?
帝国テータバンクが2022年3月に発表したデータによると、22年2月中旬から3月中旬にかけてサイバー攻撃を受けた企業が3割に上り、攻撃を受けた時期として最も多かったようです。この時期は、事例の部分で触れた大手自動車メーカーへのサプライチェーン攻撃が発生した時期でもありました。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)