ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
サイバー攻撃とは、インターネットやデジタル機器を介して、個人・組織に不利益をもたらす行為を指します。個人情報や機密情報を抜き取ったり、システム破壊・妨害を行ったりするケースもあり、企業にとっては大きな打撃となるため対策が必要です。
この記事では、サイバー攻撃についての基本情報を踏まえ、代表的な手口や被害事例・防ぐための対策・万一攻撃を受けた際の対処などを詳しく解説します。近年のサイバー攻撃の動向にも触れるため、ぜひお役立てください。
サイバー攻撃とは?
サイバー攻撃の代表的な手口
サイバー攻撃の被害事例
サイバー攻撃の被害状況
サイバー攻撃の動向
サイバー攻撃を防ぐための対策
サイバー攻撃を受けた際の対処
まとめ
サイバー攻撃とは、インターネットやデジタル機器を通じ、個人情報の搾取や機器内の情報を改ざんする行為です。攻撃はパソコン・スマートフォン・IoT機器などが対象になる他、Wi-Fiやクラウドを狙う手段も見られます。また、デジタル機器に記録媒体を接続し内部情報を取り出す行為や、個人アカウントを乗っ取って本人を詐称する「なりすまし」もサイバー攻撃の一種です。
サイバー攻撃被害は、デジタル機器の普及に伴い増加しています。近年ではスマートフォンで個人情報や金銭取引を管理できるため、攻撃対象や攻撃方法の範囲が広がっています。サイバー攻撃を受けると、金銭を搾取される危険性や顧客からの信用を失墜する恐れがあるため、被害を未然に防ぐ対策が必要です。
下記の表は、サイバー攻撃の4つの目的についてまとめています。
・情報の搾取や監視
企業の内部情報や機密情報の搾取、もしくは監視が目的です。
・システムの破壊もしくは妨害
公式サイトやECサイトのシステム障害やサーバーダウンを狙った攻撃です。
・社会的な印象操作
企業のイメージダウンを目的に、攻撃によって得た情報と虚偽の情報を織り交ぜて社会へ広めます。
・金銭の搾取
資産を管理しているシステムに不正アクセスし、金銭を直接奪うことが目的です。
サイバー攻撃は、個人で行われる場合もあれば、集団のケースもあります。具体的な攻撃元としては、犯罪グループ・産業スパイ・ハッカー集団などが挙げられます。近年では集団で攻撃される事例が増え、問題が長期化・複雑化している傾向です。
サイバー攻撃は、組織から個人までさまざまな対象が標的になります。攻撃先の組織は、国家や行政機関、大企業のみならず、中小企業にも及びます。特定の組織を狙った攻撃もあれば、狙いを定めず不特定多数に攻撃を仕掛ける場合もあるため、脅威がどこから及ぶのか予測がつきません。
近年では、サイバー攻撃の一種であるランサムウェアの被害が多発しています。ランサムウェアとは、データと引き換えに金銭を恐喝する悪質性の高いサイバー攻撃です。手口はまず、デバイスに侵入しデータを暗号化し、ファイルやデータや使用できない状態にします。次に、被害者は暗号化されたデータを復旧する対価を攻撃元から要求されます。
警察庁が2022年上半期に公表した資料によれば、ランサムウェア攻撃の増加が顕著です。被害が及んだ企業・団体は、製造業・サービス業・建設業・情報通信業・医療福祉など多岐にわたります。
近年のサイバー攻撃は多様化・巧妙化しており、企業のシステムや管理している情報に甚大な被害をもたらす脅威です。サイバー攻撃を防ぐためには、攻撃の代表的な手口について知ることが大切です。また、最新情報にアンテナを張り、攻撃を受けた際の対象方法を知っておきましょう。
ここからは、サイバー攻撃の手口について、詳しく解説します。
標的型攻撃は、特定のターゲットのみを攻撃する手口です。信頼性の高い企業などの名前をかたり、ターゲットに悪意あるソフトなどを送りつけ、デバイスをマルウェアに感染させます。マルウェアとは、「ランサムウェア」や「Emotet(エモテット)」など、デバイスに不利益を生じさせるソフトウェアやプログラムの総称です。
標的型攻撃には「水飲み場型攻撃」と呼ばれる手口もあります。水飲み場型攻撃とは、ターゲットが頻繁に閲覧するWebサイトに不正プログラムを仕掛け、デバイスをマルウェアに感染させます。
標準型攻撃はターゲットを特定しているため、さまざまな手段で長期にわたって攻撃を続けるのが特徴です。
不特定に対する攻撃は、ターゲットを絞らない手口です。不特定に対する攻撃によって、ログイン情報などを盗まれる被害が多発しています。
以下は、不特定を狙った詐欺行為で頻繁に見られる手口です。
不特定に対する攻撃の例
いずれの手口も、ターゲットを偽サイトや金銭を搾取するサイトへ誘導します。偽サイトに個人情報を入力すると、アカウントを乗っ取られたり、クレジットカード情報を盗まれたりする恐れがあります。
DoS攻撃・DDoS攻撃は、サーバーダウンを狙ってWebサーバーに負荷をかける攻撃です。DoS攻撃・DDoS攻撃は、どちらも一度にアクセスを集中させることでサーバーの機能を停止させますが、攻撃手法が異なります。
DoS攻撃は、基本的に1台の端末から行われる攻撃です。攻撃ターゲットのサーバーに大量のデータを送りつけて機能停止させる方法や、システムの脆弱性を狙った攻撃でサーバーダウンさせる方法があります。
DDoS攻撃は、不正に乗っ取った膨大な数の端末を遠隔操作し、攻撃ターゲットのサーバーを一斉攻撃します。DDoS攻撃は、DoS攻撃に比べて攻撃元を特定しにくいのが特徴です。
プログラムの不具合など、ソフトウェアにおける設計上の弱点を脆弱性と呼びます。システムの脆弱性は不正アクセスなどサイバー攻撃の標的になるため、対策が必要です。脆弱性が発見された場合、メーカーから更新プログラムが配布されます。サイバー攻撃を防ぐため、OS・ソフトウェアのバージョンは最新の状態にアップデートしましょう。
サプライチェーン攻撃は、子会社や取引先を経由して大企業に攻撃を仕掛ける手法です。大企業や政府機関はセキュリティ対策が厚いため、対策が手薄な下部組織を踏み台にしてターゲットに攻撃します。
サプライチェーン攻撃の方法は、まず、セキュリティが手薄な組織などからメール情報などを盗みます。次に、盗んだ組織の名をかたって真のターゲットへ悪意あるソフトウェアを送りつけるのが、典型的な方法です。
また、ハードウェアやソフトウェアのメーカーを攻撃し、更新プログラムにマルウェアを仕込む方法もサプライチェーン攻撃にあたります。
ここからは、実際に起きたサイバー攻撃事例を紹介します。
・省庁における不正プログラムによる情報漏洩
省庁のコンピュータが不正プログラムに感染したため、内部文書が流失した事例です。職員のパソコンから「トロイの木馬型ウイルス」が発見され、約5か月間で100点以上の文書が流出した可能性があります。
・研究機関における不正アクセスによる情報漏洩
研究機関のサーバーが不正アクセスの被害を受け、技術開発に関わる情報や関係者の個人情報が流出しました。職員のパソコン1台がウイルスに感染し、情報収集と外部通信を行った形跡が確認されています。
・金融機関へのサイバー攻撃
連結子会社のシステムに不正アクセスが行われ、利用者・契約企業の情報や契約内容が流失しました。被害件数は約12万件とも言われる大規模攻撃です。被害元の金融機関はアクセス状況の監視に力を入れるなど、再発防止策を講じています。
業務のデジタル化に伴い、サイバー攻撃は増加しています。省庁や研究機関における事例のように、不正プログラムは見つけにくいのが特徴です。セキュリティ対策が万全でも、次々と新しい攻撃方法が出てくるため、データ機器のバージョンアップや最新情報の入手を怠らない姿勢が重要です。
なお、事例で紹介したのは政府機関や大手企業へのサイバー攻撃ですが、業種や従業員の人数に関わらずすべての組織がサイバー攻撃の標的になり得ます。
警察庁が発表した資料によれば、2022年の上半期に企業などがランサムウェアの被害を受けた件数は114件で、前年の上半期に比べ53件の増加です。近年、ランサムウェアによる被害が多発しており、事業の遅延・停滞など経済活動に影響が生じた企業もあります。
また、情報流出を招く不正アクセスの検挙数は233件で、前年の上半期に比べ89件の増加です。さまざまな手口のサイバー攻撃が企業や個人を狙って急増していると言えます。
なお、不正アクセスを調査・研究する情報機関「JPCERT」に寄せられる報告件数も、年々増加しています。2022年の10月~12月に寄せられた被害件数は13,564件で、前年の同じ時期より1,095件多く報告されました。
出典:JPCERTコーディネーションセンター「インシデント報告対応レポート」
独立行政法人IPAが発行する「情報セキュリティ白書2022」では、近年のサイバー攻撃の拡大・巧妙化について取り上げています。
世界での情報セキュリティの概況を見ると、2021年におけるサイバー攻撃の被害額は約69億ドルで、前年の被害額42億ドルより約64%上回っています。特にサプライチェーン攻撃による被害は甚大で、米国政府や企業の経済活動に影響を及ぼしました。また、フィッシングサイトも増えており、2021年のフィッシングサイト総数は約284万8,000件と、過去10年で最大の数を記録しています。
国内では、被害を受ける対象が中小企業や個人に拡大しています。2021年にランサムウェアによる被害を受けた団体146件のうち約54%が中小企業です。そのうち金銭を恐喝された悪質な手口は97件に及びます。感染経路は、「VPN機器からの侵入」や「リモートデスクトップからの侵入」が多く、テレワークの拡大により新たな脅威が生じていると言えます。
業務のデジタル化が進み、クラウドの利用が欠かせない企業も少なくありません。クラウドの利用範囲は拡大しており、システムの設定不備や脆弱性を狙った脅威が増えています。企業活動におけるクラウドの重要性は今後も高まることが予想されるため、脅威への対策やセキュリティ強化が重要です。
クラウドは、サービスを利用する企業とシステムを管理する企業が異なるという特徴があります。基本的なセキュリティ対策はもちろん、利用者と管理者の連携・情報共有により、セキュリティレベルの向上が求められます。
サイバー攻撃は、企業活動の停滞や損失を生むだけでなく、企業の信用失墜につながる悪質な行為です。日頃からの多面的な対策によって、サイバー攻撃のリスクを減らすことができます。ここから紹介するのは、サイバー攻撃から会社を守るための4つの対策方法です。
なお、経済産業省はIPAとともに「サイバーセキュリティ経営ガイドライン」を策定しています。サイバー攻撃対策に役立つガイドラインも参考に、自社の予防策を見直しましょう。
参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
セキュリティ教育を実施する目的は、従業員一人ひとりが正しい知識とITリテラシーを学ぶことです。従業員が、ビジネスメールになりすました詐欺メールや迷惑メールを開いてしまう、IDやパスワードを他者と共有するといった問題は後を絶ちません。ITリテラシーの低い行動は、デジタル機器やセキュリティに関する知識が不足したまま業務を行った結果です。
セキュリティ教育は従業員のITリテラシーを高め、サイバー攻撃から会社全体を守ることにつながります。
OS・ソフトウェアに脆弱性が見つかると、メーカーから更新プログラムが配布されるため、必ず最新の状態にアップデートしましょう。OS・ソフトウェアはほとんどの場合、脆弱性が発生します。近年では、脆弱性が発覚・修正される前にサイバー攻撃を仕掛ける「ゼロデイ攻撃」も見られるため、メーカーは脆弱性を見つけると素早く対応しています。
企業では、OS・ソフトウェアを最新バージョンに更新し、セキュリティを万全の状態にしておくことが重要です。
セキュリティソフトの活用は、サイバー攻撃対策に高い効果をもたらします。近年のセキュリティソフトはマルウェアの侵入・拡散を防ぐだけではありません。従来の機能に加え、不審なデータ通信を遮断して不正アクセスを防ぐ機能や、フィッシング詐欺対策などが搭載された多機能型のソフトが増えています。
さまざまな攻撃からデータやシステムを守る機能が搭載されたソフトを「統合型セキュリティソフト」と呼び、普及が進んでいます。手口が巧妙化・複雑化するサイバー攻撃に対応するため、進化したセキュリティソフトの活用を検討しましょう。
ID・パスワードの管理体制の徹底は、データやシステムをサイバー攻撃から守るために重要です。アカウント情報の流出によって個人情報が盗まれる・悪用される事件は少なくありません。被害を出さないために、従業員一人ひとりのセキュリティ意識を向上することはもちろん、会社全体でも対策が必要です。
アカウント情報を強固に管理するため、ID・パスワードの使い回しを禁じ、パスワードは他者から推測されにくいものを設定しましょう。退職者のアカウントや一時的に発行したアカウントは、業務が終わり次第すぐに停止手続きを取ります。また、重要な情報は二重認証で管理する、システム管理者がアクセス権限を設定する、といった方法も攻撃対策として有効です。
十分なセキュリティ対策がされても、サイバー攻撃を受ける可能性があります。サイバー攻撃を受けた際は、隔離など初動が重要となる他、専門部署や外部機関への報告・相談が必要です。
サイバー攻撃にはさまざまな種類があり、攻撃の種類ごとに必要な対応が異なります。企業内で判断が難しい場合、専門家へ相談し問題解決を図る方法もおすすめです。
ここからは、企業がサイバー攻撃を受けた際の対処方法を4つのステップで解説します。
サイバー攻撃を検知した場合、被害を受けた端末をすぐに隔離するなど、迅速に対応することが重要です。適切な対応を取れば、被害を最小限に抑えられるだけでなく、企業への信用が高まる場合もあります。
データ端末がマルウェアに感染した時は、該当の端末をネットワークから隔離しましょう。感染したデータ端末をネットワークに接続したままにしていると、他の端末に感染拡大する恐れがあります。
なお、マルウェアはセキュリティソフトで駆除できるケースもあります。駆除後に端末が初期化する場合もあるため、日頃からデータのバックアップを取っておくと安心です。
社内の専門部署や外部機関と情報を共有し、必要に応じて専門家に協力を依頼します。取引先やユーザーにも影響が及ぶことが明らかな場合、速やかに連絡しましょう。
情報漏洩が起きている場合、個人情報保護委員会に速報します。電気通信事業者など特定の業種は行政機関への報告も必要です。
専門部署や外部機関への報告は、大まかな攻撃内容を把握し、社内外に周知する段階です。事前に緊急時マニュアルの作成や対応担当者を決め、有事の際のシミュレーションをしておくと、対応がスムーズです。
被害状況や原因を把握できたら、外部に公表します。被害状況を正確に把握するためには、ログの採取・分析が重要です。サイバーセキュリティに関する情報を発信する「JPCERTコーディネーションセンター」では、1年分のログ保存を推奨しています。サーバーやデータ通信機器のログを分析することで、サイバー攻撃の手口が明らかになった事例もあります。
参考:JPCERTコーディネーションセンター「高度サイバー攻撃への対処におけるログの活用と分析方法」
場合によっては、警察や弁護士、利用者への公表が必要です。企業が行う対応としては、コールセンターの設置・お見舞い金の支払い・マスコミ対応などが考えられます。情報漏洩が起きたケースでは、個人情報保護委員会への詳細な報告も必要です。
暗号化されたファイル・データの解読やバックアップの復元作業には、数日かかることもあります。復旧後のOS・ソフトは脆弱性が残っている場合があるため、最新バージョンにアップデートします。
復旧後は、セキュリティシステムの見直しやセキュリティ教育の実施など、会社の実情に合わせた再発防止策を検討・実施しましょう。
サーバー攻撃の手口は、標的型攻撃は脆弱性を狙った攻撃などさまざまです。近年はランサムウェアと呼ばれるマルウェアを使った攻撃や、標的を関連企業や子会社を介して攻撃するサプライチェーン攻撃などが増えています。年々、複雑化・巧妙化しているサイバー攻撃を防ぐためには、対策を行うことが重要です。
従業員へのセキュリティ教育の実施や、セキュリティソフトの活用といった対策を実施する他、万一サイバー攻撃に遭った際の対処も把握しておきましょう。