フォーム読み込み中
近年、高度化・多様化しているサイバー攻撃。政府機関や企業をターゲットとしたサイバー攻撃が多発する中、重要な機密情報を流出させる、あるいは社内システムを機能不全に陥れ企業活動を妨害するその脅威は、全ての企業にとってひとごとではありません。いつ降りかかるか分からない脅威に備えるためには、サイバー攻撃がどういったものであるのかを理解し、自社に適したセキュリティシステムの導入を検討する必要があります。本稿では、サイバー攻撃の主な種類や攻撃者の傾向を解説した上で、有効な対策について考えます。
サイバー攻撃の目的はさまざまですが、代表例として、金銭の要求が挙げられます。不正アクセスなどで盗み出した個人情報や企業の機密情報を暗号化やアクセスできない状態にし、解除するために金銭を要求します。ほかにも、不満を持つ企業や組織が運営するシステムにダメージを与えて、損害を発生させることを目的としたサイバー攻撃もあります。
現代では、サイバー攻撃の手法が多岐にわたるため、幅広い脅威に備えなければなりません。ここでは、主な攻撃の種類を確認しておきましょう。
マルウェアは、標的となる組織や個人のコンピューター、ネットワークに被害を与えることを目的に作られた不正なソフトウェアの総称です。マルウェアに感染すると、コンピューターが起動できなくなる、動作が遅くなる、ハードディスク内のデータが消去されたり勝手に外部に送信されたりするなど、さまざまな不具合が生じます。代表的なマルウェアは以下の通りです。
ウイルスは、コンピューターに侵入する不正プログラムで、利用者がメールの添付ファイルを開くことやWebサイトを閲覧することで感染します。
ワームは、コンピューターに感染して有害な動きをする点ではウイルスと同じですが、人がファイルを開くなどの動作をしなくても、侵入に成功すると爆発的な勢いで拡散してしまいます。さらに自己複製できる機能を持っているのが特徴で、メールソフトの連絡先に登録されている全てのアドレスにワームの複製が送信され、被害が拡大していくというケースもあります。
トロイの木馬は、「こっそりと悪さをする」プログラムを指します。一般的に、アプリケーションやスクリーンセーバ、文書ファイルなど、害のなさそうなプログラムを装い、利用者にダウンロードさせることでコンピューターに侵入します。感染に気づかれにくく、コンピューターに長期間侵入し続け、個人情報を盗んだり外部サイトを攻撃したり、勝手に大量のスパムメールを送信したりと、不正な動作を繰り返します。
スパイウェアは、悪意を持ってコンピューター内の情報や行動を盗み取り、別の場所に送るプログラムを指します。企業がマーケティング情報として利用するために、利用者の許諾を得た上で、閲覧履歴や購入履歴といった情報を取得しているものがあります。これはあくまでも消費者のニーズに合わせた商品・サービス情報を届けるためのもので、スパイウェアと呼ばれるものではありません。スパイウェアとされるのは、悪意を持って個人情報やWeb閲覧データなどを盗み、外部に送信するケースを指します。スパイウェアは、感染してもコンピューターの機能に不具合が生じることがなく、ウイルス対策ソフトでも検知されにくいため、被害が長期化する恐れがあります。
「身代金要求型不正ウイルス」「身代金要求型不正プログラム」と呼ばれることもあります。コンピューターに不正に侵入して機能をロックする、データを暗号化するなどをした後、制限や暗号化を解除することと引き換えに身代金を要求します。
近年活発になったEmotetもマルウェアの一種です。悪意のある攻撃者によって送られる不正なメール(攻撃メール)によって感染します。自然なやり取りのメールに偽装されるため、受信者は不正なメールであることに気づかないまま誘導され感染するケースが多発しています。
SQLとは、データベースに蓄積したデータを取得・検索するためのデータベース言語のことです。「structured(組立)」「query(命令文)」「language(言語)」の略で、「データベースを操作するための命令文」と言い換えることができます。データベースと連携した多くのWebサイトでは、利用者がWeb上のフォームに入力した情報をもとに、SQLを組み立て、データベースに命令を発します。
悪意のある第三者が、セキュリティの甘いWebサイトのフォームに、SQLの断片だと受け取られるコマンドを入力します。それにより不正な命令文を「インジェクション(注入)」するサイバー攻撃を、SQLインジェクションと呼びます。その結果、データベースの情報が漏えいしたり、改ざん・消去されたりする場合があります。
ユーザーID、パスワードを何らかの方法で入手し、そのユーザーIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。利用者になりすましてアクセスするため、見破りにくいのが特徴です。また、Webサービスを利用する時にユーザーIDとパスワードを使い回す人が多いため、ツールを使って多数の単語を組み合わせて不正ログインするような攻撃法と比べると、パスワードリスト攻撃の成功率は高くなってしまいます。この攻撃を受けると、個人情報の流出やWebサイトでの不正購入といった被害が生じる可能性があります。
主に機密情報を入手することを目的に、特定の企業を狙うサイバー攻撃のことを標的型攻撃と言います。手口はさまざまですが、マスメディアからの取材依頼、採用に関する問い合わせなど、受信者が思わず開いてしまうような内容のメールにウイルス付きのファイルを添付する方法が主です。受信者のコンピュータが感染すると、攻撃者はそこからネットワークに関する情報を盗み、さらにほかのコンピューターへの不正アクセスを繰り返します。最終的には重要な機密情報が流出する可能性があります。
一般的に、OSやアプリケーションなどのソフトウェアにセキュリティ上のバグ(欠陥)が見つかると、販売元企業はバグを修正するためのアップデート版を利用者に提供します。アップデート版が配布される日を1日目(ワンデイ)とした場合に、0日目(ゼロデイ)、すなわちまだ修正プログラムがない時期に、第三者によってソフトウェアの脆弱(ぜいじゃく)性を突いて行われる攻撃を「ゼロデイ攻撃」と呼びます。
攻撃者はソフトウェアの脆弱性を利用するマルウェアを開発し、標的に添付ファイル付きのメールを送信してマルウェアに感染させます。標的型攻撃に加えて、特定のWebサイトに不正プログラムを組み込んで、サイトを訪れる不特定多数の利用者を感染させる「ばらまき型」の手口もあります。ソフトウェアを使った利用者のコンピューターがマルウェアに感染する、標的とされた企業のシステムがコントロールされる、企業の機密情報が流出するといった被害が考えられます。
Webアプリケーションは、Webサイトにアクセスした利用者を識別するため、個別にセッションIDという情報を付与しています。攻撃者がこのセッションIDを何らかの方法で入手したり推測したりして、利用者に代わってWebサイトに不正にアクセスすることを「セッションハイジャック」といいます。セッションハイジャックを受けると、個人情報やクレジットカードの情報を盗まれる恐れがあります。
コンピューターのメモリの容量以上のデータを不正に送りつけ、不具合を起こさせる攻撃のことです。プログラムの管理者権限を奪われて機密情報が流出したり、ほかのWebサイトへの攻撃の踏み台にされたりすることもあります。
DoS攻撃とは、「Denial of Service attack」の略称で、直訳すると「サービス妨害攻撃」という意味になります。攻撃者が、WebサイトやWeb上のサービスに対し、メールを大量に送信する、F5キーを何度も押してページを繰り返し再読み込みするなどの方法で過大な負荷をかけ、システムの動作や機能を停止させる攻撃です。
「Distributed Denial of Service attack」の略称で、「分散型サービス妨害攻撃」を意味します。標的のWebサイトやサービスに負荷をかけてサービスを妨害する点ではDoS攻撃と同じですが、DoS攻撃がひとつの端末から行われるのに対し、DDoS攻撃はまず多数のコンピューターや機器に侵入しそれらの機器から一斉に攻撃が行われます。攻撃者を特定しづらく攻撃の規模がより大きくなります。
「APT」は「Advanced Persistent Threat」の略称で、「高度かつ継続的な脅威」を意味します。APT攻撃とは、特定の組織に対して継続的に行われるサイバー攻撃のことです。さまざまな手法が使われますが、大きく分けると、標的のシステムに侵入するための「共通攻撃手法」と、情報を改ざん・盗むことを目的とした「個別攻撃手法」の2つがあります。APT攻撃には、その他のサイバー攻撃に多く見られる金銭目当ての犯罪行為は少なく、国家ぐるみのスパイ行為または妨害工作が中心だと考えられています。
サプライチェーンとは、原材料の調達から製造、在庫管理、配送、販売までの、製品が消費者に届くまでの一連の流れを指します。「サプライチェーン攻撃」とは、このサプライチェーンに対するサイバー攻撃のことをいいます。例えば、標的とする大企業のセキュリティが強固で攻撃が難しい場合に、攻撃者は、まずセキュリティの甘い取引先を攻撃し、そこから標的企業へと攻撃を広げていくという方法です。ほかに、標的企業が使うソフトウェアの製造段階で不正プログラムを仕込んでおくという方法もあります。
サイバー攻撃の発生件数、被害規模は拡大しつつあります。その大きな要因は、インターネットの普及に伴ってスマートフォンやIoT機器が急激に増え、システム環境が多様化したことにあります。インターネットを使ったサービスやインターネットに接続できる機器が増えるほど不正に侵入できる入口が増え、サイバー攻撃の脅威も増しているのです。また、手口も高度になり、目立ちにくく手の込んだ攻撃を仕掛けられるために、被害が拡大・長期化しがちです。
新型コロナウイルス感染症の流行を契機に、企業や行政機関の間でテレワークの導入やDX(デジタルトランスフォーメーション)が広がりつつあります。 こうした動きにより社外からのアクセスが増え、インターネットを介した業務へのセキュリティ対策の必要性も高まっています。企業の重要なデータを保存している環境に社外の端末からアクセスすることは日常業務のなかで頻繁に行われます。こうした社外からのアクセスに交じって悪質な不正アクセスも増加する可能性が高まっていると言えます。
2024年に国内で起こった代表的なサイバー攻撃の事例をいくつか紹介します。ランサムウェア攻撃や不正アクセスが依然多く、傾向として大手企業だけでなく、中小企業にも魔の手が及んでいます。
スーパーを運営する小売業がランサムウェア攻撃を受けて、一部サーバーが暗号化される事案が発生しました。被害拡大を抑えるために社内ネットワークを遮断し、システムを一時的に停止したことで受発注システムも利用できなくなり、店舗運営に大きな影響を及ぼしました。システムの全面復旧までに2カ月以上の時間を要したとされています。
病院の職員が業務利用していたメールアカウントがフィッシングメールの踏み台にされていたことが判明しました。パスワードリスト攻撃により不正アクセスされてしまったとされています。
こうした事例を背景に、2024年にIPA※が発表した「情報セキュリティ10大脅威2024」の中でも、「ランサムウェアによる被害」や「サプライチェーンの弱点を悪用した攻撃」は上位にランクインしています。ランサムウェアの被害は世界中で報告されており、大企業はもちろん、中小企業でも早急な対策が求められます。
※IPA:独立行政法人 情報処理推進機構
順位 | 「組織」向け脅威 |
---|---|
1 | ランサムウェアによる被害 |
2 | サプライチェーンの弱点を悪用した攻撃 |
3 | 内部不正による情報漏えい |
4 | 標的型攻撃による機密情報の窃取 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
6 | 不注意による情報漏えいなどの被害 |
7 | 脆弱性対策情報の公開に伴う悪用増加 |
8 | ビジネスメール詐欺による金融被害 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) |
出典:IPA「情報セキュリティ10大脅威 2024」
企業には、社内ネットワークやシステムはもちろん、サプライチェーンや関連企業を含めたセキュリティ対策が求められています。では、日々進化を遂げて多様化・高度化していくサイバー攻撃から身を守るためには、どうしたらいいのでしょうか。ここからは、企業に求められる対策の方法を紹介します。
社内で使っているOSやブラウザ、アプリケーションなどのソフトウェアのバグが第三者に利用されることがないよう、ソフトウェアのアップデート版や修正プログラムが提供されたら、できる限り早く適用して最新の状態を保つ必要があります。WindowsのOSであれば、通常は自動的に修正プログラムを適用するアップデート機能が備わっているので、この機能を有効にしておきましょう。
従業員のセキュリティへの意識が低いままだと、多数のWebサービスを利用する時に同じID・パスワードを使う、不審なメールに気づかず添付ファイルを開く、セキュリティに信頼の置けないWi-Fiを使って社外から社内ネットワークにアクセスする、といったリスクの高い行動をとる恐れがあります。不正アクセスやマルウェア感染のリスクを減らすためには、まず情報セキュリティポリシー(セキュリティに関する指針)と社内ルールを策定し、従業員への周知とセキュリティ教育を徹底していく必要があります。
大規模なシステムと膨大な機密情報を抱える企業において、セキュリティ対策ソフトの活用は欠かせません。従来はアンチウイルスソフトとも呼ばれるウイルス対策ソフト、近年はマルウェア対策以外の機能も併せ持つ統合型セキュリティソフトが主流となりつつあります。例えば、送受信されるデータを監視して通信を制限するパーソナルファイアウォール機能を含むソフトを使えば、万一コンピューターがマルウェアに感染しても、通信をブロックしてデータ流出を防ぐことができます。さらに、利用者がフィッシングサイトにアクセスした場合に警告してくれるフィッシング対策機能、危険度の高いWebサイトの閲覧を制限するフィルタリング機能を備えたソフトもあります。
一般的なウイルス対策ソフトや統合型セキュリティソフトは、パターンファイル(ウイルス定義ファイル)という既存のマルウェアの情報が入ったリストのようなファイルをもとに、マルウェアを検知しています。新しいマルウェアが発見されると、このパターンファイルに追加されていきます。ところが、せっかくセキュリティ対策ソフトを導入しても、パターンファイルが更新されず古いままになっていると、ソフトは最新のマルウェアを検知することができません。統合型セキュリティソフトを導入した場合は、パターンファイルを最新の状態に保つことを心がけましょう。
最新の優秀なセキュリティ対策ソフトを使っても、次々と開発される未知のマルウェアの侵入を完全に防ぎきることはできません。また、スマートフォンやタブレット端末、IoT機器など、通信機器の種類が大幅に増え、従来のゲートウェイセキュリティだけでは社内ネットワークへの侵入を防ぐことが難しくなってきています。
そこで注目されているのが、エンドポイントを常時監視し、マルウェアの侵入といった異常を検知するEDR(Endpoint Detection and Response)です。エンドポイントとは、PCやスマートフォン、タブレット、サーバーなど、通信ネットワークの末端にある端末・機器を指します。マルウェアの侵入をいち早く察知し、対応することで、被害の拡大を防ぐことができます。ここでは、最新のEDRソリューションである「Cybereason」と、モバイルセキュリティソリューション「Zimperium」を紹介します
Cybereasonは、エンドポイント全体の利用状況やデータ通信を監視し、マルウェアが侵入した場合にサイバー攻撃の兆候を早期に検知するクラウド型のデータ解析プラットフォームです。一般的なセキュリティ製品は侵入の防御を目的としているため、未知のマルウェアの侵入を防げず、被害を受けてしまう可能性があります。Cybereasonは、攻撃を成立させないことを目的としていて、システムに侵入したマルウェアによる管理者権限の奪取、機密情報データの外部への送信といった悪意ある動きを複数の要素から検知し、すぐに管理者に知らせます。そのため、高度な攻撃や未知のマルウェアにも有効性が期待できます。
さらに、インストールが簡単で導入しやすい点に加え、エンドポイント上で監視エージェントが稼働しても、システムへの負荷は最小限になるよう設計されているため、従業員が使用する端末や社内ネットワークへの影響が少ない点も特長です。また、管理画面では、攻撃の兆候の解析結果が時系列で図解化されて表示されるため、速やかに状況を把握することができます。
新型コロナウイルス感染症の流行以降、テレワークの拡大に伴い、スマートフォンやタブレット端末といったモバイルデバイスが業務に使われるシーンが大幅に増えています。これらのモバイルデバイスにはPCと同様に企業の重要な情報が含まれおり、社内システムへもアクセス可能なため、攻撃者のターゲットになっています。
こうしたモバイルデバイスのセキュリティ対策に有効なのが、iOS/iPadOS・Android 向けのセキュリティ「Zimperium」です。AIにより未知の攻撃にも対応することが特長で、「デバイス」「ネットワーク」「アプリケーション」「フィッシング対策」というポイントでリスクを検知します。また、デバイス上のエンジンで全ての検知を行うため、未知の脅威に対応する場合はインターネットよりクラウド上にあるデータベースと連携するものの、機内モードのようにインターネットに接続していない環境下でも作動します。
企業が生産性を維持し続けるためには、緊急時やトラブル発生時にも損害を最小限に抑え、事業を継続し続けることが重要です。近年のサイバー攻撃の手口は多様化・巧妙化しているため、企業は、幅広い脅威に対して防御・対策をし、常にセキュリティシステムを最新の状態に更新しておくことが求められます。自社だけで高いセキュリティレベルを維持するのは困難ですが、セキュリティ事情に精通した専門企業の力を借りれば、最適な環境を整備することができます。自社の現状をチェックし直し、早急に対策をはじめましょう。
条件に該当するページがございません
条件に該当するページがございません