2022年4月に政府及び関係機関は、一般企業や団体等に対してサイバー攻撃のリスクが高まっていることを伝えて、セキュリティ対策の強化を図るように要請しました。情報システム化が進む時代においてはサイバー攻撃とは何かを正しく把握した上、適切に対応することが、企業にとっての責務です。
出典:総務省「サイバーセキュリティ対策の強化について(注意喚起)」
当記事では、サイバー攻撃の主な種類と予想される被害の例を解説します。サイバー攻撃の適切な対策方法についても理解し、安全な商品・サービス提供体制を整備したい情報管理担当者は、ぜひ参考にしてください。
目次
1.サイバー攻撃とは
サイバー攻撃とは、サーバー・パソコン・スマホなどの端末に対し、通信ネットワークを使用して仕掛ける攻撃です。
2000年頃のサイバー攻撃事例は自己顕示や嫌がらせ目的の事件が中心で、比較的対処しやすい内容でした。近年では経済的利益を得るためのサイバー攻撃事例が増加し、手口の悪質化と組織犯罪化が示唆されます。また、近年ではランサムウェアによるサイバー攻撃事例が増加しており、従業員へのセキュリティ教育などによる対策が急務です。
1-1.サイバー攻撃による被害例
サイバー攻撃を企業が受けると、情報漏洩や個人情報の不正利用により一般のお客様に被害が及ぶ可能性があります。以下は、日本において実際に起こったサイバー攻撃による事件・事故例です。
・情報漏洩
情報漏洩とは、保有する情報資産(機密情報・個人情報など)が外部に流出する被害を指します。2022年5月には一般企業運営の資格検定申込サイトがサイバー攻撃を受けて、最大29万件以上のメールアドレス情報が流出しました。
出典:株式会社ディスコ「『キャリタス資格検定』への不正アクセスに関するご報告とお詫び(第2報)
・不正利用
クレジットカード情報が流出した場合には、攻撃者による不正利用が行われる状況も想定し、しかるべき対処を検討する必要があります。2022年7月には老舗シューズブランドのECサイトが5,000人以上のクレジットカード情報を流出させ、不正利用された懸念があると公表しました。
出典:カメイ・プロアクト株式会社「『(旧)PATRICK(パトリック)オンラインショップ』への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」
2.サイバー攻撃の主な種類
「サイバー攻撃」と一口に言ってもさまざまな種類があり、企業活動やお客様の暮らしに対する影響・予想される被害も多種多様です。被害や影響を最小限に抑えるためには、サイバー攻撃の主な種類を理解しておきましょう。
サイバー攻撃の主な種類と特徴は、以下の通りです。
2-1.ランサムウェア
ランサムウェアとは、「身代金(ransom)」と「ソフトウェア(software)」を組み合わせた造語です。端末がランサムウェアに感染すると本体にロックがかかるもしくはデータが使用不能になり、元の状態に戻すための身代金を要求されます。
ランサムウェアの要求に対応しても、元の状態に戻る保証はありません。むしろ、要求通りに金銭を支払うと犯罪者に資金提供を行うことになるため、注意しましょう。
2-2.標的型攻撃
標的型攻撃(標的型サイバー攻撃)とは、特定の組織や企業を狙い打ちする攻撃です。たとえば、標的型攻撃では業務連絡の偽装メールを従業員に送付し、開封したタイミングで、ウイルスに感染させます。
標的型攻撃は狙い打ちする相手に応じた巧妙な手口が使用されるため、完璧な予防対策を取ることが困難です。標的型攻撃への対策を検討する際には、予防対策とあわせて、仮にウイルスに感染した場合でも被害を拡大させないための対策を検討しましょう。
2-3.サプライチェーン攻撃
サプライチェーン攻撃とは、サプライチェーン(原料を仕入れてから商品を生産して発送するまでの流れ)を悪用した攻撃です。
サプライチェーン攻撃で攻撃者はまず、本来の狙いである大手企業のグループ企業・仕入れ先・業務委託先などのシステムに侵入します。そして、侵入したシステムを踏み台として大手企業を攻撃する流れです。大手企業に被害が及んだ場合には経済的損失が拡大し、損害賠償を請求される恐れもあります。
2-4.フィッシング詐欺
フィッシング詐欺とは、一般企業の社名・サービス運営者名などを語るメールを送付して、個人情報の搾取を図る攻撃です。フィッシングサイトの攻撃者は攻撃対象となる企業のWebサイトを模倣して、偽サイトを作成します。そして、メールを送付して、偽サイトに誘導する作戦です。
偽サイトを信用したお客様がクレジットカード番号・氏名・電話番号などを入力すると攻撃者が個人情報を入手し、経済的利益を得るために使用します。
2-5.マルウェア感染
マルウェア感染とは、マルウェア(端末に不利益をもたらす悪質なプログラムやソフトウェアの総称)を使用して攻撃対象に被害を与える手口です。下表は、攻撃に使用される代表的なマルウェアを示します。
| ウイルス |
|
|---|---|
| ワーム |
|
| スパイウェア |
|
| トロイの木馬 |
|
なお、ランサムウェアも、マルウェアの一種です。端末に不利益をもたらすプログラムやソフトウェアはすべて、「マルウェア」に含まれます。
3.企業にできるサイバー攻撃の対策方法
攻撃者の手口が巧妙化する時代において安全にビジネスを行うためには、発生しうる障害・被害を事前に調査・分析した上で、ポイントを押さえた対策を取ることが必要です。以下では、サイバー攻撃の被害を防止するための対策方法と実施する際のポイントを解説します。
・マルウェア対策強化
マルウェアによる被害を防止するためにはセキュリティソフトを導入し、適切な運用管理を行いましょう。あわせてUSBメモリの使用や業務用端末へのアプリケーションインストールに一定の制限を設けて、感染を防止する対策も必要です。
・ネットワーク/SIEMのログ監視
攻撃者が侵入してから対処するまでの時間が長いほど、被害は拡大しやすくなります。攻撃者の侵入をいち早く感知するためにはログ管理システムを導入して、ネットワークのログ(使用記録)を取得・監視できる体制を整備しましょう。よりセキュリティ体制を強化するためには、SIEM(ネットワーク機器、セキュリティ機器、サーバーなどのログを一元管理するツール)を導入する方法も一案です。
・フィッシング講習
フィッシングによる被害を防止するためには、最新のサイバー攻撃手法やメールセキュリティ対策を学べる講習を開催して、従業員を教育しましょう。Webサイトを運営している企業ではお客様の安全を守るため、SSLサーバー証明書(実在する組織によって運営されていることを保証する証明書)を取得する対策もおすすめです。
・脆弱性診断
脆弱性診断とは、「WebサイトやWebアプリケーションにセキュリティ上の弱点・欠陥がないか」を確認する診断です。脆弱性診断を受けて現状を正しく把握し、必要な対策を取ることで、弱点・欠陥を狙ったサイバー攻撃による被害を予防できます。
・CASB
クラウドサービス経由のサイバー攻撃を防止するためには、CASB(CloudAccessSecurityBroker)を利用するのも選択肢の1つです。CASBとは、従業員のクラウドサービス利用状況を可視化・制御し、一括管理するサービスを意味します。CASBを利用すると、クラウドサービス上に保存する機密情報・個人情報の保護も行うことが可能です。
まとめ
サイバー攻撃とは、ランサムウェアやサプライチェーン攻撃などのように、通信ネットワークを使用して、機密情報・個人情報の盗み取りや端末の乗っ取りを図る攻撃です。中小企業は大手企業の主幹システムを攻撃する際の踏み台を得る目的で、サイバー攻撃の標的にされるケースもあります。
中小企業がサイバー攻撃の被害に合うと取引先や一般のお客様にも経済的影響が及び、社会的信用を失うことになりかねません。自社のサービスを安心して使用してもらうためにも適切な対策を取り、安全にビジネスを遂行できる環境を整備しましょう。
Dynamics365とは?特徴や強み・導入時の注意点を解説
エンドポイントセキュリティとは|重要性や企業ができる対策について
DXとは?日本企業におけるDX推進の課題から導入の流れ・活用方法まで
ERPとは何か分かりやすく解説|導入の流れやメリットも紹介
ペーパーレス化はDX推進の第1歩!メリットや進めるポイントを解説
OTセキュリティとは?ITセキュリティとの違いや重要性を解説
データドリブンとは|3Kとの違いや実施の手順・ポイントも
DX人材とは?7つの職種の役割|DX人材不足を補う市民開発者
PMOとは?種類ごとの役割や求められる資格・スキルも