IT化が進む現代においては、企業がもつ情報資産の多くはコンピュータで管理されています。
また、銀行やクレジットカード、非接触型決済など、ITを用いて金銭的資産を取り扱うケースも増えています。
このような状況下では、悪意のある攻撃者は、まさに「豊かな漁場」として企業のコンピュータを狙い、金銭や金銭になりうる情報資産を奪おうとします。
現代は、サイバー攻撃が存在することを前提として企業活動を行う必要があります。
この記事では、サイバー攻撃の動向や、主な攻撃手法とその対策について解説します。
サイバー攻撃とは
まず、サイバー攻撃の概要と、近年のサイバー攻撃の動向について解説します。
サイバー攻撃の概要
サイバー攻撃とは、コンピュータ上で行われる悪意のある不正行為の総称です。
サイバー攻撃の目的は様々であり、企業の持つ情報資産や金銭的資産を狙って攻撃を行うケースや、国家や企業の機密情報を狙うケース、また社会的主張を行う組織や、単なる愉快犯などの種類が存在します。
サイバー攻撃の動向
サイバー攻撃における攻撃手法は時代とともに進化を続けています。
過去においては通信の盗聴やコンピュータウイルスの利用、ネットワークへの侵入などが主な手口でした。
しかし、これらの手法は暗号化手法や高度な認証技術の利用など、コンピュータ上での対策の強化に伴い、利用されることが減っています。
現代におけるサイバー攻撃の主流は、「人に対する攻撃」です。
例えば、取引先などを装い企業の重要情報を盗もうとする方法や、フィッシングなどのように不正なサイトへ誘導する手法などが利用されています。
現代における最大のセキュリティホールは人間であり、かつ、最も対策が難しい部分でもあります。
サイバー攻撃が企業に与えるリスク
サイバー攻撃を受けることは企業活動におけるリスクの一つです。
サイバー攻撃により、情報資産や金銭そのものを盗まれるような実害的な被害が発生する可能性はもちろんのこと、サイバー攻撃の踏み台とされることにより取引先などに被害を与える可能性や、自社サイトがクラックされ改ざんされることによるレピュテーション面でのリスクもあります。
また、個人情報を取り扱うようなビジネスにおいては、個人情報の流出リスクも想定しなければなりません。
個人情報の流出はまず確実にメディアで取り上げられ、企業のブランド価値を大きく棄損します。
さらに、個人情報の流出に対するユーザの補償もしなければなりません。
個人情報の流出に対するユーザの補償には様々な判例がありますが、記憶に新しい2014年のベネッセの事例では一人当たり3,300円の賠償を命じる判決となっており、例えば1万人の個人情報の流出であれば3,300万円相当の実害が発生することになります。
主なサイバー攻撃手法とその対策
以下では、主なサイバー攻撃手法とその対策について解説します。
標的型メール攻撃
現代で最も多くの攻撃が発生しており、かつ対策が難しいのが標的型攻撃です。
特に、メールを用いた標的型攻撃は多くの事例が存在します。
標的型攻撃とは、攻撃者が特定のターゲットを狙ってサイバー攻撃を行う攻撃手法の総称です。
攻撃者は対象企業の特徴や取引関係、人間関係などを加味して攻撃を行ってくるため、防ぐのが難しいです。
メールを用いた標的型攻撃では、例えば取引先になりすまし、「X月分の〇〇に関する取引について、急遽支払先の口座を変更したので急ぎ振り込んで欲しい」といったようなメールを送り付けます。
このメールは実際の担当者名などが記載されているようなケースもあり、巧妙であり騙されやすいものとなっています。
標的型メール攻撃の対策は、メールフィルタリングなどのシステム面での対応も考えられますが、最終的には人によるものとなります。
従業員に対してセキュリティ研修などを実施し、セキュリティ意識を高める以外に対策方法がないのが現実です。
ランサムウェア
ランサムウェアとはコンピュータウイルスの一種であり、感染したPCのハードディスクを暗号化し、暗号化を解除するために金銭を要求するような攻撃手法のことです。
最近では、オリンピックの準備組織であるJOCがランサムウェアの被害にあったことで話題となりました。
WannaCryやLOCKYなどのランサムウェアは全世界中で猛威を振るい、甚大な被害が発生しました。
重要な情報をハードディスクに保存していた場合、ランサムウェアによりビジネスに多大な影響を及ぼします。
泣く泣く「身代金」を払って暗号化を解除せざるを得なかったケースもあります。
ランサムウェアの対策は、上記の標的型攻撃と同じく、人による対策が重要です。
不審なサイトにアクセスしない、不審なメールを開かないことが最大の対策となります。
また、万一感染した場合は、物理的にLANケーブルを抜くなど速やかにネットワークから切断し、ウイルス対策ソフトで駆除を行うことで、被害を最小限に食い止めることができます。
DDoS攻撃
DDoS攻撃とは、企業のWebサイトやECサイトなどに対して集団でアクセスを繰り返し、サイトのリソースを不足させダウンさせる攻撃手法のことです。
主に愉快犯が多い攻撃手法であり、匿名掲示板やSNSなどでまるで遊びのように特定の企業のサイトを攻撃するケースが散見されます。
DDoS攻撃を受けると、サイトへのアクセスが不能となり、ビジネスの継続に影響があります。
DDoS攻撃の対策としては、IDS/IPSのような高度なアクセス制御機器を導入したり、WAFと呼ばれるクラウド上で動作するファイアフォールを導入したりすることが考えられます。
これらは有効な対策手段ではありますが、一方で費用も発生するため、特に重要となるシステムにおいて導入を検討するとよいでしょう。
不正アクセス
不正アクセスとは、ログインして利用するようなサイトに対して、権限を持った人以外が不正にアクセスして利用してしまう攻撃手法のことです。
特に金銭を扱うようなサイトに対する不正アクセスは、被害額が甚大なものになる危険性があります。
不正アクセスは不正アクセス禁止法により違法行為として処罰の対象になりますが、一方で攻撃が成功した際のメリットが大きいため多数の攻撃者が狙う攻撃手法でもあります。
不正アクセスの最大の対策は、認証方式の高度化です。
サイトにログインする際に求めるパスワードの長さを一定以上にしたり、多要素認証と呼ばれるパスワードに加えてスマホやSMSなどを用いる認証手法を採用したりする対策が考えられます。
フィッシング詐欺
フィッシング詐欺は、偽のサイトに誘導しIDやパスワードを入力させ、盗もうとする攻撃手法のことです。
例えば、金融機関の偽サイトを作り、インターネットバンキングのIDとパスワードを盗もうとするような攻撃が考えられます。
フィッシング詐欺に引っ掛かり、企業の口座情報が盗まれるような被害が発生しています。
フィッシング詐欺の対策としては、やはり人に対する対策が大切です。
フィッシング詐欺で使われる偽サイトは、本物のサイトとは異なるURLであることが見破るポイントです。
サイトにアクセスした際にブラウザのURL欄を確認し、おかしなURLではないことをチェックするよう、セキュリティ研修などを通じて従業員に教育していく必要があります。
まとめ
この記事では、サイバー攻撃手法の動向に加え、主なサイバー攻撃手法とその対策について解説しました。
サイバー攻撃の被害を受けると、一撃で企業の存続が危ぶまれる事態に陥る可能性もあります。
サイバー攻撃の最大の対策は、従業員への教育です。
セキュリティ研修などを定期的に実施し、従業員のリテラシーの向上を図っていく活動が重要となります。