膨大なデータを扱う必要がある昨今、企業の事業活動はネットワークなくして行えません。一方で、社内の機密情報を狙ったサイバー攻撃は年々増加傾向にあり、被害を受ければ経営にも多大な影響があります。この記事では、サイバー攻撃の種類や手口、重要な対策方法について解説するとともに、2022年に起きたサイバー攻撃の事例もご紹介します。対策を検討する際は、ぜひ参考にしてみてください。
サイバー攻撃と想定されるリスク
サイバー攻撃とは、悪意を持った第三者がインターネットを通じてPCやサーバーなどの情報機器へ侵入し、情報の窃取や改ざん、システムへの破壊工作などさまざまな攻撃を行うことです。
攻撃の目的はさまざまで、身代金を要求されることもあれば、愉快犯的な犯行の場合もあります。個人・企業を問わず標的となりえますが、企業が狙われた場合は特に甚大な影響が生じかねません。サイバー攻撃により想定される企業のリスクとしては、たとえば次のようなものが挙げられます。
- 社会的な信頼の失墜
- 企業イメージ低下による顧客離れ
- 情報漏えいによる損害賠償などの金銭的な喪失
- システムダウンなどによる事業継続の阻害
インターネットの利用が不可欠なものとなっている昨今、企業はサイバー攻撃のリスクをしっかりと理解し、適切に対策しなければなりません。
主要なサイバー攻撃の種類
一口にサイバー攻撃といっても、いくつかの種類があります。サイバー攻撃への適切な対策を講じるためには、どのような手口があるのかを押さえておくことが大切です。ここでは、サイバー攻撃の主な種類について解説します。
標的型攻撃
標的型攻撃とは、機密情報を盗もうとして特定の個人や組織を狙う攻撃で、「ランサムウェア」「サプライチェーン攻撃」「水飲み場攻撃」といった種類があります。
ランサムウェアとは、ユーザーのデータを暗号化し、データ回復のために高額な身代金を要求するソフトウェアのことです。一方、サプライチェーン攻撃は、セキュリティ対策が甘い関連企業などを足がかりに、本来標的としている大企業のネットワークに不正侵入することを指します。そして水飲み場攻撃は、標的としている企業や個人がよくアクセスしているWebサイトなどを改ざんするなどし、閲覧時にウイルス感染させる攻撃のことです。
このように標的型攻撃は、無差別というよりもある特定の企業や個人を標的として行われます。
【関連記事】盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説
不特定多数のターゲットを狙った攻撃
標的を設けず、不特定多数へ向けたサイバー攻撃も存在します。たとえば「フィッシング詐欺」は、送信者を偽ってメールを送り、メールに記載されたURLから偽のWebサイトへアクセスさせることで、クレジットカード番号などを盗み取ることです。
ほかにも「ゼロクリック詐欺」の被害に遭うと、スマートフォンなどでWebサイトを見ているとき、何も操作していないにもかかわらず、突然金銭の振込を求めるポップアップ画面が表示されます。
負荷をかける攻撃
相手のサーバーやWebサイトに対し、過剰な情報を送りつけて負荷をかけ、機能停止に追い込む「DoS攻撃」「DDoS攻撃」と呼ばれるものもあります。DoS攻撃は1対1で行われますが、DDoS攻撃は他人の複数台にわたるコンピュータを乗っ取り、標的となっているサーバーに攻撃するよう命令して実行させるため、より悪質です。不正アクセスによりWebサイトやサーバーがパンクすると、多大な損失となってしまいます。
【関連記事】DDoS攻撃の種類と企業がとるべき有効な対策とは?
サーバーやWebサイトの脆弱性に対する攻撃
ソフトウェアのバグなど脆弱性を狙ったサイバー攻撃も存在します。たとえば「ゼロデイ攻撃」は、情報セキュリティ上の脆弱性を発見してから、パッチの適用などの対策を打つまでの、わずかな期間を狙った攻撃です。
また「SQLインジェクション」も、脆弱性につけ込んだ攻撃の一種です。不当なSQL文を実行させることで、データベースのシステムを不正に操作します。
どのようなソフトウェアでもバグを防ぎきることは難しいため、脆弱性に対する意識を常に持っておく必要があります。
【関連記事】SQL Injectionとは?脆弱性に対する3つの対策について解説!
パスワードを狙った攻撃
ユーザーのパスワードを不正に取得する目的で行われる、「総当たり攻撃」というものもあります。やり方は至ってシンプルで、考えられるパスワードをすべて試していく方法や、パスワードに使われやすい言葉を組み合わせていく方法などがあります。パスワードを盗まれると甚大な被害につながるため、十分な対策が必要です。
サイバー攻撃の対策
では、企業がサイバー攻撃を防ぐには、どのような対策をすればよいのでしょうか。企業・従業員それぞれの観点から解説します。
企業として行う対策
企業が行える対策としては、次のようなものが挙げられます。
- 社内で利用中のOSやソフトウェアを常に最新化する
- OSシステムファイルやアプリケーション構成ファイルに変更がないか監視する
- Webサーバーに対して不正な通信がないか検知を強化し、もしあれば遮断する
- セキュリティポリシーを定め、ログ監視なども含めて社内の情報やアカウント管理を徹底する
ただ、手動や目視では実践するのが難しいため、多くの企業ではセキュリティソフトなどを導入し、対策を強化しています。
また、企業でサイバー攻撃への対策としてWAFの導入も効果的です。Cloudbric WAF+(クラウドブリック・ワフプラス)では、企業のWebセキュリティに必要な5つのサービスを総合的に活用できます。さらにセキュリティ専門家がいなくても手軽に運用・導入が可能です。
【関連記事】クラウド型WAFサービス cloudbric WAF+
従業員個人で行う対策
企業だけでなく、従業員自身による対策も重要です。たとえば、以下のようなものが代表的です。
- サイバー攻撃の種類や対策方法、クラウドやネットワークの共有範囲を正しく理解する
- パソコンやカメラなど、個人の機器のOSをアップデートし、常に最新化する
- 身に覚えのないメールについては、リンクをたどる前に相手へ電話などで確認する
- パスワードを設定する際は、英字(大文字・小文字)、数字、記号を組み合わせ、桁数を増やす
日本でのサイバー攻撃の事例
国立研究開発法人「NICT(情報通信研究機構)」が2022年2月に公開した「NICTER観測レポート2021」によると、2021年のサイバー攻撃を受けた関連通信数は2018年の約2.4倍、2016年との比較では約3.6倍に上っています。通信内容の内訳で最も多かったのが、IoT機器を狙った通信で、特に「その他のポート」への通信が増加傾向にあるとのことです。
最後に、2022年に企業が被害を受けたサイバー攻撃の事例について、2つご紹介します。
【参考記事】NICTER観測レポート2021
自動車メーカーへのサイバー攻撃
自動車メーカーのサイバー攻撃被害を見てみると、さまざまな企業が関連して、被害が連鎖する傾向にあります。たとえば、自動車製造にかかわる部品メーカーのネットワークがランサムウェアに感染したことから、サプライチェーンのリスクと鑑み、一斉に操業停止に追い込まれる事態がありました。これは、部品メーカーの子会社が利用していたリモート接続機器に不正侵入されたことが原因と考えられています。
自動車メーカーそのものが被害を受けたわけではありませんが、この件で約13,000台の生産に影響が出たと報告されており、サプライチェーンや子会社も含めたセキュリティの強化が求められます。
医療機関へのサイバー攻撃
2022年は、医療機関へのサイバー攻撃により診察受付ができなくなったことも、ニュースで話題になりました。ネットワークがランサムウェアに感染し、電子カルテを含む基幹システムに障害が起きた事例です。
これは、給食委託事業者のデータセンターにあったリモート接続機器からウイルスが侵入したことが原因と考えられ、システムの脆弱性が指摘されています。脆弱性診断やシステムのアップデートを行い、強固なセキュリティ体制の維持に努める必要があります。
こうしたサイバー攻撃を予防するためには、セキュリティ対策について経営層が積極的に関与することや、従業員全員がセキュリティに対する知識や意識を高めることが大切です。
まとめ
企業は多くの重要なデータを保持しており、それらを守るためにはサイバー攻撃への対策が不可欠です。自社に合ったセキュリティソフトを導入するほか、経営層を巻き込んで全社一丸となり、セキュリティへの意識を高めていくようにしましょう。
