「まさかウチの会社が狙われるなんて…」後悔しないためのサイバー攻撃対策
令和3年9月、警察庁はサイバー犯罪の情勢についてレポートを公開しました。世の中のデジタルトランスフォーメーション(DX)は進んでいるものの、その一方で国内の企業や団体へのサイバー攻撃が多発しているとのこと。令和3年上半期におけるサイバー空間をめぐる脅威は極めて深刻な状況になっているそうです。
2021年4月、JAXA(宇宙航空研究開発機構)などへ大規模なサイバー攻撃があり、話題になりました。アメリカでは石油パイプライン大手企業がサイバー攻撃に遭い、操業を停止する事件が起きています。世界中で猛威を振うサイバー攻撃への対策は、企業にとっては優先順位の高い取り組みとなっています。
企業だけでなく、大きなイベントもサイバー攻撃の対象になります。東京2020オリンピック・パラリンピック大会では、大会期間中に世界100カ国近くから、約4.5億回に及ぶセキュリティイベントを観測したそうです。もう、サイバー攻撃は、日々当たり前のように起きているのです。
情報処理推進機構(IPA)は毎年、社会的に影響が大きかった情報セキュリティに関する事案を発表しています。2021年8月に公開された最新のランキングでは、ほとんどがサイバー攻撃に関する内容となっていました。
情報処理推進機構(IPA)発表の「情報セキュリティ10大脅威 2021」から引用
どれも甚大な被害を出しており、企業の情報セキュリティを考える上では見逃せません。今回は、10大脅威にランクインしたサイバー攻撃について、詳しく解説します。
ランサムウェアは古くからあるマルウェアで、感染するとPC内のデータをすべて暗号化します。OSは動くのですが、ユーザーが保存した文書も写真も動画もすべてが暗号化され、アクセスできなくなります。そして、元に戻すための復元キーを教えて欲しいなら、金銭を支払え、というまさにデータを人質に取る手口です。
以前はセキュリティの意識が低い個人が感染していましたが、2017年頃から企業がターゲットにされ始めました。業務システムを停止させることで、多大な身代金を要求するケースが増加しています。
さらに、最新のランサムウェアはデータを暗号化する前に、PCに入っている情報を外部に送信します。サイバー犯罪者は復元キーに加え、身代金を支払わなければ、取得したデータをネットに公開すると脅す、二重恐喝をするようになっています。
2020年にはカプコンがランサムウェアの被害に遭い、1100万ドル相当のビットコインを要求されました。カプコンが拒否したところ、犯人は盗んだ顧客情報の一部を流出させました。
2021年5月には、ロシアのサイバー犯罪者集団がアメリカの石油パイプライン大手企業のコロニアル・パイプラインを攻撃しました。ランサムウェアに感染して、パイプラインの操業を止めることになった同社は、440万ドルもの身代金を支払っています。
ランサムウェアの被害を防ぐには、まずはバックアップを別の場所に取ることです。これで暗号化されることによるダメージは抑えられます。また、感染自体を防ぐためにもシステムを最新の状態にして、適切なセキュリティソリューションを導入する必要があります。
次いで、影響が大きいのは「標的型攻撃」です。特定の組織を狙い、機密情報を読取ろうとします。明確な意図を持って攻撃してくるので、防御が難しいという特徴があります。
国内では2018年1月、仮想通貨取引所「Coincheck」で約580億円分もの仮想通貨が盗まれました。これは、コインチェック社の複数社員にマルウェアを添付したメールを送りつけ、PCを感染させ、暗号通貨を保存するサーバーへの鍵を盗み出したのです。
日本年金機構も2015年に標的型攻撃を受け、職員がメールに添付されているマルウェアを開いてしまい、125万件におよぶ氏名、住所、基礎年金番号などの情報がインターネットに流出しました。近年では2020年1月、三菱電機が不正アクセスを受け、防衛省が指定している「注意情報」が漏洩した可能性がある、と発表しています。
対策としては、一部の従業員が騙されたとしても、重要度の高い権限を簡単に利用できなくするシステム設計にしておけば、被害を抑制できます。
初期設定のままのPC従業員を渡したり、個人所有のPCを業務で利用したりすると、十分なセキュリティ対策が行えません。
例えば、2020年4月から5月にかけて、三菱重工業のグループ会社において、従業員が在宅勤務時に社内ネットワークを使わずにSNSに接続。送られて来たウィルスを開いて感染し、その状態で社内ネットワークにつなぎ、社内にウィルスをばらまいてしまいました。
警視庁が公開している「テレワーク勤務のサイバーセキュリティ対策チラシ」では、マルウェア以外にも、カフェのWi-Fiスポットで通信を傍受されたり、自宅のWi-Fiルーターに侵入されるリスクを紹介しています。
企業側はしっかりと従業員の作業環境を構築、管理しなければなりません。
サプライチェーンの中で、1社でもセキュリティがおろそかになっているところを見つけて、そこにサイバー攻撃をしかけるのです。そして、そのPCのアクセス権を利用して、本丸である企業に不正アクセスを試みます。
これからは、自社だけでなく、サプライチェーンも一緒にセキュリティ対策に取り組むことが重要になっていくでしょう。
メールで詐欺をしかけてくる手口もあります。個人をターゲットにする場合は、「アダルトサイトの利用料金が未払いなので至急支払うように」といった架空請求詐欺や「Amazonのアカウントが凍結されます」と適当な理由で偽サイトに誘導して個人情報を盗むフィッシング詐欺などがあります。
企業がこんな詐欺メールにひっかかるわけはないと思われるかもしれませんが、実は大きな被害を出しているのです。2012年頃、海外で広まり始めたビジネスメール詐欺(BEC)は、会社の社長を名乗って部下に連絡し、資金を移動させるといったものでした。近年は取引先のメールを偽装し、何度もやりとりして信頼を得てから、振り込み先の変更を依頼するといった手口も使われています。
国内では2017年、日本航空がサイバー攻撃に遭い、3億8000万円を振り込んでしまいました。その前にも日本航空のアメリカ事務所も同様の手口で2400万円を振り込んでしまっています。
標的型攻撃の一種でもあり、単純な対策では対応できません。業務フローの整備に加え、警察庁のサイバー犯罪対策プロジェクトは、送金に関するメールを受信したら電話など、メール以外の方法で確認することを推奨しています。
ウェブサービスへの不正ログインも問題になっています。Google DriveやOne Driveなどのクラウドストレージ、Gmailなどのウェブメール、Microsoft 365などのオフィスツールなど、業務で利用するウェブサービスはたくさんあります。それらに不正ログインし、保存されている部外秘の情報を盗み出す手口があります。
不正アクセスに使われるのは、フィッシング詐欺に引っかかって入力してしまったり、過去に様々な企業から漏洩したりしたIDとパスワードです。このリストを元に、サイバー犯罪者は様々なウェブサービスにログインしようとします。パスワードをきちんと個別に付けているなら問題ないのですが、使い回したりしていると不正アクセスされてしまいます。
2020年10月、岡山大学の教員が利用しているメールアカウントに簡単なパスワードが付けられており、不正にログインされる事件が起きました。そして、フィッシング詐欺メールを1万4666通送信する踏み台にされてしまったのです。
対策としては、怪しいURLを開かないとか、二段階認証を利用するという手がありますが、何より重要なのはパスワードを使い回さないことです。
脆弱性を狙った攻撃を回避するには、まずは迅速に修正パッチを適用することです。わずかな期間のリスクも回避するなら、「IDS(不正侵入検知システム)」や「IPS(不正侵入防止システム)」といったセキュリティソリューションの導入が有効です。
OSやアプリの脆弱性は日々見つかっています。今は問題なく動作していても、将来見つかるということは十分にあり得るので、しっかりと対策しておきましょう。
ちなみに、サイバー攻撃とは異なるので、今回詳しく触れませんでしたが、第6位には「内部からの情報漏洩」、第7位には「予期せぬIT基盤の障害に伴う業務停止」、第8位には「不注意による情報漏えい等の被害」がランクインしていました。
サイバー攻撃の手口は日々進化しています。王道の手口も、対策する手立てはあるのですが、何も意識していない企業も多いので、多数の被害を出し続けています。
また、今回紹介した手口の組み合わせも多発しています。例えば、標的型攻撃でサプライチェーンのリモートワーカーを狙い、ランサムウェアを送り込むとか、ビジネスメール詐欺を送る踏み台にするといったケースです。
今後は、リモートワーカーを狙い、企業ネットワークに侵入しようとするサイバー攻撃が増えるでしょう。企業にランサムウェアを送り込むための手口も多様化すると考えられます。PCやスマートフォンに比べて、セキュリティ対策が後手に回っているIoT(Internet of Things)機器も狙われることでしょう。
企業がサイバー攻撃から身を守るには、複数の施策を組み合わせる必要があります。対策に共通しているのは従業員の教育をはじめとしたセキュリティに関する社内リテラシーの向上です。。しっかりと準備しておけば、東京2020オリンピック・パラリンピック大会のように世界中からの攻撃を防ぎきることができます。
経営者は自分の会社はまだ大丈夫などと思い込まず、業務領域や企業規模にかかわらず、サイバー攻撃のリスクを認識し、セキュリティ対策を導入しましょう。
ミツイワのセキュリティソリューションはこちら
2021年4月、JAXA(宇宙航空研究開発機構)などへ大規模なサイバー攻撃があり、話題になりました。アメリカでは石油パイプライン大手企業がサイバー攻撃に遭い、操業を停止する事件が起きています。世界中で猛威を振うサイバー攻撃への対策は、企業にとっては優先順位の高い取り組みとなっています。
企業だけでなく、大きなイベントもサイバー攻撃の対象になります。東京2020オリンピック・パラリンピック大会では、大会期間中に世界100カ国近くから、約4.5億回に及ぶセキュリティイベントを観測したそうです。もう、サイバー攻撃は、日々当たり前のように起きているのです。
情報処理推進機構(IPA)は毎年、社会的に影響が大きかった情報セキュリティに関する事案を発表しています。2021年8月に公開された最新のランキングでは、ほとんどがサイバー攻撃に関する内容となっていました。
どれも甚大な被害を出しており、企業の情報セキュリティを考える上では見逃せません。今回は、10大脅威にランクインしたサイバー攻撃について、詳しく解説します。
桁違いの被害を出す恐怖の「ランサムウェア」
近年、最も大きな被害を出しているサイバー攻撃が「ランサムウェア」です。「ランサム(Ransom、身代金)」とソフトウェア(Software)の「ウェア」を合わせた造語で、マルウェアの一種です。ランサムウェアは古くからあるマルウェアで、感染するとPC内のデータをすべて暗号化します。OSは動くのですが、ユーザーが保存した文書も写真も動画もすべてが暗号化され、アクセスできなくなります。そして、元に戻すための復元キーを教えて欲しいなら、金銭を支払え、というまさにデータを人質に取る手口です。
以前はセキュリティの意識が低い個人が感染していましたが、2017年頃から企業がターゲットにされ始めました。業務システムを停止させることで、多大な身代金を要求するケースが増加しています。
さらに、最新のランサムウェアはデータを暗号化する前に、PCに入っている情報を外部に送信します。サイバー犯罪者は復元キーに加え、身代金を支払わなければ、取得したデータをネットに公開すると脅す、二重恐喝をするようになっています。
2020年にはカプコンがランサムウェアの被害に遭い、1100万ドル相当のビットコインを要求されました。カプコンが拒否したところ、犯人は盗んだ顧客情報の一部を流出させました。
2021年5月には、ロシアのサイバー犯罪者集団がアメリカの石油パイプライン大手企業のコロニアル・パイプラインを攻撃しました。ランサムウェアに感染して、パイプラインの操業を止めることになった同社は、440万ドルもの身代金を支払っています。
ランサムウェアの被害を防ぐには、まずはバックアップを別の場所に取ることです。これで暗号化されることによるダメージは抑えられます。また、感染自体を防ぐためにもシステムを最新の状態にして、適切なセキュリティソリューションを導入する必要があります。
特定の企業をターゲットにする「標的型攻撃」
国内では2018年1月、仮想通貨取引所「Coincheck」で約580億円分もの仮想通貨が盗まれました。これは、コインチェック社の複数社員にマルウェアを添付したメールを送りつけ、PCを感染させ、暗号通貨を保存するサーバーへの鍵を盗み出したのです。
日本年金機構も2015年に標的型攻撃を受け、職員がメールに添付されているマルウェアを開いてしまい、125万件におよぶ氏名、住所、基礎年金番号などの情報がインターネットに流出しました。近年では2020年1月、三菱電機が不正アクセスを受け、防衛省が指定している「注意情報」が漏洩した可能性がある、と発表しています。
対策としては、一部の従業員が騙されたとしても、重要度の高い権限を簡単に利用できなくするシステム設計にしておけば、被害を抑制できます。
コロナ禍におけるテレワークを狙った攻撃
新型コロナウィルスの影響はサイバー攻撃にも現れています。2020年から全世界でリモートワークが急速に普及しています。今までリモート対応をしてこなかった企業は、場当たり的に移行することで、セキュリティがおろそかになっているケースがあるのです。初期設定のままのPC従業員を渡したり、個人所有のPCを業務で利用したりすると、十分なセキュリティ対策が行えません。
例えば、2020年4月から5月にかけて、三菱重工業のグループ会社において、従業員が在宅勤務時に社内ネットワークを使わずにSNSに接続。送られて来たウィルスを開いて感染し、その状態で社内ネットワークにつなぎ、社内にウィルスをばらまいてしまいました。
警視庁が公開している「テレワーク勤務のサイバーセキュリティ対策チラシ」では、マルウェア以外にも、カフェのWi-Fiスポットで通信を傍受されたり、自宅のWi-Fiルーターに侵入されるリスクを紹介しています。
企業側はしっかりと従業員の作業環境を構築、管理しなければなりません。
サプライチェーンの弱いところを狙った攻撃
企業は子会社や関連会社のみならず、複数の企業と繋がってビジネスをしています。この連携する組織をまとめてサプライチェーンと呼びます。サイバー攻撃のターゲットにした企業のセキュリティが強固な場合、サイバー犯罪者はサプライチェーンを狙います。サプライチェーンの中で、1社でもセキュリティがおろそかになっているところを見つけて、そこにサイバー攻撃をしかけるのです。そして、そのPCのアクセス権を利用して、本丸である企業に不正アクセスを試みます。
これからは、自社だけでなく、サプライチェーンも一緒にセキュリティ対策に取り組むことが重要になっていくでしょう。
企業も騙される!?「ビジネスメール詐欺」
企業がこんな詐欺メールにひっかかるわけはないと思われるかもしれませんが、実は大きな被害を出しているのです。2012年頃、海外で広まり始めたビジネスメール詐欺(BEC)は、会社の社長を名乗って部下に連絡し、資金を移動させるといったものでした。近年は取引先のメールを偽装し、何度もやりとりして信頼を得てから、振り込み先の変更を依頼するといった手口も使われています。
国内では2017年、日本航空がサイバー攻撃に遭い、3億8000万円を振り込んでしまいました。その前にも日本航空のアメリカ事務所も同様の手口で2400万円を振り込んでしまっています。
標的型攻撃の一種でもあり、単純な対策では対応できません。業務フローの整備に加え、警察庁のサイバー犯罪対策プロジェクトは、送金に関するメールを受信したら電話など、メール以外の方法で確認することを推奨しています。
インターネット上のサービスへの不正ログイン
不正アクセスに使われるのは、フィッシング詐欺に引っかかって入力してしまったり、過去に様々な企業から漏洩したりしたIDとパスワードです。このリストを元に、サイバー犯罪者は様々なウェブサービスにログインしようとします。パスワードをきちんと個別に付けているなら問題ないのですが、使い回したりしていると不正アクセスされてしまいます。
2020年10月、岡山大学の教員が利用しているメールアカウントに簡単なパスワードが付けられており、不正にログインされる事件が起きました。そして、フィッシング詐欺メールを1万4666通送信する踏み台にされてしまったのです。
対策としては、怪しいURLを開かないとか、二段階認証を利用するという手がありますが、何より重要なのはパスワードを使い回さないことです。
OSやアプリの脆弱性を狙ったサイバー攻撃
OSやアプリには意図しない脆弱性(セキュリティホール)があり、発見されるとメーカーは修正パッチを公開します。しかし、企業側が修正パッチの適用をすぐに行わない場合、その間は脆弱性が残ったままになります。脆弱性は公開されるので、サイバー犯罪者はその情報を元に、攻撃を仕掛けてくるのです。脆弱性を狙った攻撃を回避するには、まずは迅速に修正パッチを適用することです。わずかな期間のリスクも回避するなら、「IDS(不正侵入検知システム)」や「IPS(不正侵入防止システム)」といったセキュリティソリューションの導入が有効です。
OSやアプリの脆弱性は日々見つかっています。今は問題なく動作していても、将来見つかるということは十分にあり得るので、しっかりと対策しておきましょう。
ちなみに、サイバー攻撃とは異なるので、今回詳しく触れませんでしたが、第6位には「内部からの情報漏洩」、第7位には「予期せぬIT基盤の障害に伴う業務停止」、第8位には「不注意による情報漏えい等の被害」がランクインしていました。
日頃からきちんと対策を行っていればサイバー攻撃は回避できる
また、今回紹介した手口の組み合わせも多発しています。例えば、標的型攻撃でサプライチェーンのリモートワーカーを狙い、ランサムウェアを送り込むとか、ビジネスメール詐欺を送る踏み台にするといったケースです。
今後は、リモートワーカーを狙い、企業ネットワークに侵入しようとするサイバー攻撃が増えるでしょう。企業にランサムウェアを送り込むための手口も多様化すると考えられます。PCやスマートフォンに比べて、セキュリティ対策が後手に回っているIoT(Internet of Things)機器も狙われることでしょう。
企業がサイバー攻撃から身を守るには、複数の施策を組み合わせる必要があります。対策に共通しているのは従業員の教育をはじめとしたセキュリティに関する社内リテラシーの向上です。。しっかりと準備しておけば、東京2020オリンピック・パラリンピック大会のように世界中からの攻撃を防ぎきることができます。
経営者は自分の会社はまだ大丈夫などと思い込まず、業務領域や企業規模にかかわらず、サイバー攻撃のリスクを認識し、セキュリティ対策を導入しましょう。
著者:ITライター柳谷智宣
ミツイワなら総合的なセキュリティソリューションをご提案できます。
企業へのサイバー攻撃のリスクは年々増加しています。しかし社内リソースのみでの対応は限界があるという企業も少なくありません。ミツイワならサービス導入だけでなく、より総合的なセキュリティソリューションをご提案できます。セキュリティに課題を感じている企業の方は、まずお気軽にご相談ください。ミツイワのセキュリティソリューションはこちら
