サイバー攻撃は、外部からネットワーク経由で、企業のサーバ、コンピューターに攻撃を加え、データの破壊・窃取・改ざんなどを行う攻撃で、毎年多くの組織に被害を与えています。
サイバー攻撃の被害予防策を考える上では、そもそも攻撃者の侵入を防ぐ方策と、攻撃者が組織ネットワークに侵入した場合に排除する方策とが必要になります。
この記事では、年々手口を変えるサイバー攻撃の種類や、被害に関する基礎知識をご紹介します。
対策および被害を受けた際の対応を検討する上で必須の知識となりますので、ぜひご一読ください。
また、企業・組織が対応するべきサイバー攻撃10選をまとめた資料を無料で配布しています。併せて目を通しておくことをおすすめします。
サイバー攻撃とは
サイバー攻撃とは、企業ネットワークの外部から、サーバやパソコンなどのコンピューターシステムに対し、ネットワークを通じてデータ破壊やデータの窃取、改ざんなどを実施し、特定の組織や企業に不利益をあたえることを言います。
サイバー攻撃を用いて企業ネットワークを攻撃する攻撃者は、今まで知られていた手口に対して方策を施してもしばらくすると手口を変えて来ます。
セキュリティ専門の開発者・技術者を中心に最新の対策を施しますが、外部の攻撃者はその裏をかき、上回る手口を考えて対処するので、さながら「いたちごっこ」の様相を呈するのが特徴的です。
そんな中でも、被害に遭う企業と、遭わない企業があり、対応策には差があることが推測されます。つまり、サイバー攻撃を100%防ぐ方策はありませんが、被害を最小限にするか、あるいは、被害を防ぐ方策は取りうると考えられているのです。
サイバー攻撃による情報セキュリティ脅威とは
独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威」を毎年発表しています。
セキュリティ10大脅威とは、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、脅威候補に対して審議・投票を行い、決定されるものです。
2023年版の組織における脅威としては、「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」がトップに上がっています。
これらは3つとも外部からの攻撃です。
ランサムウェアはマルウェアによってサーバの情報やシステムを暗号化・利用停止し、復元と引き換えに身代金(ランサム)を要求するマルウェアです。
標的型攻撃は、特定の企業・組織を標的に偽メールやときにはソーシャルエンジニアリング的手法を用いて執拗に行われる攻撃です。
サプライチェーンの弱点を悪用した攻撃は、標的の大手企業の下請けや委託先のサーバに侵入し、サプライチェーンをたどって標的にある機密情報を窃取する攻撃です。
マルウェア対策については「マルウェア対策の重要性とは?被害事例をもとに有効対策を解説」で詳しく解説していますのであわせてご覧ください。
サイバー攻撃の目的
アノニマスが代表例ですが、各国のハッカー集団が犯行声明を出すことも多く、政治的な目的が絡むことが目立ちます。
また、政府や企業の業務が停止することもみられることから、サイバーテロは誘拐や嫌がらせの目的で行われる場合もよく見られます。
このようなサイバー攻撃を仕掛ける攻撃者は、犯罪者、犯罪グループ、諜報員、産業スパイ、ハッカー集団、社外の悪意ある組織の職員(退職者を含む)などです。
また、その攻撃の目的とは、どの不正行為にも共通して見られる金銭盗取や、国家や企業などの機密情報を窃取し組織体の戦略変更やイメージダウンを狙う組織犯罪、産業スパイ活動、またハクティビストによる政治的・社会的な主張など、攻撃者のタイプにより異なっています。
最近は、攻撃者が組織的かつ計画的に攻撃の発覚を遅らせるような手口で巧妙に攻撃を行い、被害の拡大・長期化を狙っています。
このような攻撃者の目的を理解し狙われやすいターゲットをあらかじめ予測することが、効果的かつ効率的なセキュリティ対策を講じるうえで重要だといえるでしょう。
サイバー攻撃の種類は多数存在する
サイバー攻撃の種類は多数存在し、どの攻撃についても100%防ぐことができる保証はありません。下にあげる攻撃は、いままでに認知されている攻撃の中でも代表的なものです。
標的型攻撃
特定の企業や組織を標的にした攻撃です。主にメールでターゲットとなる被害者に対して、マルウェア入りのメールを送り、リンククリック・フォーム入力などの方法により、マルウェア等に感染させ、情報の漏えい・データ破壊などを誘発させる攻撃です。
標的型攻撃については、「標的型攻撃メール徹底解説!スパムとの違い、回避方法から被害を受けた際の対処法まで」で詳しく解説していますのでご確認ください。
ゼロデイ攻撃
脆弱性が見つかったソフトウェアに、パッチ(修正プログラム)等の対策や情報公開がなされる前にその脆弱性をつく攻撃です。脆弱性発見から0日で攻撃するのが名前の由来です。無防備であるところに攻撃をかけるので、非常に厄介で対処のしにくい攻撃です。
ゼロデイ攻撃については、「ゼロデイ攻撃の内容と対策とは?修正プログラム提供前に脆弱性を攻撃!」で詳しく解説していますのでご確認ください。
マルウェア
広く、悪意のあるソフトウェアです。コンピュータウイルスもマルウェアの一種です。不正なコマンド等でユーザに不利益をもたらします。メール・Webサイト経由でデバイスに感染し、企業のネットワークを停止に追い込んだり、個人の重要情報を暴露したりと、大きな被害を生じさせます。
マルウェアについては、「マルウェア対策の重要性とは?被害事例をもとに有効対策を解説」で詳しく解説していますのでご確認ください。
DoS攻撃/DDoS攻撃
サーバやPCに対して極めて大量のデータを送り付け、ネットワークを遅延、または停止に追い込む攻撃です。営業を止めてしまう例もあるとおり、非常に大きな影響が生じます。
DoS攻撃/DDoS攻撃については、「DDoS攻撃のためにすべき4つの対策方法|被害事例も合わせて解説」で詳しく解説していますのでご確認ください。
SQLインジェクション
SQLインジェクションは、プログラムの脆弱性を逆手に取り、Webサイトなどのデータを改ざんしてしまう攻撃です。同様の攻撃手法には、OSインジェクション・LDAPインジェクションなどがあります。
SQLインジェクションについては、「SQLインジェクション攻撃に有効な対策3つをセキュリティ事故から学ぶ」で詳しく解説していますのでご確認ください。
ブルートフォースアタック(総当たり攻撃)・リバースブルートフォースアタック(逆総当たり攻撃)
特定のアカウントに対して、手当たり次第にパスワードを入力して不正ログインを試みる、あるいは、ありがちなパスワードに対してさまざまなIDを入力することで不正ログインを試みる攻撃です。
古典的な攻撃手法ですがこちらも大きな被害を出す可能性があります。
ブルートフォース攻撃については、「ブルートフォース攻撃とは?5つの被害・影響と4つの有効対策を解説」で詳しく解説していますのでご確認ください。
サイバー攻撃への対策とは
では、サイバー攻撃に対してはどのように対策するのが適切なのでしょうか。
セキュリティ対策製品の活用
まずは、外敵からの侵入をブロックするのが重要です。ファイアウォール、IDS/IPS、ログ取得ソフトといったソフトウェアの導入が有効です。
ECサイトや会員制Webサイト等、個人情報のやり取りのあるWebサイトを運営している企業は、WAFの導入がオススメです。WAFはWebアプリケーションの内部ではなく前面で攻撃の防御をしてくれるため、脆弱性を悪用した攻撃も防ぐことができます。
脆弱性管理と適切なパッチ適用
ソフトウェアを最新のものにアップデートすること自体、サイバー攻撃への防御としては有効であると考えられています。
最新の手口を踏まえた更新プログラムは攻撃者もすぐには対応できませんから、攻撃までの時間を遅らせるか、うまく行けば攻撃者側があきらめる方向で動くでしょう。
定期的なパッチの適用を確実に実施、日々の脆弱性情報を収集したうえで、緊急でパッチの適用が必要であれば速やかに対応します。
脆弱性診断の必要性や内容・事例については「脆弱性診断とは?その必要性や内容、事例について解説」をご覧ください。
サイバー攻撃を受けた際の対応体制を確立
サイバー攻撃を受けた際には、サーバやコンピュータの停止が引き起こされる可能性があります。
そうなった場合でも被害が最小限に抑えられるような体制を確立しておきましょう。
社内のことだけでなく、顧客・取引先に自社のサイトからマルウェア感染を起こさせてしまった場合を考えて、対応フローと、各所への報告ルートも検討・確立しておきましょう。
協力会社のセキュリティ強化
協力会社の納品物・あるいは作業からサイバー攻撃を招くことがないように、セキュリティホールをつぶす必要があります。
セキュアコーディングの遵守、作業の際のデバイスないしアクセス権管理などSLAで確約してもらうようにしておきましょう。
関係者へのセキュリティ教育
セキュリティ教育も重要です。基本的な対策を知っておいてもらうことももちろん、過去のサイバー攻撃や情報漏えいの事例を伝えることで危機感や当事者意識を持ってもらうことができます。
また、標的型攻撃については不審なメールを開けないようにするための訓練などが教育内容として考えられます。
セキュリティ教育クラウド「セキュリオ」ではeラーニングでのセキュリティ教育・標的型攻撃メール訓練・毎週配信のミニテストで従業員のセキュリティ意識・リテラシーを効果的に向上させます。まずは無料ではじめましょう。
クラウドや無線LAN・無料Wi-Fiの使用も注意が必要
喫茶店や飲食店にある無料Wi-Fiは、便利な一方で、情報セキュリティの観点からはあまり使用しないことが望ましいです。
通信の傍受が容易な環境なので、とくに重要情報の取り扱いは、絶対にしてはいけません。
基本的には、外で仕事をするときは、自分で用意したモバイルWi-Fiを使うのが望ましいです。
また、クラウドサービスの利用の際は、サイバーテロや自然災害で利用中のサービスが使えなくなってしまう可能性と対策も検討しましょう。
最近ではGoogleやAWSのサービスも停止する事例が見られますので、どの企業も他人事ではありません。
サイバー攻撃の事例からみるサイバー攻撃の恐ろしさ
ここでは実際に事例からサイバー攻撃の脅威を紹介していきます。
ランサムウェアWannaCry(ワナクライ)
Windowsを標的とするWannaCryは、国内外で大きな被害を引き起こしています。
マルウェアの一種で、PCをロックさせ、身代金=ランサムを支払えば解除する、とのメッセージがPC上に表示されます。
国内では、日立製作所・ホンダを含む20件以上の被害が報告され、海外でも150か国以上で被害報告されています。
特に、日立製作所の例では、3時間でネットワーク全体にこのランサムウェアが広がり、社内ネットワーク全体に大きな影響があったことが公表されています。
リバースブルートフォース攻撃
パスワード総当たり攻撃ではなく、暗証番号を固定して口座番号をランダムに入力、不正アクセスを総当たりで成功させる攻撃です。
2020年に大きな問題となった、ドコモ口座のインシデントにおける不正送金の原因になったのがこの攻撃と考えられています。
また、2020年に世間へ認知されることになりましたが、それ以前にも、大きなニュースは多発していました。
このように、原始的かつ非効率なように思える攻撃方法ですが、大きな被害を起こしている程、危険な攻撃といえます。
年月 | 事例 |
---|---|
2009年7月 | 米国・韓国の政府機関等に対するサイバー攻撃が発生、日本国内の複数のコンピュータが攻撃に踏み台として使われたことが判明。 ▼参考記事 https://jp.reuters.com/article/idJPJAPAN-21326320090710 |
2010年9月 | 尖閣諸島沖における中国漁船衝突事件を受けて、中国のハッカー集団である「中国紅客連盟」と称する者がサイバー攻撃を宣言、警察庁のウェブサーバに対してこれに関連したとみられるアクセスが集中。 ▼参考記事 https://globe.asahi.com/article/14573740 |
2010年9月 | イランの原子力発電所等のコンピュータ約3万台がスタックスネットと呼ばれる不正プログラムに感染した旨が報じられました。日本でも複数のコンピュータが同じ不正プログラムに感染した模様です。 ▼参考記事 https://eset-info.canon-its.jp/malware_info/trend/detail/160308.html |
2014年9月 | 地方法務局内の端末と外部との不審な通信が確認され、法務省のサーバ・パソコンに不正アクセスが発生していたことを確認しました。中国籍の男が、偽名を使って攻撃をしていたことがわかっています。 ▼参考記事 https://www.moj.go.jp/content/001127290.pdf |
2017年7月 | アメリカの国土安全保障省とFBIが緊急共同報告書を発表し、カンザス州バーリントン近郊にある原子力発電所にサイバー攻撃が仕掛けられていたことを明らかにしました。 ▼参考記事 https://rief-jp.org/ct4/71125 |
セキュリティオペレーションセンター(SOC)は設置すべき
SOC (セキュリティオペレーションセンター)は、情報セキュリティオペレーションセンター(ISOC)とも呼ばれ、情報セキュリティチームが、通常は24時間365日体制でサイバーセキュリティインシデントを監視、検出、分析して対応する集中管理組織です。
組織的にサイバー攻撃に対応する必要がありますが、セキュリティオペレーションセンター(SOC)を常設し、脅威への研究、監視、分析、対応を講じる必要があります。
特に、サイバー攻撃の発生時には調査、保険対応、顧客やステークホルダーへの対応、復旧などなかなか業務が膨大で複雑です。
SOCを設置して対応しましょう。
まとめ
サイバー攻撃について解説しました。
外部からの攻撃に対応するには、手口を知っておくことと、日ごろから十分に外部からの攻撃に備えておくことが求められます。
最新の外部からの攻撃を遮断する、あるいは、攻撃を受けてしまった際に対応するためには、SOCの設置をはじめとする施策を検討しましょう。