2019.04.05
企業が蓄積している莫大な個人情報や機密データは、サイバー攻撃にとって、恰好のターゲットのひとつです。サイバー攻撃にはさまざまな種類があり、対策方法もそれぞれで異なります。企業の大事なデータを守るためには、セキュリティ対策の強化と徹底が重要です。この記事では、サイバー攻撃の目的や対策方法などについて紹介します。
企業へのサイバー攻撃には、さまざまな目的があると考えられます。攻撃側の個人的な思想が関係しているケースも多々あり、この業界を狙うのはこういう目的があるからなどと単純には言えません。攻撃の目的によって、仕掛けてくるサイバー攻撃の種類も違ってきます。しかし、目的が多岐に及ぶとはいえ、企業を狙うサイバー攻撃に多い目的と言えるようなものを挙げることは可能です。たとえば、機密データや個人データを狙うケースは、企業を相手にしたサイバー攻撃には多いと言えます。
また、私怨を晴らす目的や愉快目的で単純に企業のイメージダウンや経済損失などを狙うことも少なくありません。個人でサイバー攻撃を仕掛けてくることもおりますが、企業を狙ったサイバー攻撃では、犯罪グループやハッカー集団などが関わっているケースが目立ちます。その場合、特定の政治思想をアピールすることが目的になっているかもしれません。
企業のPCがサイバー攻撃を受けることでどのようなことが起こるのか、想像もつかなければ対策の取りようがありません。サイバー攻撃によってどんなリスクがあるのかを正しく理解するようにしましょう。ここでは、企業におけるサイバー攻撃のリスクについて紹介します。
サイバー攻撃によって、商品の開発データや試験データなどの機密情報や大量に保有している顧客情報が漏えいしてしまうリスクがあります。情報漏えいをもくろんでサイバー攻撃を仕掛けてくる側は、他人のIDやパスワードを盗んだうえで、他社に成りすまして攻撃を仕掛けてくることが多いというのが特徴です。そのため、なりすましとは気が付かないまま侵入を許してしまい、情報が漏えいして初めて、サイバー攻撃に遭っていたことに気が付くということも少なくありません。
企業の場合、社内のPC内に保存してある情報が、すべて自社に関するものだけということはないでしょう。顧客や取引先の情報も多く保有しているはずです。他社との協力で得た情報や、他社製品との比較のために集めた情報などもあるでしょう。そうなると、情報が漏えいしたことによる損害が他社にまで及ぶ可能性もあります。
サイバー攻撃による情報漏えいは、単に企業が持っている情報が欲しいために行っているとは限りません。セキュリティの脆弱さや顧客情報の管理の甘さを指摘して、ブランドイメージを低下させることが目的の場合もあります。ブランドイメージの低下により、顧客がライバル企業に流れてしまうことは十分考えられることです。また、セキュリティが脆弱な企業、情報管理の甘い企業というイメージが一旦付いてしまうと、なかなか払しょくされません。これまでの取引先だった企業も警戒して、取引の中止を求めてくる可能性があります。
風評被害によって株価が下がったり、売り上げが落ちたりすると、損失は甚大で、なかなか取り返すことができません。企業にとって信頼を損なうことは大きなマイナスですから、そこを狙ってサイバー攻撃を仕掛けてくることが少なくないのです。
サイバー攻撃には、社内ネットワークに不正アクセスしたうえで、遠隔操作によって社内のPCを動かし、データを破壊したり改ざんしたりするパターンもあります。データの破壊や改ざんが中枢に及ぶと、作業が滞る程度では済まず、場合によっては業務停止に追い込まれてしまうことがあるかもしれません。データの破壊や改ざんは、どの部分が狙われたのかがわかりにくい場合もあり、復旧にも時間がかかります。データの破壊や改ざんの影響が自社内だけにとどまらない場合はさらに大変です。顧客や取引先にまで及ぶと、多額の賠償責任が発生することもあり、企業の存続にかかわる事態に発展することもあり得ます。
サイバー攻撃と一口に言っても、さまざまな手口があります。種類ごとに対策も違ってくるので、企業が受け得るサイバー攻撃にはどのようなものがあるかを知っておきましょう。ここでは、サイバー攻撃の主な種類について紹介します。
標的型メールとは、特定の相手をターゲットにして、送りつける偽装メールのことです。企業に標的型メールを送る場合は、社内にいる社員にターゲットを絞ります。PC内に必要な情報を保存していそうな相手や、簡単にファイルを開いてくれそうな相手を狙うのが常套手段です。成りすますことによって、データを書き換えられる権限を持っている相手をターゲットとすることもあるでしょう。
送りつけるメールには、不正なプログラムが含まれたファイルが添付されていたり、フィッシングサイトのURLが記載されていたりします。ファイルを開封したり、インストールしたりすることによって、ウィルスが拡散したり、情報が漏えいしたりする仕組みになっているのが一般的です。キー操作を読み取るウィルスやプロキシを書き換えるマルウェアが仕込まれていると、感染したPCを乗っ取り、犯罪に加担させられることもあり得ます。
DoS攻撃/ DDoS攻撃とは、企業のサイトやサーバーに大量のデータを送りつけて負荷をかけ、サーバーをダウンさせたりサイトを閲覧できなくしたりすることを目的とした攻撃です。作業を効率化させるために独自のサーバーを持っている企業は少なくありません。他社と共用しない独自のサーバーを持っているということは、そこを集中的に狙ってダウンさせれば、業務が通常に行えなくなる、あるいは全くストップしてしまうということになります。複数に分散させた攻撃用のマシンから、一斉に攻撃を仕掛けてくるため、防ぐのが難しいうえに、どのマシンから攻撃が始まっているのかもつかみにくいのが問題です。
しかも、一般家庭のPCが気付かないうちに攻撃用のマシンに仕立て上げられているケースもあるので、すべての攻撃からサイトやサーバーを守るのが困難とも言えます。
ゼロデイ攻撃とは、ソフトウェアの知られざる脆弱性を狙ったサイバー攻撃のことです。もともとは、攻撃者だけが気付いた脆弱性を狙ったサイバー攻撃のことをゼロデイ攻撃と言っていました。しかし、脆弱性が研究者や開発者の間では指摘されていても、ソフトウェアの修正が行われていない期間を狙って攻撃するものもゼロデイ攻撃と呼ばれるようになっています。
ソフトウェアに何らかの脆弱性が発見された際には、修正プログラムが公開され、そのプログラムをインストール、実行することで対処するのが一般的です。ゼロデイ攻撃という名前には、修正プログラムが公開されるOne Dayの前日に仕掛けてくる攻撃という意味を含んでいます。
ブルートフォースという言葉には強引や力づくという意味があり、ブルートフォースアタックには、総当たり攻撃という意味があります。その名の通り、ブルートフォースアタックは、企業のサイトやシステムにアクセスするために、IDやパスワードとして推測される文字列をすべて試していく攻撃方法です。総当たりで試すのですから、IDやパスワードが単純な文字列なら解読されやすく、複雑であれば解読されにくいということになります。
しかし、総当たり攻撃は人間の操作で行われているとは限りません。専用のツールやプログラムを事前に作っておき、それを利用して解読を行うケースが増えています。そうなると、複雑に見える文字数の並びでもほんの数分で解読できてしまうようになるので、複雑なIDやパスワードなら安心とも言い切れません。
サイバー攻撃の危険性を耳にしても、海外で起こっていることのように感じ、身近なこととは思っていないケースが多々あります。それでは、対策が遅れ、被害が拡大してしまうので注意しましょう。ここでは、日本企業がターゲットとなった過去のサイバー攻撃事件の事例について紹介します。
2015年6月に起こった事例です。日本年金機構が受けた不正アクセスにより、日本年金機構が保有していた個人情報約125万件が流出する事態になりました。流出した情報の中身は、基礎年金番号と、氏名、生年月日、住所の4種類で、一部だけ流出した人と、4つともすべて流出した人がいます。事の発端は、福岡市内の事務所で作業を行っていた職員に送られてきたメールでした。不用意に添付ファイルを開封したことによりPCがマルウェアに感染し、日本年金機構のLANを通じて複数のフォルダに細分化して保存されていた個人情報が漏えいすることになったとされています。末端の職員がうかつに開けたファイルが、大量の個人情報流出につながった事例です。
GMOインターネット株式会社がサイバー攻撃を受け、1万4612件の個人情報が流出した可能性が高いことを発表したのは2017年10月30日のことでした。しかし、実際にサイバー攻撃を受け、情報が流出したとみられるのはその1カ月半前の2017年9月14日です。狙われたのは同社が運営するサイト売買の仲介サービスの「サイトM&A」が保有する情報でした。流出したとみられる個人情報は、氏名、住所、生年月日、電話番号、メールアドレスの5つです。同社はクレジットカード情報を保有していなかったため、クレジットカードに関する情報の流出はありません。発表が遅れたのは、外部からの指摘により情報の漏えいに気付き、調査を開始したためとのことです。
2017年、日産化学工業が運営するサイトの一部に不正アクセスがありました。外部からの不正アクセスを許すような管理の甘いサイトであったこともあり、問い合わせフォームに入力した個人情報約4500件が流出した可能性があるというものです。流出した可能性がある情報は、氏名、住所、電話番号、メールアドレスのほかに、会社名や所属などに及びます。サイトを閲覧しただけでは個人情報が流出することはありませんでしたが、問い合わせフォームを利用した顧客に多大な迷惑が掛かった事例です。
企業がサイバー攻撃を受けることによって、多大なリスクがあることが理解できたことでしょう。そして、すぐにでも何らかの対策が必要だと感じたのではないでしょうか。ここでは、企業が行うべきサイバー攻撃に対する2つの対策方法について紹介します。
組織的対策とは、組織全体で取り組むセキュリティ対策のことです。セキュリティ対策に関連する方針やルールなどを統一し、明確に定めたうえで末端社員まで周知を徹底することが求められます。会社全体のセキュリティ意識を高めることによって、万が一サイバー攻撃に合っても被害をマルウェアの侵入を水際で防いだり、被害の拡大を防いだりすることが可能です。サイバー攻撃に合った際には迅速な対応ができるように、日頃からセキュリティ委員会を構築しておくことも、組織的対策として必要なことと言えます。
企業にとって、サイバー攻撃に備えるために必要な技術対策とは、認証システムやファイアフォールの導入など、直接PCに対して行うセキュリティ強化のことです。サイバー攻撃を行う攻撃者は、セキュリティの脆弱さや管理の甘さを狙います。逆に、セキュリティが強固な企業は攻略に時間も手間もかかるので、避けると考えることができます。そのため、セキュリティ対策は常に最新の状態にしておくことが大事なのです。技術的対策をしっかり実行することで、外部からの不正アクセスを受けにくくなります。万が一侵入を許してもウィルス感染を防ぐことができるでしょう。
企業がサイバー攻撃に備えて対策をとる場合は、ただPCにセキュリティソフトをインストールして終わりというわけにはいきません。サイバー攻撃に備えるためにしておかなければならないことはまだあります。ここでは、サイバー攻撃の対策を考えるときに注意が必要な点について紹介します。
組織的対策と技術的対策は、同時に行って初めてセキュリティ対策として意味を成すものになります。たとえば、技術的対策だけを実行しても、社員のセキュリティ意識が低いままでは、末端の社員が標的になった場合に対処ができません。社員が使用するPCからやすやすとウィルスやマルウェアが入り込んでしまいます。サイバー攻撃はそのような状況を想定しているため、社員を罠にかけるような攻撃を仕掛けてくることが少なくありません。もちろん、組織的対策だけではPCが無防備なままなので、攻撃を受けやすい状態と言えます。ですから、対策は組織的対策と技術的対策の両方を実行し、セキュリティ強化を徹底する必要があるわけです。
サイバー攻撃の手口は日々巧妙化しています。そのため、過去の手口にだけ対応していても十分な対策とは言えません。どんな手法を使用して攻撃してくるか予測ができないため、常にサイバー攻撃に関する情報にアンテナを張り、対策を最新の物にしておく必要があります。セキュリティソフトの更新を怠らないのはもちろん、社内で情報の共有をし、末端の社員まで情報が行き渡るようにすることも大事です。また、新たな脅威に備えて、定期的に対策の強化をすることも必要でしょう。
企業に対するサイバー攻撃は、日本国内でもさまざまな手口で実行されてきました。そして、手口は日に日に巧妙化しています。そのため、PCのセキュリティは常に強化しておくことが重要です。日本HPでは各種サイバー攻撃に対応できる高度なセキュリティを搭載したPCを取り扱っています。対策強化の一環として、ぜひ購入を検討してみてはいかがでしょうか。