企業のクラウドサービス利用やIoT機器の活用が増加する中、サイバー攻撃はより身近なリスクとなっています。被害に遭うと、金銭的・社会的に大きなダメージを受けるため、被害防止のための対策が重要です。そこで本記事では、企業のIT担当者が知っておきたいサイバー攻撃の概要や必要な対策について、基本からわかりやすく解説します。
サイバー攻撃とは
サイバーとは、コンピュータやネットワークに関することを意味する言葉です。そしてサイバー攻撃とは、悪意ある第三者がインターネットやネットワークを経由して、組織や個人を対象に行う攻撃を指します。個人情報の窃盗や金銭の脅迫、システムへの不正アクセス、データの破壊・改ざんなどを目的に行われます。
個人の被害としては、主にクレジットカードの不正利用やSNSアカウントの乗っ取りなどが挙げられます。一方、企業の被害としてはシステム停止による事業停止や個人情報漏洩による信用失墜、脅迫による金銭被害などがあり、個人・組織を問わず情報セキュリティにおける大きな脅威となっています。実際、大手セキュリティ会社の調査結果によると、2021年には国内でおよそ1,620万人がサイバー犯罪の被害を受け、被害総額は320億円にも及ぶと推計されています。
また警察庁によると、2021年のサイバー犯罪検挙数は12,209件にのぼり、過去最高を記録したとのことです。特に、身代金を要求するランサムウェアは検挙件数が146件と増加傾向にあり、被害企業の半分近くが復旧に1,000万円以上を要し、中には5,000万円以上かかった例もあるなど、大きな問題となっています。
サイバー攻撃の手口は年々高度化していることから、予防も難しくなりつつあります。攻撃を受けたと気付いたときには被害が拡大・長期化していた、という例も増えています。
サイバー攻撃の種類
ひと口にサイバー攻撃といっても、その種類はさまざまです。ここでは、主なサイバー攻撃の種類とその特長について解説します。
マルウェア
マルウェアとは「Malicious(悪意がある)」と「Software」を組み合わせた造語で、悪意ある第三者が作成した有害なソフトウェア・プログラムの総称です。ウイルスやワーム、ランサムウェアはマルウェアの一種です。
マルウェアは電子メールの添付ファイルやUSBメモリ、Webサイトの閲覧などをきっかけに感染します。OSやソフトウェアの脆弱性を介して感染することもあります。
代表例としては、2019年に世界的に拡大し、2022年に再び被害が激増した「Emotet(エモテット)」が挙げられます。これは主にメールの添付ファイルを開封して感染しますが、過去にやり取りした実在の相手を偽装する、以前送信したメールの返信を装うなど、巧妙な手口のため注意が必要です。
不正アクセス
正規のアクセス権限を持たない人間が、盗み取ったIDを使う、脆弱性を悪用するなどの手段で組織内のシステムやサーバーへ侵入する行為を、不正アクセスと呼びます。
2020年には、大手携帯会社が運営する決済サービスの口座が不正アクセスの被害に遭い、利用者の口座から不正に出金されるという事例がありました。被害者への補償や追加のセキュリティ対策実施によるコストだけでなく、TVで放送されたことにより企業の信用が大きく低下しました。
企業が擁するコンピュータの多くはインターネットに接続されているため、不正アクセスのリスクは常につきまといます。「自社は安全」と油断せず、リスクを想定した対策の検討が必要です。
DDoS攻撃
DDoSとは「Distributed Denial of Service attack」の略称で、日本語では「分散型サービス妨害」を意味します。複数のコンピュータから攻撃し、サーバーに対して処理できない大量の負荷を与え、機能を停止させる行為のことです。不正アクセスなどにより乗っ取られたコンピュータが攻撃に利用されることもあります。
DDoS攻撃を受けると、ネットワークに遅延が生じたり、Webサイトの閲覧ができなくなったりするなどの被害を受けます。
フィッシング詐欺
フィッシング詐欺とは、送信者を詐称した偽の電子メールで受信者を騙し、不正なWebサイトに誘導して個人情報を盗み取る行為のことです。
フィッシング対策協議会によると、2022年7月の報告件数は約108,000件にのぼり、うち半分近くがクレジットカードの利用確認を偽装したものでした。送信元のほとんどは中国からで、6割近くが差出人のメールアドレスを偽装しています。
なおフィッシングとは、「Fishing(魚釣り)」と「洗練された(Sophisticated)」の2つの単語を組み合わせた造語です。
サイバー攻撃の最近の動向
サイバー攻撃は年々複雑かつ高度な手口になっており、パソコンだけでなくルーターなどのネットワーク機器やIoT機器への攻撃も増加していることから、被害は増加傾向にあります。
特に近年の傾向としては、金銭を目的としたランサムウェアの被害が増加しています。これはグローバルでも同様の傾向であり、G7でランサムウェア対策に関する会合が開催されるなど、世界中で被害防止のための対策が議論されています。IPAが発表した「情報セキュリティ10大脅威 2022」においても、ランサムウェアによる被害が組織の脅威で1位となっており、その脅威度の高さがうかがえます。
また、社会情勢の変化もサイバー攻撃の増加に影響を与えています。近年、新型コロナウイルスの感染拡大により、企業のテレワークやデジタルトランスフォーメーション(DX)への取り組みが活発化しました。それに伴うリモートアクセスやクラウドサービス利用の増加がセキュリティ上のリスクを高め、サイバー攻撃の増加を助長しています。さらに、IoT機器への攻撃が増加していることにも注意が必要です。
サイバー攻撃のセキュリティ対策
サイバー攻撃の手口は多様化していますが、被害に遭うきっかけは共通している部分があります。そのため、サイバー攻撃を未然に防ぐためには、何よりも基本的な対策を漏らさず行うことが重要です。
それに加えて、あらかじめ「万が一、攻撃を受けた場合にどのような対応を行うべきか」を決めて社内で周知しておくことで、被害の軽減が期待できます。
パソコンへの対策
必ず行うべきなのが、パソコンへの対策です。ソフトウェアやブラウザなどは常に最新の状態にしておくことで、脆弱性の悪用を防げます。サポート切れのOSは使用しないようにしましょう。
また、セキュリティソフトの導入はマルウェアの検知に有効です。Windows10および11に標準装備されているWindowsセキュリティも役立ちます。
そのほか、ツールの設定が誤っていると、そこから攻撃される可能性があるため、定期的に設定を見直すことも必要です。
サーバーへの対策
ファイルサーバーやウェブサーバーなどをオンプレミスで運用している場合には、ログの監視を強化する、脆弱性対策をきちんと行う、といった対策が有効です。中小規模の企業でサーバーへの対策まで手が回らないという場合には、リスク回避としてクラウドサービスへの切り替えを検討する選択肢もあります。
個人ができる対策
フィッシング詐欺やウイルスなどは多くの場合、個人の注意によって感染を防げます。不審なメールは開かない、むやみにURLをクリックしない、パスワードを使い回さない、などを徹底しましょう。セキュリティポリシーの周知や、社内スタッフのセキュリティ意識を高めるための研修実施も必要です。
まとめ
マルウェアや不正アクセス、DDoS攻撃などのサイバー攻撃は、企業の活動に大きな被害をもたらします。攻撃を未然に防止し、万が一攻撃を受けた場合には被害を最小限に抑えられるよう、適切な対策の実施が必要です。そのためには、デバイスを適切に管理するほか、スタッフのセキュリティ意識の向上も求められます。