こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
DXやコロナ禍のテレワークなどにより今や生活に必須のインフラとなっているインターネット。セキュリティの犯罪も高度化、悪質化してきています。この記事は、最近のトレンドであるセキュリティインシデントの種類についてIPA「情報セキュリティ10大脅威2021」に基づいて触れていきます。
セキュリティインシデントとは?
セキュリティインシデントは、セキュリティ事故の事を指し企業の重要情報流出、Virusやサイバー攻撃による企業のWebサイトやシステム、および企業活動そのものの停止などです。セキュリティインシデントが発生すれば、企業活動への影響や信用失墜などにつながりますし、お客様情報の流出が発生すれば、お客様にまで被害が及ぶことになります。セキュリティインシデントへの対策は企業にとって重要な項目の一つになっています。セキュリティインシデントは、PCやUSBメモリ紛失や誤った情報公開設定など企業側のミスで発生するケースもありますが、深刻なものは、悪意を持った第3者いわゆるハッカーによる攻撃です。
昔はエンジニアの力を誇示することが目的だった
ハッカーの攻撃目的も昔と今で大きく変化してきています。かつてハッカーがサイバー攻撃する理由は、自身のエンジニア能力を誇示することが目的でした。例えばアメリカ国防総省や有名銀行のサイトに不正アクセスした痕跡を残すことで自分の技術レベルを知らしめます。彼らはセキュリティ対策会社にヘッドハントされ、ホワイトハッカーとして高収入の職を手に入れることが出来ました。
現代はサイバー攻撃がビジネス化している
現代のサイバー攻撃の目的はビジネス化しています。彼らの目的は多額の金を手に入れることです。企業に攻撃をしかけ、企業の重要情報を不正に入手、ダークサイドに販売することで多額の金を手に入れる構図です。また、最近ではVirusで企業のITリソースを停止させ、これを復帰させることを条件に多額の身代金を要求するケースも出てきています。最近では大掛かりなハッカー集団が世界中の有名企業に攻撃をしかけるなど、規模も大きくなってきています。
今はIoTデバイスやテレワーク環境を狙った攻撃が急増
最近では、企業で増加しているIoTデバイスやテレワーク環境を狙った攻撃が急増しています。IoTやテレワークは急激に拡大しているにもかかわらず、セキュリティ対策が追い付いていない企業が多く、その脆弱性を狙ってきています。代表的な例では、2018年に発生した日本の自動車会社の米国法人において、ランサムウェアによる生産システムの停止が発生、これにより数日間生産停止が発生したケースです。生産指示用のPCがネットワーク接続されており対策が不十分であったため、その弱点を突かれた形です。サイバー攻撃は、これまでのOAシステムだけではなく、ネットワークに接続されるすべてのデバイス、設備など対象の幅は広がりつつあります。
2021年度対企業向けセキュリティインシデント5選
巧妙化、且つ悪質化しつつあるサイバー攻撃ですが、具体的にどのような攻撃パターンが増えているのでしょうか?ここではIPAの「情報セキュリティ10大脅威2021」に基づき、企業向けに増加しているセキュリティインシデント5選を紹介します。
ランサムウェアによる被害
ランサムウェアと呼ばれるVirusによる攻撃です。ランサムウェアは保存しているデータすべてを暗号化してしまうVirusです。攻撃者は、スパムケールやフィッシングサイトなどでランサムウェアを送信し、企業側のPCを攻撃します。その上で、その状態を復旧させることを条件とし多額の身代金を要求してきます。また、この攻撃は同時に重要情報を搾取しているケースも多く、身代金を払わなければ情報漏洩させると脅してくるケースもあります。企業側は業務停止を余儀なくされるだけでなく、企業情報漏洩の危機にも見舞われることになります。
標的型攻撃による機密情報の窃取
標的型攻撃により機密情報を搾取するケースです。特定の企業、官公庁等にメールやWebサイトなどに誘導しVirus感染させ、機密情報を搾取するのです。最近ではコロナウィルスによりテレワーク化が急速に進んでいることからテレワーク環境の脆弱性を狙った攻撃も多発しています。
テレワーク等のニューノーマルな働き方を狙った攻撃
テレワーク環境に対する攻撃です。テレワークにより社外からの業務やインターネットを経由したWeb会議の機会が増加しています。攻撃者はそのWeb会議の盗聴や、脆弱性を狙った社内システムへの不正アクセスなどにより機密情報を搾取します。
サプライチェーンの弱点を悪用した攻撃
サプライチェーンの弱点を悪用した攻撃です。昨今では、企業間で連携し、材料調達、製造、物流、販売までのサプライチェーンシステムを連携させるケースが増えてきています。ただ、このケースの場合、企業間でセキュリティレベルにばらつきが生じ、セキュリティ上の弱点が出てしまうケースがあります。
例えば、大手製造企業は高いセキュリティレベルを保っていますが、末端の部品メーカーの対策が不十分であれば、そこがセキュリティホールになってしまう可能性があります。攻撃者はこの弱点を利用、サプライチェーンに関係する全企業の機密情報を根こそぎ搾取してしまいます。連携する企業が1社でも不十分な対策であった場合、セキュリティインシデントを引き起こしてしまう可能性があります。
ビジネスメール詐欺による金銭被害
ビジネスメール詐欺による金銭被害です。メールでいかにも業務に関係しそうな内容を送付、フィッシングサイトに誘導し口座情報などを搾取する方法です。これは、昔からありましたが、昨今は巧妙化しています。よくあるパターンがそれまでやり取りしていたメールを搾取され、それに関連する内容のメールを送付し、情報や金を搾取するのです。最近のケースでは、企業間でのお金の入金に関し、入金口座が変更になった偽メールを送付、担当者はそのメールに従い、入金、多額の費用を搾取されていしまったケースです。入金した担当者は直前までその偽メールが名乗った企業とメールで入金調整をしており、送られたメールはその担当者名を名乗っていたことから騙されてしまったというものです。このメールによる詐欺は複数の企業で発生していますが、内容が巧妙化しており、対策が難しくなってきています。
セキュリティインシデントから守るには?
巧妙化しつつあるサイバー攻撃、防御する方法も難しくなってきています。どのように対処すればよいでしょうか?ここでは対策ポイントを紹介します。
完全に守るのは無理、大事なのは如何に早く発見し止められるかになる
守るのではなく、「早期発見、対策」をすることに注力することです。IPAの調査では、毎日100万以上の攻撃パターンが新たに発見されており、パターンファイルの準備が追い付かない状況と言われています。そこで大事なのは、攻撃をいち早く検知し、対処できるか?にかかってきます。例えばVirusの混入によりプログラム構成やアクセス権に変更が生じる、不可解な通信パターンなど監視することで攻撃をいち早く検知することは可能です。攻撃を100%防御するのではなく、攻撃された場合でも被害を最小限に抑える対策・体制構築が重要といえます。
専門家の力を借りる
専門家の力を借りることです。攻撃をいち早く検知し防御することが重要とお話ししましたが、素人で出来るものではありません。そのためセキュリティ対策に強い会社なども含めた対策チーム設置をおすすめします。
定期的なスタッフへのセキュリティ教育も忘れずに
スタッフや従業員に対するセキュリティ教育です。セキュリティインシデントは専門家や一部の担当者のみで守れるものではありません。従業員の意識レベルを高めることも防止につながる重要なポイントです。セキュリティインシデントのパターンや対策、不信なメールは開かずセキュリティ担当者に連絡するなど、知識および意識づけを行うことも重要です。
さいごに
企業内にもコンプライアンスや個人情報保護、事業継続、リスクマネジメントといった様々なビジネス上の問題に対応する業務や組織があります。組織は異なりますが「企業を守る」という意義では、高度化するセキュリティインシデントへの対応できる仕組みや対策も同じく重要な取り組みだと言えます。本稿が見直しのきっかけになれば幸いです。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
