サイバー攻撃とは。企業が「加害者」になり得るリスクとその対策。
サイバー攻撃とは不正アクセス等による情報の窃盗や改ざん、システムの破壊や無力化などの攻撃を指します。近年、サイバー攻撃の手口はますます巧妙化し、被害件数も増加傾向にあります。サイバー攻撃への対策をしっかりと練っておかなければ、甚大な被害に発展するリスクがあるのです。本記事ではサイバー攻撃の概要とリスク、その手口と対策について解説します。
サイバー攻撃とは何か
サイバー攻撃とは、コンピューターやネットワーク機器に対して不正アクセスを行い、情報の窃盗や改ざん、流出、なりすまし、金銭の窃取、システムの無効化や破壊などを行う、悪意を持った攻撃のことです。
たとえば、社内システムに不正アクセスして従業員の個人情報、顧客情報、機密情報などを盗んだり、個人の端末から盗んだクレジットカード情報を不正利用したり、マルウェアをばらまくことを目的にWebページを改ざんするケースなどが挙げられます。
サイバー攻撃を行う犯罪者は、俗に「ハッカー」「サイバー犯罪者」「攻撃者」などと呼ばれます。これは単独犯行である場合もありますが、近年では、犯罪グループや反社会的な集団などが組織的に行うことも増えています。
【関連記事】マルウェアとは?マルウェアの種類と感染防止対策
近年のサイバー攻撃の動向
新型コロナウイルス感染拡大によってリモートワークが急速に普及しました。それに伴って、サイバー攻撃はますます熾烈さを増しています。
コンピューターセキュリティの情報発信を行う、JPCERT(一般社団法人JPCERTコーディネーションセンター)が2020年10月20日に公表したインシデント報告対応レポートによると、2022年9月のインシデント報告件数は4,509件と、2021年10月の2,834を大きく上回りました。
また、IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威2022」によると、組織(企業)に対する脅威でとくにリスクが高いのは、ランサムウェアと標的型攻撃です。JPCERTのレポートではフィッシングやWeb改ざん、脆弱性探索のインシデントも多くなっています。
ランサムウェア
ランサムウェアとはマルウェア(悪意あるプログラム)の一種で、感染したシステムのデータを勝手に暗号化し、復号することと引き換えに身代金を要求する手法をいいます。ランサムとは英語で身代金(Ransom)の意味、ウェアとはソフトウェア(Software)の意味を表します。
企業のシステムがランサムウェアに感染すると、社員がシステムにアクセスできなくなり、業務の遂行ができなくなります。
ランサムウェアの攻撃を受けた企業は、深刻な金銭的損害を被る上に、重要データも失ってしまうケースが多いです。身代金を支払っても、データが元に戻されないケースもあるからです。
近年のランサムウェアはさらに巧妙化しており、システムの復旧を条件に身代金を要求した上で「断ったら盗んだ個人情報をばら撒く」などと、いったん攻撃を許してしまうと二重~四重に脅迫してくる事例も報告されています。
【関連記事】企業のランサムウェア対策とは。脆弱性を放置しないために
標的型攻撃
標的型攻撃とは、サイバー攻撃の一種で、特定の組織にターゲットを絞って攻撃をする手法です。攻撃者は、ターゲット企業のシステムの脆弱性を悪用し、攻撃を実行します。標的型攻撃は、一般的なサイバー攻撃よりも巧妙で発見が困難な場合が多く、厄介な攻撃方法といえます。
たとえば、特定の企業の社員が担当している取引先を装ってフィッシングメールを送り、リンクをクリックさせることでマルウェアに感染させ、そのPCを乗っ取ります。そこからPCに保存されているシステム内の他の端末のIDやパスワードを盗みます。このように情報の窃盗を繰り返しながら、システム内の端末やサーバーを渡り歩き、重要なサーバーなどの情報に近づいていくのです。
その組織のシステム構成などを綿密に調べ上げた上で、攻撃の計画が練られているので、対策が取りにくく、大きな脅威となっています。
標的型攻撃は、ランサムウェアと絡めて実行されることもあります。
Webアプリケーション等の脆弱性を狙う攻撃
WebアプリケーションやWebサイトなどの脆弱性(システムの弱点)を突いた攻撃も近年は増加傾向にあります。WebアプリケーションやWebサイトは多くの顧客や一般消費者が利用するので、そこに悪意あるコードなどを仕込まれると短期間で被害が拡大しやすいという傾向があります。
銀行によってアプリ連携のセキュリティ対策に差があったため、連携時の本人確認手続きが簡素な銀行の口座が狙われたのです。被害額は合計で数千万円にものぼり、決済アプリの運営会社と銀行が連携して補償する結果になりました。
【関連サービス】Webアプリケーション診断サービス
サイバー攻撃のリスク
サイバー攻撃に巻き込まれた場合どのようなリスクがあるのでしょうか。代表例として以下の4つを紹介します。
機密情報の漏えい
サイバー攻撃によって不正アクセスを受けたり、マルウェア感染したりすることで、個人情報や機密情報が攻撃者に盗まれ、漏えいします。盗まれた個人情報は反社会的な組織や犯罪者に高値で売られることがあり、さらなる二次被害へと発展する危険性もあります。
もし企業や団体において個人情報の漏えいが発生した場合、賠償責任が発生するケースもあります。漏えい件数が多いと支払う金額も莫大なものとなります。
金銭の窃取
攻撃者から金銭を直接盗まれるリスクもあります。代表的なのがランサムウェアです。勝手に社内データを暗号化され、身代金を要求されます。有効とされている対策方法は身代金の要求に応じず、感染したコンピューターを隔離し、ランサムウェアの駆除を試みることです。しかし、やむにやまれず身代金を払ってしまう企業も多い現実があります。
身代金を支払ったのに復旧に失敗してしまうケースも多く、経済損失が余計に拡大してしまいます。
【参考】ランサムウェア被害防止対策/警察庁(https://www.npa.go.jp/cyber/ransom/)
レピュテーションリスク
サイバー攻撃を受けたことを公表することによって、イメージダウンや風評被害のリスクが高くなります。とくに顧客情報の漏えいが発生すると、商品やサービスの購入を控える顧客が増加する可能性が高くなります。
売上の減少や対策費用の出費など、その間に発生する直接的・間接的な損失は大きなものとなります。
被害者ではなく「加害者」になるリスク
自社が提供するWebアプリケーションや、Webサイトの脆弱性を突かれ、悪意のあるコードを仕込まれてしまった場合には、そのサービスにアクセスしたユーザーが、マルウェアに感染するリスクがあります。
またサイバー攻撃によって個人情報が漏えいしてしまうと、盗まれた個人情報が反社会的勢力に売却されて犯罪のターゲットとなってしまう場合もあります。
企業はサイバー攻撃による被害者というだけではなく、顧客やユーザーに多大な損害を生じさせた加害者としての責任を追及されることになるのです。
【関連記事】ウィルス対策はどうするべき?自社に最適なセキュリティソフトの選び方
サイバー攻撃の代表的な種類や手口
ここでは、サイバー攻撃の代表的な種類や手口を紹介します。
フィッシング詐欺
なりすましメールを送り、偽のWebサイトに誘導するなどしてクレジットカード情報や個人情報を入力させ、盗む手口です。近年はECサイトなどを騙ったフィッシングメールが増加しています。
Emotet
悪意のある動作をするマクロを搭載したExcelファイルなどをメールで送りつけ、受信者がファイルを開いたと同時に不正プログラムが実行され、個人情報などを盗む手口です。感染力が非常に高く、世界的に被害をもたらしています。
ビジネスメール詐欺(BEC)
取引先になりすまして偽の請求書をメールで送ったり、自社の社長になりすまして送金を指示するメールを送るなどして、金銭をだまし取る詐欺の手口です。
DoS攻撃/DDoS攻撃
Dos攻撃はWebサーバーなどに対して大量のアクセスやデータを送信し、サーバーダウンさせる手口です。DDoS攻撃は複数のIPアドレスから同時にDoS攻撃を仕掛け、より大きな負荷をかける手口です。
SQLインジェクション
Webアプリケーションの脆弱性を利用し、悪意のあるSQL文を実行させて、データベースを不正に操作する手口です。
クロスサイトスクリプティング
ブログのコメント投稿機能などの脆弱性を利用し、コメントに悪意あるスクリプトを埋め込み、閲覧した人のブラウザ上で実行させる手口です。スクリプトが実行されると、マルウェアに感染したり、偽のフィッシングサイトに誘導されたりします。
ブルートフォース攻撃
暗号解読方法の一種で、考えられる組み合わせのパスワードをすべて試す手口です。日本語では「総当たり攻撃」と呼ばれます。
Web改ざん
WebサーバーやCMSなどに不正アクセスし、Webサイトの内容を改ざんすることを指します。
ゼロデイ攻撃
Webサービスやアプリなどに脆弱性が発見されてから修正パッチがリリースされるまでのわずかなタイムラグを狙って脆弱性を突く手口です。修正パッチのリリース前であるため、感染リスクが極めて高く、被害が大きくなるリスクがあります。
内部不正
企業の内部の人間が与えられた権限を濫用し、機密情報などを悪用する手口です。悪意の有無に関わらず、組織内部の人間による情報漏えいは後を絶ちません。
サイバー攻撃の事例
このセクションでは実際にサイバー攻撃によって被害が生じた実例を紹介します。
ネットバンキングの不正利用で2,000万円以上の被害
2020年、ある携帯電話キャリアが運営するキャッシュレス決済アプリが不正利用され、銀行から不正に資金が引き出される事件が起きました。この決済アプリは銀行のWeb口座振替サービスと連携し、連携した銀行口座からかんたんにチャージできる仕組みでした。
しかしWeb口座振替サービスのセキュリティは銀行ごとに差があり、多要素認証を導入していなかった銀行などが一部存在しました。そのような銀行との口座振替連携は口座情報と4桁の暗証番号のみでできてしまうため、簡単に突破されてしまいました。決済アプリのアカウント作成の際の認証もメールアドレスの認証のみであり、本人確認の精度としては弱いものでした。
この事件の恐ろしいところは、該当する決済アプリを使った覚えのない人物の口座でも、決済アプリとの連携に対応している銀行口座であれば攻撃者が自由に資金を引き出せる可能性がある点です。
最終的に被害額は2,000万円以上にも上り、携帯電話キャリアと銀行が連携して補償にあたりました。
Webの利便性を高めるSaaSのソースコードが改ざん
2022年、Webサイトを使いやすくするためのクラウドサービス(SaaS)のソースコードがサイバー攻撃によって改ざんされ、一部の顧客サイトにおいてフォームに入力した情報を盗まれるなどの被害が出ました。
このサービスは顧客のWebサイトの入力フォームなどにおいて、ユーザーが離脱するのを防ぐための目的でリリースされ、多くのWebサイトが利用していました。
ソースコード改ざんにより悪意のあるコードが顧客のWebサイトに埋め込まれ、そのWebサイトを利用するユーザーに被害が出た可能性があるとされています。
大学の問合せシステムがSQLインジェクションで不正アクセス
ある大学の問い合わせシステムがSQLインジェクションの脆弱性を突かれ、サイバー攻撃を受けました。この攻撃により、ユーザーが問い合わせフォームに入力したメールアドレス、2000件以上が漏えいしました。
企業におけるサイバー攻撃対策
企業において、サイバー攻撃にどのような対策を取ればよいのでしょうか。代表的な5つの施策について解説します。
セキュリティソフト等の導入
基本的な対策として挙げられるのがセキュリティソフトの導入です。セキュリティソフトは、サイバー攻撃を防げるようにシステムを保護し、不要なアクセスをブロックするのに役立ちます。ほかにもメールフィルタリングやフィッシング詐欺防止機能など、さまざまな機能が搭載されています。
OSやアプリケーションの更新
OSやアプリケーションを常に最新に保つことも重要なセキュリティ対策です。サイバー攻撃は、バージョンの古いソフトウェアの脆弱性を悪用します。最新バージョンに保つことで、既知の脆弱性への対策になります。
セキュリティ・ポリシーの策定と従業員教育
社内制度の整備や従業員教育も重要な対策です。社内の制度が整っていなかったり、従業員の意識が低かったりするとサイバー攻撃の被害を受けやすくなってしまいます。どれだけ堅固なセキュリティシステムを導入しても、システムを運用するのは人間であり、組織であるためです。
セキュリティ・ポリシーを明文化し、従業員に周知しましょう。併せてセキュリティ研修などを行い従業員の意識を高めます。従業員による内部不正へのけん制にもつながるため効果的です。
脆弱性診断
サイバー攻撃の「加害者」にならないためにも、WebアプリケーションやWebサイト、システムに不具合がないか、脆弱性診断をしましょう。脆弱性を特定し評価することで、セキュリティ対策の優先順位をつけ、リソースをどこに割り当てるかについて意思決定できるからです。
重要なポイントは、ツールによる機械的な脆弱性診断のみではなく、人間の専門家による診断を行うことです。デジタル庁による「脆弱性診断導入ガイドライン」には以下の記述があります。
"ツールによる自動診断は効率の観点では有用であるが、仕様に起因する脆弱性全般の検出が難しい。実装上の問題の中でも、対象のWebアプリの内部実装に対する深い洞察を要する脆弱性や、一般的な実装の不備による脆弱性においても一定の制限を迂回しなければ攻撃できないものが見落とされやすいため、専門家の人手による診断で補強する必要がある 。"
脆弱性診断はツールだけに任せっきりにするのではなく、専門家の手を借りて診断するのが最善といえるでしょう。
【出典】脆弱性診断導入ガイドライン(PDF)/デジタル庁
(https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/3bc45d3c/20220630_resources_standard_guidelines_guidelines_08.pdf)
まとめ
サイバー攻撃の手口は、次々に新しい手法が開発され、巧妙化の一途を辿っています。被害件数も増加傾向にあり、大きな損害を受けた事例も報告されているのが現状です。企業が対策を怠ってしまうと、被害者になることはもちろん、「加害者」になる得るリスクがあることを、十分認識する必要があります。
JBCCでは、ツールだけではなく高度なスキルを持った専門家によるWebアプリケーション診断サービスを提供しています。
サービスについての詳細は以下からご覧ください。
Webアプリケーション診断サービス
Webアプリケーションは、不特定多数のユーザーにアクセスさせる必要があったり、機能の追加や変更作業が多いためセキュリティチェック漏れが発生しやすかったりと、攻撃者に狙われやすい環境にあります。Webアプリケーション診断サービスでは、Webアプリケーションの脆弱性を定期的に診断し、対処法の検討を行います。
詳しく見る企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。