COLUMN

お役立ち情報

サイバー攻撃に企業規模は関係無い?巧妙化・高度化するサイバー攻撃の目的とは?

  • このエントリーをはてなブックマークに追加

サイバー攻撃がどんどん巧妙化、深刻化してきており、中小企業であっても標的になる可能性が高くなっています。

サイバー攻撃と聞くと、大手企業や公益性のある団体などが中心であって、中小企業などは関係ないと思われる方が多いかもしれません。

また、自社で個人情報も扱っていないし、価値のある情報も持っていない、狙われる訳がないと考えている企業が多いのではないのでしょうか?しかし、そういった企業こそ、サイバー攻撃者に狙われやすいのです。

大企業やグローバル企業は近年、セキュリティ対策が充実しており、攻撃が成功しづらくなってきています。そこで、攻撃者は、関連企業の中小企業を標的に攻撃を行い、そこを踏み台にして大企業へ侵入する攻撃する手法を取るようになりました。

なぜなら働き方改革、コロナ禍によるリモートワークの増加、オフィスの在り方の変化など、これらの様々な変革が進む中、セキュリティ対策ができている中小企業は多くはないと考えられているからです。

まさに中小企業こそサイバー攻撃に備える事が大切なのです。では、実際にサイバー攻撃とはどのような種類があるのでしょうか? 効果的なセキュリティ対策を講じるために、サイバー攻撃の種類のみならず、目的や動機を理解することも非常に重要です。

本記事では中小企業が標的になりえるサイバー攻撃の種類、目的について解説します。

そもそもサイバー攻撃とは?

サイバー攻撃は中小企業も狙っている

サイバー攻撃とは、パソコン、スマートフォンといった情報端末や、サーバー、ネットワーク製品といった通信設備に対し、インターネットを経由して、データの窃盗、改ざん、システムの停止、破壊を目的として行われる攻撃です。

サイバー攻撃の特徴として、攻撃者の特定が難しい、被害が目に見えないところで広がる、国境を越えて容易に実行できるという点が挙げられます。

サイバー攻撃は個人、組織問わず、攻撃対象となります。近年では従来の無差別型、バラマキ型の手口と絡め、明確な意図を持った標的型攻撃も増えています。

インターネット技術の進化とともに、サイバー攻撃の手法も進化していますが、内部不正といった人が悪意を持って実行するソーシャルエンジニアリング型のようなアナログ手法を絡めた攻撃も顕在しています。

近年増加しているサイバー攻撃の目的とは?

サイバー攻撃はインターネットが大衆化した1990年代のほとんどは「愉快犯」でした。

新しいテクノロジーで自分の力を誇示するために、個人または小規模な組織による攻撃がほとんどでした。昔のニュースですが、アメリカ国防省のサーバへハッキングをしたハッカーについてニュースになったりしたかと思います。

しかし、近年では愉快犯的な動機を持つ犯行から、金銭など明確な目的をもつ計画的な犯行が近年増加してきています。

サイバー攻撃の動機は主に犯罪的、政治的、宗教的の3つに分類されると言われます。

近年最も多いのが、犯罪的な動機です。金銭の窃盗、データの窃盗、営業妨害、イメージダウンなどビジネスの混乱により金銭的な利益を得ようとすることを目的としています。

個人的な犯罪者、組織化された犯罪集団、産業スパイ、ハッカーなど攻撃者は様々ですが、一般的な犯罪心理同様、復讐や怨恨がきっかけになるケースが多いと言われています。

政治的、宗教的な動機は、社会的な主張に対する反響を求めています。 そのため、自らの攻撃を声明として世間へ公表します。このような集団を「ハクティビスト(hacktivist)」と呼び、世界的には「Anonymous」(アノニマス)や「LulzSec」(ラルズセック)などが有名です。

IPAの情報セキュリティ10大驚異から伺えるサイバー攻撃の変化

それでは近年、国内におけるサイバー攻撃の傾向を見ていきましょう。

IPAでは毎年、社会的に影響が大きかったと考えられる情報セキュリティインシデント事案から、10大脅威と銘打って個人向けと、組織向けに分類し、ランキング形式で公表しています。それぞれの傾向を解説します。

個人向けの傾向

2020年から新たに「スマホ決済の不正利用」が首位にランクインしました。2021年も同様に首位にランクインしています。これは電子マネーの普及を背景に、様々なキャッシュレス決済サービス登場したことに起因していると考えられます。2022年では、各社決済サービスの認証強化が施されたことから、5位に順位を下げましたが、まだまだ、注意が必要といえるでしょう。

また、「ネット上の誹謗・中傷・デマ」もここ数年、順位を上げてきています。新型コロナ感染症対策の影響により、在宅時間が増え、リアルなコミュニケーションが減少しました。情報過多な環境が新たなストレス要因となり、SNSの匿名性と相まってネガティブな情報連鎖に歯止めがかからない状況が要因と考えられます。

そして、「フィッシングによる個人情報等の詐取」が2022年のトップ10で改めて首位に選出されました。毎年、上位にランクインしますが、昨今では偽のメール、SMS、Webサイトが巧妙化していること、在宅時間が増え、オンラインサービスの利用増加が要因と考えられます。

企業向けの傾向

2019年に「サプライチェーンの弱点を悪用した攻撃」が4位にランクインしました。以降、毎年上位にランクインしています。これはセキュリティ対策が個社別の単独対応では対応しきれなくなったことを表していると考えられます。

同じ時期から、「ビジネスメール詐欺」、「標的型攻撃」が上位にランクインしています。これらの攻撃手口、攻撃を成立させる過程において、サプライチェーンが利用されていると考えられ、相関性の高い事象と言えるでしょう。
2021年からは「テレワーク等のニューノーマルな働き方を狙った攻撃」が上位にランクインしています。これは新型コロナ感染症対策の影響であることは明らかですね。オフィス内の業務を前提とした境界線型のセキュリティ対策では防ぎきれない攻撃被害が増えています。

また、2021年、2022年と「ランサムウェア による被害」が首位にランクインしました。ランサムウェアは2016年からランクインしていましたが、ここ数年では、同様に上位にランクインしている「標的型攻撃」や「サプライチェーンの弱点を悪用した攻撃」や「ニューノーマルな働き方を狙った攻撃」により、ランサムウェア ウィルスに感染するというケースが確認されています。近年ではランサムウェア の被害が顕在化し、被害額の規模が年々増大しており、社会的な影響の大きい攻撃と言えるでしょう。

また2023年にランクインしそうな事案としてEmotet(エモテット)の流行も注意が必要です。

参考:IPA情報セキュリティ10大脅威
情報セキュリティ10大脅威 2022
情報セキュリティ10大脅威 2021
情報セキュリティ10大脅威 2020
情報セキュリティ10大脅威 2019
情報セキュリティ10大脅威 2018
情報セキュリティ10大脅威 2017
情報セキュリティ10大脅威 2016
情報セキュリティ10大脅威 2015
情報セキュリティ10大脅威 2014
情報セキュリティ10大脅威 2013

中小企業が注意するべく主だったサイバー攻撃

それではサイバー攻撃にはどのような種類があるのでしょうか?サイバー攻撃の種類は多岐にわたります。近年ではランサムウェア、標的型攻撃、フィッシング攻撃などが有名ですが、他にも数多く存在します。まず代表的なサイバー攻撃やウィルスをご紹介します。

ランサムウェア

コンピュータに不正に侵入してデータを暗号化して使えない状態にします。そして暗号化を解除と引き換えに身代金を要求する「身代金要求型不正ウイルス」と呼ばれています。

基本的に仕事で使用しているPCは、ファイルサーバやNASなどにファイルを保管していることが多いと思いますが、ランサムウェアに感染すると、パソコンに接続されているストレージは全て暗号化されてしまう可能性があります。
最悪の場合は、バックアップ装置のストレージまで暗号化されてしまい、業務に多大な支障が出てしまうということにもなりかねません。

標的型攻撃

機密情報を盗み取ることなどを目的として特定の企業や個人を狙う攻撃です。手口として多いのが業務関連のメールを装ったメールを、組織の担当者に送付する手口が知られています。 従来は府省庁や大手企業が中心に狙われてきましたが、最近では地方公共団体や中小企業や影響力を持った個人もそのターゲットとなっています。

メールの内容などは、加速的に巧妙化しており、誰でも誤って添付ファイルを開きそうになったという経験があるのではないでしょうか。

フィッシング

偽メールのリンクからフィッシングサイトと呼ばれる偽サイトに誘導し、アカウント情報、パスワード、ATMの暗証番号、クレジットカード番号などを入力させることで、個人情報を詐取する手口です。

送信されてくるメールも偽メールなのか判断が難しいようなケースもあり、誘導も緊急性があるような内容で不安を煽り冷静な判断ができないまま偽サイトで情報を入力してしまうようなことが後を絶ちません。

フィッシング詐欺も巧妙化が進んでおり、誰もが多くのメールを日々受信していて、うんざりしているのではないでしょうか。

Emotet(エモテット)

情報窃取と他のコンピュータウイルスの媒介を行うウィルスです。Emotetは端末に不正侵入すると、攻撃プログラムを自動でダウンロードするなど、ウィルスの侵入を助長する役割を果たします。

2020年頃大流行したEmotetですが、しばらくの間は鳴りを潜めていました。
しかし、2022年になり再度流行の兆しが見られています。

実際に筆者にも取引先から添付ファイル付きのメールが複数送られてきて、取引先からのメールということで、誤って開いてしまいそうになりました。
Emotetに感染したPCのアドレス帳などの情報が抜き取られ、その情報から他のユーザーへ感染メールを送信されてしまいます。

取引先などを巻き込んで規模を膨らませて感染被害が拡大していってしまいます。

不正ログイン

ログインIDやメールアドレスから、パスワード関連のサイバー攻撃を仕掛け、不正にログインする攻撃です。パスワード関連の攻撃として、ブルートフォース攻撃(総当たり攻撃)や、パスワードリスト攻撃(複数のパスワードを使い回す利用者が多いという傾向をついた攻撃)で時間をかけてパスワードを推考しハッキングします。

ビジネスメール詐欺

取引先や自社の経営者層等になりすまして、偽メールを送って入金を促す詐欺です。BEC(Business Email Compromise)とも呼ばれています。世界中で被害をもたらしており、通常の詐欺メールに比べ、被害者が企業単位となるため被害額が大きいことが特徴です。

DDoS攻撃

複数のパソコンを踏み台にして、特定のシステムに対し一斉攻撃をしかける手口です。攻撃対象に高い負荷をかける攻撃であり、特定のデータを抜き出したり、データを改ざんする攻撃ではなく、高負荷によるシステムダウンや、サービス停止を引き起こすことで組織の事業継続や信頼性の損失を狙った手口です。

ゼロデイ攻撃

OSやソフトウェアなどの脆弱性が発見されてから、その情報公開や対策がアップデートされる前に、その脆弱性を狙う手口です。発見から日にちを空けないことが攻撃名の由来です。

SQLインジェクション

主にWebシステム向けの攻撃です。アプリケーションの脆弱性により不当なSQL(Structured Query Language)文を注入されることによって、データベースのデータを不正に操作される攻撃のことです。SQLは、データベースを操作する命令文です。顧客情報などを収容するデータベースとして多くのWebシステムに利用されています。

クロスサイトスクリプティング

この攻撃も主にWebシステム向けの攻撃です。攻撃対象のWebシステムの脆弱性に不正サイトへ誘導するスクリプトを仕掛ける攻撃です。Webサイトにアクセスする利用者の個人情報を詐取する攻撃です。

サプライチェーン攻撃

サプライチェーンとは、原材料や部品の調達、製造、在庫管理、物流、販売など、原材料から供給までの一連の流れのことを指します。様々な業界で、大企業、中小企業といった企業規模問わずサプライチェーンは構成されています。
この一連の流れに関わった企業へと侵入し、本命である大企業や親会社へとサイバー攻撃を行う事です。サプライチェーンの中でもセキュリティ対策が甘い中小企業を踏み台にして大企業へ侵入する攻撃する事例が確認されています。

ここまで代表的なサイバー攻撃やウィルスをご紹介しました。挙げればきりがありません。その中でも中小企業が注意するべき攻撃はどのような攻撃でしょうか?

重要なポイントとして、サプライチェーン攻撃に見て取れるように、中小企業も、大企業も、セキュリティ対策は同レベルのものが求められるということです。

近年では大手企業と取引条件として、一定の水準以上のセキュリティ対策が求められる傾向があります。また、セキュリティインシデントが発生したことで、大手企業との取引に支障きたす事例も確認されています。

被害が拡大している内部不正

セキュリティリスクは社内にもある

ここまで、主に外部からのサイバー攻撃についてご紹介してきました。しかし、内部不正による情報漏洩被害も拡大しています。

企業におけるセキュリティインシデントの原因が、設定ミスのようなヒューマンエラーや、内部不正や、ソーシャルエンジニアリングといった「人」に起因するものが7割以上と言われています。

しかし近年では、悪意を持った意図的な情報漏洩が増えています。IPAが公開した「企業における営業秘密管理に関する実態調査2020」報告書によると設定ミスによる情報漏洩の割合は減少しましたが、中途退職者による漏洩や、内部不正による漏洩割合は増加しているという実態が明らかになりました。

不正の仕組みをモデル化した「不正のトライアングル」では、不正行為は①機会、②動機、③正当化の3つの不正リスクが揃ったときに発生すると言われています。
サイバー攻撃の動機のセクションでもご紹介した通り、企業や個人に対する復讐や怨恨が多い点は先述した通りです。

このように「人」が抱くネガティブな感情は、心理的の不正リスクの3要素を満たし、行動へと駆り立てます。
情報漏洩対策については基本的な対策とともに従業員のメンタルケア、コミュニケーションなど心理的な抑止対策のように、現代では様々な観点からの対策が必要といえるでしょう。

参考:IPA「企業における営業秘密管理に関する実態調査2020」報告書について

サイバー攻撃に対する対策

セキュリティ対策は費用をかけるだけではない

サプライチェーン攻撃から見て取れるように、企業規模問わず、セキュリティ対策が必要であることはご理解頂けたかと思います。
ではどのような対策から着手するべきでしょうか?いきなり高額な投資は難しいのではないでしょうか?基本的なセキュリティ対策についてご紹介します。

従業員へのセキュリティ教育

まず基本となるのが、従業員のセキュリティ教育です。多数のWebサイトを利用する時に同じID・パスワードを使わない、不審なメールの添付ファイルは開かない、セキュリティに信頼の置けないWi-Fiを使用しない、などといった基本的なルールを策定し従業員へ周知・教育を定期的に継続して行うことで多くの不正アクセスやマルウェア感染のリスクを減らすことが可能です。IPAから提供される教育コンテンツなど活用しましょう。

参考:IPA映像で知る情報セキュリティ ~映像コンテンツ一覧~

ソフトウェアの最新化

こちらも基本的な対策です。企業で利用するパソコン、テレワークで貸与するパソコン、スマートデバイスなどOSやブラウザ、アプリケーションなど脆弱性をつく攻撃を防ぐためにソフトウェア状態を常に最新に保ちましょう。WindowsのOSであれば、自動的に修正プログラムを適用するアップデート機能を活用しましょう。

セキュリティ対策ツール、ソフトの導入

セキュリティ対策ソフトは、高価なものから安価なもの、機能も様々です。しかし高いものが良いというわけではありません。アップデートを怠ったり、基本ルールを守らなければ攻撃を受ける可能性もあります。一般的なウイルス対策ソフトは、パターンファイル(ウイルス定義ファイル)という既存のマルウェアの情報が入ったリストをもとに、マルウェアを検知します。新しいマルウェアが発見されると、パターンファイルに追加されていきます。パターンファイルを最新の状態に保つことを心がけましょう。

まとめ

これまでの記事ではサイバー攻撃のごく一部の種類についてお伝えしてまいりました。
サイバー攻撃者は様々な手法で攻撃をしてきており、攻撃の手法や手口はどんどん巧妙化してきています。
そのため、これまで行ってきたセキュリティ対策が突然役に立たないという状況にもなりかねません。

また、セキュリティ対策と聞いて、コストが非常に高い、専門的な知識が不可欠といった意見も多いのが現状です。
セキュリティ対策は保険と一緒で何かあったときには役にたつが、何もなければコストがかかるだけといった見方も根強く残っています。

しかし、サイバー攻撃によって情報漏えいをしてしまうと、たった1度の問題で社会的な信用を完全に失ってしまい、再起できないというようなケースも十分に考えられます。

また、セキュリティリスクの多くは経営者・従業員のセキュリティに対する意識を向上することが最も効果がでやすいとも言われています。高額なコストをかけなくても、セキュリティ教育など、できることは数多くあるのです。
従業員がうっかり、取引先からのメールと勘違いしてメールに記載のURLをクリックしてしまったためにマルウェアに感染してしまったという事例は急増しています。

さらに感染してしまったあと、何かおかしいと思ったが、どうしていいのかわからず放置してしまったため、社内に被害がひろまってしまったというようなこともあるのです。

そのような状況からなのか、企業のIT環境を運用・保守してくれるアウトソーシングサービスも非常に増えています。
常に多くの企業の社内IT環境を保守している企業であれば、多くのノウハウを持っているのと、サイバー攻撃の最新の情報を把握しているので、頼りになる存在であることは間違いないでしょう。

社内のIT業務をすべてアウトソーシングして丸投げしてしまうということも可能ですが、あまりおすすめいたしません。

社内のIT業務については把握し、自社のご担当者が判断することで作業はアウトソーシングしたとしてもノウハウは蓄積できるからです。

企業のセキュリティ教育を行い、リテラシーを向上し、業務負荷のかかりやすいIT業務はアウトソーシングするという構成がもっとも効果を期待できると思います。

さまざまなサイバー攻撃から企業を守るためにも、まずはITボランチへご相談ください。ご相談は完全無料ですので、お悩みごとや現在の課題などなんでもご相談ください。

ITボランチは特定のサービスや機器を営業かけるようなことはありません。
中小企業のインターネット環境や社内IT業務をおまかせいただく「守り」のサービスと、企業の未来をつくるIT活用を応援する「攻め」のサービスで情シス、社内SEのようなプロフェッショナルな人材を安価に設置できるサービスとご理解いただければと思います。

貴社のIT担当者というポジションの気持ちでご対応させていただきます。

IT業務のアウトソーシングならITボランチ

 

 

以前に比べ社内のIT業務は増えていませんか?
テレワークの導入により、パソコンの買い替え、ネットワーク環境を見直し、サーバのクラウドなど、考慮しなくてはいけないことは大きく増加しています。
社内のIT担当者は抱えきれないほどのタスクの対応におわれているような状況担っていたら危険信号です。
IT業務を情シスに任せていると、業務は属人化してしまい、突然IT担当者が退職や、入院してしまったなんてことがあると、社内のIT業務はストップしてしまいます。
また、巧妙化している様々なサイバー攻撃のリスクに対応できるほどのノウハウを持っている社内担当者も少ないのではないでしょうか。
複雑化している社内IT業務をアウトソーシングしてみてはいかがでしょうか。
400社以上の企業のIT業務を担ってきたITボランチは最新の技術情報、蓄積してきたノウハウ、柔軟な対応で貴社のIT環境をサポートいたします。
ITの課題、お困りごと、将来のビジョンなどございましたら、ご相談は無償ですので、まずはお気軽にご相談ください。

 

 

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。