今回のコラムでは、以下のラインナップでお送りいたします。
LINEUP1:サイバー攻撃の現状
サイバーセキュリティの重要性が日々高まる中、企業は絶えず進化し続けるサイバー攻撃の脅威に直面しています。2024年に入り、特に注目されているのは、ランサムウェア攻撃、マルウェア攻撃、サプライチェーン攻撃など、手法が多様化してきている事です。これらの攻撃は、企業の運営を深刻に妨げ、時には企業の存続さえも脅かす可能性があります。
最近の事例としては、2024年6月、KADOKAWAが未曾有のサイバー攻撃に見舞われました。個人情報が漏洩されたうえ、データの復元や暴露回避のための身代金を要求されるランサムウェア攻撃が発生し、関連企業が業務停止を余儀なくされました。この事案は、大手の動画サイトであるニコニコ動画ですらサイバーセキュリティの脆弱性を抱えていたのだと痛感させると同時に、企業が直面するデジタルリスクの深刻さを示しています。
このような状況下で、企業が取るべき対策は何か。そして、どのようにして従業員や顧客のデータを保護し、ビジネスの継続性を確保するのか。本コラムでは、最新のサイバー攻撃事案を踏まえ、企業が直面するセキュリティの課題と、それに対する実効性のある対策について考察します。
※本内容は、西岡氏へのインタビューを基に再編集したものです。
1:サイバー攻撃とは
サイバー攻撃とは、インターネットやデジタル機器を利用した悪意ある行為です。これには、金銭の窃取、個人情報の詐取、システムの機能停止などが含まれます。攻撃者は、ソフトウェアの脆弱性を突いたり、ユーザーを欺いたりしてシステムに侵入し、個人のプライバシーを侵害したり、企業や組織の機密情報を盗んだりします。
2:サイバー攻撃の現状
技術の進化に伴い、サイバー攻撃の手法は巧妙・多様化しています。IoT機器やクラウドサービス、個人のデバイスなどがターゲットとなっており、攻撃の頻度も増加しています。特にランサムウェアやフィッシング、DDoS攻撃が主要な脅威となっており、企業や個人に甚大な被害をもたらしています。日本におけるランサムウェアの検出率は、世界1位であり、パスワード等に対する誤った信頼感が要因と言われています。サイバー攻撃は、国内外を問わず、あらゆる組織や個人にとって現実の脅威となっており、セキュリティ対策の強化が急務となっています。
3:サイバー攻撃による企業の損失
サイバー攻撃は、企業に重大な経済的損失をもたらします。ランサムウェアによる身代金の支払い、データ復旧のためのコスト、被害範囲確定のための調査費用、生産供給停止による収益損失などが発生します。また、データ損失やシステム停止は業務の遅延や停止を引き起こします。さらに、攻撃後の対応には多大な時間とコストがかかり、企業のリソースを圧迫します。長期的には、社会的批判や信頼性の低下による、顧客満足度低下や市場での競争力喪失も無視できません。
4:日本企業に対するサイバー攻撃
日本の企業に対するサイバー攻撃は増加しています。特に中小企業は、サプライチェーンの重要な一部を担っているにも関わらず、大企業に比べて相対的に対策が遅れているため、外部からの情報窃取や取引先企業への攻撃の足掛かりとなりやすく、サイバー攻撃のリスクが高まっています。
我が国におけるサイバーセキュリティの現状については、NICTが運用している大規模サイバー攻撃観測網(NICTER)が2021年に観測したサイバー攻撃関連通信数をみると、3年前の2.4倍、5年前の3.7倍に増加しており、18秒に1回の頻度で攻撃関連通信が行われている計算になります。
このような状況を受け、日本企業はセキュリティ対策の強化に努めることが必須です。しかし、今後もサイバー攻撃は進化し続けるため、日本企業は警戒を怠らず、セキュリティ対策を常に更新し続ける必要があります。国内のセキュリティ対策の実効性にはまだ課題が残されていますが、サイバーセキュリティ教育の普及と、脆弱性を持つシステムの早期発見・修正が、攻撃を未然に防ぐ鍵となるでしょう。
総務省「令和4年情報通信に関する現状報告の概要」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd237200.html
LINEUP2:サイバー攻撃の脅威
LINEUP1では、サイバー攻撃の現状について説明しました。LINEUP2ではサイバー攻撃の手法や種類について、また具体的にどのような企業やデータがターゲットとなってしまうのか詳しく解説していきます。ぜひ、ご自身の身の回りを想像して読んでみてください。
1:サイバー攻撃の手法
サイバー攻撃には、多くの種類(手法)があり、それぞれ異なる目的と影響を持ちます。
ア マルウェア
マルウェアとは、「ウィルス」「トロイの木馬」「ワーム」などの総称で、デバイスやネットワークに害をもたらす悪意あるソフトウェアです。マルウェアは、メールの添付ファイルやダウンロードしたファイルを通じてターゲットの端末に感染させ、情報漏洩、改ざん、デバイスの乗っ取りなどを行います。
イ ランサムウェア
ランサムウェアは、デバイスを強制的に暗号化し、システムをロックして身代金を要求するマルウェアの一種です。この手法は、多額の身代金要求、業務停止、賠償金支払いなどのリスクを伴い、今最も恐れられている脅威の一つです。
ウ DDoS攻撃
ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃をいい、サーバーやネットワーク機器などに対して大きな負荷がかかるため、ウェブサイトへのアクセスができなくなったり、ネットワークの遅延が起こったりします。その結果、対象とされた企業や組織では、金銭面だけでなく信用面でも大きなダメージを被ることになります。
エ フィッシング詐欺
フィッシング詐欺は、大手通販サイトや運送業者を装った偽サイトを利用し、アカウント情報やカード情報を盗む手口です。フィッシング詐欺はますます巧妙化しており、電子メールや偽サイトのデザインが本物と区別がつかないほどです。
オ 標的型攻撃
標的型攻撃は、特定の企業や個人を狙い、機密情報の窃取・金銭要求を目的としたサイバー攻撃です。従来の「ばらまき型」攻撃と異なり、あらかじめ特定の組織にターゲットを絞り、綿密な計画に基づいて行われるのが特徴です。
代表的な手口には、マルウェアを添付したメール、Webサイトの改ざん、脆弱性を突いた侵入などがあります。
カ サプライチェーン攻撃
大企業はセキュリティレベルが高く、侵入も容易ではありません。そこで、まずは大企業の取引先や関連会社などセキュリティレベルが低いところへ侵入し、最終的に標的とする大企業に不正アクセスするのがサプライチェーン攻撃の主な手口です。
この攻撃により、大企業の機密情報が窃取され、高額な身代金を要求されるリスクがあります。サプライチェーン攻撃はセキュリティの手薄な、中小企業が狙われやすいため、被害を拡大させないためにも、自組織はもちろん、取引先や関連企業にもセキュリティ喚起を行うことが必要です。
2:サイバー攻撃の対象
ア 製造業
製造業は、IoTデバイスの普及によりサイバー攻撃のリスクが増大しています。これらのデバイスは未だセキュリティが脆弱であり、ターゲットにされやすいです。製造業はサプライチェーンを通じて多くの企業と連携しているため、一つの企業が攻撃を受けると、その影響が連鎖的に広がる可能性があります。
イ 金融・保険業
金融機関は、大量の金銭的価値のある情報を扱っているため、常にサイバー攻撃の高いリスクにさらされています。特に、オンラインバンキングや電子決済システムは、ターゲットにされやすく、これらのシステムが侵害されると、大規模な金銭的損失や信頼の損失につながります。
ウ 政府機関
政府機関は、国家の安全保障に関わる機密情報を保持しているため、サイバースパイ活動の主要なターゲットとなっています。攻撃者は、政府機関から情報を盗み出すことで、政治的な利益を得ることを目指し、政府機関への攻撃は、国際関係に影響を与えることもあります。
エ 教育機関
大学や研究所は、最新の研究データや知的財産を保有しているため、サイバー攻撃の対象となり、これらの情報は、技術的価値が高く、攻撃者にとって魅力的です。
オ 医療機関
医療機関は、患者の個人情報や健康記録などの機密情報を扱っているため、サイバー攻撃のリスクが高まっており、身代金を要求するランサムウェア攻撃のターゲットになりやすいです。
カ 公共インフラ
電力会社や水道局などの公共インフラは、サービス提供に重要な役割を果たしているため、サイバー攻撃による機能停止は大きな社会的混乱を引き起こす可能性があります。
キ 中小企業
日本の中小企業は、サイバー攻撃に対して特に脆弱性を持っており、以下のことからターゲットにされやすいです。
① セキュリティ対策の不足
多くの中小企業では、セキュリティ対策が不十分であり、またシステムの更新や管理が適切に行われていない場合があることが多いことから、攻撃者にとって簡単なターゲットになりがちです。
② リソースの限界
中小企業はリソースが限られており、セキュリティ対策に必要な人材や技術を確保することが難しく、その結果、攻撃に対する防御が不十分になりがちです。
③ サプライチェーンの一部
中小企業の多くは大企業のサプライチェーンの一部を担っており、攻撃者は中小企業を経由して大企業へのアクセスを試みることがあります。このような攻撃は、自社だけでなく、関連する大企業にも影響を及ぼす可能性があります。
3:暗躍するハッカー集団
ア Anonymous(アノニマス)
アノニマスは、国際的反体制ネットワークで、政府機関や多国籍企業、宗教団体などに対する攻撃を行っています。中央集権的な構造を持たず、個々のメンバーが独自の目標を持って活動していることが特徴です。
イ LockBit(ロックビット)
ロックビットは、ランサムウェアを用いる国際ハッカー集団で、政府機関や企業、病院などを攻撃し、情報を暗号化して身代金を要求します。摘発後も活動を続けており、報復を宣言しています。
ウ Hafnium(ハフニウム)
ハフニウムは、中国政府の支援を受けるとされるハッカー集団で、マイクロソフトの電子メールサーバーから世界中の組織の情報を盗み出す活動を行っているとされています。
エ Midnight Blizzard(ミッドナイトブリザード)
ミッドナイトブリザードは、ロシア政府の支援を受けているとされる国家アクターで、マイクロソフトのシステムに対する攻撃を行い、マイクロソフト社員のメールアカウントにアクセスし、いくつかの電子メールと添付文書を抽出しました。彼らは、政府機関を含む世界中の組織を標的にしており、ロシア対外情報庁(SVR)に帰属するとされています。
オ BlackSuit(ブラックスーツ)
ブラックスーツは、ランサムウェア攻撃を行うロシア系サイバー攻撃集団で、大手企業から中小企業まで幅広いターゲットに対して活動しています。
ブラックスーツの攻撃は、LinuxとWindowsシステムを標的とし、ファイルを暗号化して被害者がアクセスできないようにします。冒頭に記載したKADOKAWAグループやニコニコ動画への攻撃で知られています。
4:新たな手口によるサイバー攻撃
サイバー攻撃の手口は常に進化しています。最新の攻撃手法には、AIを利用したフィッシング詐欺やマルウェアの拡散などがあります。また、リモートワークの増加に伴い、個人のデバイスやネットワークの脆弱性を狙った攻撃も増えています¹。
これらの脅威に対抗するためには、セキュリティ対策を更新し、従業員教育を行っていくことが重要です。
LINEUP3:サイバー攻撃からの防御
LINEUP1とLINEUP2では、サイバー攻撃の現状と脅威についてご説明しましたが、サイバー攻撃から身を守るために私たちは具体的にどのようなことを、気を付けたらいいのでしょうか。企業や個人が日常的に実践できる細かい対策が重要です。以下に挙げる方法を取り入れることで、サイバー攻撃のリスクを大幅に低減することができます。
1:情報セキュリティ従業員対策
2:情報セキュリティ企業対策
ア 機密性(Confidentiality)
情報が漏洩しないように、アクセス制御を行い、データの暗号化を施します。これには、ファイルや通信の暗号化、VPNの使用などが含まれます。
イ 完全性(Integrity)
データが不正に改ざんされないように、改ざん検知システムを導入し、定期的なデータの整合性チェックを行います。デジタル署名やハッシュ関数の使用が一般的です。
ウ 可用性(Availability)
システムやデータが常に利用可能であることを保証するために、冗長性のあるシステム設計や、定期的なメンテナンス、災害復旧計画の策定が必要です。
エ 修正プログラムの適用
ソフトウェアの脆弱性を修正するために、パッチ管理システムを導入し、セキュリティアップデートを迅速に適用します。
オ セキュリティソフトの導入
企業は、アンチウイルスソフトウェアやアンチマルウェア、ファイアウォールなど不正アクセスを検知するセキュリティソフト導入することで、サイバー攻撃の被害を避けることができます。特に検知率が高いセキュリティソフトを導入し、定期的に更新し最新の状態に保つことで、攻撃を早期に発見し対処することが可能です。
カ 定期的なバックアップ
どのような防御対策を講じても、サイバー攻撃に対しては常に破られる可能性があります。そのため、重要なデータは定期的にバックアップを取り、オフサイトでの保管やクラウドサービスを利用することが推奨されます。
キ 定期的なアップデート
社用のスマホやパソコンのソフトウェアは常に最新の状態に保つ必要があります。アップデートを怠ると新たなウィルスに対応できないなど、セキュリティ上の不具合が生じ、サイバー攻撃の脆弱性を狙われやすくなります。そのため、定期的なアップデートが重要です。
ク ID・パスワードの適切な設定と管理
パスワードの使い回しや単純なパスワードの使用は、パスワードリスト攻撃の被害を受けやすいため、大文字、小文字、記号などを取り入れ、他に容易に知りえない内容とし、定期的に変更することが重要です。またパスワード管理用のソフトウェアを使用するなど、社内のパスワード管理を強化することが推奨されます。
ケ 不要なサービスやアカウントの停止
セキュリティリスクを減らすために、使用していないサービスやアカウントは無効化します。
コ アクセス権限の付与と情報持ち出しルールの徹底
職位や業務内容に応じたアクセス権限を付与し、たとえ役員であっても必要としない情報にはアクセスを制限します。また、退職者のアクセス権限を早急に削除することも重要です。情報の持ち出しについては、厳格なルールを設け、USBメモリや外部ドライブの使用を制限します。
サ 社内ネットワークへの機器接続ルールの徹底
社内ネットワークに接続する機器に対するセキュリティ要件を定め、未承認のデバイスの接続を防ぎます。
シ 従業員教育の強化
従業員に対するセキュリティ教育を強化し、定期的な研修を通じて最新のサイバー脅威と防御策についての知識を提供します。また、フィッシング詐欺などのシミュレーションを通じて、実際の攻撃を体験させ、正しい対応を学習させることも有効です。
ス セキュリティポリシーの明確化
組織のセキュリティポリシーを明確にし、従業員が簡単に理解・遵守できるようにします。ポリシーを明確にし、従業員が安全な行動をとるためのガイドラインを策定することが重要です。
セ インシデント対応計画の策定
万が一のサイバー攻撃に備えて、インシデント対応計画を策定します。計画には、攻撃を検知するためのシステム、攻撃が発生した際の対応プロセス、復旧プロセス、関係者への通知方法などを含み、定期的な訓練を通じて計画の有効性を確認し、必要に応じて改善することが重要です。経済産業省の『サイバーセキュリティ経営ガイドライン』を活用し、自社のガイドラインの策定を検討してください。
ソ サイバー保険への加入
専門業者に委託し、定期的にダークwebを含むオンライン上で自社情報が公開されていないか等を確認します。
社内不正や情報漏洩などのインシデントが発生した場合のフォレンジック対応については、PC1台当たり数十万円から数百万円に及ぶ莫大な予算が必要となり、また個人情報漏洩に対する補償費用では通常では賄えない多額の資金が必要となるためです。
3:まとめ
サイバー攻撃は、企業や個人にとって避けられない脅威となっています。攻撃手法は日々進化しており、迅速かつ効果的に対応するための体制を整えておかなければ、経済的損失だけでなく、企業の信頼性や個人のプライバシーにも深刻な影響を及ぼす可能性があります。
2024年7月19日、クラウドストライク社のシステム更新ミスにより、世界中のWindowsシステムに大規模な障害が発生し、航空機の欠航や銀行のシステムダウンなどのトラブルが世界中で起きました。この事例からもわかるように、企業はサイバー攻撃だけでなく、あらゆるシステムの不具合に対応するためのインシデント対応計画を策定し、危機管理体制を整えることが重要です。これにより、被害を最小限に抑えることができます。
また、サイバーセキュリティは一度きりの取り組みではなく、継続的なプロセスであることを認識し、常に最新の脅威に対応できるよう、体制を更新し続けることが求められます。
最終的に、サイバー攻撃の脅威に立ち向かうためには、技術的な対策だけでなく、人的な対策も同様に重要です。全従業員がセキュリティの重要性を理解し、日々の業務において適切な行動を取ることが、企業を守るための鍵となります。