<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=139163818022217&amp;ev=PageView&amp;noscript=1"> <img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=271598307802760&amp;ev=PageView&amp;noscript=1">

サイバー攻撃の代表的な種類を解説

 2021.06.24  Box Japan

BoxWorks Digital Tokyo On Demand

働き方改革、そしてコロナ禍という環境の変化に応じ、仕事のスタイルが急激に変化しています。これに伴い、サイバー攻撃の被害も増加傾向にあります。業務の急速なオンライン化は、セキュリティ対策が後手に回ることも多く、攻撃者が活動しやすくなるためです。最近、特に増大している、企業を狙ったサイバー攻撃の手法3種類と、それらへの対策をまとめました。対応が十分ではないかもとお考えの方は、ぜひ参考にしてください。

explaining-typical-types-of-cyber-attacks

IPA「情報セキュリティ10大脅威 2021」

IPA(独立行政法人情報処理推進機構)は、情報セキュリティ対策の強化、IT人材の育成などを通じて、「頼れるIT社会」の実現を目指す団体です。

同団体が発表した「情報セキュリティ10大脅威 2021」によると、組織におけるセキュリティの脅威のうち、ランキング上位5件はサイバー攻撃によるものです。

(参照:https://www.ipa.go.jp/security/vuln/10threats2021.html

多くの人が最初に注目するのが、3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」ではないでしょうか。2019年までは、ほとんど知られていなかった脅威です。テレワークは新たな環境構築が必要なことが多く、自宅などで仕事をするため、従業員個々の危機意識も欠如しがちです。同時に、多種の攻撃・脅威による被害が起きる割合も高い環境だと言えます。テレワークが急激に広がった今、改めてセキュリティの考え方や対策の重要性をしっかりと認識しなければなりません。

3大サイバー攻撃手法

ここからは「情報セキュリティ10大脅威 2021」のランキングにも記載されている、代表的な3つのサイバー攻撃の手法と対策を紹介していきます。

ランサムウェア

ウイルスの一種で、これに感染すると、保存されているデータが暗号化される、端末がロックされて利用不可能になるなどの被害が発生します。元に戻すことと引き換えに、金銭を要求されることが多いので、身代金要求型不正プログラムとも呼ばれています。

手法と実例

メールの添付ファイルやリンク、攻撃者が改ざんしたウェブサイトから感染させる手法が一般的ですが、ランサムウェアは一種類だけではなく、現在も進化を続けているため、全容を解明するのは困難です。

被害に遭うのは、一部の端末だろうと侮ってはいけません。企業全体が危機に晒されることもあるのです。あるエンタメ企業の例を紹介します。2020年11月、ランサムウェアによって、社内のシステムまで暗号化されてしまい、業務を停止せざるを得ない状況に追い込まれてしまいました。それだけではなく、個人情報が最大35万件漏えいした恐れがあるという、極めて深刻な被害も受けています。11億円ほどの金銭の要求には、入手した情報を暴露するという脅迫も添えられていました。この暗号化と情報の暴露という、「二重脅迫型」のランサムウェアはこの先、増えていくとみられています。

対策

まず、OSやブラウザなどソフトウェアを最新の状態に保つ、セキュリティソフトをしっかりと更新するといったことが基本となります。データのバックアップも必要です。個々の端末はUSBメモリや外付けハードディスクなどにバックアップするか、もしくは端末には残さないようにすることも有効です。企業として管理するファイルサーバーはクラウドストレージなどを活用して、より安全なデータやファイルの運用を行う、もしくは定期的に自社以外の場所にデータを残しておきましょう。

そしてなによりも、不用意にメールの添付を開いたり、リンクをクリックしたりしないことを社内で徹底することです。これはセキュリティの初歩とも言えることですが、すべての従業員がその知識を持ち合わせているとは限りません。セキュリティ研修などの教育も大切です。請求書や問い合わせなど、ついクリックしがちな文面で送られてくることもあります。そうしたメールに騙されないよう、企業全体で意識を高めていかなければなりません。

また、万が一、被害に遭ってしまったときのために、報告、隔離など、被害の拡大および再発を防止するための体制を構築しておく必要があります。

標的型攻撃

特定の組織にターゲットを定めて行われる攻撃で、機密情報の入手が主な目的です。端末をウイルスに感染させ、攻撃者はそれを起点として、組織内部のシステムを探索し、機密情報を入手します。

手法と実例

メールや改ざんしたウェブサイトからウイルスに感染させる手法は、ランサムウェアと同じですが、この攻撃にはランサムウェア以上に厄介な点があります。標的する組織を徹底的に調査し、その組織に合わせた偽装工作を行うのです。

例えば、メールの差出人が実在する組織や部署になっていて、自然なやり取りを行った後に攻撃を行う、やり取り型という手法があります。標的が頻繁に利用するサイトを調査した上で、サイトの改ざんを実行する水飲み場型といった手法も存在します。標的が利用するクラウドサービスやウェブサーバーに不正にアクセスするという手法にも注意が必要です。

2020年12月、ある製造業で海外拠点からの国内サーバーへの不正アクセスによって、情報が外部に流出した恐れがあると発表されました。同社はこの攻撃を、「痕跡を残さない高度なもの」だと説明しています。

対策

ランサムウェアと同様、ソフトウェアを最新の状態に保つ、セキュリティソフトを更新するなどの基本的な対策は必須です。

もちろん、従業員の教育も欠かせません。企業全体のITリテラシーを高水準に保つために、定期的な情報共有の場を設ける必要があります。標的型攻撃のメールのなりすましは巧妙です。惑わされないよう、メールの添付ファイルやリンクに明確なルールを設定しておくとよいでしょう。

しかし、攻撃者はこうしたルールさえも察知し、対策をとってくる可能性があります。企業側も先を越されないよう、常に情報収集を行い、必要とあればルールをアップデートしなければなりません。

標的型攻撃の多くは、組織内に複数のターゲットを設定しています。被害が発生した場合は、拡大を防ぐためにも、攻撃の情報、いわゆるインシデントを素早く共有できるようにしておくことも重要なのです。

サプライチェーン攻撃

サプライチェーンとは原材料、製造、物流、販売などの一連のビジネスの流れと、それに関わる組織のことを指します。大企業はセキュリティが強固なため、サプライチェーンに連なる中小企業を標的として情報を得る、あるいは本来の標的である大企業に到達するために中小企業を足掛かりにするといった攻撃です。現実的に予算や知識、人材といったリソースが足りず、十分なセキュリティ対策が取れていないという中小企業は多数存在します。一方で、大企業のセキュリティ対策は中小企業と比較すると対応速度が速いため、サプライチェーン攻撃は今後、さらに増えていくと予想されています。

手法と実例

上述した2つの攻撃と同様、メールを介した手法が頻繁に用いられています。サプライチェーンに実在する取引先や関連会社を装うというのが、標的型攻撃と同様であり厄介な点です。標的となる企業で利用されている、ソフトウェアや製品の更新プログラムを利用するという手法も存在します。

2020 年 2 月、ある製造大手がネットワークへの不正なアクセスによって、個人情報や機密情報が外部に流出した恐れがあると発表しました。セキュリティ対策が十分ではない、中国にある関係会社の端末を足掛かりに、機密情報にアクセスできる本社の端末に侵入したとみられています。

対策

社内での対策は、ほかの攻撃手法と同様のことが必須です。そして、企業の枠組みを越えた、サプライチェーン全体でのセキュリティ対策の啓蒙、向上が求められます。取引を行う企業の選定も、慎重に行う必要が生じます。ときには、セキュリティへの意識が低い企業との関係を断つといった判断も必要になるかもしれません。コストや品質はもちろん、信頼性も取引企業を評価する上で重要な基準となり得ます。

企業間でのインシデント対策、責任の所在なども明確にしておく必要があります。契約に責任の範囲や、賠償に関する内容も盛り込んでおくとよいでしょう。製造ラインや物流の経路も考慮し、ビジネスだけでなくセキュリティ面でも安定したサプライチェーンの構築を目指さないとなりません。

メール対策は必須

それぞれの攻撃の項目でも述べてきましたが、メールはサイバー攻撃における常套手段です。メールに関する脅威について、社内での教育、情報共有を徹底し、しっかりと対策を行うようにしてください。

添付ファイルとリンクの危険性を認識し、怪しいメールを発見した場合には報告するといった、従業員の意識面の向上は常日頃から行っておくべきです。不審な日本語があるメールなどはもちろん論外ですが、巧妙に社内や取引先の人間になりすますメールもあるため、差し出し元メールアドレスが正規のものであるか常に判断するなど、文面以外で判断する力も養わなければなりません。関係者になりすまし、金銭をだまし取ろうとするメールは「ビジネスメール詐欺(BEC)」と呼ばれていて、大きな問題となっています。

人間の判断にはミスがつきものなので、従業員の教育だけの対策には限界があります。脱PPAPやメールに記載されたURLを無効なものに変換する、マルウェアを早期検知するといった、機械的な対策、仕組みの整備も検討してください。

[SMART_CONTENT]

テレワーク環境が狙われている

コロナ禍をきっかけとしたテレワーク導入は、急を要するものだったため、十分な環境、体制を構築できなかったというケースが多々あります。

VPNなど、テレワーク用の製品を狙った攻撃、オンライン会議ツールの脆弱性を突いた攻撃などは、テレワーク移行直後の右も左もわからない状態では、非常に予測、対応が難しいものでした。社内の管理体制も不十分で、トラブルが起きてもどう対処すればよいかわからないという事態も起きています。また、従業員の教育不足によるトラブルもありました。私物のPCや、セキュリティ対策が行き届いていない自宅のネットワークをテレワークに利用し、そこから情報が流出するといったものです。

多くの企業がこうした混乱を克服しつつありますが、テレワークに対するサイバー攻撃の脅威が消滅したわけではありません。テレワークは以前から推奨されていた働き方であり、コロナ禍が改善されるなどの環境変化が起こっても継続する企業は多いと考えられます。

どれほど運用知識が蓄積されたとしても、遠隔での個別作業という環境は、攻撃者にとっては狙いやすいということに変わりありません。警戒を緩めることなく、社内外における安全な業務環境の整備に注力し続ける必要があります。

まとめ

サイバー攻撃の脅威を、3つの手法を中心に紹介してきました。これらの攻撃の多くが、メールを糸口としています。テレワーク環境では、気軽に同僚や上司に相談しにくく、会話による情報共有や知識の蓄積が望めません。企業が主導するITリテラシーの教育は非常に重要です。また、企業全体での強固なシステムや万全なセキュリティ体制の構築、有用なサービスの導入も必要となるでしょう。メールに頼りすぎず、ファイルやデータのセキュアな共有や、やり取りができる現在に合った代替手段の検討も行う必要があるのです。

CTA

RECENT POST「セキュリティ」の最新記事


セキュリティ

サイバー攻撃の目的と種類の理解を深める

セキュリティ

ランサムウェアとは?その概要と対策について

セキュリティ

企業人なら知っておきたい標的型攻撃とは?

セキュリティ

サイバー攻撃の種類とその特徴について

サイバー攻撃の代表的な種類を解説