【最新事例】サイバー攻撃から企業を守る５つの対策

「最近、企業がサイバー攻撃を受けた事件をよく耳にする。うちの会社は大丈夫かな」。
新聞やテレビを通じ、そのような不安を抱く担当者の方も多いのではないでしょうか。

警視庁によれば、平成29年のサイバー犯罪検挙件数は9014件と、3年続けて増加しています。企業に対するサイバー攻撃は、個人情報の漏えいや企業サービスの停止を招く未曾有の事態。企業の信用失墜やトップの経営責任につながり、会社の根幹を揺るがしかねません。

今回は、近年のサイバー攻撃の種類と傾向を整理したうえで、2017年に実際に起きた被害事例を紹介し、どのように自社をサイバー攻撃から守るべきか、対策を解説します。

身近に潜む罠……。サイバー攻撃の種類と流行をご紹介

中小企業を対象とした情報処理推進機構の調査（2016年）によれば、「（情報セキュリティ対策は）「どこから手をつければよいかわからない」との回答が2割以上を占めます。対象となる犯罪についてまず知識を得ておくことは重要です。

サイバー攻撃の種類
最近のサイバー攻撃をみると、昔のような愉快犯的な犯罪は減少傾向にあり、多くが金銭や機密情報の取得目的で行われています。攻撃は日々高度化・多様化していますが、代表的なサイバー攻撃を挙げるとすれば次のとおりです。

１ 標的型攻撃
金銭や知的財産などの不正取得をねらい、組織の特定の相手に対して行われる攻撃です。攻撃者はターゲットとなるメールアドレスに対し、顧客や取引先を装ってフィッシングメール（偽装メール）を送信して、本文でフィッシングサイトへ誘導し不正に情報取得します。また、マルウェア（後述）が仕込まれた添付ファイルに誘導し、不正プログラムをインストールさせて情報を盗み出すこともあります。近年最も深刻化しているサイバー攻撃で、警視庁によれば平成29年の把握件数は前年の約1.5倍（6027件）となっています。

２ ゼロデイ攻撃
ソフトウェアにセキュリティの脆弱性（セキュリティホール）が発見された後、修正プログラムなどによって修正されるまでの「タイムラグ」を利用して行われる攻撃です。その間、脆弱性を改善する手段がないので、企業にとっては深刻な脅威となります。万能の有効な解決策は今のところないとされます。

３ マルウェア
情報盗取などを目的に不正に動作させる悪意あるプログラムの総称です。ウイルス、トロイの木馬、スパイウェア、ワーム、バックドアなどが存在します。種類により感染経路や被害は様々です。最近ランサムウェアと呼ばれる身代金要求型マルウェアが横行し、特に注意が必要です。

４ DoS攻撃/DDoS攻撃
特定のネットワークやサーバーに対して、大量にアクセスして過剰な負荷をかけたり、脆弱性をつくことで動作を妨害したりして、サービス停止状態に追い込む攻撃です。攻撃者のPCから直接、あるいは複数の無関係なサーバーに侵入して、そこから一斉にトラフィックを送ります。外部公開しているWebサイトであればいつ標的になってもおかしくない脅威です。

５　SQLインジェクション
ブラウザーを介してWebアプリケーションに不正なSQL文を入力して、動作不良を起こさせ、データベースを不正に操作したり個人情報や機密情報を盗取する攻撃です。データの削除や追加、変更、取得などを自由に操作できてしまいます。

傾向
トレンドマイクロ「2017年国内サイバー犯罪動向」によれば、2017年の企業に対するサイバー攻撃の上位は、次のとおりでした。

WannaCryについては、Microsoftから使用停止が推奨され、脆弱性を解消する更新プログラムも公開されていますが、いまだ攻撃にさらされているコンピュータが多いのが実態です。問題の把握や更新プログラム適用が的確に実施できていないことが原因と指摘されています。
またBECは、経理担当者や業務担当者などの一般従業員が狙われることが多いため、従業員教育や企業内での注意喚起が重要だとされています。

他人事ではない：国内外の事例を一挙ご紹介

ここでは、国内外の事例を5つご紹介します。どれも一度は耳にしたことのある脅威ばかり。それぞれどんな影響をもたらしたのでしょうか。

■2017年の国内外事例
１　WannaCry（ワナクライ）の猛威　
2017年5月12日、ランサムウェアWannaCryの感染がヨーロッパから報告され、世界中に広がりました。この攻撃による被害は150か国以上、被害台数は20万台以上に及び、ランサムウェアによる史上最大規模のサイバー攻撃となりました。
被害が最も深刻だったのはイギリスで、コンピューターが使えなくなったため医療現場の大混乱や自動車工場の生産停止が生じました。この攻撃はWindowsの旧XPが標的とされ、マイクロソフトはサポート終了後の「過去のOS」に修正プログラムを提供するという異例の対応措置をとりました。

２　米ヤフー　30億人個人情報流出　
米ヤフーは、2013年8月に攻撃者の不正侵入によって約10億人の個人情報が盗まれたと公表していました。しかしベライゾン買収後、新たな情報が寄せられ、盗難の規模は30億人、ほぼ当時の全ユーザが対象だったことが2017年10月に判明しました。クレジットカードや銀行口座の情報は含まれていなかったものの、利用者の氏名や電話番号、生年月日などが流出。個人情報漏えいでは過去最大規模となりました。

３　米Uber 個人情報流出で批判集める
2017年11月21日、米Uberは2016年に顧客やドライバー5700万件の個人情報が流出していたことを明らかにしました。流出した情報は氏名や電子メールアドレス、運転免許証番号などの個人情報で、社会保障番号やクレジットカード情報は含まれていなかったといわれます。なおUberはこの事件を隠蔽するため、ハッカーに対し10万ドルを支払っており、社会的に大きな批判を浴びました。

４　マクドナルド　マルウェア感染によるシステム障害
2017年6月、マクドナルドの、店舗に設置して販売管理などを担うシステムのコンピュータがマルウェアに感染したことが複数店舗で確認されました。感染したコンピュータは大量のパケットを発信して同社ネットワークを圧迫し、システム障害を引き起こしました。その結果、電子マネー「WAON」「iD」が使用できず、商品購入時のポイントサービスが利用不能になるなど混乱を招きました。

５　JTB子会社　顧客情報流出
2016年3月15日、JTB子会社に「航空券控え 添付のご連絡」との添付ファイル付メールが届き、社員がファイルを開いたことでサーバとPCが感染しました。4日後にセキュリティ会社から不審な通信について報告を受けましたが、不正な通信先の遮断は後手にまわりました。3月21日には社内データベースに不正アクセスがあり、その後セキュリティ会社が発見し復元したのは6月1日でした。流出した顧客情報は679万件、JTBに旅行手配取り次ぎを依頼していたNTTドコモ他の顧客情報も含まれており、いわゆるサプライ・チェーンリスクが具現化した事件となりました。

ではこれらサイバー攻撃の結果、攻撃を受けた企業にはどのような損害と責任が生じることになるでしょうか。

被害企業の被る不利益

１金銭の損失
個人情報の漏えいが発生したり、取引先から預かった機密情報が漏えいしたりすると、企業は損害賠償の請求を受けます。偽サイトへの不正送金やクレジットカードの不正利用などにより、企業自身が直接の損害を受けることもあります。
２　顧客の喪失
情報セキュリティ上の事故を発生させると、その企業の管理責任が問われ、社会的評価が低下します。同じ製品やサービスを提供する他社に客が流れ、回復もままならずに企業の存続が困難になることさえあります。
３　業務の喪失
自社で運用しているサーバーの停止やインターネットへの接続の遮断を余儀なくされます、インターネットを通じた取引先から見ると営業を停止しているのと同じになり、その間、貴重な営業機会を喪失します。
４　従業員への影響
内部不正が容易に行われる職場環境は従業員のモラル低下を招きます。情報漏えいなどでのイメージダウンを嫌っての退社、転職などが生じかねません。

今すぐできる！サイバー攻撃の被害にあわない５つの対策

サイバー攻撃の執拗さや被害に遭った場合の損害の大きさはこれまでに見たとおりです。完全に防止することは大企業でも困難な反面、基本的な対策を忠実に行えば中小企業でも多くは避けることができます。

まとめ

ここまで見てきたように、最近のサイバー攻撃は外国政府機関の関与が疑われるほど悪質、巧妙で、大規模化しており、100%阻止することは困難と言われるほどです。
しかしいったん攻撃を受けて被害が発生すると、それは企業の大きなダメージにつながり回復は困難を伴います。上記したような地道な努力を油断なく続けて、被害に遭う確率を少しでも減らすことは、企業の総務担当者や情報セキュリティ担当者の責任ともいえます。サイバー攻撃についての知識を、自社とは縁のない世界と割り切ってしまうのではなく、オフィスで今できることから取り組んでいきましょう。