サイバー攻撃の最新動向と企業が講じるべき対策10選

現代社会において、サイバー攻撃は企業・個人の双方にとって重大なリスクとなっています。とくに企業にとっては、サイバー攻撃の被害に遭うことで甚大な損害を被ったり、取引先や顧客からの信頼を失ったりすることにもなりかねません。

今回は、サイバー攻撃の最新動向と具体的な被害事例、企業がサイバー攻撃を受けることによって生じるリスクについて解説します。企業が講じるべきサイバー攻撃対策10選もあわせて紹介していますので、ぜひ参考にしてください。

サイバー攻撃の最新動向

はじめに、近年のサイバー攻撃に見られる主な傾向について解説します。

攻撃対象の多様化

一つ目の特徴として挙げられるのが、攻撃対象の多様化です。かつてサイバー攻撃の手口としては、PCなどの端末やサーバーを狙ったものが多勢を占めていました。しかし、近年では攻撃対象がさらに広がっており、Wi-Fiルーターやクラウドサーバー、IoT機器なども脅威の侵入経路になり得ます。

たとえば「従業員に貸与するPCにセキュリティソフトをインストールしておく」といった対策は現代においても必要ではあるものの、これだけでは脅威への備えが十分とはいえないのが実情です。攻撃対象の多様化に応じて、企業が対策を講じるべき対象も拡大しつつあります。

ビジネス化するサイバー攻撃

二つ目の傾向として見られるのが、サイバー攻撃のビジネス化です。サプライチェーンに端を発するランサムウェア攻撃が典型例であるように、企業や団体が攻撃者から多額の身代金を要求される事例が少なからず発生しています。組織的・計画的にサイバー攻撃を仕掛ける集団が勃興し、利益を上げていると見られる集団も現れ始めているのが実情です。

こうした攻撃者の集団は、いわばサイバー攻撃のプロフェッショナルです。サイバー攻撃のビジネス化は、手口の巧妙化・攻撃の大規模化に拍車をかけている原因の1つともいえます。

AIが悪用される懸念も

さらに、AIの進歩がサイバー攻撃の脅威をますます深刻なものにすることも懸念されています。たとえば、企業などの組織内に潜む脆弱性の分析にAIを活用したり、ユーザーに対応するためのAIチャットボットを悪用した手口などが増えたりする可能性も否定できません。AIは適正に利用すれば非常に便利な技術ではあるものの、攻撃者によって悪用されれば重大な脅威となり得ます。このように、新たな技術の台頭がサイバー攻撃の脅威をいっそう深刻化させかねないのが実情です。

サイバー攻撃の被害事例

最新のサイバー攻撃による被害事例を紹介します。過去に多く見られたサイバー攻撃の手口との違いや、被害規模の大きさの違いに着目してください。

情報処理サービス企業へのサイバー攻撃が自治体にも波及

複数の自治体や企業から、印刷物の納入を請け負っている情報処理サービス企業がサイバー攻撃を受けた事例です。被害は情報処理サービス企業にとどまらず、印刷物を委託している自治体にも及びました。具体的には、自治体の納税者情報や予防接種券情報が流出し、自治体によっては100万件を超える大規模な情報漏えいへと発展しています。

この事例の攻撃者と見られるハッカー犯罪集団は、ターゲット組織への侵入経路にフィッシングメールを用いることで知られています。不審なメールと気づかずにアカウント情報などを入力した結果、ネットワークへの侵入やアクセス権限の奪取を許してしまうことにもなりかねません。

大手出版社で従業員の個人情報が漏えい

大手出版社がサイバー攻撃の被害に遭い、その後ハッカー犯罪集団が犯行声明を出した事例です。データを暗号化し、暗号化されたデータの復号と引き換えに身代金を要求するランサムウェア攻撃と見られます。詳細は調査中ではあるものの、従業員や取引先などの情報が漏えいした可能性も十分にあると考えられている状況です。

攻撃者の要求に従って身代金を支払ったとしても、暗号化されたデータが完全に元どおりになる保証はありません。また、情報漏えいが発生したこと自体が企業に対する信頼失墜につながりかねないのが実情です。

サイバー攻撃対処用のツールが悪用された事例

サイバー攻撃に対処するための脆弱性診断ツールが攻撃者によって改変され、多数の企業が組織内ネットワークに侵入された事例です。ユーロポールの捜査によれば、27カ国において約700ものサーバーが攻撃に利用されたと公表されています。日本においても、10以上のサーバーが被害にあった形跡が確認されました。

前述のとおり、サイバー攻撃の攻撃対象は多様化の一途をたどっています。サイバー攻撃に対処するためのツールそのものが攻撃対象となる可能性も否定できません。従来は安全とされていたツールや機器類に関しても、サイバー攻撃の対象となり得ることを念頭に置いて対策を講じる必要があります。

企業がサイバー攻撃を受けることで生じるリスク

企業がサイバー攻撃を受けることで生じる主なリスクとして、下記の3点が挙げられます。

• ・情報漏えい
• ・経済的損失
• ・信頼性の低下

それぞれ詳しく見ていきましょう。

情報漏えい

サイバー攻撃に対して適切な対策が講じられていない場合、攻撃者によって組織の重要な情報が窃取されたり、外部に漏えいしたりするおそれがあります。漏えいが懸念される情報として挙げられるのは取引先や顧客の情報、従業員の個人情報、営業上の機密情報などです。

攻撃者はこうした情報をダークウェブに公開したり、闇市場で売買したりする可能性があります。企業として講じるべき情報漏えい対策が不十分だったことが明らかであれば、法的責任を問われることにもなりかねません。

経済的損失

サイバー攻撃の被害は、直接的・間接的に多方面で経済的損失をもたらすおそれがあります。具体的な経済的損失として想定されるのは、下記の3点です。

• ・事業停止に追い込まれ、売上・利益が減少
• ・原因究明やシステムの復旧に要するコスト
• ・システムが停止することによる機会損失

たとえばランサムウェア攻撃によって組織の重要情報が暗号化された場合、事業を継続する上で不可欠な情報が使用できない状態に陥ることも考えられます。このような場合、サイバー攻撃によって組織が被ったダメージを将来にわたって引きずる可能性も否定できません。

信頼性の低下

サイバー攻撃を受けた企業は、被害者であると同時に加害者にもなり得ます。取引先や顧客にとっては、企業を信頼して預けていた個人情報や取引情報が漏えいしたことになるからです。また、サプライチェーン攻撃の手口に代表されるように、ネットワークを通じて他社に被害が広がっていくことも懸念されます。

このように多方面に被害が及ぶことにより、脅威の侵入を許してしまった企業への信頼性が低下するのは免れません。結果として従来どおりの取引を継続できなくなったり、顧客離れをもたらしたりする可能性があります。

企業が講じるべきサイバー攻撃対策10選

サイバー攻撃の脅威から組織を守るために、企業はどのような対策を講じる必要があるのでしょうか。企業が講じるべきサイバー攻撃対策10選を紹介します。

セキュリティソフトの導入

必須の対策として挙げられるのが、従業員が使用するPCやスマートフォンへのセキュリティソフトの導入です。セキュリティソフトには、大きく分けて2つの役割があります。

• ・マルウェアや不正アクセスを検知してブロックする
• ・検知されたマルウェアなどを駆除する

とくに近年はワークスタイルが多様化しており、在宅勤務などオフィス外で業務に取り組むケースも増えています。組織内外を隔てる「壁」を強固にするという従来の考え方ではなく、各端末への対策を強化するエンドポイントセキュリティの考え方を重視していく必要があるでしょう。

ソフトウェアを最新の状態に保つ

業務で使用するソフトウェアを常に最新の状態に保つことも、必ず講じておきたい対策の1つといえます。ソフトウェアのアップデートプログラムには、新たに発見された脆弱性への対策を講じるためのセキュリティパッチが含まれている場合があるからです。

セキュリティパッチが適用されていない状態の端末や機器は、攻撃者にとって格好の標的となりかねません。脆弱性が放置されている端末や機器が1つでもあれば、組織全体にとっての脅威となり得ます。よって、組織内のすべての端末についてアップデートプログラムを迅速に適用し、ソフトウェアを常に最新の状態に保つことが大切です。

パスワード管理の強化

パスワード管理の強化も、必ず取り組んでおきたいサイバー攻撃対策の1つです。システムやサービスにログインする際のアカウント情報を攻撃者に窃取されれば、悪意のある第三者が正規ユーザーを装って利用できる状態になってしまいます。こうした事態を避けるためにも、パスワードを窃取・不正利用できない仕組みを構築しておくことが大切です。

具体的には、トークンやスマートフォンアプリによる二段階認証や、複数のパスワードを共通化するSSO（シングルサインオン）といった仕組みを取り入れることをおすすめします。パスワードの管理を個々の従業員任せにするのではなく、仕組みのレベルで不正利用を防ぐのがポイントです。

フィルタリングソフトの導入

不審なメールの受信や、安全性の低いWebサイトへのアクセスをブロックするフィルタリングソフトを導入することも有効な対策といえます。メールやWebサイトにマルウェアなどを仕込むことは、サイバー攻撃において非常に多く見られる手口とされているからです。

実際、大規模な情報漏えいにつながったサイバー攻撃の被害も、従業員が不審なメールを開封したことや、危険なWebサイトにアクセスしたことが発端となったケースが少なくありません。従業員に注意を呼びかけるだけでなく、リスクの高いメールやWebサイトを自動的にフィルタリングする仕組みを整備しておくことが大切です。

データバックアップの徹底

データのバックアップを徹底することも重要な対策の1つです。サイバー攻撃を受けた場合、端末やサーバーに保存されていた重要なデータが改ざんされたり、暗号化されたりするおそれがあります。こうした被害に遭った場合も、攻撃前のバックアップデータがあれば復旧するのは容易です。

また、ランサムウェア攻撃を受けて身代金を要求された際にも、バックアップされたデータがあれば要求を受け入れるべきかどうか迷う余地がありません。攻撃者の要求を受け入れたとしても、暗号化されたデータが復号されるとは限りません。攻撃者による脅迫に振り回されないようにするためにも、データバックアップを徹底しておくことが重要です。

エンドポイントセキュリティの強化

エンドポイントセキュリティとは、端末や機器といった末端のデバイスに施すセキュリティ対策のことを指します。働き方が多様化している現代のビジネスシーンにおいては、組織の「内と外」を隔てる境界型セキュリティの考え方が通用しなくなりつつあるのが実情です。たとえば、クラウドサービス利用時にはインターネットへの接続が必須になるため、たとえオフィス内で仕事をしていたとしても外部からの脅威にさらされやすい状態にあるといえます。

エンドポイントとサーバー間でやり取りされるすべての通信を「信頼できない」ものと捉えて暗号化したり、組織内のあらゆる端末・機器の監視と制御が可能な仕組みを取り入れたりする考え方のことを「ゼロトラストセキュリティ」といいます。従来の境界型セキュリティの考え方から脱却し、ゼロトラストセキュリティの考え方にもとづく対策を講じていく必要があるでしょう。