1. コラム
  2. コラム
  3. 【2021年最新版】高度化するサイバー攻撃とセキュリティ対策のトレンドを徹底解説

【2021年最新版】高度化するサイバー攻撃とセキュリティ対策のトレンドを徹底解説

あらゆる情報がデータで保存・送受信される昨今、多様化・高度化するサイバー攻撃はさまざまな企業を標的とします。サイバー攻撃による被害が頻繁に報道される中、自社が受ける可能性のあるサイバー攻撃やセキュリティ対策について、理解を深めたい方もいるのではないでしょうか。
サイバー攻撃やセキュリティ対策の基本とトレンドを知ることで、いままさに必要とされているセキュリティ施策が把握できます。どのような企業でも攻撃対象になり得ることを理解して、自社のセキュリティを強化しましょう。そこでこの記事では、サイバー攻撃とセキュリティ対策の基礎とトレンドをご紹介します。

【セキュリティ対策必須!】近年多発する深刻なサイバー攻撃問題

2007年に初代iPhoneが登場して以降、スマホの普及率は急激に上昇し、PCをほぼ触ったことのない層もインターネット接続をすることが当たり前になっています。

情報リテラシーや情報セキュリティ知識の不足している層もさまざまなアプリ・インターネットサービスを利用し、日々インターネットに接続しますが、攻撃者から見ればスマホは「個人情報の宝庫」です。

また、企業のネットワーク依存率は増加傾向にあり、ペーパーレス化やテレワーク推進の動きも活発化しています。いまやあらゆる情報がデータで保存・送受信される時代であり、取引もネットワーク上で完結するため、攻撃者からすれば「稼げる時代」ともいえます。

この状況下でサイバー攻撃は多様化・巧妙化を続けています。技術の登場に伴って新たなサイバー攻撃が生まれる「いたちごっこ」の状況があり、サイバー攻撃による金銭的被害や事業継続性へのダメージも深刻化しているため、サイバー攻撃のトレンドを加味したセキュリティ対策は必須です。

サイバー攻撃の糸口に対するセキュリティ対策の基本

サイバー攻撃の手口は多様化・高度化していますが、攻撃の糸口の基本は大きく変わっていません。たしかなセキュリティ知識をもとに必要な対策を講じ、人為的ミスを起こさなければ、セキュリティリスクの大幅な軽減が可能です。まずはサイバー攻撃の糸口とセキュリティ対策の基本を5つに分けて解説します。

ソフトウェアの脆弱性

「脆弱性」は情報システムのセキュリティ上の弱点です。ソフトウェアは完成版としてリリースされますが、第三者による不正操作や情報の窃取・改ざんができる欠陥や、仕様・設計上の不備のあるケースも珍しくありません。

脆弱性のあるソフトウェアを企業で利用していると、攻撃者に対して「弱点をさらしている」状態なので、セキュリティリスクは高いと考えましょう。脆弱性対策として重要なのは、ソフトウェアのアップデートによって脆弱性を解消し、サイバー攻撃によるリスクを軽減することです。

マルウェア感染

「マルウェア(malware)」は「malicious software(悪意のあるソフトウェア)」の略語で、コンピュータやユーザーに不正・有害な動作をするソフトウェアの総称です。ウイルス・ランサムウェア・キーロガー・スパイウェア・バックドアなどがこれに当たります。

マルウェアの被害はプログラムによって異なりますが、コンピュータの不正操作や情報の監視・窃取、ファイルの強制的な暗号化や削除が代表的です。マルウェア感染の対策としては、アンチウイルスソフトなどのセキュリティソフトの導入と継続的なアップデートが挙げられます。

パスワード窃取

ソフトウェアやインターネットサービスを利用する際にはパスワードを設定しますが、認証方法によってはパスワードがひとつ窃取されただけでアカウント乗っ取りの被害に遭います。パスワード窃取の攻撃手口はさまざまです。

例えば、メールの添付ファイルからスパイウェアやキーロガーをダウンロードしてしまい、キーボードの入力情報を窃取される手口があります。パスワード窃取の対策として重要なのは、パスワード管理方法の強化や二要素認証の採用です。また、人為的ミスによるパスワード漏えいにも注意を要します。

設定の不備

ソフトウェアやインターネットサービスにはさまざまな設定項目があり、セキュリティレベルを左右する項目も多数あります。管理者・ユーザーのセキュリティ知識が不足していたり、設定ミスがあったりすると、自ら攻撃者に弱点をさらす結果になるケースがあることに注意しましょう。

設定不備の対策として重要なのは、セキュリティポリシーの策定やセキュリティ教育と設定の見直しです。これも多くの場合、人為的ミスを原因とします。

誘導

「管理者やユーザーに、攻撃者にとって有益な特定の行動をさせる」という誘導型の攻撃手法も珍しくありません。例えば、メールの添付ファイルにマルウェアを混入させる攻撃手法なら、「メールの閲覧者に添付ファイルをダウンロードさせる」という誘導があって成り立ちます。

ファイルを強制的に暗号化するマルウェアであれば、ユーザーに心理的な圧力をかけることで、攻撃者にとって有益な行動を選択させることが目的です。誘導型サイバー攻撃の脅威や手口を知り、必要なセキュリティ対策を講じることや、誘導に乗らないことが求められます。

近年多発!企業が受けるサイバー攻撃トレンド5選

サイバー攻撃は技術の変遷や社会情勢に伴ってトレンドが変化します。例えば、IoT機器やテレワーカーの急増に伴って、WebカメラやルーターといったPC以外の機器を攻撃対象とするサイバー攻撃が増えている状況です。全ての企業が対策したい、巧妙化するサイバー攻撃のトレンド5選を解説します。

ランサムウェアによる被害

マルウェアの一種である「ランサムウェア(ransomware)」は感染するとデスクトップ画面をロックしたり特定ファイルを暗号化したりして、コンピュータを正常に利用できないようにし、正常な状態に戻すために「身代金(ransom)」を要求します。被害の深刻化と手口の悪質化は全世界的な問題となっており、企業にとって最大の脅威のひとつです。

近年はデータの暗号化だけでなく窃取をし、復号の対価を支払わなければ情報を暴露すると脅す「二重恐喝型(ダブルエクストーション)」の被害も増えています。

セキュリティ対策として重要なのは、重要なデータのバックアップを作成することです。不正アクセスや脆弱性を悪用した手口が横行しているので、不正アクセス対策をして侵入経路をなくすことや、サポート切れのOSを使用しないことも求められます。

標的型攻撃による機密情報の窃取

「標的型攻撃(スピア型攻撃)」は特定の個人や組織を狙ったサイバー攻撃の総称です。攻撃者は標的の組織を調査し、よく利用するインターネットサービスから認証情報を窃取したり、関連企業を装ったメールで油断させてウイルス感染を誘ったりします。

標的型攻撃は不特定多数を対象としたサイバー攻撃とは異なり、遠隔操作用の接続窓口である「バックドア」やウイルスを標的に合わせてオーダーメイドで作り、迷惑メールフィルタやアンチウイルスソフトに検知されにくいケースも多々あります。

パターンファイルを更新しても検知されず、感染したウイルスは長期間潜伏して機密情報を窃取し続けることもあります。特に新型コロナウイルス感染症の影響に便乗した標的型攻撃メールが増えており、社員の情報リテラシーの向上やインシデント訓練、情報の扱いに関するルール策定が急務といえる状況です。

テレワーカーを狙ったサイバー攻撃

新型コロナウイルス感染症の影響でテレワークを導入する企業が増え、オフィス集約型から分散型に移行した職場環境が一般化しています。事業所と比較してセキュリティが確保されていないテレワーク環境や、Web会議システム・VPNソフトといったテレワーク関連ソフトウェアの脆弱性を狙ったサイバー攻撃が増えている状況です。

社用PCを低セキュアの自宅で利用し、社内のVPNサーバーを経由せずにインターネット接続した結果ウイルスに感染してしまい、出社時に当該PCを社内ネットワークに接続して感染拡大するケースもあります。

セキュリティ対策としては、テレワーカーの情報リテラシー・情報モラルの教育や、テレワークルールの策定と順守が重要です。高セキュアなテレワーク環境を採用することや、利用するデバイスの社用・私用の線引きを明確化することも求められます。

サプライチェーンの弱点を悪用したサイバー攻撃

原材料調達・製造・生産管理・物流・販売までのモノの流れと、それに関わる組織群を「サプライチェーン」と呼びます。サプライチェーンは多くの企業や部署で構成され、情報システムを通じて情報共有と流通の効率化を図るのが一般的です。サプライチェーンには海外拠点やセキュリティ基盤の貧弱な組織が含まれることもよくあります。

このサプライチェーンの弱点を突き、セキュリティ対策の強固な企業を直接狙うのではなく、セキュリティの甘い企業を「踏み台」にするサイバー攻撃も増えている状況です。

例えば、取引先や委託先が保有する標的企業の機密情報を窃取したり、海外拠点を踏み台にして国内拠点へウイルス拡散させたりする手口が挙げられます。ソフトウェアの開発元がサイバー攻撃を受けて、アップデートファイルにバックドアが仕込まれるケースも珍しくありません。

セキュリティ対策として、アウトソーシングや情報管理におけるルールの策定や順守、取引先・委託先のセキュリティレベルや納品物・契約内容の精査が重要です。

ビジネスメール詐欺による金銭被害

組織の社員に対して取引先や管理職を装ったメールを送り付け、攻撃者が用意した口座へ送金させる手口を「ビジネスメール詐欺(Business E-mail Compromise/BEC)」と呼びます。ビジネスメール詐欺の攻撃手口の多くは、取引先との請求書の偽装です。

不自然な点の少ない日本語で新型コロナウイルス感染症を話題とする偽メールも増えており、国内組織が本格的に標的となってきています。偽メールにウイルスやキーロガーを仕込み、情報の窃取やメールアカウントの乗っ取りを目的とした攻撃手口も耳にします。

日本語の偽メールは巧妙化し、攻撃手口も高度化しているので、メールの真正性の確認には注意を要します。ログイン通知や二要素認証によるメールアカウント保護も大切です。個人の判断で取引を実行しないルール・システムの策定や、メールに依存しない業務フローの構築も求められます。

企業を揺るがす!サイバー攻撃の実例

2021年はランサムウェアや標的型攻撃、テレワーカーを狙ったサイバー攻撃の被害に注意を要します。では、実際にサイバー攻撃を受けるとどのような被害が発生するのでしょうか。2020年・2019年の有名なサイバー攻撃の実例を2件ずつ紹介します。

個人口座の大規模不正利用!

2020年10月に発覚した個人口座を悪用した不正チャージ問題は、銀行や電子決済サービスの信用を揺さぶる事件として日本を震撼させました。攻撃者は標的の銀行口座情報を何らかの方法で窃取し、攻撃者の個人口座にチャージ(入金)することを繰り返し、総額2,800万円以上の被害が発生しています。

銀行口座と個人口座を簡単に紐付けられてしまったことが問題のひとつです。サービスの利便性とセキュリティのバランスは、ネットワーク時代の全ての企業にとって大きな課題といえるでしょう。

B社が受けた二重恐喝型のランサムウェア被害!

2020年11月にB社が受けたサイバー攻撃は、最大35万件もの個人情報が流出した可能性のある事件でした。攻撃者はB社のシステムにランサムウェアを感染させただけでなく、窃取した個人情報をオンラインで暴露すると脅迫し、二重恐喝型のランサムウェア被害として特に大規模なもののひとつです。

ランサムウェアに感染すると、金銭的被害だけでなく事業継続性に大きなダメージを受けるケースがあります。標的になるのは大企業だけとは限らないため、ランサムウェアの標的になることを前提としたセキュリティ対策が必須です。

決済アプリの不正チャージ・利用!

2019年7月1日にローンチされましたが、サービス開始直後から不正チャージ・利用が相次ぎ、同月31日の時点で808名・約3,900万円の被害が確認されるほど低セキュアでした。

サービスは開始したものの早々に新規登録とチャージ機能を停止し、同年9月30日にサービス終了となっています。脆弱な認証システムを採用したことが大きな原因です。この事件以後、二要素認証をはじめとするセキュアなシステム導入に関する認知が広がっています。

F社が受けたパスワードリスト攻撃!

F社が提供するWebサービスにおいて、2019年7月23日時点で3,467件の不正ログイン(試行回数は約3万件)があったと発表されました。

不正ログインに悪用されたID・パスワードにはF社の保持しないものが多く含まれており、外部から流出したID・パスワードを使った攻撃、つまりパスワードリスト攻撃だと考えられます。ID・パスワードの使い回しの危険性や、不正ログインの手口の巧妙化が広く認知された事件です。

セキュリティ対策のトレンド3選

サイバー攻撃の多様化・高度化を受けて、セキュリティ対策のトレンドも変化しています。近年注目度が高まっているセキュリティ対策の代表例は、OSプロテクト型のセキュリティソフトを導入することや、自社内にCSIRTを設置することです。

また、テレワークの推進によって社内情報の保存場所や送受信経路が分散される中、セキュリティガイドラインの策定や社員教育も重要度を増しています。

OSプロテクト型エンドポイントセキュリティ

ネットワークの末端に接続されたデバイス、つまりユーザーが直接操作するPCやスマホを「エンドポイント」と呼びます。「エンドポイントセキュリティ」はエンドポイントを対象としたセキュリティ施策の総称です。

アンチウイルスソフトをはじめとするパターンファイルベースのセキュリティソフトは、基本的に「既知の脅威」に対してセキュリティ対策効果を発揮します。しかし、マルウェアは日々新種・亜種が生まれており、感染被害を防止できないケースも珍しくありません。そこで近年トレンドとなっているのが「OSプロテクト型エンドポイントセキュリティ」です。

OSプロテクト型のセキュリティソフトは、マルウェアによって危険なプロセスが発生した際、その動作を封じ込めることでOS環境を守ります。マルウェアを「感染させない」のではなく「発症させない」ことを目的とし、「未知の脅威」に対しても不正動作を未然に防止できることが強みです。

CSIRTの設置

「CSIRT(Computer Security Incident Response Team)」はセキュリティインシデントの対応を専門とする組織です。CSIRTは企業内の組織としてセキュリティ施策・改善施策の関与・サポートをしたり、企業内部の啓蒙活動や外部セキュリティ対応組織に対する窓口となったりします。

インシデント発生時には必要な対策を講じ、経営層への報告や対処の連携窓口になるのもCSIRTの役割です。IT先進国のアメリカや欧州では一般化していますが、日本ではまだCSIRTを置く企業は多くありません。

サイバー攻撃は多様化しており、管理者・ユーザーの現場判断では対応が遅れ、被害が拡大するケースもよくあります。そこでセキュリティインシデントに対して迅速に対応できる専門チーム、つまりCSIRTを確保することがトレンドとなっている状況です。

セキュリティガイドラインの策定と社員教育

2014年に成立した「サイバーセキュリティ基本法」に基づき、サイバーセキュリティ強化の中核として内閣官房に「内閣サイバーセキュリティセンター(NISC)」が設置されました。

NISCは企業が満たすべきセキュリティ基準を定めて公開していますが、基準を満たす企業は多くありません。NISC公式サイトで公開されている「情報セキュリティハンドブック」は、企業のセキュリティ強化や社員教育に役立ちます。

また、新型コロナウイルス感染症の影響を受けてテレワークを導入する企業が一般化する中、新基準のセキュリティガイドラインの策定が必須といえる状況です。

テレワークのセキュリティ対策には企業側が技術的な環境整備や運用ルールの策定をし、社員に周知徹底することが求められます。テレワークのセキュリティガイドライン策定には、経済産業省が公開する「在宅勤務における情報セキュリティ対策ガイドブック」が役立つでしょう。

イッツコムのモバイル閉域接続とboxでITインフラを強化しよう

テレワーク推進の影響により、セキュアなVPN接続による社内ネットワークへのアクセスや、社内のVPNサーバーを経由したインターネット接続が必須といえる状況です。さらに、利用するクラウドサービスには高度なセキュリティレベルが求められます。イッツコムなら、高セキュアなモバイル閉域接続とboxのセット提供が可能です。

テレワークのセキュリティ強化なら「モバイル閉域接続」

イッツコムの「モバイル閉域接続」は、VPNの仕組みを利用したセキュアな通信サービスです。PCやスマホに専用SIMを挿入するだけで導入でき、通信キャリアのモバイル回線網とイッツコムネットワーク内の閉域網で接続します。

エリア内のどこからでも、インターネットを経由せず社内ネットワークに接続できるので、テレワークの大幅なセキュリティ強化が可能です。モバイル閉域接続の導入によって、主に以下のことが実現できます。

・社外のデバイスからも社内セキュリティポリシーを維持して通信できる
・場所や時間を選ばない働き方ができる
・ペーパーレスで営業に行ける
・スマホ・ドライブレコーダー・監視カメラの動画も簡単に共有できる

高セキュアなクラウド環境なら「BOX」

「box」は世界で最も信頼を集めるクラウドストレージのひとつです。boxの有料版は非常に高セキュアかつ多機能で、導入するとセキュリティ強化と大幅な業務効率化が期待できます。

また、boxは単なるファイル共有サービスではなく、ビジネス利用に向いた機能が豊富であることも強みです。主な機能と期待できるソリューションは、以下の4つを挙げられます。

・非常に高度なセキュリティ機能:ガバナンスとコンプライアンスの簡素化による訴訟リスクの回避や、組織の内外で行う作業の監査ができる。
・ファイルの同時編集機能や既存アプリの統合機能:外部業者とのコラボレーションの効率化や、営業の生産性向上が期待できる。
・Box Relayによるワークフロー管理:営業・マーケティング・法務・人事といったあらゆる部門のワークフローを自動化し、業務効率化と人的ミスの削減が期待できる。
・1,500以上の業務アプリを統合:あらゆるコンテンツをセキュアなプラットフォームで一元管理し、ビジネススピードを損なわずにセキュリティ対策ができる。

まとめ

2021年はランサムウェア・標的型攻撃やテレワーカーを狙ったサイバー攻撃、サプライチェーンを踏み台にした攻撃やビジネスメール詐欺のリスクが高いといえます。一般的にオフィスよりテレワーカーの自宅のほうがセキュリティレベルは低いので、テレワーク環境のセキュリティ対策にも十分に注意しましょう。

イッツコムはモバイル閉域接続・boxによるセキュリティ対策やワークフロー管理の他、ZoomやホットプロファイルによるWeb会議や営業支援、光回線やWi-Fi接続によるインフラ整備まで幅広いサービスを提供しています。ビジネス環境のトータルなアップグレードをお求めなら、多彩なサービスを自由に組み合わせられるイッツコムにご相談ください。