サイバー攻撃とは

まず始めに、サイバー攻撃の概要から解説します。

サイバー攻撃の近年の傾向

かつてはサイバー攻撃というと、「コンピュータウイルス」や「ワーム」などがデバイスやネットワークに感染し、情報を盗んだりデータを破壊したりする行為がみられました。しかし、近年はサイバー攻撃の手口は巧妙化し、より幅広い手段を使って攻撃を試みるようになっています。警察庁によると、近年は企業に向けたサイバー攻撃として「ランサムウェア」と呼ばれる身代金要求をするソフトウェアを使った被害が増加していると発表しています。これにより、自動車関連企業、半導体関連企業などでサービス停止措置や情報流出などの被害が発生する事案が報告されています。

サイバー攻撃とハッキングの違い

ハッキングとは、システムへのアクセス制御を回避する行為を指し、目的によって合法・違法に分かれます。そのためハッキングは、サイバー攻撃を実施するための攻撃手段の一つ、といえるでしょう。

ただし今日、「ハッカー」「ハッキング」というと前述した悪意のある行為のみを指すと思われがちですが、実は合法的にハッキングを行うケースもあります。「ホワイトハッカー」に代表されるように、セキュリティコンサルタントとして合法的に模擬ハッキングを行い、脆弱性を洗い出したりソフトウェア開発を支援したりすることもあり、すべてのハッカーがサイバー攻撃を仕掛ける存在というわけではありません。

なぜサイバー攻撃は減らないのか

サイバー攻撃による被害が後を絶たない理由としては、ネットワークの普及によってスマホやタブレットなどさまざまなデバイスが登場し、これに加えクラウドサービスやIoT技術も発達したことが影響しています。IoTデバイスの多くは初期設定のまま利用されるケースが多く、ID・パスワードの脆弱性やファームウェア未更新などの要因が攻撃者に狙われやすくなっています。

これに加え、コロナ禍におけるテレワークやDXの推進による企業の働き方の多様化によっても、社外に情報を持ち出すリスクが増加することでサイバー攻撃の温床となる可能性が高まってしまうのです。

サイバー攻撃の標的になりやすい企業の特徴

サイバー攻撃のターゲットとなる環境は、「セキュリティ対策が不足している」および「重要情報を保有している」点が挙げられます。このことから、セキュリティ対策へのリソースを割くことが難しい、もしくは専門家が在籍していない中小企業が標的になりやすいことが挙げられます。

業種でいうと、中小企業が多くかつ顧客情報を多数保有している点から、製造業や建設業、医療業などが過去の事例からみても多いことがわかります。これらの企業は長期間停止できない業務特性と、機密情報や個人情報を大量に保有している点から、ランサムウェアなどの金銭目的の攻撃に特に狙われやすい傾向があります。

サイバー攻撃に遭うと起こりうるリスク

サイバー攻撃を許してしまうと、主に以下の4つが企業としてのリスク・損失を生むことになるでしょう。

金銭の損失

情報漏えいによって取引先との機密情報や顧客の個人情報が流出することにより、損害賠償の請求がなされる可能性が高まります。これに加え、金融機関を装うフィッシングメールによる詐欺や、ランサムウェアによって金銭要求を行うサイバー攻撃も増加しています。

顧客の喪失

前述した情報漏えいやサービスのシステム障害などが発生すると、企業としての管理責任が問われることになります。また、顧客としては情報を預ける立場として信頼感が削がれるため、同業他社へ顧客が流出するリスクも高まるでしょう。

事業の停止

サーバーや社内ネットワークなど、制御システムがサイバー攻撃の標的となると、長期間システム停止に追いやられる可能性があります。この場合、サイバー攻撃のリスクが消失するまでは事業を停止せざるを得なくなり、その期間の収益が大きく損失される懸念があります。

経営者の責任が問われる

顧客や取引先だけでなく、自社の従業員への影響も否定できません。従業員の個人情報が流出してしまった場合、プライバシーやセキュリティへのリスクがより一層高まります。また、事業の停止によってモチベーションや企業への信頼感の低下をまねき、場合によっては訴訟などの問題に発展する可能性もあります。

サイバー攻撃の種類

では、具体的に「サイバー攻撃」とはどのような手法で企業への侵入を試みるのでしょうか。

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見された直後、ベンダーによる修正パッチが提供される前に、その脆弱性を突いて行われる攻撃です。修正パッチやアップデートファイルが配布されたタイミングを1日目（ワンデイ）と考え、その前のタイミング（0日目）を狙うことからゼロデイ攻撃という名称になりました。攻撃の手法は、ターゲットに添付ファイル付きのメールを送信する、特定のWebサイトに不正なプログラムを仕込んで不特定多数のユーザーを狙う、などさまざまです。

パスワードリスト攻撃

パスワードリスト攻撃とは、過去に流出したID・パスワードの組み合わせリストを使い、他のサービスへの不正ログインを試みる攻撃手法です。

パスワードは本来使い回しをしないことがセキュリティ対策としても良いとされていますが、ユーザー心理としては覚えきれないためどうしても使い回して設定をしてしまいがちです。この「使い回し」を狙って、複数のサービスへログインを試み攻撃を行う手法が「パスワードリスト攻撃」です。ログインが成功すると、ユーザー情報から得られる個人情報やクレジットカードの番号などを利用し、不正行為を行います。

標的型メール攻撃

メールを使ったサイバー攻撃は不特定多数を対象とした手法もありますが、「標的型メール攻撃」は特定の企業や組織を狙う手法です。知人や友人になりすましたり、採用や取材依頼などを装ったりすることでリンクのクリックや添付ファイルを開封させるように仕向け、標的のデバイスにウイルスを感染させる形式が主流です。

マルウェア

サイバー攻撃をはじめ組織や個人のデバイスおよびネットワークに侵入し、不正行為を行うために開発されたソフトウェアのことを総称して「マルウェア」とよびます。コンピュータウイルスやワーム、トロイの木馬、Emotet（エモテット）、前述のランサムウェアなどもマルウェアの一種として扱われています。

DoS攻撃

データを一度に大量に送信することで、特定のサーバーに負荷をかけてシステムやサービスを妨害・シャットダウンさせる手法を「DoS攻撃」とよびます。

一方で、「DDoS攻撃」とよばれる、複数の端末やIPアドレスを使用してサーバーに攻撃を仕掛けるケースもあります。DDoS攻撃は攻撃元が複数に分散しているため、攻撃元の特定や防御が難しいという特性があります。

サイバー攻撃の事例

ここからは、独立行政法人「情報処理推進機構」による、サイバー攻撃の事例を紹介します。

ウクライナ大規模停電（2015年）

2015年、ウクライナの首都キエフ（現：キーウ）をはじめとした国内数か所の都市に点在する電力会社にサイバー攻撃が実行されました。その結果、22万人以上の住民に被害が及ぶ大規模停電に発展し、復旧にはおよそ6時間かかったと報道されています。

攻撃者は事前に入念な準備を進めており、その段階で企業のアカウント情報をすでに取得していました。リモートで企業システムの内部に入り込んだのち、数十分以内に複数の地点に向けて攻撃を実施したといわれています。

イラン核施設へのサイバー攻撃（2010年）

2010年にイランの核燃料施設を標的としたこの攻撃は、イランの核開発を遅らせることを目的として「Stuxnet」とよばれるマルウェアによって実行されました。Stuxnetに感染したコンピュータによって、制御システムに異常が生じ8,400台のうちおよそ1,000台分が制御不能に陥ったと報告されています。Stuxnetは、感染を周囲に悟られないようにしたり、情報表示をすり替えたりといった機能を持ち合わせていたことで、サーバーや制御システムの異常を発見することを遅らせる特徴を備えていました。

ノルウェーのアルミニウム生産企業へのサイバー攻撃

ノルウェーに本社を置く「Norsk Hydro」という世界的に有名なアルミニウム生産企業は、数か月にわたりランサムウェアの被害を受け、160の営業拠点へサイバー攻撃が行われました。この間生産量は低下し、その損害額は数十億円にのぼるといわれています。主に取引先とのメールや発注、顧客などの情報を管理していたデバイスに被害が及んだことから、数か月の間、従業員は手作業での業務を余儀なくされてしまいました。

ランサムウェアによる医療関連企業の業務停止

2020年5月、ドイツに本社を置くFreseniusグループの医療関連企業が、「EKANS」とよばれるランサムウェアによるサイバー攻撃を受け、多くの拠点において医療品製造や診療といった業務に支障が生じました。同社の報告によると、5月初めに企業内のITシステムが攻撃され、その2週間後にFreseniusグループ傘下企業のサービスを受けた患者の個人情報が漏えいするなど複数の事例が報告されています。

米国最大手のパイプラインのランサムウェア被害

2021年、米国最大手のパイプライン企業である「Colonial Pipeline」の情報系システムにサイバー攻撃が発生しました。パイプラインの制御システムそのものへの被害はまぬがれたものの、予防的措置として業務停止を実施しました。米国東海岸エリアのうち、およそ45%もの燃料供給を担っていたこのパイプラインは、6日間の停止によってガソリンの売り切れが多発するなど、一般市民にも大きな影響を与えました。

サイバー攻撃の脅威から身を守る方法

最後に、サイバー攻撃から身を守るための方法を紹介します。

OS・ソフトウェアは定期的にアップデートする

OSやソフトウェアを古いバージョンのまま運用することで、脆弱性を放置し攻撃者の標的になりやすくなってしまいます。新しいバージョンが公開されたらなるべく早いタイミングでアップデートや修正パッチを適用するようにしましょう。

予測しづらいID・パスワードを設定する

複雑で他者から推察されにくいIDやパスワードを設定することで、不正使用へのリスクがぐっと低減されます。また、なるべく使い回しをしないようにすることも重要です。

怪しいメール・リンクはクリックしない

マルウェアやメールで攻撃を行う際は、言葉巧みにクリックさせようとする文言を攻撃者から送られることがあります。そのため、日ごろから添付ファイルやURLを安易にクリックしないように企業内に周知させることが重要です。

不審なサイトにアクセスしない

メールのURLや添付ファイルと同じく、信頼のおけないWebサイトやサービスへのアクセスも行わないようにしましょう。Webサイトにアクセスしただけで個人情報を引き抜かれてしまうリスクもあり、なかには大手企業サイトを模した偽物のWebサイトに誘導されるケースもあります。

共有設定を見直す

企業内でアカウントや情報を共有する運用をしている場合、外部に漏れるなどの攻撃へのリスクに備えるために、どこまでの情報を共有してもよいのか、一度設定を見直してみましょう。

必要に応じてアクセス権限を最小化し、二要素認証の導入などで不正アクセスリスクを低減させる取り組みが有効です。

サイバー攻撃の手口を知る

「敵の手の内を知る」ことで、どのようなリスクに備えるべきか、という点が明確になります。サイバー攻撃の手段は近年巧妙化しており、攻撃手段は日に日に変化しつつあります。新しい情報をキャッチすることで、サイバー攻撃へのリスクを低減させられる可能性があります。

セキュリティソフトを導入する

フィッシング詐欺やマルウェア、コンピュータウイルスなどに対策が可能なセキュリティソフトを導入することも有効です。セキュリティソフトに加えて、ネットワーク監視や振る舞い検知を行うIDS/IPS製品、ログを統合的に管理するSIEMの導入も検討してよいでしょう。

総合セキュリティ対策なら
パロアルトネットワークス

このように、サイバー攻撃は企業のセキュリティ対策の穴をかいくぐりながら、弱点を狙って攻撃を仕掛けます。このような脅威から企業を守るためには、高いセキュリティ対策の技術と安全性の担保が必須条件となるでしょう。

パロアルトネットワークスが提供する、AIセキュリティ運用プラットフォームのシステムを構築することで、さまざまなサイバー攻撃からの脅威に備えることが可能です。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

サイバー攻撃による個人情報・機密情報の漏えいや、業務停止措置などにおける企業損失の大きさははかり知れません。サイバー攻撃は、小さなセキュリティの穴をかいくぐり、さまざまな手法で攻撃を仕掛けます。これらの攻撃から企業を守るためには、一元管理の可能なセキュリティ対策システムを構築する必要があります。ぜひ、パロアルトネットワークスのクラウド提供型セキュリティの導入をご検討ください。