こんにちは、木村太一です。
年々多様化、巧妙化しているサイバー攻撃。
大きな会社が狙われるんでしょ?と、お考えの貴方、要注意です。
今の世の中、サイバー攻撃で使うツールは簡単に手に入る時代となっています。
闇バイトと同様、素人でも簡単にハッカーになれてしまうのです。
2024年もサイバー攻撃により、サービスの停止や終了を余儀なくされたり、委託先の起業がランサムウェアの被害にあり、複数の委託元が情報漏えいの被害にあったことが話題になりました。
2025年はAIの進化により『ディープフェイク』のにより、より人間には判別しづらい、高度な攻撃が横行すると予測サれています。
サイバー攻撃による被害を防ぐいだり、最小に留めるためには、まず、どんな攻撃の種類があるのか?それに対する対策はなにか、といった情報の把握が大切です。
それでは、2024年のサイバー攻撃を振り返ってみます。
2024年の主なサイバー攻撃
IPA(独立行政法人情報処理推進機構)が毎年、サイバー攻撃に関する最新のトレンドによると、情報セキュリティについての脅威トップ10は下のようになっています。
順位 | 「組織向け脅威」 | 初選出年 | 10大脅威での取り扱い |
---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
2 | サプライチェーンの弱点を悪用した脅威 | 2019年 | 6年連続6回目 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続2回目 |
一つづつご紹介するのは、また別の機会にさせていただき、上位3つの主な攻撃の内容と対策をご紹介させていただきます。
1位:ランサムウェアによる被害
組織の規模や業種は関係なし!次の標的はあなたの組織かもしれません。
ランサムウェアの攻撃を受けるとどうなるか?
- パソコンやNASなぢに保存されているファイルが暗号化されて、使用不可にされる。
- 復旧と引き換えに金銭を要求される。
- 情報が搾取されて、公開され、更に攻撃を受けていることを、取引先などビジネスパートナーに公表すると脅迫サれる。
- 組織の規模や業種に関係なく攻撃される。
ランサムウェアによる攻撃のトレンドと対策の概要
2024年はテレワークの増加のためか、特にVPN機能の脆弱性を悪用した攻撃が目立ちました。
機器の定期的なアップデート管理ができていないネットワーク機器は危険ですね・・。
自社が利用しているネットワーク機器を把握して、計画的にアップデートできているか確認しましょう。
2位:サプライチェーンの弱点を悪用した脅威
サプライチェーン攻撃とは、原料調達から消費者に届くまでの一連の流れ「サプライチェーン」を狙った攻撃手法のことを指し、2つの手法があります
1つ目。ターゲット企業に関連する組織を狙ったサプライチェーン攻撃
ターゲット企業を攻撃する際に、セキュリティ対策が甘い取引先や関連会社を経由して、攻撃する方法です。
例えば、セキュリティ対策が甘い取引先企業のメールを盗み見て、取引先に成りすました偽装メールをターゲット企業に送信するなどして、ターゲット企業のネットワークの潜入を行います。取引先や関連会社を踏み台にすることから、踏み台型攻撃とも呼ばれます。
2つ目。ソフトウェアサプライチェーン攻撃
IT機器やソフトウェア製品や製品の更新プログラムや脆弱性を見つけ不正なプログラムなどを仕込みソフトウェアを利用した端末を感染させることを指します。
日本では大きな事例は耳にしてませんが、海外ではチャットアプリが攻撃されるなどの被害が起きています。
サプライチェーンの攻撃の恐怖
1つ目のターゲット企業に関連する組織を狙ったサプライチェーン攻撃が怖いですね。
この攻撃の恐ろしさは、セキュリティが甘く、最初に被害にあった会社が感染源(踏み台にされて攻撃元)となり、大事な取引先に迷惑を掛けてしまうことです。具体的には以下のようなことが起こり得ます。
- 取引先から預かっている機密情報や個人情報が盗まれる
- 関連会社へウイルス付きのメールをばらまいてしまう
- 「ウチは大事な情報なんてないから大丈夫!」というところが狙われる
有事の際には、取引先から損害賠償請求をされたり、業務を一時停止せざるを得なかったりしてしまうことも考えられます。
サプライチェーン攻撃への対策の概要
メールの開封や、添付ファイルの展開など、個人が気をつけなればならないのは言うまでもありませんが、それも限界があります。
エンドポイントセキュリティを整え、感染してしまっても駆除できるようにしておくことも大事です。また、どんなに対策をしても100%大丈夫ということはありません。
ビジネスに言い訳は通用しないと思いますが、しっかり対策して「ここまでやっていたのに」というのと、「うちは大丈夫」と無対策で人に迷惑をかけてしまうのでは、取引先や関係各所の心象は大きく違うと考えられます。
独立行政法人情報処理推進機構(IPA)にも対策指針が掲載されていますので、参考にして対策をするようにしましょう。
3位:内部不正による情報漏えい等の被害
私としては、これが一番怖いですね・・。
内部不正とは企業内部の関係者により機密情報などが不正に扱われることです。
具体的にどのような不正が行われ被害につながるのか、対策方法などをご紹介します。
内部不正にあたる行為とは?
内部不正にあたる行為は次のようなことです。
- 搾取
- 持ち出し
- 漏洩
- 消去・破棄・損失
- 悪用
- ミスによる流出
ミスによる流出も含まれるのがポイントですね。
内部不正にあたる人物は?
企業内部の者とは、
- 社員、アルバイト・パートなどの従業員
- 役員
- 契約社員
- 業務委託先
- 外注
- 取引先
- 退職者
など、自社に関連する人たちですね。
独立行政法人情報処理推進機構(IPA)の調査によると、漏洩者で最も多いのが、中途退職者(役員、正規社員)による漏洩で36.3%、次に現職従業員などのミスによる漏洩が21.2%となっています。
情報を守るためにはミスを減らすこと以上に、故意に行われる内部不正をさせないことが重要です。
内部不正の種類
内部不正のパターンは3つに集約できると考えています。
- 故意ではないが情報漏えいしてしまうケース
- 故意に情報を持ち出すケース
- 仕組みが悪いケース
故意ではないが情報漏えいしてしまうケース
紛失・盗難・機器の故障(情報の損失)、操作ミス(誤送信、誤操作)などが原因となるかと思いますが、そもそも情報の取り扱いについてルールがない場合がほとんどです。
どれが機密情報なのか?持ち出してはいけない情報は何なのか?USBメモリや、クラウドストレージの使い方のルールはあるのか?など、情報の重要性の周知や、取り扱いルールの策定をする必要があります。
故意に情報を持ち出すケース
よく話題にもなりますが、一番怖いです。内部の悪意に対処するのは、非常にコストがかかります。
不満やトラブルによる報復や、金銭面、出来心、好奇心などが引き金になるかと考えられます。罰則の設定をして、記録を取るなどの抑止力を働かせ、心理的にも物理的にも情報を持ち出せないような仕組みづくりが必要です。
社内の仕組みが悪いケース
アクセス権限が設定されていない、アクセスログが残らない、だれがどのデータにアクセスできるのか把握できていない。などなど、仕組み自体が悪いケースもあります。内部不正を引き起こしやすい状況にしてしまっているのも問題です。
内部不正への対策
「不正のトライアングル理論」というものがあります。アメリカの組織犯罪研究者ドナルド・R・クレッシーが提唱した理論をもとにW・スティーブ・アルブレヒトが体系化したものです。
それによると、内部不正が起きるのは、次の3つの要因が揃った場合だといわれています。
- 機会
- 動機(プレッシャー/インセンティブ)
- 正当化
内部不正の「機会」とは?
「機会」とは、不正行為ができてしまう客観的な環境を表します。会社の環境的に不正が行えるかどうかということですね。
- 情報が取られても、誰も気にしない。(それらを盗んでも発覚しない。バレない。)
- 一人の担当者に、情報を取り扱う権限が集中している。(それらを盗んでも隠蔽できる。または、ごまかせる)
内部不正の「動機(プレッシャー/インセンティブ)」とは?
「動機」は、不正行為を実行したくなる主観的な事情です。
- 個人的な金銭上の問題を抱えている。(借金の返済を迫られているなど)
- 強いプレッシャーがある(叱責される、解雇される、契約を切られるなど)
内部不正の「正当化」とは?
「正当化」とは、不正行為の実行の都合のよい言い訳です。主観的に不正行為を是認してしまいます。
- 他社(他者)の為に仕方なくやる。(頼まれたから。自分が作ったデータだから。)
- 会社、役員、上長に不満がある。(自分はもっともらって良い。尽くしたから。不当な扱いを受けたから。)
内部不正対策は難しい
つらつらと書きましたが、内部不正のリスクは、不正を行う人に大きく左右されるので、画一的な対策はできないと言っても過言ではないと思います。
不正行為が起きないような環境整備をする努力をしつつ、そういう気を起こさせないような、起きても止められるような相談や支援など、一人一人に寄り添う姿勢が必要かもしれません。
まとめ
セキュリティ対策の第一歩は意識を高めることからです。
OSをアップデートして最新にしたり、エンドポイントセキュリティやセキュリティ機器を導入したりは、もう当たり前として、情報の取り扱いルールや、会社と従業員との間で、機密情報保持の契約を結んだりと、「人」「機器」「仕組み」の視点でのセキュリティ対策が大事になります。
「セキュリティ対策とは大事なものなのだ」ということを、組織全体で再認識し、外部、内部共にリスクを確認して、できること、身近なところから組織全体でセキュリティ対策をすすめていきましょう!