ICT(情報通信技術/以下:ICT)の進化により、1人ひとりの生活環境が便利になる一方で情報漏えいをはじめとする被害が拡大しています。
本DXportal®においても繰り返し警鐘を鳴らしてきた通り、情報漏えいは企業の信頼を大きく傷つけるリスクがあるため、現代の企業にとって最重要課題の1つとなっています。
企業を持続させ、さらに発展させていくためには、「守りのDX(デジタルトランスフォーメーション/以下:DX)」として、情報のセキュリティ対策を講じることが不可欠なのです。
以前DXportal®では、情報漏えいに関する2022年の3大ニュースを紹介し、それを踏まえていくつかの対策について解説しました。
続く今回は、現在も世界中で被害が報告されておりセキュリティの3大脅威ともいえる「ランサムウェア」「DDoS攻撃」「フィッシング」を取り上げます。
これらの脅威の具体例を示すために2022年に起こった重大事案を紹介し、企業側が被害を防ぐために取り得る対策についても解説しますので、どうぞご参考としてください。
目次
拡大し続けるセキュリティ3大脅威
ICTの発展や新型コロナウイルス感染拡大に端を発したテレワークの普及により、社会全体をとりまくデジタル環境が急激に変化する一方で、セキュリティリスクは増加の一途をたどっています。
リスクが高まっている理由の1つとして、今までアナログな働き方をしていた企業やビジネスパーソンもニューノーマルな時代に合わせて、半ば強制的にデジタルを導入しなければならなくなったという点があげられるでしょう。
こうした急速な環境の変化に、日本企業のセキュリティ整備とデジタルで機密情報を扱う従業員のリテラシーが追いついておらず、その隙を狙って外部からの攻撃が増えているのです。
現在、もっとも危険視されているセキュリティリスクとしては、次の3つがあげられます。
- ランサムウェア
- DDoS攻撃
- フィッシング
以下では、それぞれの特徴について解説するとともに、2022年に実際に起こった重大ニュースをご紹介しますので、まずはどのようなリスクが存在するのかを整理していきましょう。
加えて、具体的な対策も解説しますので、これを機会に自社のセキュリティを見直す機会としてください。
ランサムウェア
ランサムウェア(Ransomware)とは、身代金を意味する「Ransom:ランサム」とソフトウェアを組み合わせた造語です。
ランサムウェアは悪意のある攻撃者が外部からウイルスを送る手法であり、感染すると端末内にあるデータに特殊な暗号のロックがかかってしまいます。
このロックを解除しない限り、中のデータにアクセスすることができなくなるため、企業はデータを「人質」に取られたようなもので、例えば重要な顧客情報にロックをかけられた場合、企業にとって死活問題であることは言うまでもありません。
そのため、ロックを解除するために攻撃者から要求された金銭(身代金)を支払わなければならなくなってしまうのです。
ランサムウェアの被害は、ロックをかけられている間は通常の事業活動を継続できなくなるだけではなく、身代金の支払いによる金銭の損失や社会的信用の低下など、二重・三重に被害の影響を被ってしまいます。
ランサムウェア被害例|8万5千人分の患者データが暗号化
2021年10月、徳島県つるぎ町にある町立半田病院は悪意のあるランサムウェアに感染し、電子カルテなどの端末や関連するサーバーのデータが暗号化されてしまいました。
その結果、約8万5千人分の患者データが閲覧できなくなり、救急患者や妊婦の受け入れなどが不可能になり、半田病院は病院としての機能が行なえなくなってしまいます。
これを受けて同病院は、災害級のインシデント対応(サイバー脅威やセキュリティ違反、サイバー攻撃を感知して対応するための組織のプロセスとテクノロジーの構築)を迫られました。
そして、結果的に2ヶ月以上にわたって通常診療ができない状況に陥ったのです。
最終的に同病院は、2か月分の通常診療で得られたはずの報酬を失ったばかりでなく、電子カルテの再構築に2億円近い費用を投じる必要に迫られ、甚大な被害を受ける結果となりました。
また、医療データという極めて重要な個人情報がセキュリティのリスクに晒されていた事実は、通院していた患者に大きな不安を与えたことは間違いなく、この事件により失ってしまった顧客も少なくないでしょう。
同病院がウイルスに感染した原因は、導入しているVPN(Virtual Private Network:仮想専用線)の脆弱性を狙ったランサムウェアによる攻撃であることが判明しています。
取るべき対策|バックアップによる早期復旧
ウイルス感染させて身代金を請求するランサムウェア。この脅威への対策としては、まずは「攻撃を未然に防ぐ対策」を講じることが基本ですが、同時に「侵入された場合を想定して講じる対策」も重要です。
まず、ランサムウェアを未然に防ぐ対策としては、次のような方法が有効と考えられています。
- システムの脆弱性に対応した修正プログラムの適用
- 不正メールの検知
- リモートデスクトップのアクセス範囲を適切に管理
これらはセキュリティの基本対策ではありますが、ランサムウェアはネットワーク内部に侵入し、常にセキュリティの隙を見つけようとしています。
ウイルスが侵入するリスクを最小限に抑えるには、システムを常に最新のプログラムにアップデートしておくことや、不正メールやリモートデスクトップから侵入されないようにルールと権限の厳格な設定と運用など、基本をきちんと行うことが重要です。
攻撃を仕掛ける側の手法やツールも常に新しく生み出されていることを念頭に、常に隙を作らない対策を検討して行くことが求められます。
しかし、いくらこのような「攻撃を未然に防ぐ対策」を行っていたとしても、外部からの侵入を完全に防ぐことができるとは限りません。
これは徹底的に対策を講じているであろう政府機関や世界的な大企業であっても、時として外部からの侵入を許して締まっていることからも明らかです。
そのため、対策を講じたからといって「完全に防ぎ切れる」と考えてしまうのではなく、万が一侵入されてしまった場合の対応策も準備しておくことが重要となります。
特にランサムウェアに感染した場合を想定した対策としては、あらかじめデータのバックアップを取っておくことが極めて有効です。
バックアップがあれば、ランサムウェアの攻撃で重要なデータがロックされたとしても、被害を最小限に抑えることができます。
逆に、バックアップデータが残っていない場合、紙資料などをもとに手作業でデータ復旧するという手段しかないため、膨大な時間と工数がかかってしまい、被害が大きくなってしまうでしょう。
当然ながら、バックアップを行う際は、データを同じネットワークに保存しておいてはいけません。
同じネットワーク内に保存していた場合、ランサムウェアの被害を受けた際に同じネットワークを経由してバックアップも暗号化されてしまう危険性があるからです。
そうならないためには、定期的にハードディスクやUSBメモリなど、ネットワークとは別の環境にバックアップデータを保存しておくといった、元データとバックアップをそれぞれネットワークを共有しない別の環境に保管する必要があります。
ランサムウェアが侵入してしまった場合の対策としては、他にも次のような対策も考えられるでしょう。
- 監視機能による不審な活動を早期検知
- ネットワーク全体の切断
- 被害を受けた端末の隔離と調査
まずはランサムウェアが侵入したという事実をいち早く認識することが、被害を拡大させないためにも大切なポイントであり、そのために不審な挙動をしているプログラムを検知する機能を実装しておくことが重要です。
次にランサムウェアが重要なデータを持ち出したり、データの暗号化を阻止する方法として、強制的にネットワークを遮断してしまえば被害の拡大を阻止できます。
さらに、外部とのネットワークを遮断している間に被害を受けた端末を特定して、隔離と調査を行ったうえで、侵入元のセキュリティ強化と管理者のアカウントパスワード変更などを行い、ネットワークを復旧させてください。
ランサムウェアへの対策は、未然防止策に加えて、侵入された場合を想定したバックアップとすぐに対応できる社内の体制づくりが重要なのです。
DDoS攻撃
DDoS(Distributed Denial of Service/分散型サービス拒否攻撃、以下:DDoS)攻撃とは大量の端末から集中的にWEBサイトにアクセスし、サーバーに過剰な負荷をかける攻撃です。
従来は1台~数台程度のコンピュータから攻撃をするDoS(Denial of Service/サービス拒否攻撃/以下:DoS)攻撃が主流でしたが、IoT(Internet of Things/モノのインターネット/以下:IoT)の普及により、攻撃元を分散かつ大量化することが可能になり、近年ではDDoS攻撃が主流になってきました。
当然ながら、サーバーに過度な負荷がかかると、WEBサイトの閲覧遅延が発生し、場合によってはサイトの利用ができなくなります。ユーザーがサイトを閲覧できない間に発生する損失は多岐にわたってしまいます。
例えば、一般的なサービスサイトを例に考えると以下のような点において損失を招くリスクが考えられるでしょう。
- 販売活動
- 広報活動
- 取引先や消費者からの信頼
また、その手口も巧妙になり、それにより被害は次第に深刻化かつ重大化しています。
例えば、過去には大量の端末から攻撃を仕掛ける被害の事例として、監視カメラや家電等のIoTに悪意のあるプログラムをマルウェア感染させ、感染したIoT 端末を経由して、特定のサーバ等に大規模な DDoS 攻撃を仕掛けるなどの手口が確認されました。
こうした攻撃を仕掛けられると、発信元の特定なども困難になるため、被害状況は複雑になってしなうのです。
DDoS攻撃被害事例|人気ゲームのネットワーク障害
2022年8月、ゲーム業界大手の株式会社スクウェア・エニックスは、同社が展開する人気オンラインゲーム「ファイナルファンタジーXIV」の北米データセンターを対象に、断続的なDDoS攻撃による被害を受けました。
この攻撃により、北米のプレイヤーが一時的にゲームに入れなくなる事態が発生したのです。
幸いにもその時のDDoS攻撃は5分間のみでしたが、その被害はあまりにも大きな痛手を同社にもたらすことになります。
実は、同ゲームはわずか2ヶ月前にもDDoS攻撃の被害を受けたばかりでした。
その上で、同社はそうした被害が繰り返されないように、北米サーバーを拡張する予定だったのですが、半導体などの部品不足のために延期を余儀なくされていたのです。
8月の攻撃は、サーバー拡張の延期が発表された直後に発生したものでした。
そのタイミングと、5分間だけの攻撃ということもあり、8月の攻撃はサーバー強化が遅れていることに反発する、内情に詳しいモノの犯行だと考えられています。
これまでにも同社は、2018年10月より日本、北米、欧州それぞれのデータセンターに対して、世界規模で断続的なDDoS攻撃を受けており、防御機能の強化対策を行ってきました。
しかし、その都度攻撃のパターンが異なっていたことから、攻撃に対して防御が後手に回る結果となっているのです。
被害を受けるたびに一部のユーザーはゲームに接続できなくなったり、サービスが遅延するなどの被害を受けています。
こうした状況が続けばファンの信頼を失いかねないため、DDoS攻撃によりサービスの存続自体が危険にさらされてしまっているのです。
取るべき対策|ツール導入とIPアドレスの制限
不特定多数の端末から一斉にアクセス攻撃をしかけてくるDDoS攻撃。この攻撃から、自社のネットワークや運営するサイトを守るには、いかに事前の対策を行うかが重要です。
- IPアドレスのアクセス制限
- 対策ツールの導入
- DDoS対策サービスを利用
まず1つ目の「IPアドレスのアクセス制限」は特定のIPのみに制限をかける作業であるため、不特定多数のDDoS攻撃に対して高い期待はできません。
しかし、重複するIPが遭った場合やや地域を絞って対策を行えば、被害の規模を小さくすることはできます。
DDoS攻撃を受けないためにより効果が期待できる対策としては、ファイアーウォールの一種であるWAF(Web Application Firewall/以下:WAF)や、IPS(Intrusion Prevention System)などのツールを導入して監視およびアクセス制御を行う方法があります。
また、実際に被害を受けてしまった場合は、自社だけで対応しようとするのではなく、契約しているプロバイダーなどに被害を報告し協力を求めるとともに、速やかにユーザーに対して攻撃による被害と復旧の状況を開示することも、企業の信頼損失を最小限に抑えるためには大切なポイントです。
フィッシング
フィッシングとはオンライン上で個人情報を騙し取る手口の犯罪です。騙し取った情報から不正利用を行うことで、犯罪者は二次的に金品を得ます。
具体的にフィッシング対象となる情報は次の通りです。
- アカウントID
- ユーザーネーム
- パスワード
- ネットバンキング・ATMの暗証番号
- クレジットカード番号
フィッシングの方法としては、企業のWEBサイトをコピーした偽サイトなどを作成したうえで、ユーザーに企業を偽った電子メールやSMS(ショートメール)で案内を送りつけ、コピーサイトに個人情報を入力させる方法が主流です。
2021年11月は48,461件だったフィッシング被害の報告件数ですが、2022年11月には70,204件と、わずか1年の間に激増しています。
これは、近年Eコマースなどの電子商取引が増大したことが原因の1つでしょう。
エンドユーザーの誰もが、ネット上でサービスの契約や商品の購入をすることが日常化した結果、インターネット上に個人情報を入力することへの警戒心が緩んでしまい、被害件数も増大しているのです。
フィッシングの直接的な被害者は企業ではなく、ユーザーですが、自社の名前を使った被害が発生するとブランドイメージの低下を引き起こし、消費者の購買意欲も減少してしまうため、結果的に企業側も被害を受けるリスクがあるでしょう。
またクレジットカードの不正利用により商品が購入された場合は、ユーザーを保護するチャージバックが実行されることで、ユーザー側は支払いを免責されますが、企業側としては売上にならないだけではなく、提供した商品も戻って来ないため、二重の被害を受けてしまうのです。
フィッシング被害事例|悪用されたブランド件数が急増
フィッシングに悪用されたブランド数は2022年3月〜6月において、報告されているだけでも毎月100件を超える状況になっています。
フィッシング対策協議会の月次報告書「フィッシング報告状況」の2022年11月版によると、被害件数が最も多かったブランドはEコマース大手である「Amazon」であり、全体の36.5 %を占めていました。
分野別の割合でもECサイト系が全体の40.1%を占めており、ECサイトの利用が増加している状況を悪用して、ユーザーを狙う犯行が増えていることが分かります。
犯行の手口としては宅配便関連の不在通知を装うSMSから、本物のECサイトを模倣したフィッシングサイトへ誘導するもの、実在するサービスのドメインを使用したなりすましメールまで、様々な手口が確認されています。
取るべき対策|ユーザーへの継続的な注意喚起
前述のように、フィッシングの被害を最初に受けるのはユーザー側ですが、企業側にも事前の対策と注意喚起を行う責任があるのは間違いありません。
企業側が行うべき対策として、考えられるのは次の主に3点です。
- すべてのページにサーバー証明書を導入する
- 複数要素認証を要求する仕組みの導入する
- フィッシング詐欺について利用者に注意喚起をする
企業はユーザーが自社のサイトへ訪れた際に、本物のサイトであることを証明するための証明書の導入や、ログインや決済をする際には複数要素認証をするように対策を行うことで、被害を少なくできるでしょう。
またユーザーに対しても次のような点に関する注意喚起を積極的に行うことで、被害の防止に大きな効果をもたらします。
- 公式のURLやアプリケーションを利用する
- なりすましSMSやメールに注意する
- パソコンやモバイル端末を安全に保つ
こうした点をユーザーに対して注意喚起することで、少しでも被害に受けるユーザーを減らすことができ、ひいては企業の信頼を損なう機会を減らすことにも繋がるでしょう。
フィッシングは次々と巧妙な手口で仕掛けてきます。
企業は常に最新の手口を把握して自社における対策と、ユーザーに対する注意喚起を促すことが重要なのです。
まとめ
年々拡大しているセキュリティリスクの中から、3大脅威についての事例と対策について解説してまいりました。
世界規模でDXが進められデジタル環境が変化していく現代。生活の利便性が日々向上する一方で、セキュリティのリスクと被害は拡大するばかりです。
被害を最小限に食い止めるためには、事前の対策やルールなどの仕組みづくりが大切になるでしょう。
しかし、残念ながらセキュリティリスクを完全に無くすことは現実的ではありません。
そのため、常に被害を受けたことを想定した対策を検討していく必要があるのです。
また、被害を受けた際には、貴社だけで解決するのではなく、政府や警察の専門機関やセキュリティ対策に強い企業に相談して、被害の拡大を阻止できる対応力も必要になります。
今回の記事で少しでも危機感を感じていただけたら、甚大な被害が出る前に、貴社のセキュリティ対策について今一度見直してみてください。