企業で実施すべきサイバー攻撃への対策とは？手口や具体的な対策方法を解説

キーワード：

• セキュリティ
• システム

ビジネスシーンでの実務や生活のなかで、インターネットはなくてはならないものになっています。

インターネットでの利便性が高くなった反面、金銭盗取や個人情報の搾取などを狙ったサイバー攻撃が増加しています。

そのため、自身のデバイスがサイバー攻撃を受けてしまった場合、対策を講じていないと甚大な被害が発生することもあります。

サイバー攻撃はどのような方法で対策できるのでしょうか。本記事ではサイバー攻撃の具体的な手口やサイバー攻撃対策、実際に起きた被害事例をご紹介します。

サイバー攻撃とはインターネットやデジタル機器を使って、個人や組織を対象におこなわれるインターネット上での攻撃を指します。具体的にはデータの改ざん・流出・無効化や、システムの破壊が当てはまります。

サイバー攻撃は国家や企業・団体だけでなく、個人のユーザーに対しても行われることがあります。

パソコンやスマートフォンなどのデジタル機器を使用している全てのユーザーが、被害を受ける可能性があるのです。

サイバー攻撃の目的

サイバー攻撃の主な目的としては金銭盗取や個人情報の搾取、システム機能の停止、データの破損・改ざんなどが挙げられます。

情報のデータ化が進むなかで、企業が保有する顧客情報や機密情報をインターネット上で管理するケースが多くなりました。

インターネット上で情報を管理できるようになった結果、事業活動をより柔軟に行えるようになった反面、サイバー攻撃に狙われる可能性が高まっている状況です。

近年では、サイバー攻撃の規模や対象範囲がますます拡大しており、AIやIT技術の進化にともない、その手口も巧妙化しています。

サイバー攻撃対策の重要性

サイバー攻撃は、不正アクセスした企業だけでなく、そこから関連企業や関連ユーザーの情報を抜き出し、新たな攻撃対象として設定するなど、攻撃範囲を広げていくケースも増えています。

サイバー攻撃の被害を受け、システムが停止する、あるいは個人情報や機密情報が流出した場合、事業活動がストップするだけでなく、企業として社会的信用を失う事態にも発展しかねません。

一方で、激しい変化への対応を求められる現代において、インターネットを駆使した事業活動は、市場の動向を迅速に把握し、サービスの質を高めるうえでも欠かせない要素といえるでしょう。

だからこそ、企業が経営の効率化とリスクマネジメントを両立するうえで、サイバー攻撃への対策が求められているのです。

サイバー攻撃による顧客情報や機密情報の流出は、企業として安全性や信頼を保つためにも対策が必要な課題です。

しかし、十分に対策をしていても思わぬところからサイバー攻撃を受けることがあります。

サイバー攻撃をされても、情報漏洩が起きないようにするにはどのような対策を行えば良いのでしょうか。

サイバー攻撃にはいくつか種類があるため、悪徳な組織や個人が、どのような手口でサイバー攻撃をおこなっているのか理解しておきましょう。

標的型攻撃

標的型攻撃とは、機密情報の窃取などを目的に、特定の組織やユーザーを狙って行われる攻撃手法の1つです。

例えば、企業の従業員の知り合いや取引先になりすましてメールを送り、その中にマルウェア（有害なソフトウェア）の感染トリガーとなる添付ファイルやURLを仕込むことで、従業員が自発的にマルウェアに感染するように誘導する手口などが挙げられます。

また、組織内で実際に使われる役名や業務に関連する内容を送ってくるなど、作戦を練ったうえでサイバー攻撃が実行されます。

そのため、URLリンクなどが送られてきた際は、以下の内容を確認しましょう。

特に添付ファイル名が英数字のみで構成されている、リンクテキストに付与されているURLがテキストと違う、あるいは短縮化されている場合は注意しましょう。

ランサムウェア

ランサムウェア（Ransomware）とは、身代金（Ransom）とソフトウェア（Software）を組み合わせた造語で、データの暗号化を通じてターゲットに金銭を要求するマルウェアです。具体的にはマルウェアに感染したデバイス内のデータを暗号化し、利用不可能な状態にする手口を指します。

また、盗取したデータを公開すると脅迫を重ねられるダブルエクストーション（二重の脅迫）をされる可能性もあります。

従来のランサムウェアは、Webページや拡散型のメールを感染トリガーにし、不特定多数のターゲットに対して攻撃を行うことが一般的でした。

しかし、近年は組織をターゲットにランサムウェア攻撃を仕掛けるケースも出てきており、一度組織のネットワークへの侵入を許すと、ネットワーク内の端末を一斉に攻撃し、広範囲の業務がストップする可能性があります。

ランサムウェアによる攻撃では、身代金を支払ってもデータが元に戻る保証はないため、ウイルス対策ソフトの導入や適切なインシデント対策を立てるなど、事前の備えが重要です。

Emotet(エモテット)

Emotet（エモテット）とは、スパムメールやフィッシング詐欺などの配信を経路とするトロイの木馬型（無害なプログラムを偽装する形式）のサイバー攻撃です。具体的にはExcelなどのマクロ付きファイル、Zipファイル、不正リンクなどを起点に外部から不正なファイルをダウンロードさせ、感染させる手法を指します。

ユーザーがEmotetの被害を受けやすい背景には、主に2つの理由があります。

さらにメールの件名や本文にも違和感がない場合も多いため、マクロの自動実行を拒否する設定をするなどの対策に加え、不審なファイルやリンクは開かないという従業員の意識変革も大切になるでしょう。

水飲み場型攻撃

水飲み場型攻撃とは、ターゲットが頻繁にアクセスするWebサイトに不正プログラムを仕込み、アクセスするまで待ち伏せする手口のサイバー攻撃です。

例えば、ユーザーがよく閲覧しているWebサイトを絞り込み、セキュリティの脆弱性について調査をおこなって改ざんできそうなWebサイトを特定します。特定したWebサイトに不正プログラムを仕込み、JavaScriptやHTMLのリダイレクト設定によって別のサイトに誘導することで、Webサーバーやソフトウェアの脆弱性を突き、Webアプリケーションの脆弱性を悪用して感染させます。あるいは改ざんしたWebページにアクセスしたIPアドレスを分析し、組織と特定してマルウェアを拡散するケースもあります。

水飲み場攻撃の被害に合わないためには、アプリケーションを最新状態に保つ、対策ソフトを導入する、加えて、不審なサイトにアクセスしないことも大切です。

サプライチェーン攻撃

サプライチェーン攻撃とは、企業の関連会社や取引先を経由してターゲットの企業へ侵入する、あるいはソフトウェアの開発過程でバックドアやアップデートプログラムなどを仕込むことでソフトウェアの利用ユーザーを攻撃する手口のことです。

サプライチェーン攻撃は、被害を受ける組織がセキュリティ対策を取っていた場合でも、外部の脆弱性を利用して攻撃を仕掛けてくるため、検知しにくいという特徴があります。

サプライチェーン攻撃の対策としては、関連会社や取引先のリスク分析を行う、ソフトウェアのセキュリティ検証やアクセス制御を実施するなどが挙げられます。

サイバー攻撃には、標的型攻撃やランサムウェアなど、特定の組織や個人に絞り込むサイバー攻撃の他に、OSやソフトウェア、Webサイトの脆弱性を狙った攻撃もあります。

サイトの脆弱性を狙ったサイバー攻撃の手口をご紹介します。

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアなどの脆弱性が発見されてから、情報公開や修正プログラムが発表されるまでに、その脆弱性を狙う攻撃のことを指します。

特にソフトウェアのアップデート時には脆弱性が発生しやすく、ゼロデイ攻撃が増加する傾向にあるため注意が必要です。

またソフトウェアの脆弱性は珍しいものではなく、その都度修正プログラムが公開されています。修正プログラムが公開されたらできる限り早く適用し、攻撃から身を守りましょう。

SQLインジェクション

SQLインジェクションとは、検索ボックスや入力フォームなどに記入する文字列に不正な操作を行うSQL文を意図的に入れることで、個人情報や機密情報を引き出すサイバー攻撃です。

原因としては、使用しているWebアプリケーションが不正アクセスの意図があると知らず、外部から送信されたSQL文章を誤解してしまうことにあります。

サイバー攻撃にはさまざまな手口があり、注意していても隙を突いて感染する可能性もあるため、対策が難しいこともあります。

しかし、企業は顧客や取引先からの信頼を失わないためにサイバー攻撃対策が必要です。

本記事では企業がサイバー攻撃から情報を守るための対策方法の種類をご紹介します。

OSやソフトウェアを最新に保つ

サイバー攻撃対策をおこなう際は、パソコンやスマートフォンなどのデバイスのOSやソフトウェアを最新の状態にしておきましょう。

OSやソフトウェアが最新でない場合は、デバイスを利用しているうちに脆弱性が発生しやすくなります。

例えば、古いOSのデバイスはセキュリティ的な問題を抱えているケースが多いため、サイバー攻撃の対象として選ばれやすくなります。

また、サイバー攻撃には、システムの脆弱性が発覚する前や修正される前を狙うゼロデイ攻撃もあります。

そのため、常にOSやソフトウェアを最新の状態に保ち、サイバー攻撃の対策を取ることが重要です。

従業員への啓蒙活動

企業のサイバー攻撃対策として、従業員一人ひとりが正しい知識を持っておくことも重要です。

ITリテラシーの低い社員は、サイバー攻撃対策に対する知識が多くありません。そのため、なりすましメールや不正アクセスなどのサイバー攻撃に引っかかりやすく、サイバー攻撃に気が付かない場合もあります。

社内でサイバー攻撃対策に対する意識を高めるために、定期的なセキュリティ対策の教育や研修をおこないましょう。サイバー攻撃の過去の被害例や最新の手口を把握しておくことが、サイバー攻撃対策になります。

EDR製品の導入

サイバー攻撃対策をおこなう際は、EDR製品の導入も効果があります。

EDR（Endpoint Detection and Response）とはエンドポイントセキュリティ対策の種類のひとつです。パソコンやスマートフォン、タブレットなどのネットワークに接続されているエンドポイントの操作や監視をおこない、サイバー攻撃を受けたことを発見次第、応急措置を取るソフトウェアのことを指します。

EDR製品は攻撃を受けることを前提に対策されており、マルチウェアの検知をスムーズにおこない、被害を最小限に抑えることが可能です。

EDR製品にはネットワーク全体の各エンドポイントをリアルタイムで監視できる機能や、エンドポイントのログデータを解析し、サイバー攻撃の兆候を検知できる機能などさまざまです。あります。

製品によって機能が異なるため導入する際は、サイバー攻撃対策やセキュリティ目的にあったものを選びましょう。

パスワードポリシーの強化

サイバー攻撃対策にはパスワードポリシーの強化も有効的です。

システムやアカウントにログインするために、必要なパスワードを大文字と小文字が混載する英字、数字や記号を組み合わせた桁数の長いものに設定しましょう。

簡易的なパスワードの場合は、サイバー攻撃を受けた際に破られやすいです。万が一パスワードが漏洩すると機密情報や顧客の個人情報が流出してしまうため、複雑なパスワードに決める必要があります。

また、サイバー攻撃対策のためにも、IDやパスワードは厳重に管理をするようにしましょう。パスワードは使い回ししないなど、パスワードポリシーの強化を意識し、社内で共有することでサイバー攻撃から企業を守ることができます。

シャドーITの制限

シャドーITとは、企業のIT管理者が把握していないところで、使用許可がないITサービスやデバイスが無断使用されることを指します。

例えば、プライベートで活用しているアプリケーションを利用して業務連絡を取ることや、個人のUSBメモリで業務データを家に持ち帰ることなどが、シャドーITにあたる行為です。

シャドーITは、機密情報や顧客情報の漏洩やウイルス感染、アカウント乗っ取りによって会話やデータが盗まれるなどのセキュリティ対策面でのリスクが発生します。

業務の生産性を落とさないためにも、シャドーITの制限について社内での対策ルールを明確にしておきましょう。

ファイアウォールの設置

ファイアウォールとは、ネットワークの通信において情報の出入り口に設置し、外部から内部の不正な侵入を遮断するセキュリティ対策装置のことです。そのほか、内部から外部への不正なアクセスを禁止にすることで、ネットワークやデバイスを保護することも可能になります。

ファイアウォールは許可された通信以外を遮断するため、許可した部分のみに注意を払えば不正アクセスを防ぐことが可能です。

またファイアウォールには、通信制御ができるパケットフィルタ型と内部コンピュータの代わりに通信をおこなう中断役を担うゲートウェイ型があります。

サイバー攻撃対策のセキュリティを強めたい部分に適応したファイアウォールを選びましょう。

IPS・IDS製品の導入

IPS（Instruction Prevetion System）とは不正侵入防止システムと呼ばれ、ネットワーク上の通信を監視して不正なアクセスをブロックする対策機能です。

一方、IDS（Instruction Detection System）とは不正侵入検知システムと呼ばれ、不正アクセスや兆候を検知して管理者に知らせる対策機能を持っています。

サイバー攻撃によってウイルスに感染すると、復旧作業に手間や時間がかかるため、IPS・IDS製品の導入によってサイバー攻撃を未然に防止できるでしょう。

URLフィルタリングの設定

URLフィルタリングとは、あらかじめ設定しておいた閲覧サイトのルールをもとにアクセス可能か判断する仕組みです。

不適切なサイトをリスト化しておけば、そのURLサイトにアクセスしようとすると通信が遮断されます。

URLフィルタリングの設定は、情報漏洩などのサイバー攻撃対策において、非常に重要な対策機能です。

VPNの設置

VPN（Virtual Private Network）とは、インターネット接続とオンラインのプライバシーを保護する仕組みです。

特定のユーザーのみで利用できる仮想ネットワークを構築して、通信内容を暗号化します。

また、データ送信者と受信者の間に暗号化された通路があるため、データを盗み見られる心配がありません。

VPNを設置することで、テレワークなどでも社外から社内のネットワークに安全にアクセスすることができるでしょう。

サイバー攻撃のターゲットとされるのは個人のユーザーだけでなく、特定の組織や集団、不特定多数のユーザーなどさまざまです。

日本企業で起きたサイバー攻撃による被害事例を確認し、サイバー攻撃対策の参考にしてみてください。

金融業/A社の被害事例

金融業のA社では、外部からの不正アクセスにより、企業で抱えている個人情報が漏洩しました。

従業員が不審なメールを開封した際に、パソコンがマルウェアに感染し、ネットワーク内の複数のフォルダから個人情報が流出したとされています。

サイバー攻撃に備えたセキュリティ対策をおこなっていることに安心せず、人的ミスを誘うような手口に注意しましょう。

小売業/B社の被害事例

小売業のB社では、同社が運営するオンラインサイトが外部から不正アクセスに遭い、サービス利用者の個人情報の一部が流出しました。

小売業のオンラインサイトなどは、ユーザーのクレジットカード情報などを使用するため、サイバー攻撃の標的にされやすい傾向にあります。通信の暗号化などの対策をおこない、情報漏洩がおきないような対策を徹底しましょう。

本記事ではサイバー攻撃の種類やサイバー攻撃対策の種類、被害事例について解説しました。

近年はパソコンやスマートフォンなどのデジタル機器の普及で利便性が向上している一方、サイバー攻撃を受ける可能性が高まっています。

企業はサイバー攻撃対策や従業員の教育をおこない、信頼性を損なわないようにすることが重要です。

もしサイバー攻撃対策等をご検討中であればHiPro Bizにご連絡ください。HiPro Bizでは、実績のある専門家であるプロ人材を紹介し、サイバー攻撃対策のお手伝いをします。