日々の生活とインターネットが密着に結びついた現代。その技術・便利さは日々向上していますが、それと同じく高まっているのがサイバー攻撃によるリスクです。ランサムウェアによる業務妨害や、去年1年間だけでも約50億件にのぼる情報流出、最近だと仮想通貨のマイニングを目的とした乗っ取りなど直接金融資産につながるサイバー攻撃が増えているのも特徴的です。
そこで今回は大切な情報・金融資産を守るためにどうすれば良いのかということを、2017年に実際に起きた事例を振り返りつつ見ていきたいと思います。
目次
1.サイバー攻撃とはそもそも何?
2.攻撃者の目的を知る。
3.「~~だから大丈夫」は禁句
4.感染経路を知る
5.後になって気付く。第三者からの連絡。
6.100%の安全などない。常に最新の情報を求めよ。
サイバー攻撃とはそもそも何?
サイバー攻撃の近年の動向からその対策を探っていくためにはまず、サイバー攻撃とは何か、というところから始めなくてはなりません。
サイバー攻撃とは、簡単に言うとコンピュータ等の情報資産に侵入し、さまざまな被害をもたらす行為の総称です。
企業・個人を問わず無差別的に行われるものからメールやフィッシングサイトなどを用いて特定の相手を狙うものまでその実態も多様ですが、その全体の被害として1番大きいのは、さまざまな情報にアクセスするためには欠かせないID情報やパスワード情報の窃取となっています。
ただこれはあくまでも1番多いのがIDやパスワードであるというだけで、現代のコンピュータには本当に大量の情報データが蓄積されており、そのすべてが窃取の対象になると考えておいた方が良いでしょう。
例えば年賀状をプリントしようと住所のデータを読み込ませただけでもかなりの個人情報をコンピュータに記憶させた事になりますし、携帯電話に入っている電話帳などは媒体が携帯電話とはなりますが、個人情報の最たるもの。
このように私たちは日頃から大量の個人情報を扱っているという自覚を持たなくてはなりません。
この自覚がないと自身の機器に対するセキュリティ意識が希薄になり、最終的には自分だけでなく他人にまで被害を拡散させてしまうことになりかねないからです。
インターネットがまだなかった時代には、すべての情報は紙の上に記録されていたので、書類を保管している場所に鍵をかけておけば十分でした。
しかし現代ではインターネット上に大量の情報が流布し、どこからでも柔軟にアクセスしやすくなった反面、それを利用する悪意を持った手法も複雑に高度化してきています。
対策を立てておかなければ情報窃取の被害者になることはもちろん、気付かぬ内に間接的なサイバー攻撃の加害者にまでなる可能性を秘めている現代。自分の抱えている情報資産の価値をきちんと把握し、それを守るための知識を学ぶという姿勢こそが重要です。
攻撃者の目的を知る。
彼を知り己を知れば百戦危うからず、という言葉がありますが、サイバー攻撃の具体事例を見ていく前に、まずはサイバー攻撃を仕掛ける側の目的を見ていきましょう。
サイバー攻撃というと情報の窃取くらいしか目的(被害)として思いつかないかも知れませんが、サイバー攻撃自体は現代のように価値の高い情報がインターネット上に流れ始める以前より存在していました。
ただ、当時行われていたサイバー攻撃は自分の技術を誇示することを目的とした、ある種愉快犯的な攻撃が多かったため、情報の有無や価値にはそこまで重きを置く必要がなかったと言えます。
しかしその後、コンピュータやインターネットに価値の高い情報が残るようになると、その情報そのものの窃取に意味のあるような情報がターゲットにされ始めました。
そして時代の変化とともに情報がたくさんのものと結びつくようになると、価値あるものにアクセスするための情報の価値も高まってきました。
その代表例が先ほど挙げたIDやパスワードです。金融機関のログイン情報を抜き取る事ができれば、そこの管理権限と保管されている金融資産をそのまま抱える事が出来ますから。
この動きと並行して、金融資産に直結するサイバー攻撃も増えてきました。
コンピュータ内の情報にロックをかけそれを人(物)質とし、ロック解除と引き換えに金融資産を要求するランサムウェアに代表される身代金型の攻撃が有名です。
また最近では仮想通貨の高騰や匿名のまま送金できる点などが着目されて、マイニングをするための演算機能を乗っ取ることを目的とした攻撃も流行しています。
直接的に自分の持っている情報が流出したり金融資産をとられてしたりしてしまうわけではないので一見何も被害はなさそうですが、しかしこれも計算資源のリソースが奪われていることには変わりません。
特に何もしていないのにCPUの使用率が上がったりファンが回り続けたり等の症状も出てくるので、コンピュータ自体に与える影響も無視できないものとなっています。
このように、近年のサイバー攻撃の特徴としては、金融資産が目的のものが増えてきていると言えるでしょう。
自己顕示欲、自己満足から始まったサイバー攻撃は秘匿性の高い情報の窃取が目的の時代を経て、直接金融資産にアクセスできるような情報の窃取を目的とした攻撃の時代になっているのです。
「~~だから大丈夫」は禁句
自己の技術を誇示するための攻撃に始まり、そのものに価値のある情報の窃取の時代を経て現代では金融資産を目的にしたサイバー攻撃がトレンドであることは前章で確認した通りです。
しかしそのいずれの時代においても、明確なターゲットをどこかに設定しての攻撃が主流であることに変わりはありません。
となると、サイバー攻撃を仕掛ける側からすれば、少なくともターゲットには「自分がターゲットにされている」ということがばれないように準備を含めた攻撃を進めていく必要があります。
そのため、「自分は誰ともメールアドレスの交換をしていないから大丈夫」「セキュリティソフトの導入などを通して対策しているから大丈夫」というような言い訳は通用しないことは自明です。
なぜなら攻撃を仕掛けるハッカーはそんな事は織り込み済みで動いているでしょうし、その上で隠密にかつ慎重に攻撃計画を練っているからです。
このようにターゲットを明確に設定した攻撃、と聞くとそれだけである種の安心感を覚えてしまうのが、中小企業や個人を始めとする、大企業や有名人に比べれば知名度を持たない人々です。
それは「知名度の低い私たちのような人間の管理するコンピュータをわざわざ標的にすることはないだろう」と高を括ってしまうからという理由なのですが、しかしこれは明らかな誤りです。
「Zone-H」というサイトを見てみましょう。このサイトは、サイバー攻撃を受けてホームページが改ざんさせられてしまった企業や個人の情報を発見次第随時更新、そしてそれらを蓄積している情報サイトです。
実際に見てみるとJPドメインだけでも毎日数件の攻撃事例が報告されており、さらに驚くべきことにそこには中小企業の攻撃事例も多く存在している事がわかります。
サイバー攻撃には知名度や規模は関係なく、自身もサイバー攻撃の標的となりうる、ということを実感していただけるのではないでしょうか。
繰り返しになりますが、どんな根拠に基づいているにせよ「自分はサイバー攻撃の標的にはされないし被害にあうことはない」というのは思い込みに過ぎません。
誰であってもサイバー攻撃の被害にあう可能性はゼロではないのです。そしてそれを防ぐために必要なのは日進月歩で進んでいくセキュリティの世界を絶えず覗き、自分の情報を更新し続けること。
1番初めにセキュリティ体制を構築したからといってそこで安心してしまうのは、責任の放棄と同義です。
特にこの記事のメイン読者層である中小企業のセキュリティ担当の皆さまにおいてはこの事を忘れず、情報・金融を問わず会社の多くの資産の安全を自分が握っているのだということを肝に命じて、常に自社の環境がどうなっているかの確認を怠らないようにしましょう。
感染経路を知る
これまではサイバー攻撃全体の話を見てきましたが、ここからは「企業の内部統制であるところのコンピュータの安全をいかに期し、情報の漏洩を避けるためにはどうすれば良いのか」という点を、感染経路という観点からお話ししていきたいと思います。
実際に起こりうる感染経路の実態を知ることで、自社のセキュリティ環境の確認に役立てていただければ幸いです。
なお、本来のサイバー攻撃とは「ウェブサイトへのハッキング」「マルウェア」「フィッシングサイトからの窃取」など悪意のある行動の総称を指しますが、本稿においては攻撃と感染を細かく分類することなくまとめて話を進めていきます。
メール経由での感染
現在確認されているサイバー攻撃の中で最も使用される頻度が高いのは、標的型メールを用いたものです。
個人を標的にしたものなら「~万円当選しました」などのような文言でフィッシングサイトのURLに誘導するものや、個人名を騙ったメールにマルウェアを忍ばせたファイルを添付させ開封させることで感染させる、等の手口が見られます。
企業向けの標的型メールに関しては更に巧妙になり、実際に企業内に在籍する個人の名を騙ったメールを個人に向けて送りつけるものもあります。中でもCEOやCFOという重役の名前はよく使われています。
こうした標的型メールでは実在の人物を名乗ることが多いため、「こうした攻撃事例がある」ということを全社に周知し、少しでも違和感があればアクションを起こす前に直接確認する、といった行動が対策として求められます。
ちなみに筆者が、ある企業で標的型メールに対する意識の向上を図るために抜き打ちで全社員に標的型メールを送る実験をしたところ、8割近くが被害にあう可能性がある、という結果が得られたことがあります。
標的型メールによる被害を防ぐにはとにかく、こうしたものがあるということを知識として持っておくことが重要です。
フィッシングサイト経由での感染
日々の業務の中で情報収集の為にさまざまなウェブサイトにアクセスする、ということはよくあることだと思います。
しかしウェブサイトは、すべてが安全であるわけではありません。実際に過去には官公庁のホームページがウイルスに感染していたという事例も存在しています。
また、ネットバンキングのページが改ざんされていて、その状態で入力した口座のIDとパスワードがそのまま流出してしまった、という事例もあります。
このフィッシングサイト経由での感染を防ぐには、そのサイトが何らかの攻撃を受けていないか、ということを見抜くことが必要になります。具体的には「ドメインが正しいか」「正しく暗号化されているか」「日ごろと比べ違和感がないか」という箇所をチェックする癖を付けておくことが大切です。
ただし、そのサイトの元であるサーバ自体が感染してしまっている場合には、正直どうしようもありません。「普段はオートログインなのになぜか再ログインを要求された」「ページの遷移がおかしい」など細かいところから攻撃の有無を確認していかなければならないからです。
こうなってしまってはプロでも対策は困難になるのですが、こうした事例がある、という知識だけは身に付けておくようにしましょう。
物理媒体経由の感染
ネットワークにつながっていないコンピュータであっても、サイバー攻撃を仕掛けることは可能です。
それは感染させた記憶メモリなどの物理媒体で共有させていく、というものです。
この手法が猛威をふるったのは2000年代後半、USBなどポータブル機器が多く使われていた頃でした。ネットワークにつながっていないコンピュータは感染リスクも少ないはず、という思い込みからセキュリティソフトを導入していない場合も多く、ウイルスが検知されないので感染そのものにすら気付かないという事態も多発し、被害が拡大していったのです。
現代でも割合こそ少なくなってきているものの、未だに現役で用いられている手法です。
対策としてはこうした外部から持ち込まれた信用できないデバイスは安易に使わないことが挙げられます。またこうした知識を社員同士で共有していくことも同様に大切です。
ネットワーク共有経由の感染
外部ネットワークに接続していない会社のイントラネットなら感染の心配はない、と考えている人は多いでしょう。
しかしこれは前章同様、感染させた物理媒体を使用することで可能です。
また、もちろん1台が感染してしまうとイントラネットを通じて他のコンピュータにも感染が拡大するので、前章のネットワークにつながっていない単体のコンピュータよりも厄介な被害をもたらします。
実際に2017年に流行したWannaCryというビットコインを要求するランサムウェアは、この社内イントラネットを介して大流行、世界中の大企業や公的機関を混乱に陥れました。
このときには感染の原因の1つがOSの脆弱性にあったことから、OS提供側が対策パッチを配布していたのですが、このパッチを適用しない会社が多くあったことも感染の拡大に拍車をかけた理由の1つです。
対策としては外部に接続していないコンピュータに対してもセキュリティソフトを導入するのはもちろんのこと、常に最新の状態を維持し続ける、ということが必要になります。
後になって気付く。第三者からの連絡。
自社が攻撃の被害を受けているということに気付くのは、何も自社に被害が出てからだけではありません。
中には取引先に感染済みのデータを納品してしまい、それを受けた取引先が教えてくれたことでようやく攻撃を受けていたことに気付く、という大変不名誉な事例も存在しています。
また、ネット上でホームページの改ざんなどの攻撃被害を第三者が確認し、その報告を受けたIPA等の団体から連絡をもらい被害に気付く、ということも多々あります。
被害が自社内で完結しているのならまだしもそれが第三者にまで拡大しているとなると、信頼関係にヒビが入ってしまうのも心配です。極端な話、情報漏洩の恐れがあるわけですから、取引先からすれば今後の取引自体にも慎重になるかも知れません。
そのような状況で大切なのが、その被害をきちんと分析し、今後に向けた対策を立てていくことです。
前述の通り、サイバー攻撃とセキュリティはイタチごっこの関係で、100%防げるものではありません。
となると、肝心なのは攻撃を受けた後の第一歩目をいかにすばやく効果的に踏み出せるか。
そのためにも自社のセキュリティ体制の確認・更新に加え、有事の際のプライバシーポリシーの策定・見直しを進めていきましょう。
100%の安全などない。常に最新の情報を求めよ。
ここ最近で明らかに被害が多くなっているのが、先ほども触れたマイニング被害です。
このように近年、被害者にすら気が付かせない静かな攻撃というものが増えてきています。
マイニング被害への対策は、とにかく少しでも違和感があればその原因まできちんと突き止めるということ。
コンピュータの挙動が普段と違うなどあればそこには必ず原因が存在しています。その原因をとことん追求し、根底にあるものが悪意によるものなのかどうかを見極めることがセキュリティ担当者として求められている事です。
そのためには、常にセキュリティの世界に触れ、「どのような攻撃があるのか」「どのような対策があるのか」という情報を収集し続けることが必要です。
社会におけるITの役割が大きくなっていくのに比例して、増えていく資産を守る者としてのセキュリティ担当者の重要性は今後も確実に増えていきます。自分の担っている役目をきちんと自覚し、それに見合うようなセキュリティ担当者になっていきましょう。