このサイトは日本政府公式Webサイトです
最近のサイバー攻撃の傾向
企業を狙ったサイバー攻撃はその手口が日々巧妙化しています。一方、中小企業・小規模事業者の対策はまだまだ十分といえる状況にはありません。そこで今回は、サイバー攻撃の最近の傾向と中小企業・小規模事業者でもすぐに実行できるセキュリティ対策を独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンター 普及グループのリーダーである横山尚人氏に伺いました。
※本記事は、2017年11月17日時点の取材をもとに執筆・掲載しています。
最近、サイバー攻撃は巧妙化かつ悪質化しています。IPAでは毎年、その前年に発生し社会的影響が大きかったセキュリティ上の脅威を「情報セキュリティ10大脅威」としてランキング形式で発表しています。今年発表した「情報セキュリティ10大脅威2017」では、企業にとっての脅威として第1位に「標的型攻撃」、第2位に「ランサムウェア」が挙がっています。
標的型攻撃
標的型攻撃は、特定の組織・企業をターゲットにウィルス付きの攻撃メールを送信したり、ウィルス感染を狙ったウェブサイトに誘導したりして、ウィルス感染させることで標的組織のネットワーク内に侵入し、重要情報の窃取などを行うサイバー攻撃です。
特に多く確認されている手口の1つとして、実在する取引先企業など標的組織・企業の関係者と偽って業務を装ったウィルス付きの攻撃メールを送りつけてくるものがあります。
ランサムウェア
ランサムウェアは、身代金(ランサム)を要求する不正プログラムです。
ランサムウェアに感染してしまうと、不正プログラムによってパソコン(PC)がロックされたり、PCの中のファイルが勝手に暗号化されたりして開けなくされてしまいます。そして、それらの復旧と引き換えに攻撃者から身代金を要求されます。
ランサムウェアの主な感染経路は、メールやウェブサイトです。送られてきたメールに添付されたファイルを開いて感染させられたり、メールに記載されたリンクにアクセスすることでウィルス感染を狙ったウェブサイトに誘導され感染させられたりしてしまいます。
特定の企業を標的とする標的型攻撃の手口は日々巧妙化している
標的型攻撃およびランサムウェアといったサイバー攻撃を受けると、どのような被害に遭ってしまうのでしょうか?
まず、標的型攻撃ですが、PCやサーバーにある従業員や顧客の個人情報、また事業や技術などに関する情報といった企業の機密情報が盗まれてしまいます。
また、ランサムウェアでは、PCがロックされたりファイルが暗号化されたりすることにより、業務を停止させられ、さらには事業自体を継続できないまでに追い込まれてしまうリスクがあります。
ランサムウェアの攻撃では、仮に身代金を払ったとしてもPCのロックやファイルの暗号化を解除してもらえる保証はないので厄介です。
ランサムウェアの攻撃では身代金要求の被害に遭う
このような機密情報の漏洩や事業を継続できないような被害に遭えば、被害状況の調査や復旧、場合によってはシステム改修のためにコストが発生してしまいます。また、顧客や取引先企業からの信用を損なって取引停止となってしまう危険性もあります。最悪の場合、損害賠償や訴訟に発展するかもしれません。経営を圧迫するほどの被害になり得る可能性があることを認識して、対策を検討していきましょう。
手口が巧妙化するサイバー攻撃ですが、それに対する中小企業のセキュリティ意識は高いとはいえない状況です。IPAの「2016年度 中小企業における情報セキュリティ対策の実態調査」報告書によると、「貴社の情報セキュリティ対策は十分だと思いますか」という設問に対して「対策は十分と判断」するのは小規模企業で36.1%、100人以下の中小企業で41.9%、101人以上の中小企業で52.2%でした。サイバー攻撃への対策ができている中小企業はまだまだ少ないと言えます。
「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書からも、
中小企業・小規模事業者のサイバー攻撃対策はまだまだ十分と言えない状況
クリックすると拡大します
情報セキュリティ対策が十分といえない中小・小規模企業の中でも、何からやればいいのかわからないような企業に対して、IPAでは以下の「情報セキュリティ5か条」を提唱しています。
- (1)OSやソフトウェアは常に最新の状態にしよう!
- (2)ウィルス対策ソフトを導入しよう!
- (3)パスワードを強化しよう!
- (4)共有設定を見直そう!
- (5)脅威や攻撃の手口を知ろう!
この5か条のうち(1)OSやソフトウェアの常時アップデートと、(2)ウィルス対策ソフトの導入によりかなり被害を防げるとされています。さらに(3)パスワードを推測されにくい複雑なものに設定し、(4)データやネットワークへのアクセス権限を設け、(5)サイバー攻撃の傾向や手口について情報収集することでサイバー攻撃への初歩的な対策がひと通り行えます。
また、5か条とともにバックアップデータの作成もサイバーセキュリティには重要です。特にランサムウェア対策として有効で、PCやネットワークと切り離した形で常にバックアップを取ることが重要です。
5か条の対策ができたら、次の段階として「5分でできる!情報セキュリティ自社診断」を使って組織全体としてのセキュリティ対策状況を把握して必要な対策を実行します。さらに次の段階として、自社の情報資産を洗い出してリスク分析を行い、その対策をまとめた自社のセキュリティポリシーを作成します。このセキュリティポリシーに基づいて、組織の全員が行動することでサイバー攻撃のリスクを現実的に問題のないレベルまで抑えられることにつながります。
これらサイバー攻撃対策の実施については、「中小企業の情報セキュリティ対策ガイドライン第2版」に詳細が載っていますのでぜひ参考にしましょう。
なお、IPAでは、2017年4月より中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度「SECURITY ACTION」を開始しました。「情報セキュリティ5か条」に取り組むことを宣言すると1つ星のロゴマークを利用することができ、「5分でできる!情報セキュリティ自社診断」で自社の対策状況を把握したうえで、情報セキュリティポリシー(基本方針)を定め、外部に公開したことを宣言すると2つ星のロゴマークを利用することがでます。
このロゴマークをウェブサイトや名刺などに表示することによって、情報セキュリティに自ら取り組んでいる企業であることを外部にアピールすることができます。ロゴマークの利用は無料であり、IPAのウェブサイトから申し込めます。情報セキュリティ対策に取り組んだら、ぜひ「SECURITY ACTION」を宣言しましょう。
SECURITY ACTIONのロゴマーク(左:1つ星、右:2つ星)
企業にとって事業停止、社会的信用の失墜、法的責任の追及など事業を継続するうえで大きなリスクとなるサイバー攻撃ですが、被害に遭ってしまった、もしくは遭った可能性がある場合はどこに相談できるのでしょうか。
まず、IPAでは以下の相談窓口を設置しています。
IPA
「情報セキュリティ安心相談窓口」
一般的な情報セキュリティ(主にウイルスや不正アクセス)に関する技術的な相談ができます。電話とメール、ファックス、郵送で相談を受け付けています。
▶詳しくはこちら
「標的型サイバー攻撃特別相談窓口」
標的型サイバー攻撃については「標的型サイバー攻撃特別相談窓口」を設けています。電話とメール、郵送で相談を受け付けています。
▶詳しくはこちら
さらに、都道府県では各警察本部および一部の自治体や団体でサイバー攻撃対策の支援を実施しています(ミラサポ調べ)。被害に遭ってもすぐに対応できるようにするために、あらかじめ窓口を確認しておくようにしましょう。
都道府県警察本部のサイバー犯罪相談窓口
全国の警察本部でサイバー犯罪についての相談、問い合わせ、情報提供などを受け付けています。
▶詳しくはこちら
東京中小企業サイバーセキュリティ支援ネットワーク(Tcyss)
東京都は、警視庁、中小企業支援機関およびサイバーセキュリティ対策機関などと連携し、「東京中小企業サイバーセキュリティ支援ネットワーク(Tokyo Cyber Security Support network for small and medium enterprises、通称「Tcyss」)」を2016年4月に設立し、サイバーセキュリティに関する意識啓発、情報共有、相談対応などで中小企業を支援しています。
▶詳しくはこちら
大阪商工会議所 サイバー攻撃対策支援サービス
大阪商工会議所は、ホームページのサイバーパトロール、情報セキュリティ対策に特化した相談窓口の開設、啓発セミナー・セキュリティー人材の育成の3本柱からなる中小企業向けサイバー攻撃対策支援事業を実施しています。
▶詳しくはこちら
京都中小企業情報セキュリティ支援ネットワーク(Ksisnet)
Ksisnet(ケーシスネット)は、産学公のネットワークを活かし、企業の情報セキュリティに関する相談窓口、セミナー、ホームページやメールマガジンなどでの情報発信および標的型攻撃メール訓練サービスなど、中小企業の情報セキュリティ対策を支援しています。
▶詳しくはこちら