サイバー攻撃は日々その手法が進化しており、セキュリティ対策も最新にアップデートしていくことが求められます。適切なセキュリティ対策を講じるためには、過去に発生したサイバー攻撃の事例から最新の傾向と具体的な対策を学ぶことが大切です。
ここでは、2020年に発生したサイバー攻撃の事例をもとに、その傾向と対策について詳しく解説します。
サイバー攻撃は、インターネットを経由してパソコン端末やWebサイトなどに行われる攻撃です。サイバー攻撃を行う加害者には、ハッカー集団や犯罪者が存在します。サイバー攻撃の標的は企業や個人など特定の対象だけではなく、不特定多数が狙われる場合もあります。
攻撃者の目的は自身の技術力を誇示する愉快犯や、機密情報を窃盗し金銭の奪取を狙うものまで多種多様です。さらに現代では、リモートワークやスマートフォンなどの普及により、サイバー攻撃の手法が多様化している点も特徴です。
また、サイバー攻撃については以下の記事で詳しく解説しています。
サイバー攻撃に有効な対策方法
サイバー攻撃にはさまざまな手法がありますが、適切な対策を行えば防げる可能性があります。詳しく見ていきましょう。
エンドポイントセキュリティサービスでブラウザ・メール・マルウェア対策を徹底する
現代のリモートワークやスマートフォンの普及に伴い、注目されているセキュリティ対策のひとつがエンドポイントセキュリティです。エンドポイントセキュリティサービスは、パソコンやスマートフォンなどの端末機器に対して導入するセキュリティでは、ウイルスが最終端末に感染した場合でもそれを発見し、排除できます。
ゼロトラストセキュリティサービスで八方に備える
ゼロトラストセキュリティサービスでは、従来のセキュリティ対策の考え方とは異なり、内部・外部の区切りなく全ての利用者やデバイスを信用せず、常に正当なアクセスや利用者かを検証してアクセス許可を行うものです。
ゼロトラストセキュリティサービスを導入することで、リモートワークなどの多様な外部環境でもスピーディに脅威を防ぐことができます。
情報漏洩対策として社内ルールを徹底する
情報漏洩対策を社内ルール化し、社内に周知やルールの遵守を徹底することもセキュリティ対策としては重要です。
情報漏洩が発生した際の会社への影響や考えられる被害を周知し、不審なメールを開封しないことや、業務外のインターネット利用を行わないなどのルールを徹底することが大切です。
サイバー攻撃の被害件数推移と情報セキュリティ10大脅威
ここでは、サイバー攻撃の被害件数の年ごとの推移と、情報セキュリティ10大脅威について見ていきましょう。
サイバー攻撃の被害件数推移と傾向
サイバー攻撃は年々増加の一途を辿っています。以下の図の通り、不正アクセスによる被害件数は2018年から2019年にかけて約2倍に増加しており、フィッシングの被害件数は2018年から2019年にかけて2.8倍に増加しています。
また、テレワークの全国的な推進拡大により、リモートデスクトップ(RDP)を狙ったブルートフォース攻撃数が急増している点にも注意が必要です。
メール攻撃によるマルウェア「Emotet」の拡大
2021年11月の後半から活動再開が確認されたマルウェア「Emotet」が2022年2月から急速に拡大している点にも注意が必要です。感染拡大に伴い、IPAやJCERT/CCでは、Emotetの手口を解説し、身に覚えのないメールの添付ファイルは開かないよう注意喚起が実施されています。さらに、感染が疑われる場合のチェックツール「EmoCheck」も公開されています。
情報セキュリティ10大脅威
IPA(情報処理推進機構)では、2020年に発生したセキュリティ上の脅威を社会的影響度などを考慮した「10大脅威選考会」の投票結果に基づき順位付けしています。
組織に対する脅威は以下の通りです。
| 順位 | 脅威 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | 標的型攻撃による機密情報の窃取 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5位 | 内部不正による情報漏えい |
| 6位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 7位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8位 | ビジネスメール詐欺による金銭被害 |
| 9位 | 予期せぬIT基盤の障害に伴う業務停止 |
| 10位 | 不注意による情報漏えい等の被害 |
参考:IPA「情報セキュリティ10大脅威 2022」より
修正プログラムの公開前を狙うゼロデイ攻撃は、今回初めて7位にランクインしており、被害が増加している傾向にあります。
【令和3年時点】最新のサイバー攻撃事例
資料引用元:総務省(資料27-1 サイバー攻撃をめぐる最近の動向)
サイバー攻撃は国内外問わず多くの企業が被害を受けています。自社がサイバー攻撃を受けないためには、過去に発生した事例からその手法を理解し、必要な対策について学ぶことが重要です。
ここでは、最新のサイバー攻撃事例についてそれぞれ解説します。
2020年 大手総合電機メーカーA社のネットワークに不正アクセス
2020年1月に大手総合電機メーカーA社が、社内のネットワークが不正アクセスの被害を受けていることを公表しました。この不正アクセスにより流出した可能性があるファイルの中には、防衛関連の注意情報に該当するデータが3件含まれていたことがわかっています。
該当データの3件は、2019年の5月に防衛省からA社が貸与を受けていた防衛装備品である「高速滑空ミサイルの性能」について記載された資料でした。本資料は注意情報のため、防衛省側は資料の複製を禁止していたものの、A社が無断でデータ化しサーバー上に保管していたことで、不正アクセスによる流出データに含まれる結果となりました。
本事業の対策として防衛省は、A社に対して2019年12月22日付で適切な管理ができていなかったことに対する注意と、適切な取り扱いの徹底について口頭で指示しています。さらに、防衛産業のサイバーセキュリティ体制の強化を目的として、防衛省から関連企業250社に対して2021年度中に「NIST SP800-171(非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護)」と同じレベルの管理対策を含めた規則化を行うことを発表しています。
2020年 国内高校の半数が利用する情報通信企業B社に不正アクセス
情報通信商材を取り扱うB社では、2020年4月にAWSへの不正アクセスにより同社サービスの利用者にあたる、約1000万件の個人情報が漏洩する事象が発生しました。
漏洩した約1000万件の情報の中には、同社サービスを利用中の顧客情報だけではなく、既に失効している会員やデモ用、機械的にシステムが発番した現在使われていないアカウント情報も含まれています。
不正アクセスのきっかけは、同社開発者がフィッシング攻撃を受けたことが原因です。攻撃者はフィッシングにより、サービス管理基盤の認証情報を窃盗し、それを用いてAWSへの開発者権限およびソースコードを窃盗しました。その後、善意のある第三者により「海外の違法情報を取り扱うウェブフォーラム上に当社から漏洩したデータらしきものが掲載されている」との連絡を受け、情報漏洩が確定しています。
これによりB社は、管理システムやAWSのセキュリティレベルの強化と、個人情報のアクセス制御の強化を行い、さらにセキュリティ専門家を社内リーダーに登用するなどの対策を行っています。
2020年 大手情報通信企業C社でパスワードが窃取
大手情報通信企業であるC社は、2020年5月から6月にかけてサーバーへの不正アクセスにより、工事情報および社内サーバーへアクセスするアカウントとパスワードが窃盗されました。不正アクセスは5月10日に海外を拠点としている運用サーバーから侵入されており、その運用サーバーを経由して工事情報を管理しているサーバーにも侵入されていることがわかりました。さらに、5月26日にはリモート端末からの不正アクセスを検知しており、これにより工事情報データが窃盗被害に遭いました。なお、5月26日の被害では、社内サーバーにアクセスできる正規アカウントおよびパスワードを利用して侵入されています。
対策として、全てのサーバーのセキュリティシステムを最新のものにすることを実施しました。また、なりすまし攻撃への対策として、攻撃者の振る舞いを可視化するUEBAや、ユーザーが利用する端末の不審な動作を検知するEDRを導入しています。
2020年 官公庁・警察関連組織に不正アクセス
2020年10月26日、原子力規制委員会はVPN接続の脆弱性を突くサイバー攻撃により、原子力規制委員会ネットワークシステムの一部サーバーに不正アクセスされたことを発表しています。
不正アクセスにより、職員がシステムにアクセスするための認証情報を窃盗され、なりすまし攻撃によりサーバー内に侵入され、さらに一部データを窃盗されています。窃盗されたデータの中には、サーバの設定ファイルや職員及び請負業者の認証情報が含まれていると推定されていますが、特定できていません。
なお、核物質防護に関する情報は、不正アクセスを受けたサーバーとは完全に分離された別のネットワークシステムで管理されているため、被害はありませんでした。
対策として、次期システムでは本事象を考慮してセキュリティ対策を強化するとともに、情報セキュリティ体制の充実を図ることを発表しています。
2020年 大手ゲームソフトメーカーD社がオーダーメード型ランサムウエアで被害
大手ゲームソフトメーカーのE社は、2020年11月にオーダーメイド型(標的型)ランサムウェアの攻撃により、最大39万人の個人情報が流出した可能性があることを発表しました。なお、攻撃を受けたネットワークシステムはゲームの購入情報を管理するシステムとは異なることから、クレジットカード情報などの流出の懸念はないことも発表しています。流出した情報の中には、個人情報の他に売上情報や営業資料、開発資料、取引先情報なども含まれていました。
対策として、引き続き攻撃内容を調査するとともに、外部専門家によるセキュリティアドバイザリー組織として、「セキュリティ監督委員会」の発足を発表しています。なお本委員会には、セキュリティ分野に高い知見を持つ大学教授2名と外部弁護士1名、システム監査専門家である公認会計士1名の参画が決定しています。
2020年 IT企業E社でクラウド型営業管理システムの設定不備による個人情報等へのアクセス
IT企業のF社では、2020年11月24日にクレジットカード情報および電子決済情報の一部データに、第三者がアクセスできる状況であったことを発表しています。調査を進めたところ、一部の情報に社外の第三者による海外からのアクセスが確認されました。なお、不正アクセスにより具体的に流出したデータの詳細は特定できていないようです。
原因はクラウド型営業管理システムの設定不備とされており、不正アクセスが発覚した後に設定を変更し、第三者のアクセスを排除しています。
F社は再発防止策として、クラウド型管理システムの設定状況の定期的な見直しと、セキュリティ管理の強化を発表しています。
2021年 建設コンサルタントF社保有のサーバーがランサムウェアに感染
建設コンサルタントであるG社は、2020年3月に保有サーバーがランサムウェアの攻撃を受け、約8万7000件の個人情報が流出した可能性があると発表しました。
なお、流出した情報のうち約8000件には、マンション所有者の氏名や管理会社の連絡先などの個人情報が含まれていましたが、現時点でデータ流出による被害は確認されていません。
G社はランサムウェアの攻撃者からの金銭の要求には応じず、感染したサーバーを社内ネットワークから切り離す処置を行っています。さらに、被害状況の調査と外部の専門家を交えた対策検討会の設置を実施しています。
2021年 大手精密機器メーカーG社の米子会社にランサムウェアによる標的型攻撃
大手精密機器メーカーI社では、メガネレンズ事業を扱う子会社がランサムウェアの被害に遭い、工場の操業や東京本社のコンピューターも影響を受けました。
今回感染したランサムウェアは「Astro Locker」というもので、2020年7月頃から活動が活発化しているランサムウェア「MountLocker」と関係があることがわかっています。これらのランサムウェアの特徴は、あらかじめ機密情報を窃盗したうえで金銭を要求し、要求に従わない場合は窃盗した機密データを流出させるなどと脅す悪質な手口です。
(まとめ)定期的な脆弱性診断と備えを検討しておこう
サイバー攻撃はシステムの脆弱性を狙うものや、不正データを添付したメールなどからウイルスを感染させるフィッシング型など、その手法が年々巧妙化しています。
被害を防ぎ、さらに被害を受けた際にもその影響を最小化するためには、過去のサイバー攻撃の事例から傾向を理解し、適切な対策を行うことが重要です。
近年増加しているランサムウェアやゼロデイ攻撃だけではなく、社内の不注意による情報漏洩を防ぐためには、セキュリティシステムの強化と社内のセキュリティ意識の教育を同時に行うことが大切でしょう。
[PR]提供:セキュアワークス
