情報セキュリティの脅威と攻撃の手口を解説  企業がサイバー攻撃の被害を避けるために

年々、サイバー攻撃の被害に関する報道を見ることが増えてきました。

サイバー攻撃の脅威は、大企業や官公庁のみならず、中小企業・小規模事業者や個人も当然に標的となります。

被害を避けるためには、脅威と攻撃の手口を知り、適切な情報セキュリティ対策を講じる必要があります。

この記事では、IPA(独立行政法人情報処理推進機構)が公開している「情報セキュリティ10大脅威 2021」をもとに、企業などの組織に向けた脅威と攻撃の手口について解説します。

脅威と攻撃の手口を知ることで、自社における適切な情報セキュリティ対策を講じるきっかけにしてください。

情報セキュリティ10大脅威 2021

IPAの選考会は、2020 年に社会的影響が大きかった情報セキュリティ上の脅威について、次のとおり順位付けしました。

出典:IPAホームページ

企業に向けた脅威と攻撃の手口

ランサムウェアによる被害

ランサムウェアとは、ファイルを暗号化したり画面をロックしたりすることで、利用できなくするプログラムのことです。

解除するために、金銭の支払いを要求するなどの脅迫文を表示します。

メールの添付ファイルを開いたり、ソフトウェアの脆弱性等を悪用されたりすることで、ランサムウェアに感染します。

標的型攻撃による機密情報の窃取

機密情報等の窃取を目的として、悪意あるメールを送信して添付ファイルを開かせたり、悪意あるウェブサイトにアクセスさせたりして、ウイルスに感染させます。

感染したパソコンを起点に、感染を拡大しながら企業内部のネットワークやサーバー等を探し出して、機密情報等を窃取します。

標的とする企業の関連組織を、攻撃の踏み台にして狙われることもあります。

テレワーク等のニューノーマルは働き方を狙った攻撃

新型コロナウイルスが蔓延し、企業は急遽テレワークへの移行を始めました。

事業継続を最優先したことで、管理体制が不十分である中、その隙を狙った攻撃が急増しています。

具体例として、テレワーク用機器や私物PC、自宅ネットワークの脆弱性を悪用した不正ログインや情報搾取、ウェブ会議の覗き見などがあります。

サプライチェーンの弱点を悪用した攻撃

サプライチェーンとは、製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの全体の一連の流れ、およびこの流れの中にある複数の企業等のことです。

企業が特定の業務を他の企業等に委託している場合も、サプライチェーンの一環となります。

委託先がセキュリティ対策を適切に実施していないと、委託元が委託先に預けていた機密情報等が狙われます。

また、ソフトウェア開発を委託している場合、セキュリティに配慮した開発が行われないと、納品されたソフトウェアの脆弱性を突いた攻撃を受けます。

ビジネスメール詐欺による金銭被害

取引先や自社の役員等を装ったメールを企業の担当者に送って、重要な情報を提供させたり、攻撃者が用意した口座に送金させたりします。

メール本文で取引先や経営者を名乗り、通常の取引メールと見分けがつかないような内容になっています。

メールアドレスは、取引先のメールアドレスを模したものや、本物のメールアドレスが使われます。

内部不正による情報漏えい

社員や元社員が企業の機密情報を不正に持ち出して、公開や売買することで、企業に損害を与えます。

また、社員が在宅勤務や出張先で、規則に違反して持ち出した情報を紛失してしまい、悪意ある者の手に渡って情報が漏えいします。

予期せぬ IT 基盤の障害に伴う業務停止

IT基盤に予期せぬ障害が発生して、サービスを利用できなくなります。

要因としては、地震や台風、洪水等の自然災害、インフラ設備のメンテナス中の人為的ミスによる作業事故、空調等の設備故障、ハードウェア・ソフトウェア障害などがあります。

インターネット上のサービスへの不正ログイン

企業が利用または提供しているインターネットサービスに不正ログインし、情報窃取や不正操作を行います。

不正に入手したIDとパスワードを自動入力するプログラムを用いたり、個人情報からパスワードを推測したり、ウイルスに感染させてパスワードを窃取したりして、不正ログインを試みます。

複数のサービスで同じIDとパスワードを設定していると、全てのサービスで不正ログインされるおそれがあります。

正規のログインとの区別がつかないため、気付かない間に被害が拡大してしまいます。

不注意による情報漏えい等の被害

社員の不注意で個人情報や機密情報を漏えいしてしまうケースです。

社員の情報セキュリティに対する意識の低さや、体調不良等による集中力の低下によって、意図せず情報漏えいしてしまうことがあります。

具体的には、次のようなケースです。

  • メールの誤送信(宛先誤り、TO/CC/BCCの設定ミス、添付ファイル誤り)
  • 不適切なホームページでの公開(誤って機密情報や個人情報を掲載)
  • 重要情報を保存したPC、スマートフォン、USBメモリー等や、書類の紛失

漏えいした情報が悪用されて、二次被害が発生することもあります。

脆弱性対策情報の公開に伴う悪用増加

ソフトウェアの脆弱性対策情報を公開すると、脅威やその対策を広く呼び掛けることができます。

一方で、その情報を悪用し、対策を行っていないシステムを狙った攻撃が行われています。

情報公開後、攻撃用のコードが流通し、攻撃が本格化するまでの時間が短くなってきています。

脅威を回避する

脅威はご紹介したもの以外にも様々に存在し、今後も未知の脅威が発生することでしょう。

しかし、攻撃の手口は従来とあまり変わっておらず、ウイルスに感染させる、プログラムの脆弱性を悪用する、人が不正に利用するなど、基本的なものが大半ととなっています。

基本的な手口は、基本的な情報セキュリティ対策を講じることで防ぐことができます。

被害を完全に防ぐ方法は存在しませんが、常日頃から適切な対策をとることで、脅威を回避することに努めてください。

「情報セキュリティ10大脅威2021」では、ご紹介した脅威と攻撃の手口への対策・対応方法についても解説していますので、参考にしてください。

あなたの会社にとっての脅威は何であるかを考えて、優先順位付けをした上で、対策を検討しましょう。