多様化するサイバー攻撃!セキュリティ対策のポイント
総務部です。
最近、よく「サイバー攻撃」という言葉を耳にするようになりました。サイバー攻撃の影響で、「業務が停止」したり、乗っ取られたシステムを復旧させるために、「多額の身代金が要求される」といった事例も見られます。この背景には、インターネットの技術があらゆる生活の場面に広く浸透していることが関係しています。サイバー攻撃は、私たちにとって「他人事ではない」ものです。今回は、最低限知っておきたいサイバー攻撃の知識とセキュリティ対策についてお話しします。
1.サイバー攻撃とは
サイバー攻撃とは、ひとことで言うと、インターネットなどのネットワークを経由して、サーバーやパソコンなどのコンピュータシステムに侵入し、個人や組織のデータを破壊したり、盗んだり、書き換えたりすることを言います。
(1)攻撃の目的
サイバー攻撃を行う目的はさまざまです。一例としては、「身代金のように金銭を支払わせることを目的とするもの」「世間を騒がせ自己顕示欲を満たしたい愉快犯的なもの」「国家や企業などの組織のイメージダウンを狙うもの」「政治的な主張を行うもの」などがあり、攻撃者のタイプにより、その目的がことなります。
(2)攻撃対象
攻撃の対象は「個人」であったり「企業・組織」であったり、目的に応じて変わります
たとえば、個人を対象にした攻撃には、IDやパスワードを勝手に取得してなりすまし、「クレジットカードなどを不正に利用」したり、「サービスを不正に受けたりする」ことなどがあげられます。さらに、組織や企業を対象にした攻撃では、不正アクセスを通じて組織が保有している「機密情報や顧客情報を盗み取る」あるいは「システムをダウンさせる」などにより被害を与えるケースがあります。
(3)最近の特徴
ここ数年、私たちの周りには「IoT (アイオーティ:注1)」と呼ばれる、機器をネットワーク(Internet)でつなぎ、遠くからモノの状態を調べたり、モノを操作したりする技術が急速に普及しています。あわせて、コロナ渦で、リモートワークによる働き方が急増するなか、企業側の接続機器の脆弱性(セキュリティーの甘さ)が対策されていないケースが多く、サイバー攻撃の対象になりやすくなっており、2021年のサイバー攻撃のうち8割は IoT機器が標的となっています。サイバー攻撃の手口は、日々高度化しており、下に記述するランサムウェアをはじめ、金銭の窃取・詐取を目的とした攻撃が世界中で拡大している現状も特徴的といえます。
なお警察庁によると、2021年に検知したサイバー攻撃とみられる不審なアクセスは1日あたり7,335件で、2016年比で4.3倍に増えているとのことです。
(参考)「サイバー攻撃とは 標的の8割がIoT」(日本経済新聞2022年6月5日)
(注1)IoT(アイオーティ)
「Internet of Things」の略称。インターネットに繋がった家電やオフィス機器等が取得した情報を活用できる状態にあること。「モノのインターネット」ともいう。
2.サイバー攻撃の例
サイバー攻撃には様々な手口があります。代表的なものを見ておきましょう。
(1)ランサムウエア
ランサムウエアとは、Ransom(身代金)とSoftware(ソフトウェア)を組み合わせた造語で、これに感染すると、所有するデータが暗号化されます。攻撃者から、暗号化したデータの復号と引き換えに金銭を要求されます。また、暗号化されたデータが機密情報や個人情報である場合、被害はより深刻になり、盗んだデータを公開するぞ!と脅迫されることもあります。2020年11月には大手ゲーム会社がランサムウエアの被害に遭い、個人情報が流出しています。
(2)サプライチェーン攻撃
サプライチェーンとは、製品の原材料・部品の調達から、製造、在庫管理、配送、販売までの一連の流れを言います。一般的にサプライチェーン上には、販売や物流など複数の企業が関与しており、その中での弱点を狙います。2022年2月には国内の大手自動車会社の仕入れ先がサプライチェーン攻撃による不正アクセスに遭遇しています。その結果、車の生産ラインがストップするなど、多大な影響が出ました。
(3)インターネットバンキング不正送金
インターネットネットバンキングのログイン情報や口座情報などを不正に入手し、他者になりすますことで送金を行うものです。警察庁によると、2019年には不正送金される被害が多発し、金融機関を装ったサイトへ誘導する手口が急増しました。これにより、同年には、発生件数が1,872件、被害額が約25億2,100万円に達しています。
(参考)「令和3年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
3.もはや他人事ではないサイバー攻撃
このように、サイバー攻撃の例を紹介しました。ただ、皆さんの中には、これらは有名企業に向けた攻撃で、自分たちとは無関係だと思っている人もいるかもしれませんね。でもそうではないのです。
(1)温床になるダークウェブ(闇サイト群)
ランサムウエア等の温床となっていると見られるのが、ダークウェブ(闇サイト群)と言われるものです。その中では、ウイルスによる攻撃を安価で簡単にセットし、実行できるツールや攻撃代行サービスを販売していて、誰もが、簡単にサイバー攻撃を仕掛ける状態になっています。また、ウイルスプログラムの弱点を知らせたり、あらたな手口を提案した者に、攻撃グループが報奨金を支払う等、ウイルスの強化を図っているケースもあります。ダークウェブは変異型ウイルスが増殖する温床になっています。
(2)周到に準備された「標的型攻撃」
攻撃グループは、事前にダークウェブ(闇サイト)で、脆弱性がある対象先の情報を入手し、用意周到な計画を立て、ウイルスメールを対象先に一斉送信します。国内でも2021年10月に徳島県つるぎ町の病院がランサムウエアによる攻撃を受け、一時的に診療停止に陥った事例がありました。
今後、いつ何時、私たちに攻撃メールが届くかもしれません。もはや、サイバー攻撃は他人事ではありません。
4.サイバー攻撃対策
最後に、サイバー攻撃に対する基本的な対策例を見てみましょう。
(1)OSやソフトウェアのこまめなアップデート
OSやソフトウェアには必ず脆弱性が発生します。最近のサイバー攻撃では「ゼロデイ脆弱性」と呼ばれるように、脆弱性が発覚する前や修正される前に、その弱点を狙ってくるものがあります。OSやソフトウェアベンダーもこうした状況を見越して、迅速なアップデートを提供をしています。私たちも、提供されたOSのバージョンアップや、ソフトウエアのアップデートを速やかに実行することが重要です。
(2)IDやパスワードなどの厳格な管理
デジタル機器やWebサービス、アプリを利用する際には、ID、パスワードを使用することになります。万一、不正に利用、侵入された場合の被害が大きくなる可能性があるため、アカウント情報の管理は厳格にする必要があります。基本的なことですが、パスワードを複雑で推測されにくいものに設定することも重要です。
(3)セキュリティソフトの導入
セキュリティソフトの導入はサイバー攻撃対策の基本です。最近のセキュリティソフトは、従来からある「ウイルスチェック機能」以外に、「ダウンロードデータなどコンピューターを保護するための機能」「インターネットバンキングなどインターネット接続を保護する機能」「ファイヤーウォールなどネットワークを保護する機能」を備えたものがあります。こうした総合的なセキュリティソフトを活用することが不可欠となります。
(4)サイバー保険の加入
サイバー攻撃は、公的機関や大企業だけでなく、中小企業が踏み台にされることがあります。というのも、攻撃者はあらゆる形でシステムの脆弱性を利用するからです。また、マイナンバー制度が導入されたことで、全ての企業はマイナンバーを管理する義務があります。マイナンバーには、社会保険や税金などの重要な個人情報が紐付けられています。その為、中小企業でも対策は必須であり、保険加入の必要性は高まっているといえそうです。
ただ、保険に加入すればサイバー攻撃に遭うリスクが低下するということではありません。この点には注意が必要です。
(参考)「サイバー保険とは(一般社団法人日本損害保険協会)」
5.まとめ
いかがでしたか、今回は私たちにとっても他人事ではない、サイバー攻撃とセキュリティについてお話しました。
(1)今回のポイント
- サイバー攻撃とは、ネットワーク経由でデータの破壊や改ざんを行う行為のこと。
- 攻撃の手口は多様化しており、最近ではIoTへの攻撃が急増している。
- 私たちもサイバー攻撃の対象になる可能性が十分にあり、他人事ではない。
(2)おわりに
IT技術の進化と普及によって、サイバー攻撃の危険性が増しています。個人、企業とも、セキュリティに関する最新情報を知り、その対策を行うなど、日ごろの注意を怠らないことが重要です。既に述べた対策は基本的なものですが、今一度徹底できているかどうかを確認する必要があります。
私たちユニヴライフも、身近に迫るリスクとして認識し、セキュリティ対策を実施し、サイバー保険に加入しています。今後も、最新の情報セキュリティ対策や保険情報の提供なども意識しながら、オーナー様、入居者様、保険契約者様をサポートし、安全で快適な環境を作っていきたいと思っています。これからも皆様に愛される企業として前進します。
サイバー保険に関するご相談もうけたまわっています。ユニヴライフへお気軽にお問い合わせください。
「ユニヴライフは安全で快適な”LIFE”を創造します」
【保険事業部】受付時間 9:00~17:00(土・日・祝日休み)