【2021年版】企業が知るべきサイバー攻撃の手口・求められる対応

個人情報保護委員会は、サイバー攻撃で情報漏えいが起きた場合に被害者全員へ通知することを義務化しました。2022年の実施予定で、違反した場合は最大1億円が科せられる見込みです。企業は従来以上に大きな責任とプレッシャーを背負うことになります。
本記事ではサイバー攻撃について、手口や種類、情報漏えいが起こった際に求められる対応について説明します。
1. サイバー攻撃とは?
インターネットを通じてパソコンやモバイル端末、サーバーなどのデータが保管されているシステムへ不正にアプローチし、データの抜き取りや改ざん、システムそのものを破壊するといった行為をサイバー攻撃と呼んでいます。
2. なぜサイバー攻撃が起こるのか
サイバー攻撃の目的は多岐にわたります。組織的に計画を立てて行われるサイバー攻撃もあれば、個人が気まぐれに起こすサイバー攻撃もあります。主な動機は以下の6つに分類できます。
- 金銭目的の情報盗取
- 愉快犯による犯行
- 政治的利用
- 特定組織の活動の阻害
- 産業スパイ活動
- 社会的な主張
サイバー攻撃と聞くと高度なハッカー集団を思い浮かべるかもしれませんが、昨今はサイバー攻撃のハードルが下がっており、特別なスキルがない人間でも簡単に攻撃を仕掛けられるようになっています。
また、特定の業種を狙った攻撃もあるようです。以下の資料は、特定の組織の顧客や取引先になりすまし、サイバー攻撃を行う「標的型攻撃」における件数の推移です。
出典:警察庁「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」
平成30年の発生件数は6,740、令和1年は5,301件と減少していますが、令和1年と2年の上半期を比較すると再び増加していることが読み取れます。
出典:警察庁「令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について」
上の画像は、製造業者に対して行われた標的型攻撃の事例です。製品に関する質問と称して、添付された圧縮ファイルを開く(開くと不正プログラムに感染する)よう誘導するメールが不特定多数の業者に送信されました。
このように、一見しただけではサイバー攻撃だと分からないほど手口が巧妙化しているのが分かります。
上記の標的型攻撃を含め、どのようなサイバー攻撃の手口があるのかを解説します。
3. サイバー攻撃の手口とは?主な種類について
サイバー攻撃の代表的なものを紹介します。
標的型攻撃
標的のパソコンにウイルスを仕込み、それを踏み台にして組織内のパソコン・ネットワークへ不正アクセスするサイバー攻撃です。
標的の顧客や取引先になりすまし、悪意のあるプログラムを添付した偽装メール(標的型攻撃メール)は、標的型攻撃の代表的な手口です。
マルウェア
感染先を不正に動作させる悪意あるプログラムを「マルウェア」と呼びます。
トロイの木馬やワームなど、一度は名前を聞いたことのある不正プログラムもマルウェアに該当する可能性があります。また「ランサムウェア」と呼ばれる、感染したデバイスの保有者に身代金を要求するタイプのマルウェアも存在します。
ゼロデイ攻撃
システムの脆弱性が対策されるまでに実行されるサイバー攻撃を「ゼロデイ攻撃」と呼びます。
脆弱性が対策されない限り攻撃の危険性は避けられません。対応が難しいサイバー攻撃の一つです。
DoS攻撃・DDoS攻撃
サーバーへ大量にアクセスしサーバーをパンクさせるサイバー攻撃です。
DoS(Denial of Service attack、以下DoS)攻撃は、一つの攻撃元から大量にアクセスを送ります。 DDoS(Distributed Denial of Service attack、以下DDoS)攻撃は、複数の攻撃元からアクセスを送ります。
DoS攻撃は一つの攻撃元をブロックすれば対処できますが、DDoS攻撃は不正に乗っ取られた複数の攻撃元が存在するためすべてをピンポイントでブロックすることが難しく、犯人の割り出しも困難です。
SQLインジェクション
標的となるサイトやアプリケーションにデータベースを操作するためのプログラミング言語であるSQL文を入力し、システムを不正に操作するサイバー攻撃です。個人情報の漏えいやWebサイトの改ざんが可能です。
APT攻撃
ネットワークに侵入、潜伏して継続的に行われる高度なサイバー攻撃です。
国家の機密情報の盗取、スパイ行為や妨害におこなわれるケースが多く、痕跡が残りづらい高度な攻撃が特徴です。
バッファオーバーフロー攻撃
コンピューターに処理能力を超えるデータを送信し誤動作を起こします。
プログラムによって乗っ取るサイバー攻撃です。管理者権限を奪い遠隔操作でデータの漏えい・改ざん・削除などをおこないます。別システムへの攻撃の踏み台にされる可能性もあります。
リスト型攻撃
何らかの手法によりリスト化されたID・パスワードを利用し不正ログインを行うサイバー攻撃です。
不正ログインで乗っ取られたアカウントの権限の範囲で不正行為がおこなわれます。情報流出や意図しない決済などの被害にさらされます。
セッションハイジャック
ネットワークのセッション(通信)を乗っ取り、通信当事者になりすますサイバー攻撃です。
正規ユーザーとして認識されたまま不正利用ができるため、情報漏えいや改ざん、サービスの不正利用などの被害につながる可能性があります。
4. サイバー攻撃により情報漏えいが起こった場合
ソフトウェアを常に最新のバージョンにしたり、セキュリティソフトを導入しても、サイバー攻撃の被害に遭遇する可能性はあります。もしサイバー攻撃により情報漏えいが起こった場合、どのように対応すれば良いのでしょうか。
情報漏えい発生時の対応の流れは、IPA(独立行政法人情報処理推進機構)が公表する「情報漏えい発生時の対応ポイント集」が参考になります。
情報漏えい発生時の対応 |
具体的なアクション |
発見・報告 |
情報漏えいの兆候・具体的な事実の発見後、すみやかに責任者へ報告し、システム上に残された証拠を消さないよう不用意な操作は避ける |
初動対応 |
対策本部を設置し、被害拡大や二次被害防止のために必要な措置を講じる(外部からアクセスできる状態にあった場合に遮断する措置をとる等) |
調査 |
5W1Hに基づいて調査し、本件にまつわる情報や証拠を確保・整理 |
通知・報告・公表等 |
被害内容に応じて流出した情報の主体(顧客・取引先)への通知、監督官庁・警察・IPAへの届出、メディアやマスコミによる公表を検討 |
抑制措置と復旧 |
専用の相談窓口を設置して本件の動向へアンテナを張り、再発防止策の考案・実施、停止したサービスの復旧を実行 |
事後対応 |
抜本的な再発防止策を講じるとともに、被害者に対する損害補償・職員の処分手続きを実施 |
参考:IPA「情報漏えい発生時の対応ポイント集」
上記の流れを情報漏えい時の対応フローとし、あらかじめ非常時に対応する担当者や担当部署を決めておきましょう。マニュアルがない状況に比べはるかにスムーズな対応ができます。
5. まとめ
手口が多様化すると共にサイバー攻撃のハードルが下がりつつあり、誰がいつどのようなサイバー攻撃の対象となってもおかしくありません。「規模の大きい企業ではないからサイバー攻撃の標的にはならない」といった思い込みは危険です。
自社がどの程度サイバー攻撃へ備えられているのか確認し、できる限りの対策を講じておくよう心がけましょう。