覚えておきたい情報セキュリティ&ネットワークのキホン（第3回） サイバー攻撃の脅威に対し、企業はどんな情報セキュリティ対策をすればよいのか？

　サイバー攻撃の件数は年々増加しており、自社サービスに関する情報はもちろん、顧客情報や従業員情報といった機密情報が漏えいする危険性が増しています。

　企業が情報セキュリティ対策に取り組み、機密情報を悪意ある第三者から守るには、その手口を学ぶ必要があります。相手の手口が分かれば、それに応じた情報セキュリティ対策も採りやすくなります。本記事では、企業が被害を受ける恐れがあるサイバー攻撃の手口を紹介します。

企業が知っておきたいサイバー攻撃の手口

　企業を狙ったサイバー攻撃の手口には、主に以下のようなものがあります。

マルウエア
　マルウエアとは、malicious（悪意のある）とsoftware（ソフトウエア）を組み合わせた造語で、悪意のあるプログラムやソフトウエアを総称する言葉です。ウイルスやコンピューターウイルスと表現される場合もあります。

　マルウエアは、パソコンやスマートフォンなどの端末からソフトウエアに入り込み、プログラムを改ざんして増殖します。その改ざんの過程で機密情報が漏えいする恐れがあるため、未然に侵入を防ぐ必要があります。

ランサムウエア
　ランサムウエアはマルウエアの一種で、ransom（身代金）とsoftware（ソフトウエア）を組み合わせた造語です。感染したパソコンやスマートフォンなどの端末をロックして、解除と引き換えに身代金を要求する手口からそう呼ばれています。多くの場合、スパムメールやWebサイトから不正サイトに誘導され、ソフトウエアや端末の脆弱性を利用することで感染します。

　業務が行えなくなるからと身代金を支払ったとしても、ロックされた端末が元通りになる保証はありません。むしろ身代金を支払ったという情報が他の攻撃者に連携され、再三にわたり狙われる可能性もあります。近年では端末をロックするだけではなく、身代金の要求が飲めない場合に「ハッキングしたデータを公開する」といった、二重の恐喝を行うランサムウエアも発生しています。

標的型攻撃
　標的型攻撃とは、明確な目的を持って個人や企業に対して、スパムメールやハッキングといったサイバー攻撃を仕掛けることです。標的型攻撃の目的としては、対象企業への嫌がらせや情報の奪取・金銭の要求など、多岐にわたります。政府機関などでは、サイバー攻撃の中でも極めて大きな脅威である「高度サイバー攻撃」の1つとされています。

　標的型攻撃の特徴は、特定の個人や企業が執拗に狙われる点です。従来のサイバー攻撃はスパムメールや不正なWebサイトにアクセスしたあらゆるユーザーを対象にしていました。しかし、標的型攻撃は特定のターゲットにだけ攻撃が継続されるため、ターゲットが抱えるソフトウエアや端末の脆弱性が徐々に見抜かれ、結果的に甚大な被害が発生するケースが多くなっています。

ゼロデイ攻撃
　ゼロデイ攻撃とは、メーカーがソフトウエアの脆弱性（不具合や弱点）の修正プログラムを提供する前を狙ったサイバー攻撃です。

　通常、脆弱性が発見されると、ソフトウエアを提供するメーカーはその情報を公開するとともに、修正プログラム（パッチ）を提供してユーザーに適用を求めます。しかし、脆弱性の情報は数多くのサイバー攻撃者も調査しているため、メーカーが修正プログラムを提供する前を狙って攻撃を仕掛けることがあります。脆弱性を発見する前にサイバー攻撃が行われた場合、ユーザー側では対策できないという点が特徴です。

ブルート・フォース・アタック
　ブルート・フォース・アタックとは、ユーザーのIDやパスワードに対して可能な組み合わせをすべて試して解読するサイバー攻撃です。攻撃者は専用のシステムを利用し、自動で何度も入力を行うことで、いわば「力ずく」でログインします。

　昨今、テレワークの普及や業務でのクラウドサービスの利用が広がったこともあり、使い回しのIDやパスワードが解読されて社内のネットワークに侵入されるケースもあります。ブルート・フォース・アタックでは、内部データをロックして金銭を要求するランサムウエアが組み込まれるケースも多く、被害が拡大する可能性があるため注意が必要です。

企業ができる情報セキュリティ対策・取り組みポイント

　こうしたサイバー攻撃から自社を守るためには、従業員の情報セキュリティへの意識を高める取り組みが重要です。

不審なメールにアクセスしない
　マルウエアによるサイバー攻撃は、スパムメールを起点として、ユーザーのソフトウエアや端末に感染します。文面や添付ファイルが不自然なメールが届いた場合、不用意にアクセスせず、速やかにIT・情報セキュリティ部門に通報することが重要です。

　ランサムウエアの場合はスパムメールをクリックした時点で、その端末が乗っ取られるリスクもあります。やり取りした記憶のない人物やクライアントからのメールは、アクセスしないようルール化すべきでしょう。

同じパスワードを使用しない
　基本的なことですが、推測されにくいパスワードの設定や、同じパスワードの使い回しはしないことが重要です。社内でパスワードの設定ルールを設けるとともに、機密情報へのアクセスは2要素認証を採用する、退職者のアカウントは消去するなど、従業員のアクセス権限を正しく付与する管理強化も行うべきでしょう。

ウイルス対策ソフトを導入する
　ソフトウエアや端末を守るための第一歩としては、ウイルス対策ソフトの導入が挙げられます。ウイルス対策ソフトをあらかじめインストールしておけば、パソコンに入り込んだウイルスを発見したり、ウイルスの侵入をブロックしたりすることが可能となります。

　ただし、コンピューターウイルスの種類は日々増加しており、導入済みのウイルス対策ソフトをすり抜けてしまう場合もあります。そのため、ウイルス対策ソフトだけではなく、そのほかの対策も併用する必要があります。

重要データのバックアップを取る
　標的型攻撃やランサムウエアなどのサイバー攻撃を受けた場合、企業が保有しているデータが利用不能となったり、改ざんや抜き取られたりする可能性があります。問題が発生してからではデータの復元は難しいため、重要データのバックアップを取っておける仕組みやシステムをつくることが重要です。

情報セキュリティポリシーを策定する
　情報セキュリティのための社内ルールやシステムを見直すことも大切です。情報セキュリティポリシーに関するガイドラインを定め、情報セキュリティに関する教育を行うことで、社内全体の情報セキュリティリテラシーが高まります。
※関連記事　情報セキュリティポリシーとはなぜ必要なのか？どのように作ればよいのか？

まとめ

　サイバー攻撃の被害は年々増加しており、企業は規模や業界を問わず、情報セキュリティ対策を強化する必要があります。しかし、新たな脅威が次々と登場しているため、自社でどのような情報セキュリティ対策をすればよいのか分からない場合もあるでしょう。

　そういった企業にお勧めしたいのが、NTT西日本のセキュリティおまかせプランです。事前にオフィス状況を診断し、最適な情報セキュリティ対策を提案。ゲートウェイ装置で外部からの脅威を水際でブロックします。さらに、サポートセンターによる通信監視によって、万が一の事故発生時も迅速にウイルス除去などの支援を行います。

※掲載している情報は、記事執筆時点のものです