近年、サイバー攻撃によって個人情報漏えいなどの被害を受けるケースが増えてきています。それも対策を行っていると思われる大企業までもがサイバー攻撃によって業務停止に追い込まれたといった報道もあり、中小企業や弊所のような零細企業はどのような対策をすれば良いのか悩むところです。実際被害にあっているかどうかさえ把握できていないのが現状ではないでしょうか。今回は非常に大きなリスクになってきているサイバー攻撃について共有していきたいと思います。
🔴サイバー攻撃とは
ネットワークやコンピューター・システムまたはデジタル・デバイスへ「不正にアクセス」し、データやアプリケーションさらにその他の資産の盗難や暴露、改ざん、無効化、破壊を意図的に行う行為のことです。
サイバー攻撃の主な目的
その他、企業の知的財産を狙うスパイ行為や、ハッキングをスポーツ感覚で楽しむ人などもいます。
出所:IBM「サイバー攻撃とは」
🔴サイバー攻撃の攻撃手法
組織に対する攻撃
個人に対する攻撃
🔵セキュリティ対策の基本
出所:独)情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025」
🔴各脅威に対する対策(上位4脅威)
ランサムウェア
ランサムウェアとは、PC やサーバーに感染後、端末のロックやデータの窃取、暗号化を行い、これらを取引材料とした様々な脅迫により金銭を要求するマルウェアの一種である。ランサムウェアを用いた攻撃をランサム攻撃と呼び、攻撃者は複数の脅迫を組み合わせて、被害組織が金銭の支払いを検討せざるを得ない状況を作り出そうとする。また、近年ではランサムウェアによる暗号化を行わず、窃取した機密情報を公開すると脅迫して金銭を要求する「ノーウェアランサム」による攻撃も確認されている。
対策
原則、身代金を支払わずに復旧を行う。支払いに応じてもデータの復元や流出を防げるとは限らない。また、対応を依頼する復旧業者の選定にも注意する。業者が攻撃者と裏取引を行い、身代金を支払うことで復旧した場合、事実上、自組織が攻撃者に資金提供をしたとみなされるおそれがある。
サプライチェーンや委託先を狙った攻撃
商品の企画、開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このような「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、取引先や委託先も含めたセキュリティ対策が必要な脅威と言える。攻撃者は、直接攻撃が難しい強固なセキュリティ対策を持つ標的組織に対して、まずサプライチェーンの脆弱な部分を攻撃する。その後、その脆弱な部分を経由して、間接的および段階的に標的組織を狙う。
対策
情報管理規則を作成し、業務委託自体が適切であるかについて、定期的に確認、検討する。また調達先や業務委託先等、契約時に取引先の規則を確認する。組織間の取引や委託契約における情報セキュリティ上の責任範囲を明確化し合意を得る。特に中堅・大企業と取引している会社は、情報セキュリティに対しての規則や運用についての報告を求められるケースも増えてきています。
システムの脆弱性を突いた攻撃
製品の開発ベンダー等による脆弱性対策の公開情報を悪用し、脆弱性対策が講じられていないシステムを狙って攻撃を行うことがある。なお、脆弱性対策情報を公開する前に行われる脆弱性を悪用した攻撃を「ゼロデイ攻撃」と呼ぶ。脆弱性対策ができていない場合、マルウェア感染等に留まらず、事業やサービスの停止等に端を発し、甚大な被害に至ることもある。昨今、脆弱性が発見されてから、それを悪用した攻撃が発生するまでの時間が短くなっているため、脆弱性対策情報が公開された場合、早急な対策の実施が求められる。
対策
最新の脆弱性情報の収集、対策状況の管理を行う。その際に管理者を定め、更新状況等の情報を社内で共有する体制を整備する。サーバーや PC、ネットワークに適切なセキュリティ対策を行うのはマスト。
内部不正による情報漏えい等
従業員や元従業員等、組織の内部関係者による意図的な機密情報の持ち出しや社内情報の削除等の不正行為が発生している。また、組織の情報管理規則に背き情報を持ち出し、不注意で情報を紛失し、情報漏えいになるケースもある。組織の内部関係者による不正行為は、社会的信用の失墜、損害賠償や業務停滞等による経済的損失を招く。また、不正に取得された情報を使用した組織や個人も責任を問われる場合がある。
対策
基本方針の策定、情報取扱ポリシーの作成、内部不正者に対する懲戒処分等を規定した就業規則等を整備する。さらにルールの理解度向上を目指し役職員への定期的な教育(情報リテラシー、モラル醸成、法令順守など)も行う。利用者 ID およびアクセス権の登録・変更・削除に関する手順を定め、アクセス権は部門や職位、業務に応じた適切な設定を行う。
出所:独)情報処理推進機構(IPA)「情報セキュリティ 10大脅威 2025 組織編」
🔴サイバー対策に関してのリスクマネジメント
※上記の対策を単独または組み合わせる
今回はサイバー攻撃について見てきました。対策をしても更に巧妙な手口で攻撃してくるので非常にやっかいなリスクだと感じます。情報セキュリティに関して知見を持っている人間が少ないですし、うちみたいな機密情報を持っていない会社は大丈夫だろうと高を括っている部分もあるかも知れません。ただサプライチェーンの一員であるなら取引先に迷惑が掛かってしまうリスクや、最悪の場合サプライチェーンからの離脱も考えられます。対策したからといって売り上げは増えませんが、将来の無駄な支出が減らせるかも知れません。弊所もクライアント様や関係先様に安心して取引ができるような体制を強化していきたいと思います。
