ホームThink with magazineネットワークセキュリティ
中小企業も標的に! ダメージ大のサイバー攻撃

ネットワークセキュリティ

中小企業も標的に! ダメージ大のサイバー攻撃

2017年02月08日

1702082_img1.jpg

『サイバー攻撃』と聞くと、大企業や官公庁だけの問題だと思っていませんか? その標的は、今や中小企業や個人に至るまで、広がっている時代です。自社の取引先企業を標的にするための踏み台にされ、取引先ともども大きな被害を受ける中小企業も珍しくありません。では、実際にサイバー攻撃にはどのようなものがあるのでしょうか。

目次

パソコンを乗っ取り、身代金を要求する『ランサムウェア』

最近、多くの被害が報告されている『ランサムウェア』。聞き慣れない言葉かもしれませんが、『身代金要求型』の不正プログラムのことで『ランサム(身代金)』と『ソフトウエア』を組み合わせた造語です。『ランサムウェア』は、ユーザーの同意なしに、パソコンにインストールされてしまうマルウエア(悪意のあるソフトウエア)です。

感染すると、パソコンにロックがかかったり、パソコンに保存されているファイルが暗号化されて開けなくなったりします。ロックを解除したり、ファイルを開いたりするために、身代金を支払うことが求められます。しかし、たとえ身代金を支払ったとしても元に戻せる保証はなく、パソコン内の情報と身代金の両方を失う可能性もあり、企業にとって大きな痛手となる不正プログラムです。

主に侵入経路は、既存のウェブサイトを改ざんした偽ウェブサイトからと、メールからの感染との2種類があります。ウェブサイトからの感染は、そのウェブサイトが一見偽物と判別しにくいのが特徴で、気付いたら感染していたというケースもあります。メールからの感染は、警察や政府機関、取引先などを名乗り送信・添付されたファイルを開いたり、記載されているURLにアクセスしたりすることで感染してしまいます。

IPA(独立行政法人情報処理推進機構)によると、2011年に初めてランサムウェアに感染したという相談が寄せられたのを機に、その後もわずかな数ではありますがランサムウェア感染の相談は後を絶ちません。

さらに、IBMが2015年12月に発表した調査では米国企業でランサムウェアに攻撃され、70%の企業がシステムにアクセスする為に、要求に応じて金銭を支払っていた事が分かりました。被害額は半数で1万ドル以上だったそうです。用心をしていても感染してしまうことが多く、常時ウイルス対策を行うことが必要です。

1702082_img2.jpg

グラフ「ランサムウェアに関する相談件数の推移」

あなたの情報が標的に!『標的型攻撃メール』

特定の企業や組織を狙って、重要な情報を盗み出す『標的型攻撃メール』。その攻撃はとても悪質巧妙で、業務を装ったメールを受信した、担当者が添付ファイルを開いて気付かぬうちに感染してしまうケースがほとんどです。メールの件名が担当者の名前だったり、業務内容に関わるものだったりすることからウイルス対策ソフトでは検出されないことも多く、気付いたら被害が拡大していたケースも報告されています。

昨年実際に起こった標的型攻撃メールの被害事例をご紹介します。犯人は、実在する取引先企業「〇△会社」のメールアドレスになりすまし、メールを送信。担当者は、「〇△会社」のメールアドレスと確認したうえで、添付ファイルを開いたところ、パソコン数台とサーバがウイルス感染し、その企業のウェブサイト利用者の住所、名前などの個人情報が流出してしまいました。このように、受信メールのアドレスや件名を見ただけではウイルスかどうか分からない場合もあり、受信したメールの添付ファイルを開く際には、十分な注意が必要です。

海外からも狙われる!『不正アクセス』

アクセス権を許可されていない者が、コンピュータやネットワークに不正に侵入し、重要情報を流出したり、操作したりする『不正アクセス』。顧客情報を流出したり企業情報を盗んだりするなど、企業や組織に甚大な被害を与えるものです。インターネットは、世界中で利用できるため海外からの不正アクセスもあり、ウイルス対策をしても防げない場合もあります。

日本では、なりすまし行為やコンピュータの安全対策上の不備を攻撃し、コンピュータを使えるようにする行為に対して罰則が設けられました。2012年には改正され、不正アクセスに使用する目的で、ほかの人のIDやパスワードを取得したり、保管したりすることを禁じています。こうした法律が制定されても不正アクセスは後を絶ちません。他人のSNSに侵入して、毎日の生活をのぞき見したり、勝手にSNSに書き込みしたりするなどの個人への被害も、ニュースになっています。

企業に対しても不正アクセスは目立っています。あるメーカーのウェブサイトに不正アクセスがあり、大量の顧客情報が流出しました。また、地方大学ではウイルスが添付されたメールを開封したことによって不正な通信が行われたことが確認されていたり、マスコミでもメール会員のデータが一部流出したことも報道されたりしています。中には、ウイルス対策をしていたにも関わらず、不正アクセスを防げなかった事例も報告されています。

このようにさまざまな方法を使って企業の情報を狙ってくるのがサイバー攻撃です。企業全体だけでなく、社員のひとりひとりが正しい知識や情報を持たなければセキュリティ対策ができない時代。企業として社内教育をすることも必要になっています。

次回予告

次回は、IPA(独立行政法人情報処理推進機構)が最新版を公開した「中小企業の情報セキュリティ対策ガイドライン」について、初心者でも分かりやすく解説します。

関連商材

※ 記載された情報は、掲載日現在のものです。