サイバー攻撃とは?目的やよくある手口、対策方法を詳しく解説
サイバー攻撃のリスクは大企業だけでなく、中小企業でも注意しなくてはなりません。場合によっては大きな経済的損失をもたらし、企業の社会的信用をも失わせるサイバー攻撃は、企業を運営していくうえでは対策が必須です。この記事では、日常的に行われるサイバー攻撃の目的や手口、種類、対策方法を解説します。ぜひ参考にしてください。
目次
自社のセキュリティ環境構築にお悩みなら、KDDI まとめてオフィスにご相談ください
サイバー攻撃とは
サイバー攻撃とは、インターネットなどのネットワークを通じて、サーバーやデバイスに対して保存データの窃取や改ざん、破壊といった攻撃をする行為です。サイバー攻撃の規模はさまざまで、個人をターゲットにした小規模なものから、国家をターゲットにした大規模なものまであります。
サイバー攻撃の現状
インターネットの発達にともない、サイバー攻撃の件数は年々増加しています。また、巧妙化もしており、現代のあらゆる企業が被害に遭うリスクを負っています。DX(デジタルトランスフォーメーション)によってさまざまな機器がインターネットでつながっている企業では、サイバー攻撃を受けるリスクも高いと言えます。
サイバー攻撃の目的
サイバー攻撃の主な目的について4つ解説します。
不正な金銭の獲得
金銭目的のサイバー攻撃は少なくありません。サイバー攻撃によって盗み出された企業の情報は、売買されることも多いようです。
金銭要求の脅迫を伴うサイバー攻撃も多く、データの暗号化やデバイスのロックなどが行われるケースもあります。要求に従い金銭を支払ったにもかかわらず、データの暗号化やデバイスのロックが解除されないケースもあるため注意が必要です。
情報窃盗
機密情報の窃盗を目的としたサイバー攻撃が行われる場合もあります。国家機関だけでなく、民間企業の情報も対象となることが珍しくありません。なかには、長期にわたって情報が盗まれ続けていたケースもあります。情報に秘密裏にアクセスされている場合、閲覧されたり改ざんされたりしても気づかないケースも少なくありません。
情報システムの機能妨害
サイバー攻撃によって情報システムの機能が妨害される場合もあります。ユーザーがシステムにアクセスできなければ、企業にとっては売上の減少や、信用の失墜にもつながります。社会的な信用は築くのが難しい一方、失うことは容易です。企業として顧客の信頼を獲得するためには、サイバー攻撃の対策が不可欠です。
愉快犯による犯行
愉快犯が自身の技術力を見せつけ、自己顕示欲を満たすためにサイバー攻撃をするケースもあります。2000年代半ばまでのサイバー攻撃は、個人による愉快犯的な犯行がほとんどでした。現在では政治的な主張を目的とするハクティビスト(hacktivist)なども登場しています。ハクティビストとはハッキングとアクティビスト(活動家)をあわせた造語です。
サイバー攻撃の種類
サイバー攻撃は不特定多数型(無差別型)と標的型の2種類に分けられます。不特定多数型のサイバー攻撃はその名のとおり、不特定多数のユーザーを無差別に標的にするばらまき型の攻撃です。マルウェア、フィッシング詐欺などがあります。
標的型のサイバー攻撃は特定のターゲットに狙いを定めたもので、機密情報の窃取を目的としている場合が多く見られます。標的型メールの送信やシステムへの不正アクセスなどが標的型に含まれます。国家組織や公共機関などがターゲットになる場合が少なくありません。
サイバー攻撃のよくある手口
サイバー攻撃による被害を避けるためにも、攻撃の手口を知っておくことが大切です。
ランサムウェア
ランサム(Ransom)とは身代金を意味し、ランサムウェアとはランサムとソフトウェアを組み合わせた造語です。
ランサムウェアに感染したデバイスはデータが暗号化され、復元と引き換えに金銭を要求されるケースが多く見られます。近年ではダブルエクストーションという、窃取したデータの公開を盾にして脅迫を重ねる手口も増加しています。
サプライチェーン攻撃
サプライチェーン(供給連鎖)とは、商品の製造から消費者へ提供するまでのプロセスのことです。商品が顧客に届くまでには開発元、加工会社、物流企業、販売店などの複数の組織が関与しています。
サプライチェーン上にある1つの企業がサイバー攻撃を受けると、関連する企業にも影響が広がる可能性が高い攻撃の手口です。供給に関わる企業が一体となってサイバーセキュリティ強化に取り組む体制づくりが必要です。
DoS/DDoS(サービス妨害)
DoSとはDenial of Service attack(サービス拒否攻撃)、DDoSとはDistributed Denial of Service attack(分散型サービス拒否攻撃)のことをいいます。どちらもサイトやサーバーなどに対し、大量の情報を送りつけることで負荷をかけてダウンさせる手口です。
BEC(ビジネスメール詐欺)
BECとはBusiness Email Compromiseの略です。ビジネスメール詐欺とは企業や関連会社の関係者を装ってメールを送信し、送金などを促すことで金銭を騙し取る手口を指します。
取引先からの請求書の偽造、メールアカウントの窃盗・悪用、経営者や社外の権威者などの成りすましなどがよく見られる手口です。
内部不正による情報漏えい
企業の関係者による機密情報の持ち出しや悪用を内部不正といいます。関係者は従業員だけでなく、業務委託先や取引先の人物、退職者なども含まれます。
内部不正では金銭目的のほか、企業に対する恨みを晴らすために行われるケースも少なくありません。内部不正は、発覚しても被害や犯人がはっきりしないことが多く、対策や再発防止が難しい面もあります。
マルウェア感染
マルウェア(malware)とは、Malicious(悪意のある)とSoftwareをあわせた造語で、悪意に基づいて作られたスパイウェアやウイルスなどのプログラムのことです。一般的に、ユーザーに対して不正な被害をもたらすソフトウェアはマルウェアと呼ばれます。
パソコンがマルウェアに感染すると、情報流出やデータ破壊などが行われます。感染経路はさまざまですが、代表的なルートの1つはメールの添付ファイルを開封することです。
フィッシング詐欺
フィッシング(phishing)とは、魚釣り(fishing)を元とする造語です。フィッシング詐欺とは、大手ECサイトや銀行を装い、ユーザーを偽のサイトに誘導する手口を指します。
偽のサイトにアクセスしてパスワードや個人情報を入力すると、データが不正に盗まれて悪用されるのがフィッシング詐欺の手口です。偽のサイトは巧妙に作られており、本物と見分けるのが年々困難になっています。
不正アクセス・改ざん
アクセス権限のない第三者が不正にシステムにログインすることを不正アクセスと呼びます。悪意のある第三者のアクセスを許してしまうと、情報の改ざんが行われるケースもあります。企業への不正アクセスでは、顧客の個人情報流出といった二次被害に発展する場合も少なくありません。
サイバー攻撃への対策
サイバー攻撃への対策としてはサイバーセキュリティの強化や、情報セキュリティの強化が有効です。
サイバーセキュリティの強化
サイバー攻撃からデバイスやデータを守るためには、セキュリティソフトやセキュリティサービスを導入することが不可欠です。また、パスワードの管理も大切となるため、従業員それぞれの管理手法について指導することも欠かせません。思わぬ人物のデータへのアクセスを防ぐため、共有設定を見直す必要もあります。
情報セキュリティの強化
情報セキュリティとは、機密性と完全性といった、情報の安全を守ることをいいます。完全性とは、情報が破壊や改ざんされていない状態を保つことです。
業務で扱うパソコンやスマートフォンから情報が漏えいする場合も珍しくないため、社内ではデバイスの取扱についてのルール決めが欠かせません。セキュリティの専門家による研修の実施も有効です。
セキュリティの専門サービスを導入する
サイバー攻撃の被害を受けないためには、セキュリティシステムの強化と従業員の意識改革の両方が求められます。しかし、企業が独自にセキュリティシステムを構築することは、技術などの面でも難しいでしょう。また、従業員の教育にはセキュリティの専門家が必要です。
セキュリティの専門サービスを利用すれば、迅速に安全なセキュリティシステムを導入できます。従業員の研修などでもサポートが受けられるためおすすめです。
まとめ
サイバー攻撃は年々件数が増加し手口も巧妙になっています。インターネットが普及し事業に不可欠なものとなるなかで、サイバー攻撃への対策は企業運営において欠かせません。しかし、企業が独自にセキュリティを強化することが難しい場合もあります。
KDDI まとめてオフィスではKDDIが長年培った高品質でセキュアな通信を軸に、課題への最適なITソリューションをワンストップでご用意しています。企業のセキュリティを強化するサポートも行っていますので、サイバー攻撃の対策で悩んでいる場合、まずはお問い合わせください。
※ 記載された情報は、掲載日現在のものです。
