近年、サイバー攻撃は多様化し、被害が急増しています。
サイバー攻撃とは、個人情報や金銭を目的に、インターネットを通してサーバーやパソコンに対して行う攻撃のことです。
企業は、サイバー攻撃を受け情報漏洩する事態になれば、社会的な信用も落ち最悪の場合は事業存続の危機になる可能性もあります。
サイバー攻撃を防ぐためには、最新のサイバー攻撃の手口を理解し適切な対処をしなければいけません。
そこでこの記事では、2022年度のIPAランキングを元に近年多いサイバー攻撃の種類や被害・対策について紹介します。

 

IPAのランキングから見るサイバー攻撃4種類！被害と対策

IPAから、「情報セキュリティ10大脅威 2022」が公開されています。
これは、2021年に発生した中でも社会的に影響が大きかったと考えられる脅威の中から、情報セキュリティ分野の有識者の投票で決められたものです。
以下に、「組織」分野の順位を抜粋します。

順位	組織
1位	ランサムウェアによる被害
2位	標的型攻撃による機密情報の窃取
3位	サプライチェーンの弱点を悪用した攻撃
4位	テレワークなどのニューノーマルな働き方を狙った攻撃
5位	内部不正による情報漏洩
6位	脆弱性対策の公開に伴う悪用増加
7位	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
8位	ビジネスメール詐欺による金銭被害
9位	予期せぬIT基盤の障害に伴う業務停止
10位	不注意による情報漏洩等の被害

ここでは、ランキング上位3つのサイバー攻撃と、増加傾向にあるゼロデイ攻撃について被害と対策を解説します。

[1]ランサムウェア

ランサムウェアはサーバーやパソコンが感染すると、データが暗号化され利用できなくなるウイルスの一種です。
復旧に金銭を要求される、窃取した情報を公開されるといった脅威があります。
メールやWebサイト・ネットワークから感染します。

被害

2021年、徳島県にある半田病院の電子カルテシステムがランサムウェアに感染しています。
8万5千人分の患者データにアクセスできず2ヶ月間新規患者の受け入れを停止しました。
原因はVPNの脆弱性を放置していたためと見られています。

対策

対策には以下のようなものがあります。

• 不明なファイルやリンクをクリックしない
• 機器の脆弱性対策を行う
• バックアップの取得

取得したバックアップを復旧させられることも確認しておきましょう。

[2]標的型攻撃

標的型攻撃は、機密情報の窃取や業務妨害を目的として特定の組織をターゲットにする攻撃です。
メールのファイルやリンク、改ざんしたWebサイトなどにアクセスさせることで、ウイルスに感染させます。
特に近年は「Emotet（エモテット）」と呼ばれる不正メールを送って感染させるマルウェアが急増しています。

被害

2019年12月、NTT西日本グループ会社の社員のパソコンがEmotetに感染し、不審メールが送信されていたことが報告されています。

顧客を含むメールアドレスが流出した可能性もあるということです。

対策

対策には以下のようなものがあります。

• 怪しいメールを開かないなど社内ルールの運用
• セキュリティ教育の実施
• 統合管理ツールでのリスクの可視化（セキュリティ対策状況を確認）

[3]サプライチェーン攻撃

サプライチェーン攻撃は、目的の企業を直接攻撃せず、セキュリティが弱いサプライチェーンを攻撃することでそこを踏み台とし、目標とする企業を攻撃するサイバー攻撃です。
攻撃を受けることで機密情報の漏洩や信用の低下などの被害が発生し、取引先に影響が及んだ場合は損害賠償を求められる可能性もあります。

被害

2022年2月にトヨタのサプライチェーンである自動車部品メーカーがサイバー攻撃を受け、トヨタの工場が一時操業停止をしています。
また他の事例では、顧客情報流出の被害もあります。

対策

対策には以下のようなものがあります。

• サプライチェーンの情報セキュリティの認証取得やセキュリティ対策の確認
• 業務委託や情報管理の規則の徹底
• 取引先の評価や選定

[4]ゼロデイ攻撃

ソフトウェアの脆弱性が発見された後に、セキュリティパッチが公開される前に脆弱性を狙って攻撃するのがゼロデイ攻撃です。
開発元からの情報が公開されていない場合は、対応が難しく対策も取りづらいという特徴があります。

被害

2021年4月、Pulse Secure社製VPNへのゼロデイ攻撃が確認されています。
修正プログラムの配布までは、暫定的な回避策をとるか製品の一時停止の対策が取られました。

対策

対策には以下のようなものがあります。

• サポート切れの製品の使用停止
• ネットワークの監視やファイアウォールでの通信の遮断
• EDRを導入して端末を監視する

その他のサイバー攻撃の種類

企業に脅威を及ぼすサイバー攻撃は前述した4つだけではありません。
ここでは、ランキングの他にも対策が必要なサイバー攻撃について2種類紹介します。

・DDoS攻撃

DDoS攻撃は、攻撃用マシンを使い大量のトラフィックを送信してサーバーに過大な負荷をかけ、サービスを停止させる攻撃です。
ECサイトなどの場合、機会損失につながります。
同じような攻撃にDoS攻撃がありますが、DoS攻撃が攻撃マシンと対象マシンの1対1で攻撃を行うのに対し、DDoS攻撃は攻撃マシンが分散されていて複数の機器から攻撃されます。
対策としては、DDoS対策ソリューションを導入しましょう。

・不正アクセス

第三者が本人になりすまして社内サーバーやサービスにアクセスします。
サーバーに侵入されると個人情報の流出につながる危険なサイバー攻撃です。
なりすましのためにIDやパスワードを入手する方法には以下のようなものがあります。

• パスワードリスト攻撃：使い回したパスワード情報を入手し他サービスにログインする
• ブルートフォース攻撃：あり得る全てのパターンのパスワードでログインを試みる
• リバースブルートフォース攻撃：IDの文字列を変更してログインを試みる

不正アクセスの対策には、パスワードの使い回しをやめる、2段階認証を導入するなどが有効です。

まとめ

サイバー攻撃の種類について解説しました。
サイバー攻撃は業務やサービスの停止、情報漏洩のリスクもあり、事前に対策をしておきたいところでしょう。
サイバー攻撃の手口は多様化しているため、対策をするには従業員へのセキュリティ教育や社内ルールの策定が必要です。
また、対策ソリューションの導入も有効です。攻撃を受ける前に自社のセキュリティリスクを把握し、適切な対策を検討しましょう。