世界では、国が主導してサイバー攻撃への対策に乗り出す例が増えてきています。
この動きは日本も例外ではありません。
こちらの記事では、サイバー攻撃の近況と日本で整備されている経済安保推進法についてお話しします。
サイバー攻撃の近況
近年、サイバー攻撃の被害件数は増加傾向にあります。
最たる理由として考えられているのは、インターネットの一般化、およびインターネット接続端末の増加です。
また、Webサービスの利用も急拡大しています。
それぞれの端末やサービスに不正侵入の入口が存在しているため、サイバー犯罪者にとってはターゲットを見つけやすい状況です。
セキュリティ技術も向上していますが、同時にサイバー犯罪の手口も巧妙化しているため、気づかずに被害を受けるケースや、被害が拡大・長期化するケースが目立っています。
今警戒すべきサイバー攻撃の種類
サイバー攻撃の種類は多岐にわたります。
現在は、以下のような複数のサイバー攻撃に警戒が必要です。
マルウェア
コンピューターやネットワークに被害を与える目的で開発されたプログラムを、総じてマルウェアと呼びます。
マルウェアがコンピューターに感染すると、さまざまな悪影響が生じます。
以下では、マルウェアの代表例をご紹介しましょう。
ウイルス
ウイルスは最も代表的なマルウェアです。
コンピューターに侵入すると、ファイルを媒介として増殖します。
主にメールの添付ファイルやWebサイト経由で侵入し、感染すると情報の取得、改ざんなど、不正な処理を行います。
ワーム
ワームは、コンピューター内で自己増殖する性質を持つマルウェアです。
ファイルを媒介とする必要はなく、コンピューターやネットワークに侵入した時点で拡散を開始します。
不正な処理を行うという点では、ウイルスとの違いはありません。
トロイの木馬
トロイの木馬は、ユーザーが気づかないところで不正な処理を行う、という性質を有するマルウェアです。
アプリケーション、テキストファイル、画像など問題がなさそうなデータを装ってコンピューターに侵入します。
長期間にわたってコンピューター内に居座りながら情報の不正送信、改ざんなどを行います。
スパイウェア
スパイウェアはその名のとおりスパイを模しており、コンピューターの中に潜み、ユーザーが気づかないうちに情報を外部へ送信します。
企業がマーケティングの目的で利用する場合もあり、必ずしも不正なものとは限りません。
ただし、悪質なものは情報を不正利用するために設計されており、セキュリティソフトなどでも検知されにくいため、注意が必要です。
ランサムウェア
近年被害が深刻になっているのが、ランサムウェアです。
侵入するとデータを暗号化し、利用できない状態にしたうえで、暗号解除と引き換えに身代金を要求します。
過去には大企業を対象にしたランサムウェアの被害がニュースになっています。
SQLインジェクション
SQLインジェクションは、Webサイトのフォームなどに不正なSQLの命令文を入力し、データベースに不正な処理をさせるサイバー攻撃です。
SQLとは、データベースを操作するための命令文のことです。
フォームにSQLの断片を入力されると、第三者によってデータベースを操作されてしまうケースがあります。
標的型攻撃
標的型攻撃とは、特定の企業をターゲットにしたサイバー攻撃のことです。
主に、機密情報の入手やシステムへの侵入による不正操作などで、企業に損害を与えることを目的としています。
ウイルス付きのメール添付ファイルなどが代表的な手口です。
問い合わせのメールを装うなど、巧妙化してきている点も特徴として挙げられます。
近年では、大企業はセキュリティが堅牢で侵入が難しいので、中小企業を狙う攻撃が増えています。
パスワードリスト攻撃
何らかの手法で入手したID、パスワードを利用し、別のWebサービスへのログインを試みるサイバー攻撃です。
ID、パスワードを複数のWebサービスで流用するユーザーが多い点に目をつけています。
不正ログインの手法としては、他にもIDとパスワードを総当たりするような方法もありますが、パスワードリスト攻撃の場合は実際に使われているログイン情報を流用します。
そのため、不正ログインされる確率が高まります。
ゼロデイ攻撃
ゼロデイ攻撃とは、システムやソフトウェアのまだ修正されていない脆弱性を突くサイバー攻撃です。
開発元は脆弱性を発見し次第、修正のためのアップデートプログラムを開発します。
サイバー犯罪者がこの対応よりも先に脆弱性を発見した場合に、攻撃を仕掛けます。
脆弱性を突くマルウェアをメールやWebサイト経由で配布する手口が一般的です。
セッションハイジャック
セッションハイジャックとは、ユーザーのセッションIDを入手し、Webサービスへの不正なログインを行うサイバー攻撃です。
セッションIDとは、それぞれのユーザーを識別するために付与されているIDのことです。
ユーザー本人以外に利用されると、アカウントを思うままに操作されてしまう可能性があります。
見に覚えのないクレジットカード支払い、銀行口座アカウントからの不正送金などが被害の代表的な例です。
バッファオーバーフロー攻撃
メモリが不具合を起こすほどのデータを一気に送り、不正な処理を行わせるサイバー攻撃です。
機密情報の流出や、意図していない他のWebサイトへの攻撃などが被害として挙げられます。
DoS
WebサイトやWebサービスへ意図的に負荷をかけ、機能や動作を妨害するサイバー攻撃です。
過度の負荷によってWebサイト・Webサービスが停止するケースもあります。
メールの大量送信や、「F5」キーによる短時間内の連続読み込みなどが代表的な手口です。
DDoS攻撃
DDoS攻撃は、DoS攻撃を組織的に行うサイバー攻撃です。
ひとつの端末で行う場合と比較して、Webサービス・Webサイトが受ける負荷が大きくなります。
また、攻撃の発信元を特定しにくいという特徴もあります。
APT攻撃
「Advanced Persistent Threat」の略であり、日本語では「高度で継続的な脅威」という意味になります。特定の標的に対して継続的に実施されるサイバー攻撃の総称です。
主にシステムへの侵入を目的とした「共通攻撃手法」と、情報の取得・改ざんを目的とした「個別攻撃手法」に大別できます。
サプライチェーン攻撃
製品が消費者に届くまでの行程にセキュリティの穴を見つけてサイバー攻撃を実施する手法です。
「サプライチェーン」とは、資材調達、製造、在庫管理、配送、販売といった一連の流れであり、その行程では自社以外の企業が関わることもあります。
関連企業の脆弱性を突いて侵入し、最終的に標的企業へと到達するのがサプライチェーン攻撃の狙いです。
国内のサイバー攻撃の現状
日本では、同じ日本国内のサイバー犯罪者から攻撃を受けるケースが増加しています。
特になりすましメールなどは、自然な日本語で書かれていることから警戒心を解いて開いてしまうケースが多いようです。
巧妙さを増しているため、明らかに怪しいメールやプログラム以外も注意する必要があります。
また、近年普及しているテレワークの脆弱性を突くサイバー犯罪も多いようです。
自宅やコワーキングスペースなど、社外から社内のネットワークにアクセスすることが増えました。
スマホ、タブレットとしたモバイルデバイスのビジネス利用が増えていますが、パソコンよりもセキュリティの甘い、モバイルを突いたサイバー攻撃も目立っています。
このような社外からアクセスに不正なプログラムを紛れ込ませる手口が増加しています。
サイバー攻撃の事例
以下では、国内外で起きている実際のサイバー攻撃の事例をご紹介します。
海外での事例
近年では、アメリカの原子力発電所が受けたサイバー攻撃の事例が大きな話題になりました。
勤務している技術者に対し、業務連絡を装って不正なプログラムを送信したことが明らかになっています。
大事には至りませんでしたが、広範囲の電力供給が止まる可能性があったサイバー攻撃の例として大きな注目を集めました。
また、世界ではランサムウェアの被害も拡大しています。
感染規模の大きさからとりわけ話題になったのが「WannaCry」というランサムウェアです。
企業では、業務用システムを暗号化され身代金を要求される事件が多発しました。
国内での事例
国内でもサイバー攻撃の例は数多く確認されています。
中小企業を狙ったサイバー攻撃も少なくありません。
健康食品を販売するECサイトでは、利用しているサーバーに不正プログラムが侵入する事件が起きました。
利用しているユーザーの個人情報やクレジットカード情報などが流出しています。
この事件によりサイトは一時閉鎖に追い込まれ、現在も状況確認や責任対応などに追われているようです。
また、ある加工食品会社では、役員のパソコンにマルウェアが侵入し、顧客情報が盗み取られる事件が発生しています。
結果として、企業としての信用を大きく落としてしまうことになりました。
サイバー攻撃被害の拡大は経済安保法案策定の理由のひとつ
こうしたサイバー攻撃被害が拡大していることから、日本では経済安全保障推進法が策定されています。
以下では、この経済安全保障推進法についてご案内します。
経済安全保障推進法とは
経済安全保障推進法とは、現岸田政権が掲げている「経済安全保障政策」において制定される法律です。
同法では、経済的な側面からの安全保障実現を目的としています。
2021年11月19日には、「経済安全保障推進会議」の第1回が開催されました。
この会議では、岸田首相が「経済安全保障法制準備室」の設定を表明しています。
さらに、有識者を交えて法案を多角的に検討することも決定しました。
その後、有識者会議が11月26日に開催されています。
また、会合による検討を重ね、2022年2月には法案への提言が公表されました。
産業のデジタル化で警戒されるサイバー攻撃の脅威
経済安全保障法案では3つの新たなトレンドが掲げられています。
そのなかのひとつが、「産業基盤のデジタル化と高度化」です。
産業基盤のデジタル化は、多くの業界に効率化の恩恵をもたらしましたが、それと同時に、企業のインフラがサイバー攻撃を受けるリスクも大きくなっています。
こうしたサイバー攻撃から基幹インフラを守ることも、同法案における経済安全保障のひとつと言えるでしょう。
政府の動き
政府は以下の14ジャンルを重要インフラとして認定しています。
- 情報通信
- 金融
- 航空
- 空港
- 鉄道
- 電力
- ガス
- 政府/行政サービス
- 医療
- 水道
- 物流
- 科学
- クレジット
- 石油
これらに属する事業者に対し、政府はサイバー攻撃への対策強化を呼びかけています。
まとめ
今やサイバー攻撃は国を挙げて取り組むべき問題になり、狙われやすい中小企業は特に油断できない状況です。
ビジ助channelでは、「サイバーセキュリティ」をはじめ、ビジネスパーソンの役に立つホワイトペーパーやブログを日々更新しています。
今後のセキュリティ対策の指針としてお役立ていただければ幸いです。
おすすめ資料ランキング
【著者・監修者企業】
弊社はパソコン周り、オフィス環境、法律の改正、コスト削減など、ビジネスに関わるお困りごとの解決策を提供する当サイト「ビジ助channel」を運営しています。
資格
一般建設業 東京都知事許可(電気通信工事業):(般-4)第148417号
古物商 東京都公安委員会許可(事務機器商):第304361804342号
労働者派遣事業 厚生労働省許可:派13-316331
小売電気事業者 経済産業省登録:A0689
電気通信事業者 総務省届出:A-29-16266
媒介等業務受託者 総務省届出:C1905391
関連SNS
- トータルサポート
-
-
- オフィス環境
-
-
- 目的別で探す
- ネットワーク環境
-
-
- 環境サービス
-
-
- 目的別で探す
- Webプロモーション
-
-
- 3Dソリューション
-
-
