日々進化をし続けるサイバー攻撃の脅威。2020年現在では、これまでにも注意喚起されていたランサムウェアや標的型攻撃に加えて、IoT環境の構築や在宅ワークの導入にともなう新たなセキュリティ課題も浮上しています。
ここでは、いま注意すべきこれらのセキュリティ脅威についてまとめて紹介します。
ページコンテンツ
2020年:留意すべきセキュリティ脅威8つ
ランサムウェア
PCに侵入して不正を行うマルウェアのうち、PCをロック・ファイルを暗号化するなどして操作・閲覧不能にして、ユーザーに身代金を要求するものを「ランサムウェア」と呼びます。
身代金を支払わないとファイルを削除されてしまうものや、たとえ支払ってもファイルを復元してくれないものなど、その種類はさまざまです。
ランサムウェアは、2017年に世界規模で多発した「WannaCry」を筆頭に2016~2017年頃に猛威を振るいましたが、それ以降も依然として多数被害が報告されています。
身代金で収入を得ることを目的としているため、近年は企業をターゲットにしたランサムウェアも増加しているようです。
主な感染経路はWEBサイト・フィッシングメール・USBなどで、感染してから一定期間の潜伏したのち作動するものもあります。
DDoS攻撃
サーバに対して1箇所から大量のアクセスを行い、過剰な処理を要求してそのサービスを停止させる攻撃を「DoS(Denial of Service)攻撃」といいますが、その発展版といわれるのが「DDoS攻撃」です。
「DDoS(Distributed Denial of Service)攻撃」は、サーバに対して複数箇所から大量のアクセスを行うという点で、これまでのDoS攻撃と区別されます。
DDoS攻撃は、DoS攻撃のように単一ボットから行われる攻撃ではなく、複数の手段による「マルチベクトル型攻撃」を仕掛けられるケースが増えており、企業側には複数のネットワーク・アプリケーションに対して同時かつ大量に行われるアクセスを想定した対応が求められています。
ボットネット
ボットネットは、PCに侵入して遠隔操作を行い、感染したPCを他のコンピュータやサーバに攻撃を行うための「踏み台」として利用できるようにするためのマルウェアです。「ボットネット」とは厳密にはマルウェアの名称ではなく、原因となるマルウェアに感染した特定のネットワーク(ボットネットワーク)のことを指します。
ボットネットの最大の恐ろしさは、感染したコンピュータを所有者が気づかないうちにDDoS攻撃やスパムメール送信といった悪事に利用されてしまうことでしょう。感染したコンピュータから個人情報を抜き取られたり、仮想通貨のマイニングなどに利用されたりと、一度感染するとさまざまな被害に合う恐れがあるため、注意が必要です。
感染対策としては、OS・アプリケーションの更新プログラムを適用して常にコンピュータを最新の状態に保っておくこと、不審なメールを受信しても添付ファイルは開かないこと、信頼のおける提供元以外からソフトウェアをインストールしないことなど、基本的な対策および従業員のリテラシー教育が有効です。
Emotet
Emotetは、過去のメール情報から「なりすましメール」を自動作成して拡散し続けるマルウェアです。
2014年には既に存在が知られていたマルウェアですが、セキュリティソフトでの検知が困難という特徴から、特に2019年秋頃に世界規模での感染拡大・被害増加が報告されています。
国内のとある大学では、約1万8千件のメール情報流出という大規模な事故も発生しました。
被害拡大の要因は、過去に送受信したメールの文面が引用されているために、受信者がマルウェアによる不審なメールだと気づきにくい点にあります。加えて、Emotetは外部のC&Cサーバ(コマンド&コントロールサーバ)とやり取りを行うことで機能のアップデートを繰り返しており、状況に応じて異なる手法を使い分けるため、セキュリティソフトでの検知が困難です。
こちらの記事で、Emotetの詳細と具体的な対策について解説しています。
とは?広がる危険性といま行うべき方法-120x120.png)
また、Emotetについてより詳細な情報・対策方法をまとめた無料資料もこちらからダウンロード可能です。
標的型攻撃(メール)
不特定多数に攻撃を仕掛けるのではなく、特定の企業・組織を狙ったサイバー攻撃のことを「標的型攻撃」と呼びます。特に2020年は東京五輪を控えているので、いま日本企業に対する標的型攻撃が急増すると予測されています。
標的型攻撃の手段としてメジャーなのが「標的型メール(=フィッシングメール)」です。業務連絡や問い合わせ、サービス紹介などを装って受信者にリンク・ファイルを開かせ、前述のランサムウェアやDDoS攻撃、ボットネット、Emotetなどさまざまなマルウェアへの感染を狙います。
標的型メールに対して有効な対策は、「受信者へのリテラシー教育」と「侵入を前提としたセキュリティ体制の構築」です。
まず受信者へのリテラシー教育として代表的なのは、「標的型メール訓練」でしょう。標的型メール訓練とは、訓練対象の社員にはなにも伝えずに、擬似的な標的型メールを送信して標的型メールに対処できたかどうかを計測し、その後のサイバーセキュリティ教育に活かす訓練方法です。
「侵入を前提としたセキュリティ体制の構築」も忘れてはなりません。標的型攻撃に限らず、マルウェアへの感染を100%防ぐことはできないとされるいま、侵入を前提としたセキュリティの構築はなくてはならないものです。(詳細は本記事の末尾で解説。)
IoT環境構築で起こる脅威
昨今では、製造業における「スマートファクトリー」や医療・看護領域におけるセンサーの高度化など、IoTを事業で活用する動きが活発化してきました。
しかし一方で、IoTデバイスやIoTネットワークに関わるセキュリティの問題は置き去りにされがちな傾向にあります。発展途上の段階にあるIoTは、いずれも充分なセキュリティ対策が施されているとは言い難い状況です。あらゆる機器・設備がネットワークに接続されて利便性を増す一方、そこを起点としたマルウェアへの感染や乗っ取りといった被害にあうリスクの拡大は避けられません。
具体的には、IoT機器を踏み台とした「ボットネット」の脅威や、IoT機器を媒介とした中枢コンピュータへの侵入・機密情報の抜き取りなどが懸念されます。
対策としては、総務省・経済産業省が公開している「IoTセキュリティガイドライン」などを参考に、IoT環境のセキュリティを整備することが必要です。
在宅ワークで起こる脅威
「働き方改革」や「新型コロナウイルス」の影響を受けて、在宅勤務を推奨する企業が増加している昨今。Web会議ツールやWi-Fiネットワークの整備などに目が向けられていますが、セキュリティ面での課題があることも忘れてはいけません。
たとえば、以下のような項目をクリアにする必要があります。
- 機密情報・個人情報などを社外に持ち出す場合の 「閲覧制限」、「パスワード設定」、「コピー制限」などの実装と運用ルールの整備
- PC・USBメモリなどの機器を社外に持ち出す場合、 万が一の機器紛失や覗き見(=ショルダーハッキング)にどう備えるか?
- 公共の場・自宅のWi-Fiに接続した場合のセキュリティリスクにどう備えるか?
- VPN接続環境 / シンクライアント環境などの構築にともなうセキュリティ対策
以下の記事で、在宅ワークで懸念されるリスクと対策について詳細を説明しています。
内部不正/トラブル
企業は、社外からのサイバー攻撃のみならず、社内でのセキュリティリスクにも注意しなくてはなりません。サイバーセキュリティにおけるインシデントの多くは、従業員の不注意によって生じているといわれています。
たとえば、社員のパスワード管理の実態やメールの運用方法、Free Wi-Fiなどの不審なネットワークに繋がないといったセキュリティリテラシーは、1つ1つは些細なことながらも、重大な事故に繋がりかねない大切な項目です。
また、「不審なメールに添付されたURL・ファイルは絶対に開かない」「フリーソフトウェアをインストールしない」といったルールを敷いていても、それらがすべて守られているとも限りません。
従業員のセキュリティリテラシーを高めること、および万が一のインシデントに備えたセキュリティ体制の構築が重要となります。
これから取るべきセキュリティ対策
CSIRTの設置
「CSIRT(Computer Security Incident Response Team)」は、セキュリティ事故は必ず起こるという前提のもと設置される、企業内部のセキュリティ対策の専門組織です。
CSIRTの役割は大きく2つあります。1つは「組織内部への技術的支援・ノウハウ提供」、もう1つは「組織外部との調整や情報収集」です。サイバー攻撃の巧妙化や未知のマルウェアに備えて、情報収集とセキュリティ体制の見直し・更新を行います。
日本での設置はまだ20%程度と低いものですが、欧州では78.0%、米国では90.1%と一般的に設置されている組織です。マルウェアの侵入を前提とした対策が求められるいま、今後は企業にとってますます必要な組織といえます。
NISCの基準に対応
日本のサイバーセキュリティ強化の中核である、内閣サイバーセキュリティセンター(NISC)。
NISCでは企業がいま実施すべきサイバーセキュリティの基準を定め、Webサイト等で公開しています。しかし、いまこれらのセキュリティ基準を満たせている企業はあまり多くないといいます。
NISCが提供する「情報セキュリティハンドブック」に沿って、セキュリティを強化することをおすすめします。
在宅ワークのセキュリティガイドラインを策定する
在宅ワークの導入にともない欠かせないのが、新たなセキュリティガイドラインの策定です。
社内の技術的な環境整備から各種運用ルールの策定、従業員への周知・徹底まで、きちんと整備しましょう。セキュリティガイドラインを策定するうえで参考になるのが、経済産業省が公開している「在宅勤務における情報セキュリティ対策ガイドブック」です。
こちらの概要は以下の記事でもまとめていますので、よろしければご覧ください。
侵入を前提とした防御方法を実装する
ご存知のとおり、サイバー攻撃とサイバーセキュリティは長年いたちごっこの状態が続いています。次々に新しいマルウェアが誕生し、まだセキュリティパッチの配布されていない新たな脆弱性を突いた攻撃が発生するいま、いくら対策を強化してもマルウェアへの感染を完全に防ぐことはできません。
そこで、マルウェアの感染・侵入を前提とした次の防御ステップが必要です。
たとえば、その選択肢の1つとなるのが「OSプロテクト型」のセキュリティです。マルウェアを検知して駆除する従来の「検知型セキュリティソフト」と異なり、OSプロテクト型セキュリティはOS・レジストリなどのコンピュータの中枢に対して本来想定されていない動作をすべてシャットアウトするという仕組みのセキュリティです。
これにより、マルウェアにファイル・プログラムを書き換えられてしまうことを防ぎ、個人情報の流出や2次感染、乗っ取りやボットネットのように他のコンピュータへの攻撃の踏み台にされるといった事態をすべて防ぐことができます。
OSプロテクト型のセキュリティについては、こちらのページで詳細を紹介していますので、ぜひご覧ください。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
