企業が狙われやすいサイバー攻撃の種類とその対策

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。

この記事では、企業が注意すべきサイバー攻撃の種類とあわせて、求められるセキュリティ対策方法について解説します。

サイバー攻撃とは

サイバー攻撃とは、サーバー、パソコン、スマートフォンなどのデバイスに対して、ネットワークを通じて情報の盗取・改ざん・破壊行為を行うことを指します。2000年以前のサイバー攻撃は愉快犯的なものが多かったともいわれますが、近年では営利目的で企業活動に多大な影響を及ぼす大きなリスクの1つです。

情報漏えいによる企業の社会的信用の失墜、個人情報の売買を目的とした情報の盗取、営業妨害を目的としたものなど、サイバー攻撃の目的はさまざまです。また、近年ではクラウドサービスの普及やスマートフォン、IoT機器の登場でサイバー攻撃の種類も多様化しました。

企業としてサイバー攻撃に備えることは大きな課題の1つであり、顧客や協力企業などを守るためにもセキュリティ対策は欠かせないものとなっています。

サイバー攻撃の種類 

適切なセキュリティ対策を取るためには、サイバー攻撃の手法を知ることが重要です。特に企業が狙われやすいサイバー攻撃の種類・手法を簡単に紹介します。

標的型攻撃メール

標的型攻撃メールは、取引先や社内の人間になりすましたメールを送信し、マルウェア感染やフィッシングサイトへ誘導する攻撃です。不特定多数にメールをばらまくスパムメールとは異なり、特定の企業や組織、個人を標的としています。標的型攻撃メールは、実在する人物からのメールのように見えるため、被害に遭う企業が少なくありません。近年では特に注意すべきサイバー攻撃の1つといえるでしょう。

ランサムウェア

ランサムウェアは、データを暗号化して利用できない状態にし、復号のために身代金を要求するマルウェアの一種です。データが利用できない状態となるため、業務を継続できなくなり企業活動に多大な影響を及ぼします。ランサムウェアの被害にあって1週間～2ヵ月以上復旧にかかった企業の事例もあり、調査・復旧費用は1,000万円以上を要すこともあります。

エモテット

エモテット（Emotet）は、おもにメールを感染源としたマルウェアの一種です。エモテット自身は不正なコードを含んでおらず、感染した後にその他のマルウェアを侵入させるプラットフォームの役割を持っています。標的型攻撃メールのように実際にありそうなメールを送信し、添付されたファイルを実行することで感染します。エモテットはさまざまなサイバー攻撃の入り口として利用されるものであり、その被害範囲は社外にもおよびます。

サプライチェーン攻撃

原材料の調達から販売までの一連の流れである「サプライチェーン」を悪用した攻撃です。おもに2つの攻撃手法があります。1つ目は標的となる企業の委託先や発注先の開発過程でマルウェアを潜ませて標的企業を攻撃する方法、二つ目は委託先・グループ企業などを攻撃し、それを足がかりに標的企業に侵入する方法です。

DoS・DDoS攻撃

DoS/DDoS攻撃は大量のデータや処理要求を攻撃対象のサーバーに送りつけ、サーバーダウンを狙う攻撃です。DoS攻撃は1台のコンピューターから行われるため、IPアドレス制限などで簡単に対処できましたが、それを発展させたDDoS攻撃では不特定多数のコンピューターから攻撃が行われます。WebサイトやWebサービスを提供している企業は特に注意したい攻撃の1つです。

Webサイトの改ざん

DoS/DDoS攻撃とあわせて、Webサイトの改ざんも注意しましょう。Webサイトの内容が改ざんされるだけでなく、不正なコードやマルウェアを仕込まれる可能性があります。Webサイトの改ざんをきっかけに、フィッシングサイトなどへ誘導して攻撃者が利益を得るだけでなく、踏み台となった企業は社会的信用を失墜する可能性があります。

SQLインジェクション

SQLインジェクションは、データベースを操作するSQLを外部から発行し、データベース内部の情報を盗取したり、改ざんしたりする攻撃です。WebサービスのフォームなどからSQLを発行して攻撃を行います。

水飲み場型攻撃

水飲み場攻撃は、攻撃対象のユーザーがよくアクセスするWebサイトを改ざんし、閲覧するだけでマルウェアに感染させる攻撃です。特定企業の社員などをターゲットとして、企業が持つ情報を盗取することを目的としています。

キーロガー

キーロガーはパソコンやスマートフォンなどのデバイスにインストールし、入力を監視して情報を盗み取る攻撃です。パスワード入力などの情報を監視してログを取得することで、不正アクセスなどに用いられます。

ブルートフォースアタック

ブルートフォースアタックは総当たり攻撃とも呼ばれ、機械的にパスワードを総当りで入力して不正アクセスを試みる攻撃です。ブルートフォースアタックではユーザーIDを固定してパスワードを変えながら試行しますが、反対にパスワードを固定してユーザーIDを試行する「リバースブルートフォースアタック」もあります。

パスワードリスト攻撃

こちらも不正アクセスを目的とした攻撃であり、事前に入手したIDやパスワードをリスト化して試行する攻撃です。ダークウェブなどでアカウント情報が売買されていることもあり、近年注意すべき攻撃となっています。

クレデンシャルスタッフィング攻撃

近年では一人の人間がクラウドサービスを始めとする多くのWebサービスを複数利用しており、IDやパスワードを使い回す例も少なくありません。クレデンシャルスタッフィング攻撃では、盗まれたアカウント情報で大規模な自動ログイン要求を行い、不正アクセスを狙う攻撃です。特定のWebサイト・システムだけでなく、関連するサービスなどへの不正アクセスにも利用されます。

企業に求められるサイバー攻撃への対策

多種多様で巧妙なサイバー攻撃から企業を守るためには、技術的・物理的・人的対策が必要です。

技術的対策はシステム的な対策として、セキュリティ対策製品の導入やOS・ソフトウェアの最新化などの仕組みとしての対策です。物理的な対策はオフィスの出入り口に生体認証を用いる、監視カメラを導入する、パソコンをワイヤーロックで施錠管理するなどの物理的な対策を行います。

これらとあわせて、社員教育や運用ルールの周知徹底といった人的対策が非常に重要です。企業側でどれだけ対策を実施しても、従業員のセキュリティリテラシーが低いままでは昨今のサイバー攻撃を防ぎきれません。

技術的・物理的対策と人的対策は相互に補完し合う関係であり、三位一体となったセキュリティ対策を実施しましょう。

その他にも、定期的にセキュリティ診断を受け、対策状況をアップデートし続けることも重要です。

この記事のまとめ

サイバー攻撃について理解を深め、しっかり対策しましょう。

サイバー攻撃は企業活動に多大な影響を及ぼします。セキュリティ対策は企業における重要な課題の1つであり、自社だけでなく顧客や取引先なども守るために実施しなければなりません。

企業が狙われやすいサイバー攻撃の種類を把握し、技術的・物理的・人的な観点からセキュリティ対策を実施しましょう。