皆様の会社ではセキュリティ対策されていますか?また、その対策は万全でしょうか?
私の担当させていただいているお客様の中には、
「うちには関係ないと思っているから何もしていないよ」
「あまり気にしていない。うちなんか狙ってこないよ」
などという声があったりします。
本当にそれで大丈夫なのでしょうか。
そこで、サイバー攻撃の現状というお話からサイバー攻撃のトレンド、手法についてご紹介させていただきたいと思います。セキュリティに関してこれはマズイ!と思う内容を中心に皆様にお届けしております。ぜひ今後の参考になさってください。
サイバー攻撃の現状
突然ですが、皆様が考える「ハッカーに狙われやすい企業」とはどんな企業をイメージしますか?
「大手企業」、「お金を持っていそうな企業」、「個人情報を沢山扱っていそうな企業」
といったイメージされる方も少なくないのではないでしょうか。
ニュースなどでは「〇〇社がサイバー攻撃を受け・・・」や、「〇〇病院がサイバー攻撃を受けたことにより・・・」などといった報道がされることをよく目にします。その被害規模(金額やダメージ)が大きいため、そういった報道だけの視点から上記のような企業が狙われやすいといったイメージを持ってしまっているのではないでしょうか?
しかし、セキュリティ攻撃を受けた企業を調べてみると、実際には上記のような企業に限ったことではないのです。中小企業は狙われないと思い込み、何も対策していなかった企業が狙われるパターンも数多くあります。
もちろん、ハッカーとしては「大手企業」などを狙うパターンもありますが、そういった企業は大抵しっかりとサイバー攻撃における対策を行っていると考える傾向にあります。そのため、簡単にはシステムを破ることは出来ませんし、ハッカーにとっては破るための非常に大きな時間と根気が必要となります。しかし、破られてしまった際には被害規模が大きいものとなってしまいます。
では、「うちは大丈夫!」ということでセキュリティ対策を全くしていない企業の場合はどうでしょう?
対策をしていなければ攻撃を受けやすい状況となりますし、ハッカーから見れば対策しているのか、していないかはすぐにわかってしまいます。また、簡単に複数の企業を狙うことができるため、時間をかけるよりも狙いやすい企業に的を定めます。さらに攻撃しやすい企業数を増やしてDDoS攻撃等の踏み台に利用するという考えで狙っているハッカーも数多くおります。サイバー攻撃による被害規模としては数千万円 ~ 数億円とも言われております。
このような内容から、「うちにはセキュリティ対策は必要ない!」という考え方は非常に危険と感じませんか?会社、お客様を守るという点から、セキュリティに関して改めて社内でお話しいただく事をお勧めいたします。
サイバー攻撃のトレンド
上記にてセキュリティ対策の重要性をお伝えさせていただきました。現在のサイバー攻撃にはどういったものがあるのかを、一例としてお伝えさせていただきたいと思います。
ここ数年のハッカーの動きとして、企業における機密情報を人質にとり、データと引き換えに「身代金」を要求するといったランサムウェア攻撃が激増しております。ランサムウェア攻撃の流れとしてはまず、勝手にファイルを暗号化したりパスワードを変更したりすることで、正常にシステムにアクセス出来ないようにしてしまいます。その後、システムへアクセスさせる代わりに金銭を要求してきます。
最近ではランサムウェア攻撃がさらに悪質化しています。前述の身代金に加えて、「人質にとった情報」や「人質にとった事実」を公開する代わりに金銭を要求するという具合にダブルエクストーション(二重恐喝)を行うパターンも増えてきており、そういった影響により身代金の額も年々増加しているといわれております。
また、ランサムウェア攻撃の手法などをサービスのパッケージとして販売しているハッカー集団もいます。サイバー攻撃に関しての知識があまりないような人でも、サイバー攻撃を実行することが出来てしまうといった情報もございます。
このランサムウェア攻撃を防ぐために、まずはハッカーに自社の情報を勝手に操作させない、詐取をさせないという対策が必要となりますので、そういったセキュリティ対策が必要になると考えております。
様々なサイバー攻撃手法
ハッカーがサイバー攻撃を行う目的は様々かと思います。「金銭目的」もしくは「愉快犯」が多く、サイバー攻撃の種類としては新・旧を合わせるとかなりの数がありますが、その中でも私からお伝えしたい4つの攻撃手法(パターン)についてご紹介いたします。
【代表的なサイバー攻撃手法(パターン)】
- 標的型攻撃:特定のターゲットをあらかじめ決めて狙う攻撃
- ランダム攻撃:不特定多数の企業やユーザーを狙った攻撃
- 対象のシステムに負荷をかける攻撃
- OSやソフト、Webサイトなどの脆弱性を狙った攻撃
この中には、これまでにご紹介した「ランサムウェア攻撃」や電子メールなどを送りユーザーをだます「フィッシング攻撃」、Webサイトを始めとしたサーバやネットワーク装置に過剰な負荷をかける「DoS攻撃/DDoS攻撃」、アプリケーションの入力値チェックをかいくぐって不正なデータベース操作を指示する「SQLインジェクション攻撃」など様々な攻撃の方法があります。日々新しい攻撃の手法が生まれ、多くの企業がサイバー攻撃の対象とされている状況です。
そういった中で自社の情報、顧客の情報をしっかり保護していくための何かしらの対策をしていく必要があるのではないでしょうか。
まとめ
「『ウチは関係ないでしょ』その考えが危険!様々なサイバー攻撃の方法を学んでみよう」と題して、ご説明してまいりました。どの企業がハッカーから狙われているのか、いつ、どこで、どういったサイバー攻撃を受けてしまうのかわからない時代となっております。
まずは皆様が社内で、セキュリティの考え方が現在のままで良いのか、変えていかなければならないのか、話し合うことをお勧めします。その話し合いの結果、セキュリティ対策をしていかなければならないといった結論となった際、サイバー攻撃への対策サービスがあります。
【サイバー攻撃方法に対する対策】
- WAF:システムへの入り口でしっかり守る
- 脆弱性診断:システム内部の弱点を知り根本的な解決を図る
自社としてどこを強化していかなければならないのかしっかりご検討ください。焦ってサービスを契約してしまい、求めているものとマッチしないサービスを導入してしまっても意味がありません。慎重に検討してみてください。
弊社ではWAF及び脆弱性診断のサービスもございます。どうしたらよいのかわからない!といったお悩みがございましたらお気兼ねなくお問い合わせください。どうしていくべきなのか一緒に考えていきましょう。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
