不正アクセス・サイバー攻撃増加中｜いま企業に必要なセキュリティ対策

リモートワークや巣ごもり需要によるオンライン購買の拡大などの影響により、Webトラフィックが急増し、同時に不正アクセスなどのサイバー攻撃も増加傾向です。サイバー攻撃を受けると、企業のブランドイメージを損ねたり信頼を喪失したりするという経営リスクがあります。そのため、サイバー攻撃の被害事例を知り、対策を検討する必要があるのです。
 
Webセキュリティを高め、不正アクセス対策を検討するヒントを「増加している不正アクセス・サイバー攻撃被害事例と企業におけるセキュリティ対策の重要性」と題して、警察庁セキュリティ対策会議委員も務めるクラウドセーフ代表取締役の平原氏が講演を行いました。
 

独立行政法人　情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威 2020」では、2019年に発生した情報セキュリティにおける事案のうち、特に社会的に影響が大きかったものをランキング形式で紹介しています。
 
本講演では、昨今のサイバーセキュリティトレンドからWebにかかわるものをピックアップして紹介。
 

組織（企業）への攻撃は、Webサイトの改ざん、関係者をターゲットにしたものが多く、代表的なものは以下の4点です。
 
・標的型攻撃による機密情報の窃取
・ランサムウェアによる被害
・インターネット上のサービスからの個人情報の窃取
・サービス妨害攻撃によるサービスの停止
 
標的型攻撃の多くは迷惑メールによるもので、メールに添付ファイルやリンクを添え、それらをクリックした場合にウィルスを感染させます。
 
一方、Webサイトの改ざんによる標的型攻撃は「水飲み場攻撃」とも呼ばれ、企業の顧客やパートナー、関係者がターゲットとなりうるものです。ターゲットがあるサイトを利用すると、Webサイトを改ざんするマルウェアが実行されたり不正サイトへのリダイレクトが行われたりします。
 
またランサムウェアは、ファイルの暗号化や画面ロック等を行うコンピュータウィルスの一種です。ランサムウェアによる被害では、今まで使っていたファイルの利用を停止し、復旧に金銭を要求する被害が発生しています。セキュリティ対策が甘く脆弱なままWebを放置すると、サイトが攻撃されて自らが加害者になる可能性もあるのです。

続いて、昨今のサイバー攻撃件数に関して紹介。
2020年5月～8月の123日間で、「攻撃遮断くん」「WafCharm」で観測されたサイバー攻撃の数は約1億1,864万件、1日平均では約96万件と膨大であることがわかります。
 
攻撃状況の内訳をみると、Blacklisted user agent（脆弱性スキャンツールを利用したBotによる攻撃）38％、Web attack（Webサーバを構成するソフトウェアの脆弱性を突いた攻撃）30％、
Web Scan（攻撃の対象を問わず無作為に行われる攻撃）12％、というWebサーバを構成するソフトウェアなどへの脆弱性スキャンが大半を占めています。
「Webサイトは常に攻撃に晒されているという意識を持つことが大切です。」（平原氏）
 

次に、2020年9月から10月に報道された事例について、サイトの種別や被害事例の紹介が行われました。「一般的な報道でも十分状況がわかるため、ぜひ見てもらいたい」と平原氏。
 
例えば、2020年に報道されたあるネット証券の事例では、不正アクセスで顧客のログインIDとパスワードを使用して、1件あたり149万円の不正出金が行われています。
 

 
サイバーセキュリティトレンドで紹介したとおり、サイバー攻撃はシステムの脆弱性のほか、パスワードリスト攻撃も多くみられます。個人でできる対策として、サイトごとのパスワードは使いまわさずに1件ごと変更することが非常に重要です。

サイバーセキュリティの目的はセキュリティリスクを低減にあります。「災害、事業環境、戦略、財務、事故・故障など事業にかかわる他のリスクと同様に、どこまで投資して費用をかけるかは経営判断である」と平原氏は言います。

そして企業におけるサイバーセキュリティ対策として、やるべきことは明確であり「インシデント（＝サイバー攻撃など）の発生の抑制」「インシデント発生時の被害最小化」なのです。そこで企業では、サイバーセキュリティ対策として組織を置くのが一般的として2つの組織を紹介。
 
・SOC（Security Operation Center）：情報システムへの脅威の監視、分析を行う役割や専門組織
・CSIRT（Computer Security Incident Response Team）：コンピューターに関するセキュリティ事故の対応チーム
 

セキュリティ対策部門があっても「サイバー攻撃を受けていることに気づかない」「気づいていても何が原因かわからず最小化できない」というケースがあります。
 
「先の不正アクセスの事例においても、報道が行われた時点よりも前から攻撃を受けていたのは明らかですが、どのくらいの期間攻撃されていたのかははっきりしない場合も多くみられます。まずはサイバー攻撃を受けているか知る必要があり、攻撃を受けている場合は最小化に努めることが重要です。」（平原氏）
 
MITRE社の「MITRE ATT＆CK」では、12の攻撃戦略と205のテクニックを公開しています。攻撃者と企業には境界線はあるものの、攻撃者は企業のサイトや端末内に侵入してからも、ADサーバや機密情報を扱う端末などいろいろな場所で行動を行うことが理解することができます。

海外の場合、セキュリティ対策のきっかけがトップダウンであることが多いものの、日本の場合は「インシデントが起きたから」とすでに問題が発生した事後対策で始まる場合が多くみられます。
 
「企業のシステムでは、通常のファイヤーウォールがあってもWebアプリケーションごとのファイヤーウォールがない場合があります。すべてのネットワークは安心だと過信せず「ゼロトラスト」の考え方に移行しなければなりません。」と平原氏。
 
ゼロトラストへ向けたガイドラインとして、情報処理推進機構の「NIST Cybersecurity Framework 1.1」が参考になります。「識別」「防御」にとどまらず「検知」「対応」「復旧」と、攻撃を受けることを前提にして攻撃を受けた後の対策項目まで明示されているのが特徴です。
 

最後に、平原氏は孫子の兵法になぞらえて「攻撃者の攻撃戦略や手法を知り、自組織でのセキュリティ対策をすべき」と強調し、講演を結びました。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。

ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。

ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。