最近よく耳にするサイバー犯罪。急増しているサイバー犯罪を対策するために、警察庁が2022年4月に「サイバー警察局」という約240人規模の組織を新たに設立しました。
自分自身を守るためには、サイバー犯罪を知り適切な対策を取る必要があります。この記事では、サイバー犯罪の定義やよく使われる手口を事例を交えながら解説します。
最近よく耳にするサイバー犯罪。急増しているサイバー犯罪を対策するために、警察庁が2022年4月に「サイバー警察局」という約240人規模の組織を新たに設立しました。
自分自身を守るためには、サイバー犯罪を知り適切な対策を取る必要があります。この記事では、サイバー犯罪の定義やよく使われる手口を事例を交えながら解説します。
サイバー犯罪とは、コンピュータ技術や電気通信技術を悪用した犯罪のことです。大きく分けると下記の3種類あります。
1つ目はコンピュータ犯罪です。コンピュータ犯罪とは刑法で規定されている電子計算機損壊等業務妨害罪をはじめとしたコンピュータまたは電磁的記録を対象とした犯罪です。企業のサーバに大量なデータを送り付けダウンさせることやオンライン端末を不正に操作することで業務妨害させることなどの行為はこの罪に該当します。
2つ目は1つ目のコンピュータ犯罪に該当しないコンピュータ・ネットワークを利用した犯罪です。例えば、特定の人について誹謗中傷の記事を作成・掲載することや脅迫恐喝電子メールを送ることです。
3つ目は不正アクセス禁止法違反です。他人のIDやパスワードなどを利用してログインしたり、脆弱性を突いたりして、本来はアクセス権限がないのに不正に利用できる状態にする行為をいいます。
被害に遭わないように、コンピュータ犯罪と不正アクセスに対して企業が適切な対策を講じる必要があります。
また、サイバー犯罪ととても似ている「サイバー攻撃」という言葉があります。サイバー犯罪を実行する際の具体的な手段はサイバー攻撃といいます。
サイバー犯罪は増加傾向にあります。警察庁の発表によると、2021年のサイバー犯罪検挙件数が2020年より23%増え12,209件に登り、過去最多となりました。
なぜサイバー犯罪が増えてきたのか?ここではサイバー犯罪が増加している背景と犯罪者の目的を解説します。
どうしてサイバー犯罪が増加しているのでしょうか。理由はさまざまですが、その1つはネットショッピングの普及です。
ネットショッピングの普及によって自社のECサイトを展開する企業も増えていますが、適切なセキュリティ対策を導入していないサイトも多く存在しています。そういったセキュリティ対策が不十分なサイトが犯罪者に狙われ、顧客の個人情報やクレジットカード情報が流出してしまう事例がよくあります。
もう1つはテレワークの普及です。コロナ禍の中、テレワークを許可する企業が増えてきました。外部から内部サーバにアクセスできるように、VPN機器を導入する企業も増加していますが、そのVPNの脆弱性が犯罪者に突かれ攻撃されてしまう事例も散見されます。
ではなぜサイバー犯罪者が企業に向けて攻撃を仕掛けるのでしょうか。原因は大きく2つあります。
1つ目は情報を窃取するためです。犯罪者が企業のシステムに不正侵入し、その機密情報や顧客の個人・クレジットカード情報を盗み取ります。手に入れた情報をダークウェブと言われる闇サイトで販売して現金化します。
2つ目は企業の情報システムの破壊や機能妨害です。犯罪者が企業のWebサイトを改ざんしたりDDoS攻撃を仕掛けてWebシステムを利用不能の状態に陥らせたりします。こういった犯罪によって、企業の売上減少や信用失墜に直結させることがあります。
ここまではサイバー犯罪のトレンドや背景について説明してきました。ここからはサイバー犯罪によく使われる攻撃手法について事例を交えながら解説します。
DDoS(Distributed Denial of Service)攻撃とは、複数のIPアドレスから大量の通信を送り付けサーバーダウンを狙う攻撃です。サーバーダウンによって会社ホームページやサービスサイトが動かなくなり、営業停止せざるえない場合があります。
古くから使われてきたDDoS攻撃ですが、近年攻撃の手口が巧妙化しつつあります。防御や追跡を難しくするため、他人のパソコンや防犯カメラ、ルーターなどを乗っ取ってDDoS攻撃を仕掛けるケースが多くなっています。
クロスサイトスクリプティング(XSS)とは、WebサイトのHTMLに悪質なスクリプトを埋め込む攻撃手法です。ユーザがWebサイトに情報を入力・送信する際に、埋められた悪質なスクリプトが実行され、入力された情報を攻撃者にも送信してしまいます。
古くから存在する攻撃手法ですが、XSSによるセキュリティリスクは高まっています。IPAの統計によると、2022年7~9月に報告された脆弱性のうち、XSSに関連するものは68件もあり最も多かったです。
出典:IPA ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第3四半期(7月~9月)
また、2021年9月に11社のECサイトがXSSを受けて合計最大43万件の個人情報が流出した事例もあるので、決して注意を怠ってはいけません。
SQLインジェクションとは、アプリケーションの脆弱性が悪用され、本来の意図ではない不当な「SQL」文が作成されてしまい、「注入(injection)」されることによって、データベースのデータを不正に操作される攻撃のことです。
SQLインジェクションにより、企業のデータベースに保存している機密情報や個人情報が不正に読み取られたり、漏えいや改ざんまたは削除されたりする可能性があります。
2022年5月に実際にあった例ですが、国内の人材会社が運営しているWebサービスのWebサイトがSQLインジェクション攻撃を受けました。それによって、最大298,826件の顧客情報が流出してしまいました。さらに、原因特定と改修のため、該当Webサイトが約3ヶ月間閉鎖されました。
近年急増しているランサムウェア。マルウェアの1種で、パソコンやサーバのデータを攻撃者しか読めないように暗号化する攻撃手法です。暗号解除の代わりに身代金を要求することが多いことから、ランサムウェアと呼ばれています。
ランサムウェアによる被害は絶えません。その中でも影響が甚大だったのが2022年10月に発生した大阪の病院における攻撃です。ランサムウェアによって、電子カルテを含めた病院内のシステムがすべて稼働不能となり、外来診療や一部の手術も停止せざるを得ませんでした。全面復旧に2ヶ月半もかかったので、多くの患者に影響を及ぼしました。
大手企業を狙うためによく使われる攻撃手法「サプライチェーン攻撃」。2022年3月に国内屈指の自動車メーカーもサプライチェーン攻撃の被害に遭い、国内すべての工場の生産ラインの稼働を1日ほど停止しました。
名前通り、サプライチェーン攻撃とは、中小企業や子会社をターゲットにして攻撃を行い、最終的に取引先である大手企業や親会社に更なるサイバー攻撃を仕掛ける攻撃手法です。
なぜわざわざ中小企業を狙うのでしょうか。原因のひとつは中小企業のセキュリティが比較的手薄だからです。
リソースが不足している中、大手企業のように専門的なセキュリティチームを配置することは中小企業にとっては容易ではありません。そのため、ファイアウォールやWAFなど基本的なセキュリティツールすら導入していない中小企業もあります。
大手企業に直接攻撃を行うより、セキュリティが比較的弱い中小企業をまず攻撃し、それを利用して大手企業に攻撃を行ったほうが成功しやすいため、サプライチェーン攻撃がサイバー犯罪者によく使われます。
ネットショッピングやリモートワークが増えている中、企業がサイバー犯罪に遭うリスクも増えています。商品を自社のECサイトで販売している中小企業から、大手企業まですべての企業がサイバー犯罪のターゲットになり得るので、自社を守るために適切なセキュリティ対策を行う必要があります。
セキュリティ対策の基本としてWAFの導入が推奨されています。WAFとは、Web Application Firewallの略称で、WebサイトやWebサービスなどのWebアプリケーションをサイバー攻撃から守るセキュリティ対策です。WAFの導入によって、SQLインジェクションやXSSなど、よく使われるサイバー攻撃を防ぐことができます。
ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!