近年、サイバー攻撃の数が増えています。情報通信研究機構(NICT)の調査によると、2021年の1年間において1 IPアドレスあたりに平均174万パケットのサイバー攻撃関連通信が検知されました。もはやいつでもサイバー攻撃を受けてもおかしくないといえます。
万が一サイバー攻撃を受けてしまったら、どのように対応すればいいでしょうか。適切な対応が取れなかった場合、被害の拡大や二次被害の発生もあり得ます。
この記事では、サイバー攻撃を受けた場合の対応方法について解説します。
近年、サイバー攻撃の数が増えています。情報通信研究機構(NICT)の調査によると、2021年の1年間において1 IPアドレスあたりに平均174万パケットのサイバー攻撃関連通信が検知されました。もはやいつでもサイバー攻撃を受けてもおかしくないといえます。
万が一サイバー攻撃を受けてしまったら、どのように対応すればいいでしょうか。適切な対応が取れなかった場合、被害の拡大や二次被害の発生もあり得ます。
この記事では、サイバー攻撃を受けた場合の対応方法について解説します。
サイバー攻撃とは、ネットワークを通じてサーバやパソコン、スマホなどの情報端末に行う攻撃です。攻撃によって情報端末のデータが改ざんされたり盗まれたり、場合によってはシステムが破壊されるケースもあります。
ここでは、サイバー攻撃の現状と近年急増する理由について解説を行います。
先述の通り、サイバー攻撃関連の通信数が1 IPあたり年間174万パケットに達し、10年間ではなんと66倍に増えています。
サイバー攻撃の種類はさまざまありますが、その中でSQLインジェクションという攻撃の割合が最も多いことがIIJ社の2022年4月の観測レポートからわかりました。
SQLインジェクションとは、Webアプリケーションの脆弱性を意図的に利用し、想定されない断片的なSQL文をアプリケーションに「注入(インジェクション)」・実行させる攻撃手法です。SQLインジェクションにより、データベースのデータが不正に読み取られたり改ざんや削除されたりする可能性があります。
以前は、嫌がらせや自分のITスキルを見せつける目的の攻撃者が多かったです。しかし近年では、金銭目的でサイバー攻撃を行う犯罪者が増えています。
なぜ金銭目的の攻撃者が増えているのでしょうか。実はダークウェブの普及と大きく関連しています。
従来、サイバー攻撃を行うには高度なITスキルや知識が必要でした。しかし、いまはダークウェブの普及によってサイバー攻撃用のツールやマニュアルが安く販売されているので、用意された手順に従えば高いITスキルを持たなくても攻撃ができてしまいます。
また、サイバー攻撃から盗んだデータをダークウェブを通して売ることも可能となったため、金銭目的のサイバー攻撃が増加しています。
一言でサイバー攻撃と言っても、さまざまな攻撃内容があります。攻撃内容によって受ける影響や被害も異なるので、ここではよくある3つのケースについて説明していきます。
マルウェアとは、コンピュータウイルスやスパイウェアなど悪意で作られたプログラムのことです。近年話題となったEmotet(エモテット)やランサムウェアは代表的な例として挙げられます。
マルウェアに感染してしまった場合、端末に保存されているデータが破壊されたり流出したりする可能性があります。ランサムウェア感染の場合、端末のデータが暗号化されて使えなくなります。
もし情報端末の処理が重くなったり突然シャットダウンしたり、もしくは金銭の支払いを求めるポップアップが出たりする場合は、その端末がマルウェアやランサムウェアに感染してしまっている可能性が高いです。
不正アクセスとは、アクセスする権限がないのにシステムやサーバに侵入する行為を指します。手口はさまざまありますが、その中で脆弱性を狙った攻撃が多いです。例えば、SQLインジェクションやクロスサイトスクリプティング(XSS)です。
脆弱性とは、プログラムの不具合やバグ、設計上のミスによって発生するセキュリティ上の欠陥(セキュリティホール)です。
不正アクセスによる影響が幅広くあります。例えば、Webサイトの改ざんやデータベースに保管された情報の窃取や流出です。また、乗っ取られた情報端末を踏み台として次のサイバー攻撃が仕掛けられることもあります。
情報端末がサイバー攻撃を受けてしまった場合、その中で保存されている情報が流出することがあります。マルウェア感染や不正アクセスによる情報漏えいもあります。
被害事例として、2022年6月に業界を代表するリサーチ・調査会社がSQLインジェクションというサイバー攻撃を受けて101,988件の個人情報が漏えいしてしまいました。また、2020年12月には国内の電子決済サービスも不正アクセスを受け加盟店及び自社社員の個人情報を含めた、2,000万件以上の情報が流出してしまいました。
情報漏えいは企業の信頼失墜につながるうえ、個人情報流出被害者側より損害賠償や慰謝料が請求されることがあります。賠償金額は場合によって異なりますが1人あたり35,000円の賠償が求められたという判例もありました。
また、個人情報保護法の規定によれば情報漏えいの詳細を個人情報保護委員会へ報告しなければなりません。報告義務違反をした場合50万円の罰金が科されます。
サイバー攻撃による二次被害も多くあります。二次被害を受けないために、サイバー攻撃を受けたあとの迅速かつ適切な対応が必要です。
ここでは、ケースごとにサイバー攻撃を受けたあとの対応について解説していきます。
マルウェア感染が疑われた場合、その情報端末を会社や家庭などのネットワークから隔離することが大事です。ネットワークを経由してほかの端末に感染を広げてしまうからです。
ネットワークからの隔離後、セキュリティソフトを使ってデバイスをスキャンしてマルウェアの駆除を試みます。一部駆除しづらいマルウェアもあります。セキュリティソフトで駆除できない場合は、情報端末のハードディスクを初期化する必要があります。
初期化実施時には、万が一に備えるため、外部のハードディスクやクラウド上にバックアップを取っておきましょう。
ランサムウェアにかかった場合、かけられた暗号を解くために「No More Ransom」プロジェクトに公開されている復号ツールを利用することがおすすめです。
不正アクセスされた場合、攻撃の手口を早急に特定することが重要です。自社での調査が難しい場合、デジタルフォレンジックサービスの利用も検討しましょう。
デジタルフォレンジックとは、情報端末の電磁的記録を調査・分析することです。サイバー攻撃の原因特定と情報漏えいの影響範囲の解析に有効です。
サイバー攻撃の手口を特定できたら、次は攻撃に合った対策が必要です。
例えば、SQLインジェクションを受けた場合「エスケープ処理」を行う必要があります。エスケープ処理とは、SQL文に含まれる特別な意味を持った文字を、普通の文字に変換することです。
また、脆弱性を狙った不正アクセスが多いため、不正アクセスが発覚した場合、使っているソフトウェアやアプリケーションの脆弱性を特定しパッチ適用やバージョン更新(アップデート)を速やかに実施しましょう。
さらに、不正アクセスの被害拡大や再発を防ぐためには、情報処理推進機構(IPA)に不正アクセスに関する届出を提出することをおすすめします。
情報漏えいが発覚した場合、二次被害にならないために迅速な対応が必要です。情報漏えいが発生した情報端末を、外部からアクセスできないように遮断しましょう。例えば情報の隔離やネットワークの遮断、サービスの一時停止です。
初動対応のあと、情報漏えいの原因調査を行ううえで、情報が流出してしまった個人や法人に通知しましょう。すべての関係者への個別通知が困難な場合、ホームページでの情報公開や記者会見などで公表を行う必要があります。
問い合わせやクレームが入ることも予想できるので、専用の窓口や応対チームなどの設置も検討が必要です。再発防止に向けた取り組みを検討しサービスの復旧も大事です。
先述の通り、個人情報保護法によると情報漏えいの事実を個人情報保護委員会に報告する義務があります。
また、個人情報保護法違反があった場合、個人情報保護委員会は、当該個人情報取扱事業者(企業や団体など)に対し、違反行為の中止やその他違反を是正するために必要な措置をとるべき旨を「勧告」することができます。
その勧告命令に従わなかった場合、法人は1億円以下の罰金が科されます。また、当該役員や従業員も処罰の対象となり、1年以下の懲役もしくは100万円以下の罰金が科されます。
ここで留意してほしいのが、情報漏えいの対応に関しては精神的な負担がとても大きいため、対応は原則としてチームで行うことが大事です。また、情報漏えい時の体制や連絡方法などを事前に規定し社内に周知しておくことで、万が一の場合でも慌てずに対応ができるでしょう。
二次被害や企業の信用失墜にならないために、サイバー攻撃をされてしまった場合には迅速な対応が必要です。攻撃の種類によって取るべき対応も異なるため、セキュリティの担当者として把握しておくことが大事です。
ただし、サイバー攻撃を受けてしまったあとの対応がとても大変で、対応のための人件費や損害賠償、罰金などによる高額な費用がかかる可能性もあります。特にWebサービスを提供している会社の場合は、サービスの一時停止による売上損失となることもあり得ます。
会社のWebサービスやWebサイトを含めたWebアプリケーションをサイバー攻撃から守るにはWAFというツールの導入がとても有効です。WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略称で、Webサイトを含めたWebアプリケーションへの通信の内容を細かく確認し、不正アクセスを検知・遮断するツールです。
ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!