日本の社会を震撼させた、日本年金機構の100万件規模の個人情報漏えい事件。これは、中国人民解放軍のハッカー部隊が、日米を狙った可能性が高いと指摘されています。

また、コインチェックの仮想通貨「NEM」流出も、北朝鮮からのサイバー攻撃と噂されています。このように、日本企業や政府機関を対象としたサイバー攻撃は海外からもおこなわれているのです。

では、日本はどれほどサイバー攻撃のリスクがあるのか、データをもとに現状を解説していきます。

日本におけるサイバー攻撃被害の現状

2019年2月にNICT(情報通信研究機構)が公開したデータによると、2018年に観測されたサイバー攻撃関連の通信は合計で約2,121億パケット。年間1IPあたり約79万パケットが届いたといいます。

このようにサイバー攻撃の件数は毎年増加しており、前年と比較すると20万件以上も増加しています。これはあくまでNICTが観測した数のみなので、実際はより多くの攻撃がされていると考えられます。

日本の企業がサイバー攻撃に狙われる背景

サイバー攻撃のターゲットになりやすいのは、おもにつぎのような企業といわれています。

  • クレジットカード情報を持っている企業
  • ハイテク産業などの多くの機密情報や特許情報を持っている企業
  • 膨大な個人情報を扱う組織や小売業、製造業

日本企業がサイバー攻撃で狙われやすいのは、危機管理の低さ、情報セキュリティは良く分からないと後回しにしていることが多いためです。

また、日本企業は被害があっても公開しないことが多いといわれます。これにより、サイバー攻撃の手法が広まりにくく、対策できないまま未知の攻撃を受けるため、攻撃を増やしているといわれます。



東京五輪に向けてサイバー攻撃のリスクが上がっている

日本は2020年に東京五輪の開催を控えており、サイバー攻撃のターゲットとしてセキュリティリスクが高まっています。

2億件のサイバー攻撃があったロンドン五輪

2012年に開催されたロンドン五輪の際、電気インフラへのサイバー攻撃や五輪の公式サイトに2億件を超えるサイバー攻撃あったと報告されています。

このとき、ロンドンでは電気インフラへのサイバー攻撃の訓練を5回実施、公式サイトも400億PVにも耐えられるように設計されていたこともあり、被害を出すことなく無事に大会が終了しました。

すでに狙われている東京五輪

2015年11月、東京五輪・パラリンピック大会組織委員会のサイトが、約12時間アクセス不能になりました。これは一時的に大量のアクセスを集中させてサーバーをダウンさせる「DoS攻撃」が原因でした。

アクセス不能になった以外に被害はありませんでしたが、2020年の開催に向けてさらなるサイバー攻撃が実行される可能性は大いにあります。

とくに東京五輪ではモノのインターネットと呼ばれる、IoT(Internet of Things)やM2M(Machine to Machine)などの最先端機器が多くの場面で使われます。

このような機器がサイバー攻撃やハッキングを受けてしまったら、どのような事故が起こるか想像もつきません。より警戒を高めていく必要があるといえるでしょう。

サイバー攻撃に使われるおもな攻撃の種類

企業を対象にしたサイバー攻撃としては、以下のような手法がよく使われます。攻撃について知ることで、対策に活かしてみてください。

標的型攻撃

標的型攻撃とは、企業を標的にしてその社員が開きそうなメールを作成し、その本文にウイルス感染するURL、もしくは添付ファイルを添付するという攻撃手法です。

ウイルス感染してしまうと、そのパソコンやサーバーが乗っ取られ、情報を盗まれるなどの被害が考えられます。対策としてはソフトウェアのアップデート、メールをむやみに開かないなどがあります。

security_2246

標的型攻撃メールとは | 特徴と見分けるためのチェックポイント

DoS攻撃(DDoS攻撃)

DoS攻撃は1台のパソコンからサーバーに高負荷をかけてダウンさせる攻撃です。DDoS攻撃はこれを複数台のパソコンからおこなうことをいい、より厄介な攻撃となります。

この攻撃を防ぐには、特定のIPからのアクセスを制限したり、海外からのアクセスであれば日本国外からのアクセスを制限したり、などの方法があります。

security_2220

DoS攻撃の方法 | ハッカーはどのように攻撃をおこなうのか?

ブルートフォースアタック

総当たり攻撃とも呼ばれます。その名の通り、ツールを使ってログイン画面でIDとパスワードの組み合わせを大量に試行し、ログインできた場合にそのユーザーの情報を盗むというものです。

ツールを使えばログインの試行も短時間で大量におこなえるので、単純なID・パスワードであればすぐに特定されてしまうでしょう。

ユーザーのログイン機能のあるサービスを運営していて、この攻撃が成功してしまうと、大量の個人情報が漏えいや、最悪の場合はクレジットカード番号が漏れて悪用される被害も想定されます。

SQLインジェクション

脆弱性(弱点)があるサイトに、データ管理システムで使われる「SQL」と呼ばれる言語で、悪意ある命令文を注入(インジェクション)することで、データベースの不正操作を可能にしてしまう攻撃です。

これを防ぐには、不正な命令文が注入されないよう「エスケープ」と呼ばれる処理をおこなうなどの対策が必要です。

security_2228

SQLインジェクションとは?脆弱性を悪用された被害事例

クロスサイトスクリプティング

WebアプリケーションやWebサイトの脆弱性を利用し、不正なスクリプト(プログラム)を埋め込み、ユーザーの送信した情報などを盗むサイバー攻撃です。

こちらもSQLインジェクションと同様にエスケープ処理をおこなう、WAF(Web Application Firewall)、XSSフィルタといったセキュリティ対策製品を導入するなどの対策が必要です。

クロスサイトスクリプティングの対策方法

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトにセキュリティの脆弱性が見つかり、その修正版が公開される前にその弱点を突いておこなわれる攻撃のことをいいます。

この対策としては、すぐにそのソフトのメーカーが公開した推奨設定にし、修正版が公開されたらすぐアップデートすることが重要です。

security_2205

ゼロデイ脆弱性の脅威|セキュリティソフトは効果なし!?

日本の企業がおこなうべきサイバー攻撃対策

実際に発生しているサイバー攻撃の96%は、以下のように最低限の基本的な防御策で防ぐことができます。

IDやパスワードの適切な管理

利用するサイトのパスワードを複雑で長めのものにし、サイト毎に変えるなどの対策で不正アクセスの被害を防ぐことができます。

企業のパスワード管理

企業のパスワード管理を安全におこなう方法

OS・ソフトウェアのアップデート

OSやよく使うソフト、またセキュリティソフトの最新バージョンが公開されたら、早めにアップデートすることでセキュリティ性を高めることができます。

サーバーやWebアプリに対する不正アクセスの遮断

社内のサーバーやWebアプリに対して、必要な人間以外がアクセスできないようにアクセス制限をかけたり、見えてはいけないページが一般ユーザーに見えないようにしたりすることが重要です。

ログの監視

社内サーバーやサイトに監視、いつ誰がどうアクセスしたのか、定期的にログを監視しておきましょう。そうすることで、もし不正アクセスを受けてもすぐに気づくことができます。

また、これらの対策のほかにも内部の人間が情報を漏らしてしまわないように教育したり、契約を交わしたりすることも重要です。

security_2292

新入社員には最低限のセキュリティ基本教育が必須

まとめ

日本がサイバー攻撃に狙われる理由の一番は、セキュリティ意識の甘さです。とくに中小企業は「自社は狙われない」と思っており、「費用を割けない」とセキュリティ対策の優先度が低くなりがちです。

しかし、このように意識の低い企業を探し出して、狙って攻撃するのが攻撃者です。そのターゲットとなってしまわないよう、上記のように基本的なセキュリティ対策はかならずやっておくべきでしょう。




security_2225
RELATED