今年に入り、三菱電機やNECという大手企業がサイバー攻撃や不正アクセスを受けていたことを公表しました。またソフトバンクは作業文書を無断で持ち出した社員を懲戒処分にしたことを公表しました。
大手企業ではセキュリティ対策を施しているにもかかわらず、このようなセキュリティインシデントが多発しています。どうすればサイバー攻撃や不正アクセスなどのセキュリティインシデントを未然に防ぐことができるのでしょうか。
そこで本記事では、どのようなサイバー攻撃が増えているのか、その特徴と対策について解説します。
大手企業を狙ったサイバー攻撃事件の概要
大手企業が狙われていることを世間に知らしめた事件の第一が、三菱電機の事件です。
三菱電機は2020年1月20日、「不正アクセスによる情報流出の可能性について」というリリースを発表しました。それによると、2019年6月28日に同社では端末の不審な挙動を認識。速やかに外部からのアクセスを制限するなどの対策を講じたとのこと。「社内調査の結果、個人情報と企業機密が外部に流出した可能性は確認しているが、防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い情報や取引先に関わる重要な情報は流出していない」と発表しています。
この三菱電機の公式発表の11日後の1月31日に、NECが第三者によるサイバー攻撃を受けていたことを発表しました。
NECが不正アクセスを受けていたのは、防衛事業部門で使っている社内サーバ。同社では未知のマルウェア検知システムを導入していましたが、2016年12月以降行われた攻撃の初期侵入および早期の内部感染拡大を検知ができなかったと言います。
2017年6月にセキュリティ企業の脅威レポートに記載された通信パターンの発生有無を確認した結果、社内PCから不正通信が行われていることを確認し、感染PCの隔離・調査、不正通信先の検知、遮断をするなど対応しましたが、社内サーバに保存されていた2万7,445件のファイルに対して不正アクセスが行われていたことが判明。情報流出などの被害は確認されておらず、またこれらの情報に機密情報や個人情報は含まれていなかったとのことです。
前記の2件は不正アクセスによるものでしたが、「内部犯行」により情報漏洩事件が発生したのがソフトバンクです。ソフトバンクは2020年1月25日、同社の元社員が無断で作業文書などを社外に持ち出し、不正競争防止法違反の容疑で逮捕されたことを公式に発表しました。
同元社員は2019年12月中旬に懲戒解雇されており、また持ち出した文書には、機密性の高い情報は一切含まれていなかったという発表でした。
これらのサイバー攻撃にはどのような特徴があるのか?
IPA 独立行政法人情報処理推進機構セキュリティセンターが発行している「情報セキュリティ10大脅威2019」によると、組織に対する脅威の第1位は「標的型攻撃」です。
標的型攻撃を行う攻撃者はeメール本文のリンク先や添付ファイルにウイルスを仕込み、リンクや添付ファイルを開かせることでPCをウイルスに感染させ、その後、組織内部に潜入します。そして組織内部の侵害範囲を拡大しながら重要情報や個人情報を窃取するという攻撃手法を採ります。
組織に対する脅威の第2位は「ビジネスメール詐欺」による被害です。取引先や経営者とやりとりするようなビジネスメールを装い、攻撃者の用意した口座に送金させるという詐欺の手口です。
第3位は「ランサムウェア」による被害です。eメールの添付ファイルや本文中のリンクを開かせることで感染させ、復旧するには金銭を支払うように脅迫するという手口です。
第4位は「サプライチェーンの弱点を悪用した攻撃」です。業務委託先でセキュリティ対策の低いところを狙って、そこに被害を及ぼすだけではなく、業務委託元の企業に被害を及ぼすというものです。
第5位が先のソフトバンクの例で登場した「内部不正による情報漏洩」です。組織の従業員や基従業員などが機密情報を持ち出すという不正行為です。
先の三菱電機の事件は標的型のゼロディ攻撃。セキュリティホールに対する修正プログラムが提供される前に行われるサイバー攻撃が仕掛けられたと言われています。
このような日本の大手企業を狙っているのは、主に海外のハッカー集団です。例えば三菱電機やNECにサイバー攻撃を仕掛けたのが、中国のハッカー集団「ティック (別名:ブロンズバトラー)」ではないかと言われています。このほかにも、中国には軍や諜報機関に属するハッカー集団のほか、民間の集団も存在するそうです。
またソフトバンクの事件で、情報を受け取ったと言われているのがロシアの外交官です。ここ数年、ロシア政府の背後にも複数のハッカー集団が組織されており、活動を活発化していると伝えられています。
脅威に対抗するために企業として取り組むべき事項とは?
ではこれらの脅威にどのように対抗していけばよいのでしょうか?
情報セキュリティ対策には「物理的対策」と「論理的対策」があります。
物理的対策の例としては、不審人物に侵入されないよう、入退室管理システムを設置することが挙げられます。
一方の論理的対策としては、アクセス制御や認証、暗号化の仕組み、マルウェア対策ソフト、フォレンジックツールなどシステム的な対策を施すほか、情報セキュリティポリシーの策定や運用、監視、見直しの実施などの管理的対策、さらには社員のセキュリティ教育や、サイバーレジリエンス (サイバー攻撃を受けても影響を最小化し、早急に元の状態に戻すこと) を実現する仕組みの設置などが挙げられるでしょう。
政府が作成した「サイバーセキュリティ対策情報開示の手引き」からもわかるとおり、今後、企業におけるセキュリティ対策の情報開示が促進されていくと思われます。また2020年1月27日、総務省のサイバー攻撃強化に関する有識者会議において、個人情報などの流出が疑われる時点で速やかに公表することが望ましいという提言が出されました。
企業は重要な経営課題として、今後ますます「セキュリティ対策」に取り組んでいくことが求められてくると言えるでしょう。
まとめ
今後、日本では世界的なスポーツイベントが開催されます。全世界の人たちが注目するイベントです。
ハッカー集団は日本の企業や組織に向け、様々なサイバー攻撃を仕掛けてくることが考えられます。
IoTの普及によりインターネットにつながるデバイスも年々、増えています。激しさを増す外部環境の変化を見逃さず、社内システムに対する不断の見直しを続けることが、サイバーセキュリティ対策の基本といえるのではないでしょうか。