サイバーセキュリティとは?初心者向けにわかりやすく解説
サイバーセキュリティとは?
サイバーセキュリティとは、サイバー空間における情報資産を保護するための活動です。サイバー空間とは、インターネットやイントラネットなどのネットワークと、そのネットワークに接続されたコンピューターやその他のデバイスの集合体です。
そして、情報資産とは、企業にとって重要なデータやシステムを意味します。
つまり物理的な鍵や金庫のようなセキュリティとは異なり、サイバー空間、つまりはインターネットや社内LAN、PCやサーバー、スマートフォンなどに関するセキュリティのことを言います。
そのサイバー空間で、昨今、毎年被害が拡大しているのが、サイバー攻撃です。
サイバー攻撃とは、サイバー空間における情報資産を侵害する行為です。サイバー攻撃には、マルウェア感染、不正アクセス、データ改ざん、サービス妨害など、さまざまな種類があります。
被害にあうまで、多くの企業ではこの分野への対策が売上アップ等よりも後回しにされがちです。
しかし、サイバー攻撃の被害は、企業の経営に大きな影響を与える可能性があります。具体的には、データの流出や改ざん、システムの停止などにより、売上や利益の減少、顧客の離反、ブランドイメージの低下などが発生する可能性があります。
サイバーセキュリティ対策とは?
そして、こういったサイバー攻撃から守る方法をサイバーセキュリティ対策といいます。
サイバーセキュリティ対策とは、サイバー攻撃から情報資産を守るための活動で、ハードウェアやソフトウェアの導入、従業員教育、セキュリティポリシーの策定など、さまざまな方法があります。
サイバーセキュリティ対策は、中小企業にとっても重要です。特に中小企業は、大企業に比べてセキュリティ対策にかけるリソースが限られているため、より効果的な対策が必要です。
サイバー攻撃の種類
敵を知り、己を知れば・・・という言葉もありますが、サイバーセキュリティ対策を理解するには、まずどんな攻撃があるかを理解することが重要です。サイバー攻撃には、さまざまな種類がありますが、ここでは、代表的なサイバー攻撃の種類をいくつかご紹介します。
フィッシング攻撃
フィッシング攻撃とは、ユーザーを騙して不正なサイトに誘導し、個人情報やパスワードを盗み取る攻撃です。フィッシング攻撃は、メールやSMS、SNSなどのさまざまな方法で行われ、ユーザーは気付かないうちに不正なサイトに誘導されてしまいます。
Amazonや銀行などを語ったメールが届いているのをみなさんも経験あるのではないでしょうか。
なお、こういったフィッシングメールはかなり巧妙になってきています。
取引先を装ったりすることで、それこそITに詳しい企業の従業員がクリックして、被害が発生するという事例もでています。
マルウェア感染
マルウェアとは、コンピューターやネットワークに不正に侵入し、悪意のある動作を行うソフトウェアです。マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなど、さまざまな種類があります。
マルウェアに感染すると、コンピューターやネットワークが不正に操作され、データが盗まれたり、システムが停止したりする可能性があります。
ランサムウェア
ランサムウェアは、攻撃者が被害者のデータを暗号化し、その解除キーを提供する代わりに身代金を要求するタイプのマルウェアです。攻撃者は通常、仮想通貨(ビットコインなど)での支払いを要求します。このランサムウェアが大流行していて、被害にあう日本企業が増えています。このランサムウェア対策をどうするかは最も重要なポイントです。
ランサムウェア攻撃の特徴として、1台のPCに侵入された後、横展開で別のPCやサーバーへ被害が拡大、さらにGoogleドライブやSharePoint、OneDrive、AWSなどのクラウド上のデータにまで侵入されて、顧客データを暗号化されてしまうケースがあります。
有名な事例としては、2023年6月に被害発生した社労士向けシステムのエムケイシステム社があります。
実は弊社もエムケイシステム社のツールで、勤怠管理を行っていて、ある時期から従業員から出退勤打刻ができないと報告が上がってきました。
原因がわからずにいたのですが、数日後に報道発表で、ランサムウェアに感染したことがわかりました。
その後も復旧はなかなか行われず、約3週間後に、一部システムのみAWS上で再開したと発表があり、弊社も打刻ができるようになりました。
こちらは日経XTECHに掲載されていたそのときの時系列の推移です。
https://xtech.nikkei.com/atcl/nxt/column/18/00084/00270/
この事例では、被害発生から復旧まで、約1か月を要したことがわかります。また、
そもそも予定していたAWSへの移行を突貫で行って、再開させたそうですが、その予定がなかったら、さらに再開まで時間がかかったと想像されます。
ゼロデイ攻撃
ゼロデイ攻撃は、脆弱性が公に知られる前にそれを利用する攻撃を指します。これらの攻撃は特に危険であり、対策が困難です。
SQLインジェクション
SQLはデータベースを扱う言語の総称で、多くの企業のHPやサーバーにはSQLがつかわれています。
例えば、WordPressもMYSQLというデータベースが使われていますので、本当に多くの企業で実はSQLというデータベース言語を使っていると言えるでしょう。
インジェクションは、注入という意味で、SQLインジェクション攻撃とは、攻撃者がデータベースに対する操作権を取得するために、ウェブサイトの入力フィールドに悪意のあるSQL文を挿入する方法です。
たとえば、名前を入れる欄に、通常は入力しないコマンドを入れることで、データベースにアクセスができるんです。
これにより、外部から、HPを改ざんしたり、データベースの情報を削除したりすることが可能になります。
DDoS攻撃
分散型サービス妨害(DDoS)攻撃は、一つのシステムやネットワークに大量のトラフィックを送り込むことでサービスを遮断する攻撃方法です。特定のHPやウェブサービスに大量のトラフィックが集まると、サーバーが処理しきれずダウンしてしまいます。
内部者による攻撃
内部者による攻撃は、組織の内部から行われる不正行為で、従業員や契約者が悪意を持って、または誤って情報を漏らすことがあります。自社の従業員に限らず、下請けや取引先が、データを持ち出すこともあります。
また、悪意を持っていなくても、データの入ったPCやUSBを外で紛失するというケースもあります。
不正アクセス
不正アクセスとは、許可されていないユーザーがコンピューターやネットワークに侵入する攻撃です。不正アクセスは、パスワードの漏洩や脆弱性の悪用など、さまざまな方法で行われ、ユーザーは気付かないうちにコンピューターやネットワークに侵入されてしまいます。
最近はパスワードのリストが海外で販売されていたりして、それをもとに不正に侵入されるケースもあれば、パスワードの総当たり攻撃で特定されてしまいアクセスされるケースがあります。
また、SQLインジェクションもこれに含まれる攻撃ですね。
ビジネスメール詐欺
これは、取引先になりすまして、支払先の変更依頼をし、攻撃者の口座に振り込ませるようにする攻撃です。日本でも実際に被害が発生していて、IPA(情報処理推進機構)が発表した「情報セキュリティ白書2023」でも以下の様に掲載されています。
サプライチェーンへの攻撃
直接その企業を攻撃するのではなく、そこの企業にアクセスできる取引先やベンダーを攻撃し、そこから横展開で狙っている企業にアクセスする攻撃です。
2023年夏に名古屋港のシステムがランサムウェアに感染する事件が発生しましたが、こちらはそこにアクセスできる別企業に侵入されたのが、初期侵入経路であったことがわかっています。
以下の事例は、大阪の急性期・総合医療センターが攻撃を受けたときの侵入経路です。給食サービスを提供していた生長会という企業のデータセンターのVPN機器(fortigate 60E)に侵入。
その後、横展開で広がっていき、大阪急性期・総合医療センターのサーバーや端末に被害が発生しました。
自社のサイバーセキュリティ対策を怠ると、取引先にも影響してしまう可能性があることも考慮しておかなければいけないと思います。
ソフトウェアの脆弱性をついた攻撃
ソフトウェアの脆弱性とは、ソフトウェアに設計上の欠陥やエラーが存在することです。この脆弱性を悪用することで、攻撃者はソフトウェアを不正に操作したり、データにアクセスしたり、システムを停止したりすることができます。
ソフトウェアの脆弱性は、さまざまな方法で発見されます。攻撃者自身が脆弱性を探す場合もあれば、ソフトウェアの開発者が脆弱性を公開する場合もあります。
こういった脆弱性が見つかった場合、以下のサイトに公開されています。
https://jvndb.jvn.jp/
定期的にこちらをチェックしていると、自社で使っているソフトについての脆弱性がアップされるので、驚きます。
一度、上記のサイトにて自社で使っているソフトウェアを検索してみてください。
Microsoft365やWordPress、Googleなどのワードを入れて、
検索期間は1年位前に設定して検索してみましょう。
いかに、頻繁に脆弱性情報がアップされているかが、よくわかります。
参考までにWordPressで検索する事例をご紹介します。
ここでは2023年1月以降の脆弱性を検索してみます。
172件の脆弱性が掲載されていることがわかりますね。
よく見ると、ほぼすべてプラグインですね。
試しに検索キーワードに「form」を追加して検索してみます。
そうすると、4件ヒットしましたね。人気のContact Form7やMW WP Formなどの脆弱性が出てきました。
このどちらかのフォームプラグインをお使いのHPが非常に多いのではないでしょうか?
この右側にある5.4とか8.3などの数字は危険性の高さを表す「深刻度」で、数字が大きいほど危険で、至急アップデートをする必要があるというものです。
試しに、深刻度8.3のMW WP Formの脆弱性の中身をチェックしてみます。
そうすると、だれが報告した脆弱性かなどの概要がまず表示されます。
下にスクロールしていくと、どのバージョンで影響があるのか、またどんな影響を受ける可能性があるかが書いてあります。
対策としては、最新版にアップデートをするようにと書いてありますね。
このように、ソフトウェアの脆弱性は、セキュリティパッチというプログラムのアップデートを行うことによって修正されます。
それから、過去の脆弱性を悪用されてしまった有名な事例として、FortiGateのVPNソフトウェアがあげられます。
2022年10月に公表されたこの脆弱性は、アップデートをしないでいると、ハッカーに悪用されて、企業のLAN内に侵入されるという事例が発生しました。
ランサムウェアの主要な侵入経路は、実はこういったVPNになります。きちんと最新バージョンへソフトをアップデートすれば解決できるのですが、UTM機器というPCとは違った機器のソフトアップデートを積極的に行えない企業が多かったのだろうと推測できます。
セキュリティパッチは、ソフトウェアの開発者が脆弱性を修正するために提供されるソフトウェアの更新で、セキュリティパッチを適用することで、ソフトウェアの脆弱性を悪用した攻撃から身を守ることができます。
この最新パッチを従業員に、しっかりと適用するように通知することが肝要になります。
PC、スマートフォン、サーバー、UTM、NAS、ルーター、監視カメラ、IP電話等社内にあるIT機器の管理ソフトとインストールされているアプリの定期的なアップデートを実施していくことが必要です。
ソフトウェアの脆弱性対策としては、次のようなものがあります。
- 最新のセキュリティパッチを適用する
- 強力なパスワードを使用する
- 不正なメールを開封しない
- 不正なウェブサイトにアクセスしない
- ウイルス対策ソフトをインストールする
- 従業員を教育する
ソフトウェアの脆弱性対策を講じることで、ソフトウェアの脆弱性を利用した攻撃から身を守ることができます。
ここまでいくつかのサイバー攻撃をご紹介しましたが、どれも中小企業にとっても大きな脅威です。
なぜなら、資金力が乏しい中小企業からすると、1回のセキュリティ事故によっておきた損害や信用失墜で、経営を続けるのに、重大な影響がでる恐れもあるからです。
また、中小企業は、大企業に比べてセキュリティ対策にかける資金や人材などのリソースが限られているため、より効果的な対策が必要です。
そのため、中小企業は、これらのサイバー攻撃の種類を理解し、効果的な対策を実施することで、サイバー攻撃から情報資産を守るべきでしょう。