新型コロナウイルス感染症の感染拡大により、多くの企業や教育機関でリモートワークやオンライン授業が導入されるようになりました。便利になった面もある一方で、オンライン化が急速に進んだことによるサイバー攻撃が増加していることもわかっています。そこで今回は、サイバー攻撃の事例とともに、個人で取りたい対策についても紹介します。
キャリアマップ編集部 文/ライター 西村友香理
年々悪質さが増しているサイバー攻撃
サイバー攻撃とは、インターネットを通してデータの破壊や窃盗、流出などを行う犯罪行為を意味します。「国がサイバー攻撃への対策を呼びかけている」という注意喚起のニュースが流れているのを見た人も少なくないのではないでしょうか。世界的にサイバー攻撃は年々増加しており、その脅威も増しています。
そもそも、なぜサイバー攻撃が行われるのでしょうか 。サイバー攻撃には、メールなどを介して悪意のあるサイトに誘導してパスワードや個人情報を不正に取得するフィッシングや、ソフトウェアのぜい弱性を利用して攻撃するものなど、さまざまな種類があります。
メールや偽サイトについては、一定の知識があればある程度は避けられる可能性があるものの、ソフトウェアのぜい弱性については完全に回避できるものではありません。なぜなら、人が開発する以上、設計やプログラミングのバグをゼロにするのは非常に難しいからです。そのため、「この企業が開発しているものなら大丈夫」と過信するのではなく、「セキュリティ上の問題が一切ないソフトウェアはこの世には存在しない 」と認識しておく必要があります。
また、ソフトウェアに何らかのぜい弱性が見つかった場合は、企業から修正プログラムが配信されるため、それらを適用することでサイバー攻撃を防ぐことが可能です。しかし企業がぜい弱性にすぐには気づかないケースもあります。ぜい弱性を発見したからといって、企業側が即座に対応できるわけではなく、検証を重ねてから修正プログラムを配信する必要があります。つまり、ぜい弱性が発見されてから企業が対策を取るまでの期間は無防備な状態。その期間を狙って攻撃する「ゼロデイ攻撃」の被害も近年増えています。
事例から見るサイバー攻撃の手口とは
ここからは、事例と合わせてサイバー攻撃の手口をいくつか紹介します。
~ランサムウェア~
【事例:ゲーム会社】
情報が暗号化された上に盗んだ情報を公開され、1100万ドル(当時の換算価格は約11億5000万円)もの支払いを要求される事態に発展。
これはランサムウェアによるサイバー攻撃によって発生した事例です。ランサムウェアはマルウェア(悪意のあるソフトウェアやコードの総称)の一種で、ファイルを暗号化し、データを普及させるための対価を要求するのが特徴です。警察庁の報告によると、2022年には計230件もの被害がありました。以前はメールやWebサイトが主な感染経路でしたが、近年はVPN機器などのぜい弱性を悪用して侵入されるケースが多くなっています。(出典:令和4年におけるサイバー空間をめぐる脅威の情勢等について/警察庁)
~標的型攻撃~
【事例:日本年金機構】
1通の偽装メールをきっかけに、約125万人の個人情報が流出。
特定の個人/組織から機密情報を盗み取ることを「標的型攻撃」といいます。偽装メールに添付したファイルやURLからウイルスを感染させるメール攻撃のほか、ターゲットが利用しているWebサイトを改ざんして感染させる水飲み場型攻撃など、その手口はさまざまです。事例では、偽装メール内に記載されていたURLをクリックしたことが原因でウイルスに感染しました。不特定多数に送るケースとは異なり、特定の相手を対象としたものとして巧妙に作り込まれているため、騙されてしまうのです。
~パスワードリスト型攻撃~
【事例:総合転職情報サイト】
ある総合転職情報サイトでは、不正ログインが発生し、約25万人のWeb履歴書にアクセスされた可能性があると発表。
パスワードリスト型攻撃は、不正に取得したパスワードとIDを使って攻撃者が不正ログイン(いわゆる“なりすまし”)をする手法です。上記の事例では情報改ざんなどの被害は出ていないものの、パスワードリスト型攻撃によって個人情報の流出や電子マネーの不正利用、不正購入などの被害が出てしまったケースもあります。
~ゼロデイ攻撃~
【事例:総合電機メーカー】
総合電機メーカーでは、最大約8,000人の個人情報が流出した可能性があると発表。
先述したゼロデイ攻撃によって、大手総合電機メーカーで業務情報や個人情報が流出。ウイルス対策システムの未公開のぜい弱性を利用した攻撃でした。
また、この事例は関係会社から発生したサプライチェーン型であるのも特徴です。サプライチェーン型とは、関連会社などを経由して大企業に侵入する攻撃手法です。サプライチェーン型は近年増えており、その背景には、リソースの少ない中小企業は大企業と比べてセキュリティ対策が不十分であるケースが多いという問題があります。
被害のリスクを下げるため、個人での対策が重要!
企業での事例を中心に紹介しましたが、コロナ禍で教育機関を対象としたサイバー攻撃が増加していることを考えると、学生の皆さんにとっても関係のない話ではありません。できる限りリスクを抑えるために、個人で最低限取りたい対策は下記の4つ。
・ソフトウェアを最新に保つ
パソコンやスマートフォンなど、身の回りの機器のソフトウェアは常に最新のものを適用するようにしましょう。修正プログラムが配信された段階でソフトウェアにぜい弱性があることが攻撃者に知られてしまうため、アップデートせずに放置することは、自らをサイバー攻撃のリスクにさらしている状態だといえます。被害に遭わないためにも、アップデート情報は定期的に確認するのがおすすめです。
・セキュリティソフトの導入
セキュリティソフトを導入しているからといって、全ての攻撃を防ぐことはできません。「OS標準搭載のセキュリティ対策で十分なのでは?」という意見もあるかもしれませんが、基本的な機能が搭載されているだけに過ぎず、十分とは言えません。市販のセキュリティソフトであれば、機能が充実していてサポート対応も手厚いため、何かあった時にも安心して利用できます。
・不審なメールやSMSへの対応
格安スマホを含む携帯キャリアサービス会社では迷惑メールのフィルタリングサービスが用意されています。しかし、一度設定したきりでその後はチェックしていないというケースも珍しくないため、「最近よく迷惑メールが届くようになった」という場合は、一度設定状況を確認してみてはいかがでしょうか。
・アカウント管理を強化
複数のサイトで同じパスワードを使用することは避けましょう。誕生日や記念日、ペットの名前など、特定されやすいものをパスワードにするのもおすすめできません。また、長期間使用しておらず今後も使用する可能性が低いサイトやサービスのアカウントについては、削除することで被害に遭うリスクを下げることができます。
インターネットを介したコンテンツやサービスを利用する以上、サイバー攻撃の被害に遭うリスクが発生します。組織に属しているのであれば、ターゲットとなる可能性がより高まる可能性があるのも否定できません。上記の対策を取っていることを前提に、何より重要なのはサイバー攻撃に関する知識を身につけておくことです。独立行政法人情報処理推進機構(IPA)より「情報セキュリティ10大脅威」と題して、危険度の高いものがランキングで発表されています。気になる方は、ぜひチェックしてみてください。(2023年度のランキングはこちら)