サイバー攻撃の現状

独立行政法人情報処理推進機構（IPA）が2018年に公表した『情報セキュリティ10大脅威2018』で、次のようなサイバー攻撃が確認できます。

• 標的型攻撃による情報流出
• ランサムウェア
• ビジネスメール詐欺
• 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
• セキュリティ人材の不足
• 内部による不正な情報漏洩
• Webサービスを利用した個人情報の抽出
• サービス妨害
• 犯罪のビジネス化
• IoT機器の脆弱性の顕在化

このように、会社を直接狙ったものや個人から会社の情報を抜き取るケースなど、対象が広範囲なことが特徴と言えるでしょう。

世界のサイバー攻撃事例

世界のサイバー攻撃で有名な事例としては『WannaCry』が挙げられます。2017年に世界中で猛威を振るったこのランサムウェアは、世界中で20万台以上の端末に被害を与えました。これによる被害は計り知れません。 世界では、営利目的や悪戯のみではなくテロの手段としてもサイバー攻撃は行われるようです。アメリカの原子力発電所を狙ったものや、イランの核関連施設を狙ったものは、記憶に新しいでしょう。

日本のサイバー攻撃事例

日本でもサイバー攻撃の事例には事欠きません。ある大学の業務用PCから4万件近くの個人情報が盗まれた例や、省庁への不正アクセスなどが事例としては挙げられるでしょう。 教育機関や公的機関のみならず、飲食店や金融機関などでの相次ぐ被害が報告されていることからも、早急な対策は必須と言えます。

サイバー攻撃の種類とは

まずは、先述したIPAでも挙げていた『標的型攻撃』です。これは、特定の企業をターゲットに絞るのが特徴で、顧客や取引先を装ったフィッシングメールなどを利用したサイバー攻撃を指します。現在、増加傾向にある犯罪です。 PCなどに不正な動作をさせるマルウェアもサイバー攻撃の1つです。従来のウイルスや、プログラムをロックし、解除するために金銭を脅し取るランサムウェアもマルウェアの中に含まれます。 AIを利用した脆弱性の発見など、サイバー攻撃も高度化しているのが現状です。

企業にはどんなリスクがあるか

企業リスクとしては、サイバー攻撃に遭うと重大な問題が発生する可能性を考慮しなければなりません。 例えば、マルウェアに感染し、会社のサーバーが止められてしまうと、業務や取引先との連携に致命的な損害が生まれる可能性があります。顧客情報の流出による信用の失墜も計り知れません。 また、そのようなサイバー攻撃の被害から元どおりに復旧させるためにも、膨大な費用が発生するおそれがあります。

自社パソコンのセキュリティ

企業のPCをサイバー攻撃から守る手段として、アンチウイルスソフトの導入や、データの暗号化などが挙げられます。 前提としては、OSや利用しているソフトウェアのバージョンは、常に最新のものにすることです。最新版のOSの更新情報には、新しいウイルスに関する情報も含まれています。 導入に失敗しないためには、事前に予算を決めないことです。際限なくかける必要はありませんが、予算がネックになってセキュリティが不十分のケースがあります。不十分のために、被害に遭った場合の損害は計り知れません。 予算はいったん考慮せず、万全のセキュリティ対策を講じるにはどうすれば良いかという点から考えていきましょう。

スマホのセキュリティ

スマホのセキュリティについては、ウイルスソフトだけでなく、接続先についても考えていきましょう。 フリーWi-Fiは便利ですが、誰でもアクセスできるため、不正傍受されやすいことも間違いありません。会社のデータを利用するなら、ロックのないアクセスポイントの利用は避けるべきです。 また、第三者に利用されないよう本人認証を二段階認証にするなどの工夫や、紛失した場合には、早急に利用停止にするなども心がけておく必要があります。

持ち込みや持ち出しPC、USBも注意

IPAでは、情報漏洩対策として、不要な端末を持ち込ませない、情報を持ち出さない、その場に情報が確認できる状態で端末を放置しないことなどを挙げています。 社員の私物PCの持ち込みや、重要な情報をUSBで持ち帰らせることも極力避けるべきです。そういった行為が日常化してしまえば、情報漏洩のリスク管理が難しくなります。

サイバー攻撃は、世界中の企業を標的にしていると言っても過言ではありません。特に日本の場合は営利目的で企業をターゲットにする犯罪が増えています。 企業内のPCやスマートフォン、そして社員1人ひとりの情報セキュリティを徹底させ、セキュリティの強化に努めていきましょう。