サイバー攻撃への対策はどうすれば良い？手口や事例を知って対策を

法人向けOCNサービスTOP
OCNとは
お役立ちコンテンツ
サイバー攻撃への対策はどうすれば良い？手口や事例を知って対策を

不正な方法でシステムに侵入し、危害を加えるサイバー攻撃は年々手口が巧妙化し、被害も拡大傾向にあります。こちらの記事では主なサイバー攻撃の種類と国内外の事例、企業や個人がとるべきセキュリティ対策について解説します。

この記事の目次

・サイバー攻撃の主な種類
・国内外のサイバー攻撃の例
・サイバー攻撃への対策
・まとめ

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業　◆Case2:製造業
◆Case3:建築業　◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

サイバー攻撃の主な種類

サイバー攻撃とは、ネットワークを通じてコンピュータシステムに侵入し、データの破壊や盗み出し、改ざんなどの危害を加える犯罪です。ここでは主なサイバー攻撃の種類を解説します。

標的型攻撃やパスワード関連の攻撃

『標的型攻撃』とは特定の組織や個人に標的を絞り込むサイバー攻撃です。主な手口は、悪意のあるプログラムを含んだ添付ファイルやURLリンクをメールで送りつけるというものです。攻撃により、企業の機密情報を盗むことを目的とします。パスワード関連の攻撃で代表的なのは、ブルートフォースアタック（総当たり攻撃）です。これはツールを使ってパスワードの組み合わせをすべて試すというものです。単純なパスワードであれば数分で突破されてしまい、金銭的な被害や個人情報の漏えい、Webサイトの改ざん、SNSのなりすましなど、さまざまな被害をもたらします。

脆弱性を狙った攻撃

サイバー攻撃にはOSやソフトウェア、Webサイトの脆弱性を狙った攻撃もあります。修正プログラムが公開される前の脆弱性を突くゼロデイ攻撃のほか、インジェクション、クロスサイトスクリプティングなどが代表的な攻撃です。インジェクションには種類があります。1つは、Webサーバーの脆弱性を狙って不正なSQL文を挿入しデータを盗む、SQLインジェクションです。もう1つは、脆弱性のあるアプリケーションに不正なOSコマンドを送り、端末の遠隔操作やデータベース操作を行うOSインジェクションです。クロスサイトスクリプティングは、SNSや掲示板に悪意あるスクリプト付きリンクを挿入します。そして、リンク先を閲覧したユーザーはスクリプトによって不正なサイトに飛ばされ、マルウェア感染などの被害を受けるのです。

国内外のサイバー攻撃の例

ここでは、この数年で発生した国内外のサイバー攻撃事例を紹介します。

海外のサイバー攻撃の被害例

イランの核燃料施設では、核兵器開発妨害を目的としたサイバー攻撃がしかけられました。同施設のシステムはインターネットに接続しておらず、攻撃にはUSBメモリが使われたといわれており、これを機に国家間のサイバー戦争を引き起こしたとされています。また、韓国ではテレビ放送局や金融機関のシステムにしかけられた、時限式ウイルスのサイバー攻撃の事例があります。32000台以上のコンピュータが同じタイミングで一斉に攻撃を受け、銀行ATMなどに被害が出ました。さらに、アメリカのエネルギー関連施設では、悪意あるプログラムを仕組まれた履歴書ファイルを技術者に送りつけ、ネットワークに侵入される事例もあります。

国内のサイバー攻撃の被害例

国内では、標的型攻撃メールに仕組まれていたマルウェアに感染し、年金情報や旅行会社の個人情報が漏えいした事例があります。また、複数の大学で不正アクセスによるアカウント情報や個人情報の流出もありました。さらに、オンラインショッピングのサイトにおいて、SQLインジェクションによりクレジットカード情報を含む個人情報が流出したなどの事例も報告されています。

サイバー攻撃への対策

サイバー攻撃の手口は日々進歩しており、完全に防ぐのは非常に困難です。しかし、適切な対策を講じておけば、被害を最小限に抑えられるでしょう。ここではサイバー攻撃の対策について解説します。

従業員個人での対策

サイバー攻撃を防ぐためには、まず従業員1人ひとりが正しい知識を持って対策にあたることが必要です。具体的には以下のような対策が挙げられます。

サイバー攻撃の手口や脅威を理解する
ウイルス対策ソフトを導入する
大文字と小文字が混在する英字、数字、記号を組み合わせた桁数の長いパスワードの設定
クラウドやネットワークの共有範囲を正しく設定する
不審なメールやサイトに注意する
OSやソフトウェアを常に最新の状態に更新する

企業や会社での対策

従業員個人だけでなく、企業や会社としてもセキュリティ対策をとる必要があります。具体的には以下のような対策が挙げられます。

セキュリティポリシーを定め、ポリシーに適合するセキュリティソフトを導入する
重要な情報へのアクセスは二段階認証を導入する
会社端末やUSBメモリの持ち出し、個人端末の持ち込みを制限する
退職者のアクセス権限は速やかに削除する
職位や業務内容に合わせ正しい権限を付与する

従業員の意識向上や関連企業との連携も

セキュリティに対する従業員の意識向上も、サイバー攻撃への対抗手段として重要です。定期的にセキュリティ教育や研修をすれば、セキュリティに対する意識を高められるでしょう。こうして、サイバー攻撃による被害例や最新の手口などを把握できるようにしておくことが必要です。

ガイドラインを参考にしよう

セキュリティ対策を万全にするにあたって参考にしたいのがガイドラインです。内閣サイバーセキュリティセンターNISCのガイドラインは、もともと政府関連機関用に作られたものですが、それだけにとても緻密な内容です。そのため、民間企業にとっても非常に参考になるガイドラインといえます。また、『サイバーセキュリティ経営ガイドライン』も有用です。サイバーセキュリティ基本法に基づき、経済産業省と情報処理推進機構（IPA）によってまとめられた経営者向けのガイドラインです。サイバー攻撃から企業を守るための『経営者が認識しておくべき3原則』と、セキュリティ対策の責任者に指示すべき『重要10原則』から成り立ちます。リスク回避のために役立つものとなっているので参考にしましょう。
政府機関等の対策基準策定のためのガイドライン（平成 30 年度版）サイバーセキュリティ経営ガイドラインVer 2.0