さまざまな企業へのサイバー攻撃に関する報道が相次ぎ、サイバーセキュリティに対する関心はますます高まっています。

このテーマに関する前回の記事では、サイバー攻撃がビジネスに与えるインパクトや、サイバー攻撃の一つであるランサムウェア攻撃の特徴と被害防止対策についてお伝えしました。

今回の記事では、ランサムウェア攻撃以外にも特に気を付けた方がよい4つのサイバー攻撃とその対策をご紹介します。

6年で発生件数120倍！ 「フィッシング詐欺」

情報セキュリティ対策の強化等に関する情報を発信している独立行政法人 情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威2024」によると、「個人」向け脅威と「組織」向け脅威は次のものが挙げられています。

「個人」向け脅威のトップに記載のある「フィッシング」とは、実在のサービスや企業を騙り、偽のメールやSMS（携帯電話のショートメッセージ）で偽サイトに誘導し、本来のIDやパスワードや個人情報などを盗んだり、マルウェア（悪意のあるプログラム）に感染させたりする手口です。
 
その詐欺メールのサンプルを例示します。ご自身のスマートフォンに、こんなショートメッセージが来たことはありませんか？

実在する大手企業を騙ったものが散見されています。
PCで利用するメールにも届くことがあるので、“フィッシング詐欺＝スマホだけ“ではないので、注意が必要です。

このフィッシング詐欺の発生状況ですが、2017年から2023年の6年間でなんと約120倍にも報告件数が増えているのです。

「個人」向け脅威に記載されていますが、フィッシング詐欺は個人だけの問題ではない場合があります。利用しているスマートフォンを業務にもプライベートにも利用している場合には、仕事で必要な情報をそのスマホに保存している方も多いのではないでしょうか。
 
スマホに以下のような情報を保存している場合は、個人だけの問題では済まず、所属する企業や組織にまで被害が拡大する可能性が高くなります。
 
●企業や組織に属する従業員のメールアドレス
●サーバー、社内システムの機密領域へのアカウント/ログイン情報など
 
このように、企業は情報漏洩、データの流出、情報の改ざんなどによる被害を受けてしまう可能性があるのです。

【フィッシング詐欺の被害に遭遇しないための主な対策】

１．身に覚えのないものはまず疑う
２．慌ててクリックしない
３．不審な点がないか確認する
４．公式サイトや公式アプリで情報の真偽を確認する
５．セキュリティソフトを導入する

知らぬ間に感染を拡大させる「標的型メール攻撃」

特定の個人や企業を狙って、取引先や関係先を装い、仕事に関係しそうな話題の件名や本文のメールを送り付けてくるのが「標的型メール攻撃」です。
メールに添付されているファイルを開いたり、本文の中にあるWebサイトのリンク先にアクセスしたりすると、ウイルスに感染します。

以下は、危ないメールを見分けるポイントです。

【標的型メール攻撃の被害に遭遇しないための主な対策】

１．不審なメールの添付ファイルは開かない
２．万が一、開いてしまっても「コンテンツの有効化」をクリックしない
３．不審なメール内のURLはクリックしない
４．侵入の防止（メール経由での侵入、Web経由での侵入、不正ファイルの検出）
５．侵入後の被害拡大を防止（Web対策、エンドポイント対策、バックアップ）

情報セキュリティの特徴として、「最も弱いところが全体のレベルになる」というものがあります。組織の99％の人が高い意識でルールを徹底していても、たった1人それができていなければ、その人のレベルが全体のレベルになるのです。

正当なテクニカルサポートを装う「サポート詐欺」

「サポート詐欺」とは、悪質なコンピュータウイルスに感染したかのように見せかけ、正当なテクニカルサポートを装い、金銭や情報を搾取する方法です。

Webサイトを閲覧していたら、急にこんな表示がされたことはないでしょうか。

情報処理推進機構のサイトでは、サポート詐欺の特徴と対応について、次のように解説しています。

インターネットで怪しい警告文を目にしたら、すみやかにそのページを離れることが肝要です。

【サポート詐欺への対策のポイント】

１．偽のセキュリティ警告画面が表示されたら、ブラウザを終了する
２．ブラウザを終了できない場合は、ブラウザを強制的に閉じるかPCを再起動する
３．表示される電話番号に絶対に電話をしない
４．指示されるボタンのクリック、指示されるアプリやソフトウェア等をダウンロード・インストールしない

自社が万全でも油断できない！ 「サプライチェーンの弱点を悪用した攻撃」

先ほど述べた、「最も弱いところが全体のセキュリティレベルになる」のは、一つの組織・企業内に限ったことではありません。

調達から販売、業務委託など一連の商流において、セキュリティ対策が甘い組織が攻撃の足がかりとして攻撃される「サプライチェーンの弱点を悪用した攻撃」があります。

●取引先や業務を委託している外部組織から情報漏えい
●下請け業者がランサムウェア攻撃に遭い、サプライチェーンの委託元大企業自体が全国的に操業停止せざるを得ない事態に発展

このように、大きな被害が発生しています。

【攻撃目標】
大企業の機密情報がターゲットになることが多くあります。
【攻撃の手口】
ターゲットである大企業はセキュリティ対策が進んでいて、外部からの侵入が困難なため、比較的対策が手薄とみられている取引先の中小企業へ侵入し、そこを踏み台にして大企業に侵入

「ウチにはそんな大企業との取引はないから、心配ない」

こんなお声が聞こえてくることがあります。
ですが、日本の企業は「取引先の取引先」をたどれば、大抵は大企業にたどり着きます。
サプライチェーンで繋がっているほとんどの企業がセキュリティ対策を万全にしていても、1社の対策が脆弱な場合、サプライチェーン全体のセキュリティレベルは、最も弱いところが全体のレベルとなります。
このサプライチェーン攻撃を憂慮した経産省が2025年度、企業のセキュリティレベルを格付けする制度の導入を予定しています。
詳しくはこちらをご覧ください。
 
今後もビジネスパートナーから選ばれ続けるために必要な対策は以下の通りです。
 
【サプライチェーン攻撃への対策】
①OSやソフトウェアは常に最新のバージョンに更新する
サプライチェーン攻撃では、関連企業のセキュリティにおけるあらゆる脆弱性がターゲットになり得ます。そのため、OSやソフトウェアを常に最新版に更新する基本のセキュリティ対策が必須です。アップデートを怠るとセキュリティの脆弱性が薄れてしまいます。

②パスワードを強化する
パスワードの強化はセキュリティ対策の基本です。パスワード窃取のリスクを減らすには、一定以上の長さの複雑なパスワードを設定して、定期的に変更することが有効だとされています。その反対に、パスワードに規則性のある文字列を採用したり、複数のサービスでパスワードを使い回したりするのは止めましょう。

③ウイルス対策ソフトを導入する
社内の端末のウイルス感染を防ぐために有効な対策です。ウイルス対策ソフトを導入すると、ネットワークを常時監視して、不審な挙動を速やかに検知できるようになります。また、フィッシングメールをはじめとした、企業を狙った多様なサイバー攻撃をブロックすることも可能です。

④データの共有設定を見直す
近年のビジネスシーンでは、クラウドを用いたデータ共有が活用されています。データ共有の際は、適切な権限設定を行い、データにアクセスできるユーザーの範囲を管理することが重要だといえます。また、システム上で履歴を閲覧できるログ管理ツールなどを活用し、事故発生時に速やかに原因を特定できる体制が必要です。

⑤従業員へセキュリティ教育を実施する
従業員一人ひとりのセキュリティ意識を高めるための、セキュリティ教育も欠かせません。サプライチェーン攻撃による被害や手口を理解させるために、社員研修を実施するようおすすめします。問題発生時の報告や相談の流れなど、一連の対応についても取り決めて、組織的に防御することも大切です。

⑥セキュリティ強化のための人材と予算を確保する
大手企業との取引がある企業では、セキュリティ強化のための人材と予算を十分に確保するのが望ましいといえます。セキュリティツールやサービスを導入して安全性の高い環境を構築するとともに、定期的な訓練を実施して、日頃からセキュリティインシデントの発生に備えることが大切です。

ここまでご紹介したように、サイバー攻撃にはさまざまな種類があり、その対策を講じる必要があります。
そこでMJSは、次の3つの観点から行う対策を提唱しています。

１．平時からの体制づくり
２．予防する
３．備える

１．平時からの体制づくり

外部からの信頼性向上に寄与する情報セキュリティ関連の認証取得支援から、現状の体制の強度分析、またセキュリティの品質管理を目的とした従業員教育などが提供できます。

【現在～将来に向けて】
情報セキュリティの各種コンサルティング
・何からやればいいかの相談から伴走するコンサルティング
・Pマーク取得支援　・ISMS取得支援　・情報セキュリティ格付取得支援

【現状が盤石なのか確認】
ITツールによる脆弱性のハンドリング
・脆弱性診断サービス　・レッドチーム診断サービス　・侵害診断サービス　など

【セキュリティ品質管理】
●自社のセキュリティ体制を第三者に“評価”してもらうためのアセスメントサービス
●従業員教育
・標的型メール攻撃訓練サービス　・新入社員向けセキュリティ基礎教育

２．予防する

セキュリティ対策において、予防措置は最重要です。MJSでは、サイバーセキュリティに効果的なご提案が可能です。

３．備える

セキュリティ対策への投資は絶対に必要ですが、テクノロジーの進化に伴い、新たな攻撃手法も日々生み出されています。また、昨今のサイバー攻撃は、ヒトが何かしらのアクションをとることに由来します。また、人間が行なう限り、ヒューマンエラーはなくなりません。つまり、最大の脆弱性と課題は、「人」なのです。
その意味で、これからは攻撃されることも想定内とした対策が必要になってきます。
下の図は、セキュリティ事故発生時に必要となる対応です。

セキュリティ事故のうち「情報漏えい」事案への対応方法を例として挙げます。

これらの対応には、時間も費用もかかります。
【サイバー攻撃被害発覚から収束迄の平均時間】　約2カ月
【サイバー攻撃によって失う利益】　売上高の約10％
 
そこで近年、サイバー事故の対応に必要な時間と費用を最小限にするための「サイバー保険」への注目度が高まっています。
MJSはこのサイバー保険を取り扱っています。ITを専門とするMJSならではの特色として、事故発覚から事態収束までのトータルサポートをご提供しています。
ご案内する動画をぜひご覧ください。

ここまでお読みいただきありがとうございました。

サイバーセキュリティに関する前回と今回の記事では、主に外部からの脅威についてまとめました。

リアルな世界では、盗難などの犯罪行為から、大切な財産を守るために、建物や住居への鍵を厳重にしたり、防犯カメラの設置などの防犯対策を行っていらっしゃる方も多いと思います。
 
では、サイバー空間の防犯対策はいかがでしょうか。
 
サイバーセキュリティに関する次回の記事では、サイバー空間の防犯カメラの役割を果たす「ログ管理」をテーマにします。
ぜひ当アカウントをフォローして、次回の記事をお待ちください。

これからも経営にビジネスに役立つ情報、時にMJSの裏側を深堀りする情報を発信していきますので、よろしければスキをいただけますと励みになります！
さらに、この記事をフォロワーの方に「オススメする」をしていただけますと嬉しいです！