はじめに
近年、企業を狙うサイバー攻撃の手法は多様化しています。また攻撃対象は大手企業から中小企業にまでその範囲は年々拡がりを見せており、いまや全ての企業がサイバー攻撃のリスクにさらされているといっても過言ではありません。サイバー攻撃は、提供サービスの停止、業務の停止、ひいては企業としての信用失墜、賠償問題など、企業として甚大な被害を受ける可能性があるため、徹底したセキュリティ対策を施すことが重要です。本記事では中小企業がサイバー攻撃に狙われる背景とサイバー攻撃の種類や手口、行うべき対策について解説します。
中小企業のセキュリティ対策の実態
中小企業がサイバー攻撃に狙われるようになった背景には、中小企業のセキュリティ対策の甘さが一因にあります。近年のサイバー攻撃による被害の多さから、多くの大手企業はセキュリティ対策に重きを置いていますが、日本の中小企業においてのセキュリティ対策はまだまだ十分なものではありません。一般社団法人 日本損害保険協会が発表した「中小企業の経営者のサイバーリスク意識調査2019」によると、中小企業の経営者にとって「サイバーリスクへの対応」の優先度は極めて低いとされています。サイバーリスクを認知しながらも「内容について詳しく知っている」回答は27.2%、サイバー攻撃への対策が「必要だと感じている」回答は22.9%にとどまり、さらには中小企業の経営者の24.0%が「現在、サイバー攻撃に対する対策はしていない」と回答しています。この調査から中小企業のセキュリティ対策・サイバー攻撃に対する危機意識の低さが浮き彫りとなりました。
日本損害保険協会│中小企業の経営者のサイバーリスク意識調査2019
中小企業におけるサイバー攻撃の被害事例
インターネットに接続されていればセキュリティ上のリスクは常にあり、それは大企業に限らず中小企業も例外ではありません。セキュリティ対策を疎かにしていると、どのような攻撃・被害を受ける危険性をはらむのか。ここでは、実際にサイバー攻撃による被害を被った中小企業の事例をご紹介します。
事例1.ランサムウェア感染によるパソコン内部のデータ損失
製造業の企業では、ある日送信されたメールに添付されていたファイルを社員が不用意に開いてしまった結果、ランサムウェアに感染させられてしまう事態に陥りました。画面上に「ファイルロックを解除して欲しければこちらに連絡を」といった旨の警告文が連絡方法とともに表示され、そのパソコンは使用不能となり入れ替えざるを得ない状況になりました。幸い社内の重要データは別の共有サーバで管理、バックアップを取っていたため会社に被害はなかったものの、個人で使っていたデータやファイルは参照できなくなりました。
事例2.利便性を重視しセキュリティ強度を緩めたすきに不正アクセス被害
Webサービスの開発と運用を手掛ける情報通信業の企業では、スマートフォンの普及やユーザの利用環境の多様化にあわせ、公式サイトへのアクセスや自社のサービスを幅広い端末から利用できるようにアクセス制御を緩めた結果、DoS・DDoS攻撃、SQLインジェクションなど不正アクセスが目立つようになりました。また、この攻撃により、サーバのCPU・メモリなどに負荷が増大したため、サービスが一時停止し、企業活動に支障をきたすことになりました。
事例3.ウイルス対策ソフトのサポート期限切れでウイルス感染
食料品を取り扱う企業では、ある日突然パソコンが動かなくなる事態が発生しました。調査したところウイルス対策ソフトの契約更新手続き不備によりサポート切れ期間が数日あったこと、またその期間にウイルス感染させられていたことが判明しました。急遽、社内ネットワークからの切り離しと疑わしいアプリケーションを停止し、自社でOSの再インストールを行うなどリカバリに努めたが、完全復旧するまでに2ヶ月を要しました。
サイバー攻撃の主な種類
サイバー攻撃には大きく分類すると「脆弱性の悪用」「不正アクセス」「DDoS攻撃」といった3つの手法があり、またその手法の中でも様々な種類があげられます。それぞれがどのような攻撃でどういった被害を受ける可能性があるのかを知ることで取るべき対策も見えてくるでしょう。次の代表的な9種類のサイバー攻撃の概要と想定される被害、有効な対策方法をまとめました。
1.脆弱性の悪用
脆弱性とはコンピュータのOSやネットワーク、アプリケーションなどにおけるセキュリティ上の欠陥を指します。プログラムの設計ミスや不具合が原因となり、その弱点をつき外部からのウイルス感染や不正アクセスなどの攻撃を受けやすくなります。
バッファオーバーフロー
【攻撃の概要】
- データ保管のための領域(バッファ)に、許容範囲を超えるデータを送り付け、処理できなくなったデータが溢れだし(オーバーフロー)、溢れたデータが他の領域のデータを書き換えてしまうことで、コンピュータの誤作動などを引き起こします。さらに、脆弱性を狙い誤作動を起こしたコンピュータを乗っ取り、他のシステムやサーバへ攻撃を仕掛けるなど、さらなるサイバー攻撃の踏み台とされる可能性も考えられます。
【想定される被害】
- 管理者権限の奪取
- ファイル・データ等の改ざん
- 情報漏洩
- 乗っ取り、他コンピュータへの攻撃
【有効な対策】
- セキュリティソフトのアップデートを欠かさず行い、常に最新にしておく
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
SQLインジェクション
【攻撃の概要】
- データベースをコントロールするためのプログラミング言語をSQLとよび、多くのWebサイトやアプリケーションなどではSQLを用いてユーザ情報を管理します。セキュリティ対策が万全でないWebサイトやアプリケーションの場合、ユーザが入力を行う画面に悪意あるSQL文を注入(イクジェクション)することでデータベースを不正に操作される可能性があります。
【想定される被害】
- Webサイトの改ざんや、サイト訪問者へのウイルス感染
- 情報漏洩
【有効な対策】
- データベースにアクセスできる権限設定
- Webサイトの入力箇所に入力制限を設定
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
ディレクトリトラバーサル
【攻撃の概要】
- Webサイト上にある閲覧可能なファイルやディレクトリから、本来は閲覧できるはずのない非公開のファイルやディレクトリに横断(トラバーサル)し、不正にファイルを閲覧する手法です。重要情報の抜き取りやファイルを書き換えられるなどのおそれがあります。
【想定される被害】
- データの改ざん
- 情報漏洩
【有効な対策】
- ファイルに権限設定
- 外部からパラメータ、ファイル名指定のアクセスを許可しない
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
2.不正アクセス
アクセス権限のない者が、権限者になりすましサーバやシステムへ侵入を図ろうとする行為を指します。
パスワードリスト攻撃
【攻撃の概要】
- 何らかの方法で入手したID・パスワードのリストを用い、第三者が本人になりすましてインターネット上で提供されるサービスに不正にログインを試みる手法です。見かけ上、正規の方法でログインされるためサービスを提供する企業側では不正と気づかず、ユーザの個人情報の流出やサービスの不正利用などの被害を被っているおそれがあります。このパスワードリスト攻撃はサービスを利用するユーザだけではなく、企業側もWebサイトを管理するWordPressやSNSが攻撃の対象となります。パスワードを破られることによりWebサイトやSNSの改ざんが行われるおそれがあります。
【想定される被害】
- 情報漏洩
- サービスの不正利用
- Webサイトの改ざん
【有効な対策】
- ログインの多要素認証
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
- パスワードの使い回しをしない
ブルートフォース攻撃
【攻撃の概要】
- 総当たり攻撃ともよばれ、割り出したい情報(=パスワード)に対し、考えられる全てのパターンを片っ端から検証していく方法です。ブルートフォースとは「力づく」という意味があります。時間や手間を要するようにも思われますが実のところ、すぐに割り出せるようなパスワードを使うユーザも多く、またパスワードの使いまわしにより複数のサービスで被害を受ける方も少なくありません。パスワードリスト攻撃と同様、サービスを利用するユーザだけではなく、企業側も同様に攻撃を受けるおそれがあることを忘れてはいけません。
【想定される被害】
- 情報漏洩
- サービスの不正利用
- Webサイトの改ざん
【有効な対策】
- パスワードに使える文字種を増やす、パスワードの文字数を長くする
- ログインの試行回数に制限をかける
- ログインの多要素認証
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
リバースブルートフォース攻撃
【攻撃の概要】
- パスワードは固定し、IDの文字列を一つずつ変化させ片っ端から検証していく方法です。パスワードを総当たりするブルートフォース攻撃に対し、IDを総当たりするため逆(リバース)総当たり攻撃ともよばれます。リバースブルートフォース攻撃で厄介なことは試される文字列はIDであるため、パスワードさえ合っていればログインの試行回数に制限がないことから、遅かれ早かれ、第三者にアクセスされてしまうおそれがあります。パスワードリスト攻撃、ブルートフォース攻撃と同様、サービスを利用するユーザだけではなく、企業側も同様に攻撃を受けるおそれがあることを忘れてはいけません。
【想定される被害】
- 情報漏洩
- サービスの不正利用
- Webサイトの改ざん
【有効な対策】
- パスワードに使える文字種を増やす、パスワードの文字数を長くする
- ログインの試行回数に制限をかける
- ログインの多要素認証
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
3.DDoS攻撃
複数のコンピュータから対象のWebサイトやサーバに対して大量のアクセスやデータを送り、サーバやネットワークを意図的に高負荷状態にさせ、Webサイトやサービスへのアクセスを阻害する行為を指します。
帯域幅・リソース資源消費型
【攻撃の概要】
- 偽のIPアドレスを用いて膨大な量のデータを送信し、ネットワークをパンク状態にさせ、ネットワークダウンやエラーなどの通信障害を起こします。
【想定される被害】
- サービスの停止
- リクエストに対する応答遅延
【有効な対策】
- 同一IPアドレスからの通信回数を制御
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
システム資源消費型
【攻撃の概要】
- 不正にTCPコネクションを確立させ長時間にわたってセッションが継続するようコントロールし、正規利用者に対してアクセス妨害を行います。
【想定される被害】
- サービスの停止
- リクエストに対する応答遅延
【有効な対策】
- Webサーバの設定値を変更する
- WAF(Web Application Firewall)など不正アクセスを防ぐソフトウェアを導入し悪意ある攻撃を検知・阻止
リフレクション攻撃
【攻撃の概要】
- 送信元のIPアドレスを偽造し、DNSリクエストをDNSサーバへ送信することで、送信元へ膨大な量のDNSパケットが送り付けられ、サーバが高負荷となり正常動作をできなくさせます。
【想定される被害】
- サービスの停止
- リクエストに対する応答遅延
【有効な対策】
- 外部からの再帰的な問い合わせを許可しない
- スクラビングセンターの利用
まとめ
この記事ではサイバー攻撃の種類や想定される被害、有効な対策など、被害事例も含めて解説しました。
中小企業を狙ったサイバー攻撃は高度化、多様化しています。インターネットに接続している以上は常にサイバー攻撃を受けるリスクをはらんでおり、まさに今、サイバー攻撃を受けている可能性があるのです。
セキュリティ対策が万全に行われているかは企業の信用、事業継続に関わる大きな問題です。クラウドサービス提供事業者側でもセキュリティ対策に力を入れてはいますが、自社でもできる部分は対策を徹底させる必要があります。
自社でやるべきことはわかったがリソースが足らない、セキュリティ対策を適切に実行、運用できる人材がいないといった場合はセラクにお任せください。
セラクは、Microsoft Azure、AWSなどのクラウドサービスを対象に、運用・保守・監視の全体を管理する充実したサービスを提供しております。また、専門性を持つセキュリティ技術者によるSOC(セキュリティ・オペレーション・センター)運用やセキュリティ診断などを通じて、お客様のIT資産を強固に守ります。システムにより、必要なセキュリティ対策の種類・レベルは異なります。お客様のセキュリティ対策は、外部からの攻撃対策も含めた多種多様なシステムの運用実績を持つセラクにお任せください。