サイバー攻撃の標的が拡散
現在、中小企業を狙ったサイバー攻撃が多発しているようです。 もちろん、攻撃の頻発は今に始まったことではありませんが、その標的が著名企業・団体から、中小規模の企業・団体に拡散していることが読み取れます。セキュリティ被害は、顧客や従業員の個人情報漏えい、ウイルスや詐欺メールによる金銭的被害、Webサイトの改ざんや妨害によるサービス停止といった内容が多いのですが、攻撃者は目的を達するため、さまざまな手法を駆使してきます。最初に、ここ数カ月の間に起きた、中小企業を狙った攻撃のいくつかを振り返ってみます。
減る兆しがない顧客情報の漏えい
Webサイトや企業ネットワークが不正侵入を受け、個人情報が漏えいする事件が後を絶ちません。
2018年6月には、洋菓子の通販サイトに登録されていた3万7,000件に及ぶメールアドレスなどの会員情報が盗まれ、海外のサイトに掲載されるという事件が発生しました。
同月末には、香料や精油を扱う企業のサイトが侵入され、1万件を超える顧客の個人情報が流失した可能性があると報じられています。2カ月近くたった8月中旬の時点でも、原因の特定と対策が完了していないため、Webサイトの受注機能は復旧していません。
このようなセキュリティインシデントは、侵入経路などの詳細は公開されないケースも多いのですが、一般的な手口としては、システムの脆弱性を突いた不正アクセスや、社内ネットワークの管理IDのパスワード盗用、またウイルスに感染させたPCを不正操作した外部へのデータ転送などが知られています。
ここ数カ月に起きたインシデントで、原因として特に目立っていたのは、システムの脆弱性を突いた攻撃です。
脆弱性の放置が招く情報流出
OSやアプリケーションソフトの脆弱性が開示されると、それを突く攻撃が頻発します。該当するソフトウェアが稼働する全ての組織が標的になりますが、早急なメンテナンスに必要な人員や予算に限りがある中小事業者の被害が後を絶ちません。
今年1月には、著名出版社のコンテンツ配信や電子書籍販売を行っているサイトが脆弱性を突かれて不正アクセスを受け、9,000人以上の会員情報が流出しました。一部の個人情報は悪用され、フィッシングメールが届いたことで発覚したとされています。
また、2月にも、自動車メーカーの国内法人が被害を受けました。顧客管理を委託していた企業がアプリケーションの脆弱性を突かれ、利用者がカタログ請求の際に入力したメールアドレス、住所氏名、自動車の購入歴などを含む2万3,000件の個人情報が流出した可能性があると報じられています。
ランサムウェア被害も無くならない
「WannaCry」や「PETYA」が世界的な被害を出した2017年に比べると大きく報道されなくなりましたが、ランサムウェアに対する警戒も緩めることはできません。
2018年1月、中部地方の教育機関が、研究室に設置したPCとファイルサーバーが不正アクセスを受けてランサムウェアが仕込まれ、受講者名簿などが暗号化される被害が出ました。
7月には、東京の交通機関がランサムウェアによってファイルが暗号化されたとする発表がありました。輸送や乗車券発行は別系統のシステムのため、影響は受けませんでしたが、一時は本社業務の遂行に支障がでたようです。
人為的ミスによる情報流出も多発
ここまでは、サイバー攻撃の事例を見てきましたが、このコラムのタイトル“セキュリティ被害”の視点で見ると、人為的なミスによるインシデントも軽視できない頻度で起きています。
2018年5月には、中京地区の放送局で、メールの送信操作を誤り、1,500人近い契約者の個人情報を、顧客管理とは無関係の取引先に送信してしまうミスが発生しました。
7月には製薬会社でメールソフトの操作ミスから、医師などの関係者のメールアドレス約2,000件が流出する事故も起きています。
同じ時期、北陸地方の教育機関では、職員採用の説明会に関するメールの送信操作を誤り、100件近いメールアドレスが閲覧可能な状態で送られてしまいました。8月には、東北の大学においても、講習会の受講者に宛てたメールで誤送信があり、200名近いメールアドレスが開示されるというミスが起きています。
内部不正による情報流出もなくならない
従業員などの関係者、元社員の“悪意”による事件も多発しています。情報の価値と保存場所を熟知する人間による内部犯行は、大量のデータが短時間で搾取され、発覚が遅れる傾向もあり、外部からの攻撃に比べより深刻なダメージを受けるケースも多々あります。
2018年3月、エステサロンの元従業員が顧客リストを不正に持ち出し、転職した店舗から名簿を元にDMを発送した事件が発覚しました。同じ頃、関西の精密機械メーカーの社員が数百社に及ぶ納入先の情報を、社内のプリンタを使って不正に印刷して持ち出した事件も公になっています。
今年5月には、関東の交通システムの料金収納業務を行う企業で、元従業員が社内ネットワークに不正にアクセスし、PCにインストールしてあったセキュリティソフトを削除したというニュースも伝わってきました。
中小企業・団体が狙われる背景は?
サイバー攻撃の標的として、中小企業が狙われるのは理由があります。その一つは、リソースの制約です。IT部門があって専任のセキュリティ担当者を置ける大手に比べると、人員、予算にも制限がある組織は、対策が手薄になってしまうことは否めません。
IPA(情報処理推進機構)発表の「2016年度 中小企業におけるセキュリティ対策に関する実態調査」によると、「情報漏えい等のインシデント、またはその兆候を発見した場合の対応方法を規定している」と応えた企業のうち、「小規模企業」は13.7%に止まっています(図1)。
図1.情報漏えい等のインシデント又はその兆候を発見した場合の対応方法を規定している企業の割合
出典: 「2016年度 中小企業における情報セキュリティ対策に関する実態調査」 情報処理推進機構(IPA)
「社内の情報セキュリティに関するルールから逸脱した場合の措置について、就業規則等で規定している」と回答した企業の割合は、事業規模が小さいほど低く、中小企業の中でも101人以上の組織は61.3%ですが、小規模企業では17.6%しかありません(図2)。
図2.社内の情報セキュリティに関するルールから逸脱した場合の措置について、就業規則等で規定している企業の割合
出典: 「2016年度 中小企業における情報セキュリティ対策に関する実態調査」 情報処理推進機構(IPA)
従業員に対するセキュリティ教育と就業規則の整備は、今や中小企業においても必須事項と言っても過言ではありません。セキュリティインシデントの事例で挙げた内部不正による情報漏えいの多くは、このような人的対策が徹底されていれば被害を防げたかもしれません。
サプライチェーンのほころびを狙う
中小企業が狙われる理由のもう一つは、“サプライチェーン”です。
いまの時代、ビジネスが1社で完結することはなく、設計から製造、保管、販売、メンテナンスなどの業務で、多くの企業とのつながり、情報を共有し、サプライチェーンを維持して仕事が回っています。
サプライチェーンの中で、1社でも情報システムに隙があれば、そこが穴になることは言うまでもありません。攻撃側の視点では、チェーンの主軸となる企業、大量の情報はあってもガードが堅い“本丸”を正面突破するより、まずグループ会社やサプライチェーンにつながっていそうな中小企業に探りを入れてくるものです。
インシデントの原因を分析してみると
情報漏えいの原因やサイバー攻撃の手口について、もう少し具体的に見てみましょう。
セキュリティ被害の実態や攻撃の傾向に関しては、定期的に調査機関などから発表されますが、今回はJNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)が2018年6月に公開した「2017年 情報セキュリティインシデントに関する調査報告書(速報版)」を参照してみます。
JNSAが発表したレポートは、2017年に新聞やインターネットニュースなどで報じられた情報漏えいに関するインシデントの情報を集計し、漏えい原因、1件当たりの平均漏えい人数、1件当たりの平均損害賠償額など、さまざまな角度からセキュリティ被害の現状をあぶり出したものです。
情報漏えいの原因を集計した結果は、誤操作、損失・置き忘れ、不正アクセスが多く、それぞれ97件(25.1%)、84件(21.8%)、67件(17.4%)に達していました。4番目は管理ミスで50件(13.0%)。これも決して軽視できない数字と言っていいでしょう(図3)。
図3. 情報漏えいの原因
出典:「2017年 情報セキュリティインシデントに関する調査報告書(速報版)」
日本ネットワークセキュリティ協会(JNSA)
漏えい媒体・経路別の漏えい件数を集計した結果では、もっとも多かったのが「紙媒体」で150件(38.9%)。意外なようですが、紙は盲点です。例えば、企業が販売店でポイント会員への入会時に集める個人情報は、紛失、不正コピーなどのリスクと隣り合わせです。前半で触れたインシデントでも、顧客情報を社内のプリンタから不正に出力した例がありました。
漏えい媒体の2番目は「インターネット」の87件(22.5%)、「電子メール」が3番目で77件(19.9%)。インターネットは、ウイルスを起点にしたPCの不正操作による情報漏えい、脆弱性を突いた流出、盗用したID・パスワードを用いた不正侵入、電子メールは、インシデントの事例でも多かったソフトの誤操作が典型的なケースでしょう。
アンチウイルスソフトだけでは守れない
セキュリティの脅威に備えるには、ウイルス対策以外にも、ファイル転送による情報の流出、USBデバイスを使う不正なデータコピー、印刷ドキュメントによる持ち出しなどに対しても、ガードを固める必要があります。最近のインシデント事例を見ると、内部不正も起きることを前提にせざるを得ません。
クライアントPCのOS、アプリケーションを常に最新の状態に保つことは基本的な防御方法ですが、それだけでは新種のウイルスが頻出する昨今の状況では安心できません。万一、未知のランサムウェアのような悪質なウイルスが入り込んでしまった場合に備え、ファイルをバックアップし復元できる機能も整えておいた方がいいでしょう。
「セキュリティ対策はウイルス対策ソフトを導入しているから大丈夫」と思っている人は多いかもしれません。しかし、多くのインシデント事例、JNSAやIPAの報告でも示されているように、敵は決してウイルスだけではありません。フィッシングメール、悪意のあるサイトへの誘導、脆弱性の放置、内部関係者による情報持ち出し、ソフトの誤操作など、ウイルス対策ソフトだけで守ることのできない脅威は沢山あります。
ですから、総合的なセキュリティ対策が不可欠なのです。昨今の脅威に対応するために、もう一度安全対策を見直してみてはいかがでしょうか。