本コラムは「Bizニュース（月１～２回配信）」としてメールマガジンでご紹介しているコンテンツです。
下記の「Bizニュース配信登録」ボタンから登録いただくと、最新情報をお届けします！

特定の企業や組織を狙った標的型攻撃は近年ますます高度化や巧妙化が進み、その脅威は今後も拡大していくと予測されています。今回は多様化する標的型攻撃のなかで、企業の顔であり、顧客との接点となるWebサイトの改ざんにフォーカスしながら、今後の標的型攻撃の傾向と対策について考えてみましょう。

Webサイトの改ざんといえば、従来は企業ロゴやテキスト、写真などを差し替えてしまう愉快犯的な攻撃や、政治的なメッセージ発信を目的とした行為が多く見られました。しかし近年のWebサイト改ざんは、ネットバンキングを不正使用したフィッシング詐欺や、企業の重要情報を窃取しての金銭の要求を目的とした事件などが多くなっています。プロによる組織的犯罪の傾向が高まるなか、標的型攻撃による被害は今後さらに拡大していくと予想されます。

巧妙化するサイバー攻撃の手口とは

コンピュータセキュリティに関わる調査や研究、啓発などを行っている一般社団法人JPCERTコーディネーションセンターの2016年7～9月の統計では、コンピュータセキュリティインシデント発生の約20％がWebサイト改ざんで、インシデント件数第2位という結果が出ています。年単位で見ると、Webサイト改ざんの件数は増加しており、今後の傾向としてその被害規模が拡大すると考えられます。Webサイトへの攻撃は、いったいどのように行われるのでしょうか。ある攻撃者達の会話をのぞいてみましょう。

顧客だけでなく、社内や関連会社に拡大する被害

Webサイトへの標的型攻撃で多いのは、改ざんによってウイルスを配布することを目的としたものです。改ざんされた「偽物」のサイトに顧客が知らずにアクセスすることでウイルスに感染し、そこからID・パスワードなどの認証情報が攻撃者の手に渡ります。

またWebサイトによるウイルス感染は、一般の顧客だけの問題では済みません。近年、企業を狙った標的型攻撃として「水飲み場型攻撃」があります。これは肉食動物が、水飲み場にやってくる獲物を待ち伏せすることになぞらえた攻撃で、企業の社内ユーザーが普段アクセスするWebサイトを改ざんして、社員のパソコンをウイルス感染させることが目的です。

社員のパソコンがウイルス感染した場合、仕込まれた不正プログラムによって被害が生じるのは社員のパソコンだけではありません。企業内のシステムに保存されている顧客や社員などの個人情報や、企業の重要データを外部に送信されたり、遠隔操作によって感染したパソコンを踏み台にした不正行為が行われたりするなどの被害が生じます。もし、システム管理者のパソコンがウイルス感染すれば、管理者権限の悪用によって、その被害は社内外に瞬く間に広がります。このようにWebサイト改ざんによる被害は、顧客だけでなく、社内や関連会社、さらには得意先など、次々と連鎖して拡大していく可能性があるのです。

標的型攻撃の被害は、今後フィジカルな世界にも拡大

これまで標的型攻撃の多くは、企業や組織のICTやネットワークシステムをターゲットにした、重要情報の不正入手やデータ破壊などが狙いでした。近年では、アプリケーションやOSなどに対する企業のセキュリティ対策の強化が進んできているため、これからはハードウェアやファームウェアの脆弱性を突いた攻撃が増えると考えられます。

予測される標的型攻撃の脅威は、それだけではありません。IoTの進展によって、コンピュータネットワーク内の世界とフィジカルな世界のボーダレス化が一段と進みます。標的型攻撃の巧妙化・高度化が進むなか、今後はサイバーな世界のみならず、フィジカルな世界までをターゲットにした犯罪が懸念されています。

例えば、金融システムや放送システム、工場・プラントなどの産業システム、さらには空港・発電所など重要施設が攻撃された場合、その脅威や被害は企業レベルをはるかに超えた重大かつ深刻なものになります。デバイスの多様化、IoTの進展、サイバーな世界とフィジカルな世界の融合などに伴い、標的型攻撃に代表されるサイバー犯罪への対策は、これからますます重要度を増していくでしょう。

標的型攻撃を100％防ぐのは無理？

標的型攻撃のようなサイバー攻撃に向けた従来のサイバーセキュリティ対策は、攻撃パターンや手法を分析してその防御対策を開発するという、いわば対症療法的な方法でした。しかし、攻撃の多様化や新たな進化によって、イタチごっこを繰り返しているのが現状です。そこで重要なのは、「Webサイトの改ざんを100％防ぐことはできない」「システムへの侵入を前提と考える」といった意識を持ち、それに基づいて対策を強化することです。

では、そうした意識に基づいたセキュリティ対策は、具体的にどうしたらいいのでしょうか。

「防御」「検知」「予防」の3点を抑えよう

サイバーセキュリティ対策として大切なのは、異常の早期発見と早期対策の仕組みを構築してリスクを最小化すること、その上で攻撃を受けても被害が出る前に検知・防御することです。

このような仕組みを構築するための重要なポイントが3つあります。第1は、多様な攻撃や新たな脅威からWebサイトやシステムを守る「防御」の強化です。第2は、Webサイトやシステムを常にチェックして、改ざんや異常をいち早く把握するための「検知」です。最近では、機械学習によるパターン検出やシステムの異常検知など、AI（人工知能）の活用も進んでいます。そして第3は、Webサイトやシステムの脆弱性を定期的に診断し、発見した脆弱性に対してすばやく対策を行う「予防」です。

日々進化するサイバー攻撃へのセキュリティ対策は、一度実行すればそれで安心というわけではありません。「攻撃のパターンや手法は常に進化する」、「被害は顧客だけでなく、企業内、グループ企業、得意先などへ拡大する」という危機意識を常に持つことが必要です。そして、サイバー攻撃の魔の手から企業のシステムや重要情報、さらには顧客、グループ企業、得意先などを守るためには、セキュリティ対策の継続的な更新や改善が不可欠なのです。

参考文献

• インシデント報告対応四半期レポート | JPCERTコーディネーションセンター

---

※文中に記載した会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
※当ソリューション・製品に関するお問い合わせ、会員登録リンク、は、NTTソフトウェアのお問い合わせ専用ページ（社外サイト：MARKETINGPLATFORM）に遷移します 。（MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです）