トップ > 技術ナレッジのアーカイブ > 逃げられない!あちこちに潜むサイバーリスクの最新動向と向き合い方

2021.01.07

「知らなかった」では済まされないセキュリティの世界《第二回》逃げられない!あちこちに潜むサイバーリスクの最新動向と向き合い方

#サイバーセキュリティ #フィッシング #スパイウェア #Saas #マルウェア

インターネットが市民権を得て、数十年。常にセキュリティの問題を抱えてきました。
セキュリティ被害は一部の人に降りかかる災難、と思われがちですが、実は身近な問題として存在しています。
サイバーセキュリティの最前線で取り組むテクノプロ・デザイン社の小粥 淳氏を招聘し、サイバーセキュリティ分野が抱える課題や対策などお話いただきます。
今回は様々な形で潜むサイバーセキュリティに対し、クラウド時代の今の最新事例と向き合い方についてお伝えします。

話者紹介

小粥 淳

2019年度新卒でテクノプロ・デザイン社に入社。約4カ月のセキュリティ研修と2カ月OJT期間を経て現在のサイバーセキュリティ業務に配属。 TPTLチームの作業員かつWebアプリケーションやサーバ各種ネットワークの脆弱性診断業務を担当。
趣味は映画観賞、読書

近年のサイバーリスクについて

2018年12月1日~2019年11月30日までの一年間有害・無害含め62億種類以上の未知のファイル分析し、8300万以上のマルウェアを発見、対応されています。
サイバー攻撃を仕掛ける目的として金銭窃盗、国家や企業などの組織からの産業スパイ活動や単に世間を騒がせるのが目的の愉快犯など目的は多岐にわたります。
日本はサイバー攻撃を受けている件数がワースト2位となっており非常にサイバー攻撃の被害が大きい国です。
一般的には2018年度は5社に1社、2019年度は2社に1社、サイバー攻撃を受けていると言われており、2020年度には1社に1社、つまり全ての企業が何かしらのサイバー攻撃に曝されると言われています。

2020年に発生したセキュリティインシデント

事例①

  • 日付:2020年11月16日
  • 法人・団体名: 株式会社カプコン
  • 被害規模: 合計約35万件
  • 漏洩原因: 不正アクセス

外部からのサイバー攻撃が確認され、社内ネットワーク内に不具合が発生していると公表。その後、2020年11月16日に保有する顧客・従業員等の情報合計約35万件に流出の可能性があると発表した。社内調査により、マルウェアに感染しハッカー集団から暗号化されたデータと引き換えに金銭の要求があったことも発覚している。

事例②

  • 日付:2020年12月7日
  • 法人・団体名:PayPay株式会社
  • 被害規模: 最大2,007万6,016件(260万店舗)
  • 漏洩原因: 不正アクセス

決済サービス「PayPay(ペイペイ)」に対し、第三者による不正アクセスが行われ、加盟店など約260万店舗の営業情報などが流出の可能性。従業員やパートナー企業に関する情報も最大2,007万6,016件も流出したと考えられている。

引用元:サイバーセキュリティ.com 「個人情報漏洩事件・被害事例一覧 」

情報セキュリティ10大脅威 2020

「情報セキュリティ10大脅威 2020」は、2019年に発生したセキュリティインシデントから影響が大きいと考え得られる事案から、IPAが脅威候補を選定し情報セキュリティ分野の研修者や企業実務担当者など約140名から「10大脅威選考会」で決定されたものになります。
下記に代表的な組織向け脅威1~3位に対する解説を致します。

情報セキュリティ 10 大脅威 2020 「個人」および「組織」向けの脅威の順位

順位「個人」向け脅威「組織」向け脅威
1スマホ決済の不正利用標的型攻撃による機密情報の窃取
2 フィッシングによる個人情報の詐取 内部不正による情報漏えい
3 クレジットカード情報の不正利用 ビジネスメール詐欺による金銭被害
4 インターネットバンキングの不正利用 サプライチェーンの弱点を悪用した攻撃
5 メールや SMS 等を使った脅迫・詐欺の 手口による金銭要求 ランサムウェアによる被害
6 不正アプリによる スマートフォン利用者への被害 予期せぬ IT 基盤の障害に伴う業務停止
7 ネット上の誹謗・中傷・デマ 不注意による情報漏えい
8 インターネット上のサービスへの 不正ログイン インターネット上のサービスからの 個人情報の窃取
9 偽警告によるインターネット詐欺 IoT機器の不正利用
10 インターネット上のサービスからの 個人情報の窃取 サービス妨害攻撃によるサービスの停止

引用元:情報処理推進機構:情報セキュリティ 10 大脅威 2020 「個人」および「組織」向けの脅威の順位

【組織:第一位】 標的型攻撃による機密情報の窃取

標的型攻撃による機密情報の窃取
引用元:情報処理推進機構「情報セキュリティ10大脅威 2020」

標的型攻撃は企業や民間団体そして官公庁など特定組織に対して機密情報の窃取することを目的とした攻撃です。
従業員が悪意あるメールの添付ファイルを開いたり、悪意のあるウェブサイトにアクセスするとPCがウイルスに感染します。
PCに感染したウイルスは組織内部のネットワーク内を探索しながら感染を広げていき機密情報などの窃盗を行います。
そうして収集された機密情報はダークウェブ上で売買されるなど、悪用された場合企業の事業継続や国家の安全保障などに大きく影響を及ぼす危険性があります。

【組織:第二位】 内部不正による情報漏えい

内部不正による情報漏えい
引用元:情報処理推進機構「情報セキュリティ10大脅威 2020」

組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の不正行為が発生しています。故意に内部の情報を持ち出し、ライバル企業への機密情報の売却、情報漏洩に繋がる恐れがあります。漏洩の規模によっては組織の社会的信用の失墜や、顧客等への損害賠償による経済的損失が発生します。また、自宅に仕事を行う際に無断で機密情報を自宅へ持ち帰り紛失するケースも存在します。これらは組織の競争力の弱体化等につながり、その結果、組織の根幹を揺るがすインシデントに発展する恐れがあります。

【組織:第三位】 ビジネスメール詐欺による金銭被害

ビジネスメール詐欺による金銭被害
引用元:情報処理推進機構「情報セキュリティ10大脅威 2020」

ビジネスメール詐欺(Business E-mail Compromise:BEC)は、海外の取引先や自社の役員等になりすまし、巧妙に細工された偽の電子メールを企業の出納担当者に送り、攻撃者が用意した口座へ送金させる詐欺の手口です。海外だけではなく日本国内でも高額な被害が確認されています。
ビジネスメール詐欺は国内外の取引先や自社の役員等を装ったメールで企業の出納担当者を騙して、攻撃者が用意した口座へ送金させる詐欺です。
騙すために、攻撃者は事前に標的関係者の情報を収集し、取引先や経営者を名乗り通常の取引メールと見分けづらいような内容にします。メールアドレスを取引先のメールアドレスにもしたメールアドレスや本物のメールアドレスを使います。受信者は偽のメールを本物のメールとして扱ってしまった場合、攻撃者の用意した銀行口座への振り込みや重要な機密情報を攻撃者に渡してしまいます。ビジネスメール詐欺は組織間での取引を装うため一回あたりの金銭被害が非常に高額になる傾向があり、組織にとってその被害に合った際の影響が大きいです。

セキュリティリスクとの向き合い方

代表的な例として組織向け脅威の1位から3位を紹介いたしました。個人向けの物でも スマホ決済の不正利用やフィッシングによる個人情報の利用等社会的に無視できない問題が多く存在します。
セキュリティToolでの対策はもちろんですが個々のセキュリティに対する意識の向上も必要になってきます。年々サイバー攻撃の脅威は増すばかりです。サイバー攻撃は身近に存在する問題です。セキュリティインシデント仮に起きた際は即座に社内のセキュリティチームなどに報告することで被害の拡大を防ぐことに繋がります。
セキュリティ攻撃に対しての対策についての詳しい対策方法は次回掲載予定です。

閉じる