ブログ
情報システム部小島くんのセキュリティ奮闘記(第1回:セキュリティ事故発生)
昨今のサイバー攻撃被害の現状とアンチウイルスなどの侵入前対策の限界について
~昨今のサイバー攻撃被害の現状~
独立行政法人情報処理推進機構(IPA)から公表されている「情報セキュリティ10大脅威
2019」の1位には2016年から4年連続の【標的型攻撃による被害】が挙げられ、2位には昨年3位のビジネスメール詐欺による被害が順位を上げました。
標的型攻撃の代表とされる標的型メールは特定の組織を狙ってメールに悪意のあるファイルを添付したり、URLリンクで悪意のあるサイトに誘導させマルウェアに感染させようとする攻撃です。またビジネスメール詐欺は企業の従業員を騙し、巧妙なメール文で実際に口座へと送金させる詐欺の事です。ビジネスメール詐欺では事前にSNSやメールサーバへの不正アクセスなどで情報を入手し、被害者がメールを受け取った際に違和感のない差出人や内容を送り付けることもあり、詐欺と気が付くことが難しいケースも多くあります。
また、新規のサプライチェーンの弱点を悪用した攻撃の高まりが4位にランクインしました。セキュリティが脆弱な子会社や委託先を踏み台にして、親会社や委託元に向けて不正アクセスを実行するなど、今や、企業の大小、個人情報の有る無しは関係なく、全ての企業がサイバー攻撃の対象とされてしまう狙われてしまう時代となってきています。
新聞紙上等で公開されている情報として、2018年1年間において、比較的規模の大きい1,000件以上の個人情報が漏洩した国内の事案事件は、「41件」、その中で不正アクセスを要因とする事案する事件は、「33件」との報告もあります。サイバー攻撃を受けた企業の平均損害金額は、2億円を上回るとも言われております。2億円もと驚かれるかもしれませんが、損害賠償だけではなく、「行政対応に要する各種費用・法律相談費用」「被害報告や謝罪会見などに必要な費用」「被害者への見舞品購入費用・送付費用」「損壊した自社システムの復旧費用・超過人件費」などが発生し、莫大な金額になってしまうのです。
本記事を執筆した直近の2019年5月、6月だけでも既に10件の不正アクセスによる漏えい事案事件が発生している報告もあり、さらに被害を公表していない企業や被害にあっている事さえも気づいていない企業が多いと言われています。実際に公表した実例として、スマホ決済サービスに対する不正アクセスにて約900件・5500万円の被害を確認したという報告や、大手家電量販店が運営するサイトに不正アクセスが発生し顧客情報最大3万7,832件が流出、大手自動車会社の販売子会社のサーバに不正アクセスがあり顧客情報最大310万件が流出した可能性があることが報告されています。
~侵入前対策の限界について~
被害にあった企業は、無防備であった訳ではなく、多層防御(ファイアウォール、IPS/IDS、URLフィルター、サンドボックス、アンチウイルス)しているにも関わらず被害にあっているというのが現状です。では、なぜ多層防御しているにも関わらず被害にあってしまうのでしょうか。それは以下のような要因があると考えられます。
- 国家機関のサイバー攻撃技術の流出
- 見えない攻撃の増加(ファイルレスマルウェア)
- 暗号化通信(SSL)を悪用した攻撃
- 既知の脆弱性を突く無差別攻撃
- ターゲットの業務を研究しつくした攻撃(標的型メールや子会社・取引先を狙った攻撃など)
- 暗号資産(仮想通貨)など、奪取後に追跡が難しい資産の登場
- 攻撃代行業、搾取した個人情報/マルウェアの売買など攻撃者を支援するアンダーグラウンド
サイバー攻撃を100%防ぐ手段というのは、非常に困難な状況であることを是非、ご理解頂ければと思います。
ではどうすれば良いか?
攻撃は100%防げないということを前提に、侵入されても最終的に情報漏洩させない、情報破壊させない手段を講じるべきと考えます。
そのひとつとして現在注目されているのがEDR(Endpoint
Detection and Response)です。
次回は、注目されているEDR(Endpoint Detection and Response)について解説したいと思います。