本当に安全ですか?中小企業に迫るサイバー攻撃とその対策
サイバー攻撃は、毎日のように発生し、今や中小企業も攻撃の「標的」となっています。この記事では、サイバー攻撃の3つの主な手口と種類、また基本的な対策についてわかりやすく解説していきます。
中小企業におけるサイバー攻撃と対策の実態
攻撃の目標が大企業から中小企業へシフト
イバー攻撃の「標的」が、大企業から中小企業へと移り変わっています。大企業は防衛策に多額の費用を投じており、攻撃者にとっては手ごわい存在です。その結果、より防御が手薄な中小企業が、新たな「狙い目」となっているのです。中小企業がサイバー攻撃を受けると、その影響は甚大で、場合によっては企業の存続さえ危うくなりかねません。
過半数の中小企業が対策していない実態
中小企業におけるサイバーセキュリティの意識と対策は、少しずつではありますが向上しています。しかし、一般社団法人 日本損害保険協会が行った「中小企業におけるリスク意識・対策実態調査2023」によると、驚くべき事実が明らかになりました。891人の中小企業経営者を対象にしたこの調査で、なんと51.2%の企業がサイバーリスクの対策を講じていないことが判明しました。(注1)攻撃手法の多様化、高度化、そして巧妙化が進む中、中小企業のセキュリティ対策は依然として不十分な状態にあると言わざるを得ません。
- 引用元:引用元:一般社団法人 日本損害保険協会「中小企業におけるリスク意識・対策実態調査2023」 <https://www.sonpo.or.jp/sme_insurance/pdf/sme_report2023.pdf>(参照日2024年2月16日).
サイバー攻撃の手口とは?3つの主な種類
不正アクセスの手口
「不正アクセス」とは、不正にネットワークやシステムへ侵入することです。この攻撃では、しばしばパスワードを推測または解析する手法が用いられます。パスワードを当てるためには、「ブルートフォースアタック」や「辞書攻撃」などがあります。これらは、それぞれパスワードのパターンを全て試す方法と、一般的な単語やフレーズの組み合わせを試す方法です。
北海道のある病院での事例では、職員のメールアカウントが第三者によって不正に使用されました。このアカウントから、約3万件ものフィッシングメールが外部に送信されていたことが後の調査で明らかになりました。不正アクセスが判明した後、被害を受けたアカウントのパスワード変更等の対応が行われましたが、その時点で既に多大な被害が発生していたのです。
マルウェアを悪用した手口
「マルウェア」とは、ウイルスやワーム、トロイの木馬など、悪意を持ったソフトウェアの総称です。最近では、「ソーシャルエンジニアリング」という手法が頻繁に用いられます。この手法は、人の心理を利用して、情報を不正に得たり、ユーザーに特定の行動をさせたりするものです。例えば、なりすましメールを使ってユーザーを騙し、添付ファイルやリンクをクリックさせることで、マルウェアをダウンロードさせる攻撃があります。
岩手県の企業での事例では、社員が出張先のホテルのWi-Fiを利用中に、なりすましメールを受け取りました。そのメールに添付されていたファイルを開いたところ、Emotet(不正なメールから感染するマルウェア)に感染し、結果として多くのアドレス情報が盗まれました。盗まれた情報は、攻撃者によって取引先に向けて不正なメールが送信される原因となりました。
ソフトウェアの脆弱性を悪用した手口
ソフトウェアやシステムの脆弱性を突いて、不正に侵入する手口です。ソフトウェアの脆弱性とは、プログラムの設計ミスやバグが原因で生じるセキュリティの穴のことです。脆弱性が発見されると、ソフトウェアの開発元から修正されますが、修正プログラムが適用される前に、脆弱性を悪用した攻撃を受ける可能性があり、これを「ゼロデイ攻撃」と呼びます。また、ウェブサイトの脆弱性を突いて行われる「SQLインジェクション」もあります。データベースへの不正な命令を挿入し、データベースから情報を盗まれ、データを改ざんされたりするなどの被害が発生する恐れもあります。
鹿児島県のある飲食店では、ホームページが外部からの攻撃を受け、「破産手続きを開始した」という虚偽の内容が掲載される事件がありました。WordPressの脆弱性が攻撃に利用されたと報告されています。
サイバー攻撃に対する対策ピラミッド
基本:OSとウイルスソフトの最新化
「OS」と「ウイルスソフト」の最新版への更新は、サイバーセキュリティの基本です。なぜなら、OSのアップデートにはセキュリティを強化するための改良が含まれているからです。WindowsやMacOSといったシステムでは、定期的に提供されるバージョンアップを適用することが重要です。
セキュリティ対策の強化:信頼できるブラウザとUTMの活用
ブラウザを利用する際には、「Google Chrome」や「Edge」などの安全性が高いとされるブラウザの使用が推奨されます。これらのブラウザは、セキュリティ機能が充実しており、定期的な更新により新たな脅威からユーザーを守ります。さらに、企業レベルでの防衛策として「UTM(統合脅威管理)」の導入が有効です。UTMは、ネットワークを包括的に保護するシステムで、不正アクセスやウイルス感染などの脅威から企業の情報資産を守ります。
更なる重要なステップ:データバックアップと社内教育
データの「バックアップ」は、万が一の事態に備える基本的な対策です。定期的なバックアップにより、データが損失しても迅速に業務を再開できます。また、社内での勉強会や「標的型メール訓練」を実施することで、従業員のセキュリティ意識を高めることが可能です。多くのセキュリティインシデントは、従業員の誤った行動に起因するため、教育と訓練は非常に重要です。
まとめ:安全なビジネス環境を確立しよう
サイバー攻撃は中小企業が新たな標的となりつつあります。ただ、自社がどのレベルまで対策を講じる必要があるかは、対策のレベルは企業によって異なるため、必要に応じて専門家に相談しましょう。
どこに相談すれば良いか分からない場合は、「IT with」の無料相談をご利用ください。「IT with」はソフトバンク株式会社の子会社であるPSソリューションズが提供するサービスで、多くの実績とノウハウがあります。セキュリティ診断サービス代行支援サービスも利用でき、お客様のニーズにあったサービスをご提供することができます。
※この記事は一般的な情報提供を目的としております。