インターネットがよくわかる通信のしくみ 情報セキュリティ10大脅威2021

「組織」編に目を向けると、今回、新しくランクインして第3位になったのが「テレワークなどのニューノーマルな働き方を狙った攻撃」です。

新型コロナウイルスの感染拡大にともない、テレワークを導入する組織が急増し、なかには完全テレワークを実施する組織も出てきました。しかし、テレワークを急きょ、導入したことにより、セキュリティ対策が不十分なケースも発生しています。具体的には、組織の管理外である私物PCで業務を行ない、脆弱性対策が不十分なため、マルウェア感染のリスクが高まったり、テレワークで外部から組織の内部ネットワークに接続する際にリモートアクセス用のシステムの脆弱性を突かれて、第三者に内部ネットワークに侵入されるといったケースが起きています。

「ニューノーマルな働き方」が広まったことで、従来は想定されていなかったセキュリティリスクも増えていますので、テレワーク環境の整備にあたっては、セキュリティ専門家によるリスクアセスメントの実施をお勧めいたします。^*1

「組織」編で昨年、第五位だった「ランサムウェアによる被害」が今回は第1位になりました。ランサムウェアを使う攻撃者の目的は金銭です。従来は、対象が組織／個人にかかわらず、メールを使ってランサムウェアをばらまく、いわゆる“数うちゃ当たる”という手口でした。

昨今では、ITシステムはビジネスに必要不可欠なものとなっており、システムが止まれば組織として大きな打撃を受けます。例えば、工場など生産管理システムが停止すれば、製品を作ったり出荷できなくなりますし、病院などの医療機関においては、人命に関わる問題も出てきます。

従来の組織を狙ったサイバー攻撃は、機密情報を狙ったものがメインでしたが、金銭目的のサイバー犯罪者が目をつけたのは、ITシステムそのものです。

まず、ターゲットとなる組織の脆弱性を突いたり、メールを介してマルウェアに感染させることで、組織の内部ネットワークに侵入し、偵察や事前準備を行なったうえで、組織内部のITシステムやパソコンなどにいっせいにランサムウェアを仕掛けて暗号化し、利用できなくさせます。組織は、パソコン一台が使えなくなっても、ある程度の業務は継続できますが、ITシステム全体や従業員の多数のパソコンが使えなくなると、業務継続が困難になります。

そして、バックアップがないため復旧できないといったケースに加え、自力で復旧を試みる際にも、対応費用や機会損失などを鑑みると、「犯人に金銭を支払うのもやむなし」という経営判断をせざるを得ないケースも起きています。

さらに、犯人は偵察段階で機密情報を盗み出し、システムを使用不能にするだけでなく、機密情報を一般公開すると脅迫してくるケースも相次いでいます。こうした被害を防ぐためには、おもに下記の対策が考えられます。

まず重要なのは、セキュリティ製品やサービスを導入する前に、脆弱性対策をしっかり行なうことです。IPAやJPCERT／CCが注意喚起している内容を履行するだけで、被害に遭う可能性を大きく減らすことができます。

次に、万が一、被害に遭った場合、自力で復旧するためにはバックアップが重要になります。組織の内部ネットワークでバックアップを取得していても同時に被害に遭う可能性が高いため、外部にてバックアップを取得することが重要です。例えば、クラウド型ストレージサービスを利用することで、手軽に外部バックアップ環境を構築できます。^*2

侵入防止の観点では、外部との接続箇所にIPSやWAFなどを設置して脆弱性を突いてくる攻撃を防いだり、メールやWEBアクセスのセキュリティを強化することで、マルウェア感染のリスクを減らし、外部からの侵入を低減できます。^*3

仮に、組織の内部ネットワークに侵入されても、早期に検知することで被害を極小化できます。そのためには、セキュリティのプロが24時間常時監視するようなSOCサービスの活用が有効です。^*4

IT技術の発展・普及にともない、サイバー脅威は年々増加しています。IIJ では、最新のサイバーセキュリティに関する情報を収集し、膨大な観測データにもとづいたインターネット上の攻撃の傾向やセキィリティ事案を「wizSafe Security Signal」、「IIR」、「IIJ-SECTブログ」などを通して、公開・発信しています。自組織の対策を検討される際には、これらの情報をぜひご参照ください。

IIJが目指しているのは、セキュリティが組み込まれたサービスの提供を通して、脅威を意識することなく企業活動に専念でき、人々がより快適に生活できる未来です。IIJは先端技術に取り組むパイオニアとして、あらゆる脅威からIT環境を守り、安心・安全な社会の実現に貢献していきます。