目次

  1. セキュリティのトレンド 注意すべきサイバー攻撃の手口一覧
    1. ランサムウェア(Ransomware)
    2. DDoS攻撃(Distributed Denial of Service Attack)
    3. ウェブサイト改ざん
    4. サプライチェーン攻撃 (Supply Chain Attack)
    5. ネットワーク貫通型攻撃
    6. ペイメントアプリケーションの改ざん
    7. ゼロデイ攻撃
    8. マルウェア
    9. 標的型攻撃
  2. 経営者視点でのセキュリティ対策と従業員教育
    1. IPA(情報処理推進機構)
    2. 情報漏洩
    3. 従業員教育
    4. なりすまし
    5. シャドーIT
    6. プッシュ通知機能の悪用
    7. フィッシング 
  3. セキュリティ体制の構築
    1. 情報セキュリティポリシー
    2. セキュリティ監査
    3. プライバシーマーク制度(Pマーク)
    4. 個人情報保護法

 2024年の総務省の情報通信白書によると、サイバー攻撃関連の通信数は増加傾向にあるといいます。

 とくに、ロシアのウクライナ侵攻以降、海外からの日本へのサイバー攻撃が増えていると言われています。さらに2025年は大阪・関西万博に乗じた攻撃も予想されています。そこで、知っておくべきセキュリティのトレンド・サイバー攻撃の手口を紹介します。

 警察庁の公式サイトによると、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムです。

 元々は、不特定多数の利用者を狙って電子メールを送信するといった手口が一般的でしたが、最近では、企業等のVPN機器をはじめとするネットワーク機器の脆弱性を狙って侵入する手口が多く確認されています。

 KADOKAWAや「社労夢」のエムケイシステムなど多くの企業が被害にあっています。

 DDos攻撃(ディードス攻撃)とは、インターネットを利用して行われるサイバー攻撃の手法の一つです。2024年末から日本国内の様々なWebサイトやオンラインサービスの運営が妨害を受けました。

 ウェブサイト改ざんとは、第三者がウェブサイトのコンテンツを勝手に追加・削除・変更してしまうことです。警察庁によると、次のような手口が確認されています。

  • 窃取したアカウント情報を悪用した不正アクセス
  • ソフトウェアの脆弱性を突く
  • 組織内のアクセス制御機能の不備をつく

 自社のウェブサイトが改ざんされると、見覚えのない画像が設置されるなど気づきやすい場合もあるのですが、それ以外でも、見た目ですぐに分からず、検索結果に見覚えのないページが反映されていたり、不審なファイルが置かれたりする場合があります。

 ソフトウェアやハードウェアの開発・供給に関わる企業を標的とし、そこを起点に複数の企業や組織に被害を広げる攻撃手法です。増加傾向にあるため、サプライチェーン全体での対策が必要となっています。

 ソフトウェアの構成品を誰が作り、何が含まれ、どのような構成となっているかなどが分かるようになっている「部品構成表」、つまり、SBOM(エスボム)導入に向けて経済産業省が手引きを作成しています。

 ネットワーク貫通型の攻撃とは、VPN 機器の脆弱性が悪用され、攻撃者が直接的に組織内ネットワークに侵入してくるサイバー攻撃の一種です。

 ネットワーク内部へ不正にアクセスされた場合、保有情報の漏えいや改ざんの可能性があるほか、他組織への攻撃の踏み台(中継)になるなど大きな被害が予想されます。

 ペイメントアプリケーションの改ざんとは、カード情報入力フォームを改ざんして、ユーザーが入力中のクレジットカード情報を盗む手口の一つです。セキュリティコードまで盗まれてしまうことと発覚まで時間がかかるため、被害が拡大しやすい特徴があります。

 ゼロデイ攻撃とは、OSやソフトウェアの脆弱性(セキュリティホール)に対する修正プログラムが提供される前に、その脆弱性を利用して行われる攻撃です。

 修正プログラムの提供日を1日目として考え、それ以前の期間なので、ゼロデイと呼ばれます。近年では、脆弱性を攻撃するプログラムが売買されており、ゼロデイ攻撃の敷居が下がってきていますので、対策が必要です。

 マルウェアとは、ウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなど、悪意のあるソフトウェアのことを指します。

 メールの添付ファイル、悪意のあるウェブサイトへのアクセス、USBメモリなどを介して、コンピューターに感染し、データを破壊したり、情報を盗み出したり、システムを乗っ取ったりする被害が出ます。

 標的型攻撃とは、特定の組織や個人を狙ったサイバー攻撃です。攻撃者は、標的の情報を収集し、その組織や個人のシステムに侵入するための方法を綿密に計画します。標的型攻撃は、高度な技術と時間をかけて行われるため、被害が大きくなる傾向があります。

 おもに大企業が標的となりますが、中小企業も、標的型攻撃の踏み台に利用されることがあるため、注意しましょう。

 総務省の特設サイト「国民のためのサイバーセキュリティサイト」では、経営トップ自らが、サイバーセキュリティ対策の重要性を認識し、組織全体でサイバーセキュリティ対策に取り組む体制を構築すること、事故発生時の対応手順を整備することが必要だと指摘しています。

 サイバー攻撃から企業を守るには、従業員のリテラシーを高める必要もあります。注意すべきポイントをあらかじめ伝えておくだけでも、被害に遭うリスクを下げることができます。

 IPA(情報処理推進機構)は、情報処理の促進及び情報セキュリティの確保を目的とした独立行政法人です。IPAが提供する情報やツールは、経営者の役に立つ資料も多く含まれています。

 情報漏洩とは、顧客の個人情報や機密情報などが流出し、企業の信用失墜、顧客離れ、損害賠償など、深刻な影響をもたらすことです。情報管理は経営課題として取り組む必要があります。

 原因はランサムウェアなどのようなサイバー攻撃にとどまらず、「紛失や置き忘れ」、「誤操作」といったヒューマンエラーも多くあります。一つひとつ穴をふさいでいきましょう。

 従業員のセキュリティ意識向上は、セキュリティ対策の重要な要素です。パスワード管理、フィッシング対策、マルウェア対策など、基本的なセキュリティ知識を身に着けてもらいましょう。

 なりすましとは、他人になりすます行為で、個人情報を入手したり、金銭の振込を指示したりする犯罪行為が広まっています。たとえば、企業の公式SNSアカウントを装った偽アカウントを作り、DMで個人情報を収集しようとする事案が発生しています。

 取引先になりすまして偽の請求書を送り、大金を振り込ませる「ビジネスメール詐欺」も発生しています。

 シャドーITとは、会社が許可していないデバイスやクラウドサービスのことです。セキュリティ対策が不十分なことが多く、シャドーITを無断で業務利用したことで情報漏洩が起こった事例があります。

 「コンピューターが危険にさらされている」「携帯をクリーンアップしてください」といったメッセージが繰り返し表示される被害が出ています。

 これは、Webプッシュ通知を悪用したものだとみられます。ブラウザの通知を許可するよう誘導すると、誘導された先では、偽のセキュリティソフトの購入を促されたり、別のアプリのインストールを求められたりします。

 偽のウェブサイトやメールを使って、個人情報や機密情報を盗み取る攻撃手法。巧妙な手口でユーザーを騙し、クレジットカード情報やログイン情報などを盗まれる被害が相次いでいます。

 大手金融機関やECサイトを騙った偽のメールも増えていますので、うかつにクリックしないようにしてください。

 セキュリティ体制の構築に役立つキーワードも紹介します。

 総務省の「国民のためのサイバーセキュリティサイト」によると、情報セキュリティポリシーとは、企業の情報資産を情報セキュリティの脅威から守るためのものです。

 情報セキュリティポリシーを策定する際にもっとも大切なことは、担当者、体制、手順をあらかじめ検討しておくことです。また、情報セキュリティポリシーは、企業や組織の代表者が施行するものであるため、可能な限り、代表者や幹部が策定の作業自体にも関わるような体制を作ることが重要です。

 経産省の公式サイトによると、セキュリティ監査とは、情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から検証または評価して、もって保証を与えあるいは助言を行うことを指します。

 経産省が情報セキュリティ監査基準を作っているので参考にしてください。

 プライバシーマーク制度は、事業者の個人情報の取扱いが適切であるかを評価し、基準に適合した事業者に”プライバシーマーク”の使用を認める制度です。

 「個人情報保護法」は、国の行政機関や独立行政法人、地方公共団体などはもちろん、個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールです。

 企業が個人情報を管理するうえでも守らなくてはならず、もし個人情報の漏洩があった場合は、個人情報保護委員会への届け出が必要となります。