サイバー攻撃のターゲットになるのは、国や大企業だけではありません。近年、中小企業でも攻撃の被害にあうケースが増えています。本記事では、2023年に企業が注意すべきサイバー攻撃をピックアップして紹介するとともに、サイバー攻撃への対策方法について解説します。
サイバー攻撃に備える重要性
自然災害や取引先の倒産、悪質なクレームなど、企業を取り巻くリスクは少なくありません。サイバー攻撃も、企業に甚大な被害を及ぼしかねない重大な脅威のひとつです。
サイバー攻撃によるデータの改ざんや機密情報の漏えいなどが発生すると、自社の業務に深刻な影響を及ぼすばかりか、社会的な信用も失いかねません。場合によっては、事業の継続が不可能になるほどのダメージを受けるおそれもあります。
このような事態を回避すべく、企業にはサイバー攻撃への適切な備えが必要です。ただし、サイバー攻撃の手口は年々巧妙化しており、種類も増えています。そのため、企業には従来のサイバー攻撃対策に固執するのではなく、広く情報を集めつつ多角的な対策を実施することが求められます。
2023年に注意すべきサイバー攻撃
2023年に企業が注意すべきサイバー攻撃として、標的型攻撃やDDoS攻撃、サプライチェーン攻撃などが挙げられます。これら以外の攻撃にも注意は必要であるものの、ここでは代表的なサイバー攻撃をピックアップして解説します。
標的型攻撃
標的型攻撃とは、特定の組織や個人をターゲットにしたサイバー攻撃のことです。これまで利用価値の高い大企業が主な標的でしたが、近年は中小企業も狙われるケースが増えています。
特に標的型攻撃ではマルウェアを用いて機密情報や顧客情報などを詐取することが多いため、重要な情報を保有している企業ほど、徹底した対策を行わなくてはなりません。
なお、標的型攻撃は以下で説明するDDoS攻撃やサプライチェーン攻撃などの手口と組み合わせて実行されるケースもあるため、隙のない対策が求められます。
DDoS攻撃
1台のコンピューターからサイバー攻撃をしてくるDoS攻撃に対し、DDoS攻撃は複数のコンピューターから同時にサイバー攻撃を仕掛ける手口のことです。いくつものコンピューターから一斉に攻撃を受けるため、サーバーやWebサイトに過剰な負荷がかかり、サービス停止につながるおそれがあります。
特に攻撃者によって複数の機器が乗っ取られ、攻撃者の命令で標的のサーバーに過剰負荷をかける協調型DDoS攻撃を受けると、自社システムの停止をはじめ、システム停止による機会損失やDDoS攻撃中に別サーバーへ攻撃されるなど、さまざまな被害を受けるおそれがあるため、対策が必要です。
フィッシング
フィッシングとは、他者や他社になりすまし、不正に情報を詐取することです。たとえば、実在する企業を装ってメールから精巧に作成した偽サイトへ誘導し、情報を入力させるといった手口です。
また、近年ではSMS(ショートメッセージサービス)へURLを送りつけて偽サイトへ誘導しようとするスミッシングや、特定のターゲットに対して攻撃を仕掛けるスピアフィッシングといった手口も増えています。このようにフィッシングの手口は巧妙化し、変化することがあるため、注意が必要です。
ランサムウェア
ランサムウェアとは、企業が保有するデータを暗号化し、復元と引き換えに金銭を要求するマルウェアの一種です。標的型攻撃でランサムウェアが用いられるケースも多いため、警戒しなくてはなりません。
近年は復元と引き換えに金銭を要求するとともに「その情報を盗んで公開する」と恐喝する事例や、現金ではなく暗号資産(仮想通貨)を狙って攻撃してくるケースも見受けられます。また、感染経路も昨今、メールからVPN(仮想私設網)機器に変化しています。
このようにランサムウェアも手口が進化しており、継続的な対策が必要です。
サプライチェーン攻撃
サプライチェーン攻撃への対策も必須です。サプライチェーン攻撃とは、大手企業のシステムに侵入するために、比較的セキュリティが手薄な子会社や関連会社にまず攻撃を仕掛け、そこから大手企業へ侵入するといった、企業間のつながりを利用したサイバー攻撃です。
サプライチェーン攻撃の厄介な点は、被害が1社にとどまらず、関連する企業も狙われる可能性があることです。
さらに近年、大企業から身代金を取ることが目的のランサムウェアを用いたサプライチェーン攻撃が増加しており、大きな問題になっています。
サイバー攻撃への対策方法
サイバー攻撃への対策が十分でないと、自社だけでなく顧客や取引先、関連会社にも迷惑がかかります。主な対策方法としては「サイバー攻撃への意識を高める」「脆弱性の解消」「セキュリティソリューションの導入」の3つが挙げられます。
意識の向上
サイバー攻撃の手口は変化し続けており、今後も次々と新たな攻撃手法が誕生する可能性があります。そのため、従業員は「すべてを信頼しない」というゼロトラストの概念をベースに従来以上にセキュリティリテラシーを高めることが重要です。
たとえば、取引先や子会社経由で間接的に仕掛けてくるサイバー攻撃に備えた勉強会や訓練、インシデント事例の情報共有、攻撃を受けたときの対処指導など、企業が率先して従業員の意識を変えていくことが大切です。
脆弱性の解消
サイバー攻撃はいつの時代もセキュリティの弱いところ(脆弱性)を狙ってきます。そのため、OSやソフトウェアは常に最新のバージョンを利用できるように、日ごろからアップデート情報に目を光らせ、新たなバージョンがリリースされたらすぐにアップデートしましょう。
脆弱性が発生するのはOSやソフトウェアだけではありません。IoTやAPI、VPNなどの脆弱性をついた攻撃も想定されます。そのため、こまめに脆弱性情報を確認し、安全な環境に努めることが重要です。さらに最近では、企業のシステムに脆弱性な部分があるかどうかを診断し、可視化できるサービスやツールが登場しているため、必要に応じて利用するとよいでしょう。
セキュリティソリューションの導入
マルウェア対策ソフトを導入するのはマストとして、それ以外のセキュリティソリューションの導入も検討しましょう。
たとえば、メールセキュリティソリューションを導入すれば、標的型攻撃メールやフィッシングメールなどのサイバー攻撃を防げます。また、誤送信防止機能のあるサービスを利用すれば、ヒューマンエラーによる情報漏えい対策もできます。
ほかにもクラウドサービスの利用状況を可視化し、適切なセキュリティ対策をするCASB、エンドポイントで脅威を自動検知・削除するEDR、ネットワーク上で転送されるデータ量を分析し、攻撃を検知するNDRなどのソリューションの導入も有効です。
まとめ
サイバー攻撃への対策をおろそかにすると、金銭的な被害だけでなく社会的な信用を失い、事業継続が不可能なほどのダメージを負うおそれがあります。どのような手口があるのかを把握したうえで、ゼロトラストをベースとした隙のない防御環境の構築が企業には求められます。
その際、セキュリティソリューションの導入も検討してみましょう。メールを用いた攻撃に対しては、長年の実績があるメールセキュリティ「HENNGE E-Mail Security Edition」がおすすめです。「HENNGE E-Mail Security Edition」は、標的型攻撃対策や誤送信対策が図れ、すべてのメール送受信をセキュアにしてくれる優れたソリューションです。
関連内容はこちら
