個人から企業まで、サイバー攻撃の脅威
サイバー攻撃とは、ネットワークシステムを通じて企業のサーバやパソコンなどに不正アクセスを行い、データ奪取や破壊活動、改ざんなどを行うことを一般的にさします。不特定多数を無差別に攻撃するものもあれば、特定の組織や企業を標的にするケースがあります。一旦、サイバー攻撃を受け、情報の流出が発生してしまうと、企業は損害賠償を含め甚大な被害を被ります。今回は、年々巧妙化し、激しさを増すサイバー攻撃のリスクについて詳しく見てみたいと思います。
年間の攻撃件数と傾向
はじめに、年間どの程度のサイバー攻撃が仕掛けられているかご存知でしょうか?国立研究開発法人情報通信研究機構の『NICTER観測レポート 2017』によると、2017年1月1日から12月31日までの1年間の観測結果をまとめたレポートで、サイバー攻撃の件数が2017年は過去最高になったと調査結果を発表しています。
* 引用:http://www.nict.go.jp/cyber/report/NICTER_report_2017.pdf
図にも表示されていますが、IPアドレスあたりの年間総観測パケット数は約56万パケットを観測し、前年比で1.2倍、総件数では1504億件もの攻撃を観測しています。膨大な攻撃を分析し、攻撃の種類や傾向を同レポートではまとめています。それではレポートにまとめられているサイバー攻撃について解説します。
ランサムウェアによる攻撃
2017年にはWannaCryをはじめ、PetyaやBad Rabbitといったランサムウェアを使った攻撃が広く行われ、警察庁サイバー犯罪対策プロジェクトから警告も出されるなど社会問題にも発展しました。ランサムウェアとはユーザーのデータを「人質」に取り「身代金(ランサム)」を要求するマルウェアの一種です。これらのランサムウェアは勝手にパソコン内部に侵入してパスワードをかけてロックしてしまったり、データを暗号化して読み取れなくしてしまいます。データに再びアクセスするためには金銭を払うよう要求されます。レポートでは特にMicrosoft WindowsのServer Message Block 1.0 (SMBv1)の脆弱性をついたWannaCryの日本における被害と拡大状況が報告されています。
DRDoS攻撃(DoSリフレクション攻撃)の増加
* DRDoS攻撃とは、多数のコンピュータから一斉にデータを送りつけてWEBサーバを攻撃し閲覧不能にさせるDDoS攻撃の一種です。DoSリフレクション攻撃は直接WEBサーバを攻撃せず、DNSサーバやNTPサーバを反射に利用する手法です。関節的に攻撃を仕掛けるため、攻撃元の特定が難しくなります。レポートでは一日あたり約4.3万件の攻撃を継続して観測したと報告されており、その数は年々増加しています。
IoT関連機器への攻撃
現在は防犯カメラや携帯型ルーターなどあらゆるものがインターネットにつながりますが、これらのIoT機器が攻撃対象の過半数を占めています。IoT関連機器はサーバやパソコンと比較するとインターネットに接続しているという意識も薄く、その分セキュリティ対策が脆弱なものとなっています。実際通信事業者の携帯型ルーター等が狙われるなど、機器にある小さな脆弱性を突くケースが目立っています。例えばRealtek SDKの脆弱性を悪用した日本国内のブロードバンドルータ、Huawei社のブロードバンドルータへのマルウェア感染等が報告されています。レポートでは総括として次のように述べています。
”IoT機器を狙った感染の手口が巧妙化・多様化しました。おそらく2018年も、このような攻撃側の戦術の変化が続くものと我々は予想しています。”
このようにサイバー攻撃は最早企業だけでなく、個人にも及ぶ危機であることを示唆しています。狙われるのは大企業ばかりではありません。攻撃を受けるリスクは中小企業、また個人であっても同様に発生します。
サーバ管理を外部委託する企業のリスク
また自社でサーバ等を管理せず、外部に管理を委託している企業も注意が必要です。今年6月に発生したプリンスホテルの事例を紹介します。
”プリンスホテルは6月26日、同社が運営を外部委託する外国語予約サイトで不正アクセスによる2件のセキュリティインシデントが発生したと発表した。これにより、合計で約12万4963件の個人情報が漏えいした。”
引用:https://japan.zdnet.com/article/35121487/
プリンスホテルは予約システムの運用を、パリに本社を置くFastbooking社に委託していました。Fastbooking社がサーバを運用するフランスではEU一般データ保護規則(GDPR)が影響を及ぼす懸念があります。
GDPRとは?
GDPRは、2018年5月25日に欧州連合(EU)で施行されました。GDPRでは個人データ処理の外注を受託する事業者を「処理者」、委託する側をデータ処理の目的と手段を決定する責任主体「管理者」と位置付けています。旧EUデータ保護指令においても、適切な外注管理を怠ったことを理由として管理者が制裁金を課されてきましたが、新しく施行されたGDPRではさらに管理責任に関する規制が大幅に強化されました。また発生後72時間以内の報告が義務付けられています。
プリンスホテルの情報流出の事例は、日本企業であっても欧州にある外部委託先において個人情報の流出事故を起こしてしまった場合、管理者として責任を問われかねない可能性を示唆しています。サーバ管理を国外など外部に委託する場合は、その国での個人情報保護規制や義務、罰則などにも注意を払う必要があります。
2018年サイバー攻撃による被害事例
1) WordPress用プラグイン「Ultimate Member」に複数の脆弱性(JVN)
WordPressで10万件以上のサイトで使われている人気プラグイン「Ultimate Member」を通して攻撃される被害が報告されています。同じサーバ内に存在する書き込み可能なファイルを検索して感染を拡大する機能を持ち、WordPressを導入していない環境であっても、ウェブページが改ざんされるおそれがあります。
2) GMOペパボ「カラーミーショップ」に不正アクセス クレジットカード情報が流出
2018年1月、GMOペパボが運営する「カラーミーショップ」に不正アクセスがあり、ショップオーナーおよび購入者のクレジットカード情報を含む最大 77,385件の情報流出が発生しました。
昨今インターネットバンキングの認証情報やクレジットカード情報が攻撃者に窃取され、不正送金や不正利用が行われる被害も増大しています。企業、個人問わずインターネットにつながる機器を持つ場合はセキュリティ対策には敏感になっておく必要があります。
