vol.161 -「激化するサイバー攻撃 - 身を守るためには」
- 株式会社ビジョンクリエイト
- 12月1日
- 読了時間: 7分
はじめに
ここ数か月、日本の企業がサイバー攻撃の標的になっているのをご存じの方も多いと思います。
9月にはアサヒビールを扱うアサヒグループが、10月には事務用品等を取扱うアスクルがサイバー攻撃を受け、大規模なシステム障害が発生しました。
11月27日にはアサヒグループが情報漏えいの可能性や対応状況等を公表しています。
[アサヒGHD、サイバー攻撃で個人情報191万4000件流出のおそれ 対応状況を明らかに]
過去には大企業や政府の機関といった「特定の企業や機関」が標的になる事はありましたが、今はもう企業だけの問題ではなく、個人個人の生活にも重大なリスクとなります。
もう「特定の企業だけ」や「特別な誰かだけ」が狙われるのでは無いと言って良いかもしれません。
そんな状況下で「私たちがどう身を守るべきなのか」、今回はそれを記事にしてみたく思います。
※セキュリティに関する記事は過去にも書かせて頂きましたが、今回のような事象だったり、何かの折には触れていきたく思います。
なぜサイバー攻撃はこれほど「激化」しているか
かつて、ハッキング等といった行為は、愉快犯や技術力を誇示したいマニアによるいたずら的な側面がありましたが、現在は違います。
●ビジネス化している
「RaaS 」という言葉をご存じでしょうか?
RaaS(Ransomware as a Service)とは、ランサムウェアを「サービス」として提供するものです。
感染したPCをロックして使えなくしたり、ファイルを暗号化した後に、ロックや暗号解除と引き換えに身代金を要求するのがランサムウェアですが、ハッカー達の世界では、ランサムウェアをツールとして販売されています。
つまり、プログラミングの技術がなくても、このツールにお金を払えば、誰でも簡単にサイバー攻撃者になる事ができてしまうのです。
また、身代金を得られた場合にはツールの開発者や実行者で利益を山分けする様なことまで行われていたりします。
ツールを開発する人、ツールを売る人、ツールを使って実際に攻撃を行う人、のように、作業が分業化されているのです。
作業を分業して利益を得る。まさに「サイバー攻撃はビジネス化している」と言えるでしょう。
●誰もが「標的」になる
「ウチは中小企業だから大企業の様に狙われたりはしないだろう」
「私のパソコンに大したデータは入っていない」
といった油断は、今の攻撃者には通用しません。
攻撃者は無差別に攻撃を仕掛けてきます。
自動化されたプログラムが、セキュリティの甘い端末を、24時間365日探し続けています。
仮に、あなた個人のデータに価値がないとしても、あなたのパソコンを「踏み台」にして、本命である大企業や取引先を攻撃することも可能です。
大企業と比べてセキュリティの予算が少ないであろう会社や取引先、あるいはその従業員の端末を乗っ取り、そこから正規のネットワークを通じて侵入を広げていくのです。
つまり、「あなたは被害者になるだけでなく、知らぬ間に加害者になる」可能性がある。
これが現代のサイバー攻撃の恐ろしさです。
攻撃者の手口を知る
では、攻撃者は具体的にどのような手口で攻撃してくるのでしょうか?
代表的なものをいくつか紹介します。
●フィッシング詐欺
代表的な脅威と言えるでしょう。
「荷物を届けられませんでした」
「パスワードが期限切れになります」
といったメッセージが届き、リンク先で情報を入力させようとします。
最近は非常に精巧に作られており、公式のサイトと見分けがつかないほどの偽物のサイトもあります。
●ランサムウェア
近年身近になってきた脅威です。
企業だけでなく、個人のパソコンも標的になります。
感染するとファイルが暗号化され、「解除してほしければ身代金を払え」と要求してきます。
別途バックアップをしていなければ、データを戻す事は困難です。
●ビジネスメール詐欺
実在する取引先になりすまして、請求書の振込先を偽の口座に変更するよう指示します。
メールの文章は、過去の取引履歴をコピーして使っており、一見気づきにくい攻撃です。
●スマホアプリ偽装
正規のアプリに似せた偽物のアプリが、公式のストアに紛れ込むこともあります。
インストールすると情報が盗まれたり、不正な決済に利用されたりします。
●IoT機器への攻撃
ネットワークに繋がっている防犯カメラやスマート家電、家庭用ルーター等が対象になります。
初期パスワードのままにしていた為、侵入されてしまう事例が発生しています。
●心理攻撃
近年のセキュリティ脅威に対して対策しようと意識した技術面が整ってきた一方で、攻撃者は「人間の心理」に付け込む様な手口も使ってきます。
「今すぐ対応しないと口座が凍結されます」
「アカウントが停止されます」
「お荷物が届きませんでした」
といったような、「急がせる言葉」で判断を迷わせようとしてくる典型的なパターンです。
今すぐできるセキュリティ対策
攻撃者に対しては防御が必要です。皆さんが自分自身を守るために、今すぐできる具体的なアクションをお伝えします。
難しい技術は必要ありません。必要なのは「習慣」のアップデートです。
●パスワードを「絶対使い回さない」
最重要です。攻撃者は、流出したパスワードを使って他のサービスにログインできないか自動で試してきます。
Google ChromeやiCloudのキーチェーンといったパスワードマネージャーのツールを使って「長く複雑なパスワードを、サービスごとに使い分ける」事が安全な方法です。
手動で管理すると大変ですが、自動で行う事ができます。
●多要素認証(MFA)を必ず有効にする
パスワードを絶対使い回さない事は最重要ですが、パスワードだけで守る時代はもう終わったと言えます。
IDとパスワードに加え、「スマホに届くコード」や「指紋」など、別の要素を組み合わせるのが多要素認証(MFA)です。
これを設定しておけば、万が一パスワードが盗まれても、あなたのスマホが手元になければ攻撃者はログインできません。
銀行やクレジットカード、SNS、通信キャリアのアカウントなどで、MFAの設定項目がある場合は必ずONにする事です。これだけで、被害リスクをかなり防げます。
●「違和感」を大切にする
「警察から、銀行口座の確認依頼の連絡?」
「上司からのメールの筈だが、なんとなくいつもの文章と違う」
「NTTから料金未納の連絡が来たが、NTTはそんな連絡しないはず」
日常生活の中で、こうして感じた「ちょっとした違和感」は、サイバー攻撃の可能性が高いです。違和感を覚えたら、その相手には軽々に返信をせず、別で確認する事で被害を防ぐことができます。
●OSやアプリ・ルーターを常に最新にする
多くの攻撃は、古いバージョンの脆弱性を狙ってきます。
アップデートすることは防御の"最前線"です。
特に家庭用のルーターは、アップデートを見落とす人が多く、が攻撃の入口になるケースが増えています。
●不審なリンクは開かない(特にSMS)
「銀行」や「携帯キャリア」等のかたる偽SMSが急増しています。
リンクは極力タップせず、公式アプリや公式サイトで確認する習慣をつけましょう。
●公共Wi-Fiでは重要な操作をしない、もしくは、使用しない
空港、駅、商業施設などでは誰ても使用できる公共Wi-Fiがありますが、通信の暗号化が脆弱(技術が古い)、もしくは、暗号化していない場合もあり、盗聴されるリスクがあります。
サイトへのログインや、決済処理等のような重要な操作はしない事です。
どうしても使う必要がある場合は、VPNを利用する事でリスクを低減できますが、できることなら公共Wi-Fiは使用しないのが無難と言えるでしょう。
●スマホ・PCのバックアップを定期的に取る
ランサムウェアに備える最も確実な対策です。
クラウドと外付けのハードディスク、といったように二種類の異なる媒体を使ってバックアップするのが理想です。
まとめ
サイバー攻撃が激化する今、「自分は大丈夫だ」と考える事は最大のリスクです。
しかし逆に言えば、少しの意識と行動で被害の大半は防ぐ事ができるともいえます。
セキュリティ対策を幾つか挙げさせて頂きましたが、これらを当たり前の「習慣」として行って頂ければ、これだけでも攻撃が成功する確率を大きく下げる事ができます。
「自分の身を守る」という姿勢を、ぜひ今日から実践していただければと思います。
コメント