いわゆる「ならず者国家」は、他国を攻撃するための物理的能力の有無にかかわらず、マルウェア、DDoS 攻撃、スパイ活動などによって他国を攻撃する能力を持っています。世界全体がつながっており、サイバー犯罪者は、ならず者国家と協力して、老朽化した送電網など、ビジネスやインフラストラクチャに障害を与えるための手段を見つけては大金を稼いでいます。
合衆国の国土安全保障省が2019年6月に出した通達でも、産業や政府機関に向けられた悪意あるサイバー活動が増加している点に言及しています。
以下では、高度で持続的な脅威の形として近い将来使用される可能性のある6種類のサイバー攻撃について説明します。様々なサイバー攻撃の手口と、それがどこでどのように使われるのかをしっかり認識して備えることが不可欠です。
1. ランサムウェア
ランサムウェアは、ならず者国家や悪意あるハッカーが、コンピュータに侵入して感染させ、感染したコンピュータへのアクセスを制限し、制限をはずすために身代金を要求することで資金を調達しようとする手法です。2017年の WannaCry アウトブレイクが有名です。背後にならず者国家の関与があったのではないかと取り沙汰されています。
WannaCry ランサムウェア攻撃によって、イギリスのNHS(国民保健サービス)の大部分が一時機能停止に追い込まれました。どれほどの健康被害があったのか、あるいは実際に人命が失われたのかどうかは完全にはわかっていませんが、医療ネットワークのシステムがダウンしたために、緊急治療を必要とする患者が搬送された複数のケースが確認されています。私たちの生活がこれまでになくアプリやサービスに大きく依存していることに思い至らせる、重要なエピソードです。
必要なデータにアクセスできなくなり、身代金を払わなければならないという事態が発生しないよう、独自に適切かつ確実にバックアップをとっておくことが非常に重要です。多くの企業でハイブリッドクラウド環境での作業が行なわれているという現実を考えると、悪意あるハッカーが、クラウドサービスプロバイダを狙うのは、大いにあり得ることです。
2. フェイクニュース(虚偽報道)
虚偽報道攻撃は目新しいものではありませんが、最近のフェイクニュースの多さは目に余るものがあります。海外の選挙に影響を与えるために様々なフェイクニュースが流されたことは周知の事実です。
このタイプの攻撃はビジネスに直接影響を及ぼす可能性は低いものの、個人的なレベルでは、読んだり聞いたりするすべてに常に注意することが非常に重要です。Facebook や Twitter などのソーシャルメディア企業は、フェイクニュース問題を解決しようと懸命に取り組んでいますが、前途はまだまだ多難です。
3. フィッシング攻撃
ソーシャルエンジニアリングは、悪意あるハッカーや何らかの報復をしようとたくらむならず者国家にとって、格好の手法です。私たちの生得的な人間的側面につけこんで、最大の利益を引き出そうとします。このタイプの攻撃に対しては実に多くの警告が出されており、自社ネットワークでフィッシング攻撃への被害が生じてしまったら、セキュリティ管理体制の質を問われかねず、他のタイプのサイバー攻撃よりも大きく問題視される可能性があります。
対策として常に推奨されているのは、社員に対してセキュリティ意識向上のためのトレーニングを実施することです。偽のウェブサイトやフェイクメールの仕組みや注意すべき点について教育し、ハッカーが別人になりすまして、情報を引き出そうとあの手この手を使ってくることをしっかり認識する訓練を行います。最も重要なのは、強力なパスワードの重要性を理解し、個人の生活でもパスワードを共有しないようにトレーニングすることです。
フィッシング攻撃の脅威を把握できているかを確かめるために、社員に偽のフィッシング攻撃を仕掛けるサービスもあります。こういったサービスを使って、警戒すべきフィッシング攻撃の特徴を理解できていない社員を再教育することもできます。
4. サービス拒否攻撃
このタイプの攻撃は、インターネットをなぎ倒してしまうほどの威力があり、かなり高度な能力が必要です。今では、電話をかけることから医療ネットワークで重要なアプリケーションを実行することまで、あらゆるプロセスにインターネットが不可欠になっているので、DDoS が発生すると、通信システムに大混乱をもたらします。
いったんインターネットがダウンしてしまったら、会社ができることはあまりありません。システムにパッチがあてられていることを確認し、デバイスがDDoS 攻撃を悪化させるボットネットの一部にならないよう、多要素認証でセキュリティ保護されていることを確認してください。2016年の Dyn への攻撃でインターネットを停止させた Mirai ボットネットの原因が、しっかり保護されていなかった IoT デバイスだったことは大きな教訓です。
5. ゼロデイ攻撃
ゼロデイ攻撃に関しても、IT部門やセキュリティ部門でできることはそれほど多くありません。このタイプの攻撃は、トラブルを引き起こしたり、ネットワークに障害を起こすために使用されるまで、長い間休眠状態が継続される場合があります。重要なことは、ニュースサイクルを常に最新の状態に保ち、ゼロデイエクスプロイトが公開されたときに可能な限り対策を講じることです。ときには、Microsoft などの会社がゼロデイ攻撃へのパッチを当てるのに何か月もかかる場合もあります。あるいは、脆弱性をそれほどの脅威とは見なさなかったり、脆弱性が製品やサービスの基本機能に組み込まれてしまっているような場合は、脆弱性に対して完全に無視を決め込む可能性もあります。
カーネルの脆弱性は、重大なセキュリティの抜け穴になります。カーネルは、コンピュータが動作する基本的な方法に深く根付いているので、修正を加えることは、技術力を誇る大会社にとっても途方もない仕事になります。
6. サプライチェーン攻撃
このタイプの攻撃は、他のタイプよりもさらにとらえどころがありません。ビジネスアプリケーションやサービスの深刻なセキュリティ上の欠陥を修正するパッチを当てた後に加えられる攻撃です。悪意ある攻撃者が一般的なツールのアップグレードプロセスでセキュリティ問題を露呈させようとたくらむとすれば、セキュリティパッチがマルウェアの伝播ルートになる可能性もあります。
1つの例は、ウクライナ政府が使用したM.E. Docs と呼ばれる会計ソフトウェアを介してウクライナとビジネスを行う企業を攻撃した NotPetya です。NotPetya はウクライナとその関連会社に対するサイバー攻撃でしたが、こうしたタイプの攻撃は、サードパーティーのプラグインを介してブリティッシュ・エアウェイズなどの企業にも向けられました。
通常、アップデートによって何か新しい問題が引き起こされないかチェックするために、ネットワーク全体にプッシュする前にプラグインやアップデートをテストするものですが、事前テストはサプライチェーン攻撃の場合にも役立ちます。ただし、使用するアプリがあまりにも長い間見過ごされていると、アップデートプロセス内に悪意あるコードが追加されても、ネットワーク内のシステムにそのコードだけパッチを適用し忘れるという奇跡的な偶然に望みをかける以外には、できることはほどんどありません。
まとめ
サイバー攻撃はビジネスと経済に対する真の脅威であり、少しでも抵抗するためには私たち全員が正しいことを行わなければなりません。システムとエンドユーザーを危険から守るツールを実装し、社員にはトレーニングを受ける機会を提供する必要があります。エンドツーエンドの暗号化を展開し、ネットワークに接続する悪意あるデバイスを検出するためにネットワーク監視を行い、パスワード保護を強化する多要素認証も検討してください。
自分たちは中小企業で、攻撃するに値しないから、関係ないと思い込んでいませんか?残念ながら、世の中はそれほど都合よくはないようです。サプライチェーン攻撃で、付随的被害に巻き込まれることもあります。サイバー犯罪者が愉快犯の場合は、かえって脆弱そうな中小企業が狙われることもあります。不満を抱く個人は、企業の規模に関わらず存在し得ます。サイバー脅威はますます高度化し、ターゲットになるデータベースはどんどん膨大になります。中小企業といえども、警戒を怠ることはできません。
では、安全には十分に配慮して、慎重を期してください。そして、万一の場合のリスクマネジメントへの備えも、くれぐれも怠りなきよう、祈っています。