Posts tagged: クラウドブリック

近年はサイバー攻撃の手段が巧妙化し、生成AIやディープフェイクを悪用したなりすましによる被害が報告されています。また、間近に迫るオリンピックや選挙などを前に、サイバー攻撃の脅威は増す一方です。本記事では、そうした攻撃から自社の情報を守るために、企業が講じるべき対策と、2024年の情報セキュリティのトレンドを解説します。

情報セキュリティ・サイバー攻撃の最新トレンドは?

サーバー攻撃の手口は巧妙化しており、攻撃者はあの手この手でさまざまな攻撃をしかけています。企業側も、サイバー攻撃の最新トレンドを把握して対策を講じることが必要です。そこで、ここからは近年新たに登場してきたサイバー攻撃の手口を紹介します。

・暗号化せず情報を窃取する

これまでは、不正に侵入した端末内やシステムのデータを勝手に暗号化して使用不可能な状態にし、身代金を要求するランサムウェアという手口が知られていました。しかし、近年新たに被害が確認されているのが、暗号化せずにデータを窃取する「ノーウェアランサム」という手口です。端末・システムの内部侵入後にデータを盗み、それを流出させない対価として身代金を要求する点ではこれまでと同様ですが、データの暗号化はしません。そのため、通常のランサムウェアよりも手間がかからず、警察庁では今後この手の攻撃が増える可能性があるとして警戒を呼びかけています。
また、暗号化されないため業務が中断されることもなく、被害の発生に気づきにくいのも特徴です。暗号化されてしまえば企業側は否応なしに被害の公表を余儀なくされます。ノーウェアランサムは被害に遭ったことがバレたくないという企業側の心理をついているといえるでしょう。
対策としては、アンチウイルスソフトやEDRといった通常のランサムウェア対策に加え、フィルタリングやアクセス制限、脆弱性の管理などによってセキュリティ対策を全社的に強化することが重要です。

参考：警視庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」

・クラウドを狙う

業務効率化を目的にクラウドアプリを利用する企業や組織が増えていますが、インターネットを経由したサービスであるためにセキュリティ面でのリスクも伴います。クラウド環境におけるアクセス権限の設定ミスやセキュリティの脆弱性によって、本来は公開されるべきでない情報が流出してしまう事例は珍しくありません。
近年ではクラウドの情報管理の甘さを狙って不正アクセスし、暗号資産のマイニングに悪用する「クリプトジャッキング」という手口も広がっています。端末の電源やクラウドの空き容量を第三者が勝手に利用して行われるため、業務での使用中に大量のリソースが消費され、端末の停止などを引き起こす恐れがあります。

・AIを悪用する

さまざまな分野で活用が進んでいるAIですが、残念なことにマルウェアの開発を加速する目的でも悪用されています。たとえば、フィッシング詐欺のメール文面をChatGPTなどの生成AIに代筆させることで、より説得力のあるメールが短時間で書けるようになるほか、動画に映る人物の顔を入れ替えるディープフェイク技術や音声合成技術を悪用して他人になりすまし、金銭を脅し取る犯罪などが実際に報告されています。こうした手口が大々的に広まると、企業や政府の社会的な信頼が損なわれる恐れもあり、近年の社会問題となっています。
AIを活用すればネットワークやシステムの脆弱性を検知することも可能です。これまでは企業側がセキュリティ対策に活用してきた技術ですが、これを悪用すればより高度な方法でのサイバー攻撃が可能になります。こうした脅威を完全に防ぐことは困難であるものの、AIを使った攻撃に対してはAIを活用し、機械学習によって必要な対策をその都度講じていくことが求められます。

・選挙やオリンピックに関連して攻撃する

サイバー攻撃は選挙やオリンピックなど社会的なビッグイベントを狙って増える傾向にあります。実際に東京オリンピック2020では、大会期間中、運営に関わるシステムやネットワークに対して4億5,000万回ものサイバー攻撃がありました。これはロンドン大会（2012年）の2倍以上の数字で、2024年のパリ五輪でも多くの攻撃が予想されています。具体的な攻撃の一例として、マルウェアが仕込まれた「サイバー攻撃の被害報告について」という名前のファイルを添付したメールが関係者に送られていたことや、運営委員会に大量のデータを送りつけるDDoS攻撃などが報告されています。
また、2024年には台湾総統選やアメリカ大統領選が控えており、AIやディープフェイクを使ったなりすまし、フェイクニュースの増加が想定され、混乱や分断を避けるための対策が必要です。

2024年のセキュリティ対策予測と行うべき対策

進化するサイバー攻撃による被害を防ぐために、企業や組織はどのような対策を行えばよいのでしょうか。

・AIを活用したサイバー攻撃対策が求められる

前述の通り、攻撃者はChatGPTのような生成AIをサイバー攻撃に利用していることがわかっています。ウイルスを仕込んだメールの自動送信なども普及しており、今後もAIを活用したサイバー攻撃が増えることが予想されます。影響を軽減するためには、インシデントレスポンスと復旧計画の強化が重要です。また、CSPMやCSPなどのツールを活用してクラウドの管理および監視を継続的に行う、機密情報を暗号化するなどの対策も求められます。

・サイバー保険が注目される

サイバー保険とは、サイバー攻撃によって生じる経済的な損失から、企業や個人を保護するための保険のことです。顧客情報の漏えいなどによって第三者に被害が及んだ場合の損害賠償責任や事故対応費用、訴訟費用、自社の損失利益などの補償が含まれています。
マーケッツアンドマーケッツ社の調査では、世界におけるサイバー保険の市場規模は2023年の103億ドルから2028年には176億ドルに成長すると予測しています。国内でも注目され始めており、大手保険会社を中心にサイバー保険の取り扱いが進んでいる状況です。

参考：マーケッツアンドマーケッツ社
https://www.marketsandmarkets.com/Market-Reports/cyber-insurance-market-47709373.html

・ゼロトラストセキュリティの考え方が普及する

ゼロトラストとは、文字通り「何も信頼しない」という考え方を前提としたセキュリティ対策のことです。ネットワーク内のすべてのデバイスやユーザーを信頼せずにセキュリティ対策を講じます。
従来は危険な外部と安全な内部のネットワーク間に境界を設け、境界の外側からくる脅威をブロックするセキュリティが主流でした。それが近年では、社内のユーザーであっても無条件に信用せず、その都度アクセスを確認し、認証を行う方法に変化しています。ゼロトラストを前提とすることで、不正アクセスや情報の持ち出しのリスクも最小限に抑えることが可能です。

まとめ

AIを活用したサイバー攻撃が増える中、企業側としてもAIを活用してセキュリティを強化する必要があります。近年のサイバー攻撃は手口が高度化しており、被害の発覚が遅れがちです。ゼロトラストの概念に基づき、社内外におけるすべてのアクセスをその都度、管理・監視する対策が必要です。

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

年々手口が巧妙化し、脅威が増すばかりのサイバー攻撃。企業側でもさまざまな情報セキュリティ対策を講じていますが、その被害は拡大傾向にあります。自社の機密情報や顧客情報の漏えい、業務システムの停止など、被害状況は深刻です。本記事では、2023年に発生したサイバー攻撃の事例や発生原因、サイバー攻撃の種類、対処法などを解説しています。自社で必要な対策を練る際の参考にしてみてください。

2023年に国内で起きたサイバー攻撃の代表的な事例

ここでは、2023年に国内で発生したサイバー攻撃の代表的な事例を紹介します。

・クラウド環境の誤設定で、約215万件の顧客情報が漏えい

2023年5月、大手自動車メーカーのIT・通信分野を担う事業会社において、クラウド環境の誤設定により、車載IDや車台番号など約215万件の顧客情報が公開状態となっていたことが判明しました。社内におけるデータ取り扱いのルール説明が不十分だったことが主な原因とされています。同社では事件の判明後に外部からのアクセスを遮断する措置を講じており、流出した可能性のある顧客情報が第三者によって二次利用されるなどの被害は確認されていないとのことです。また、これを受けて同社ではクラウド設定を監査するシステムを導入するとともに、従業員への教育を徹底するなどしてセキュリティ機能を強化するとしています。

・リスト型攻撃で約25万件のWeb履歴書が流出

総合転職サイトを運営する、ある人材紹介会社では、2023年3月、外部からの不正ログインによって約25万人のWeb履歴書情報が漏えいしました。社内調査によると、外部から不正に取得したIDやパスワードを使用してさまざまなサイトにログインを試みるリスト型攻撃が原因であるとわかっています。これを受け、同社では全ユーザーのパスワードをリセットし、不正ログインを行っていた送信元のIPアドレス群からの通信を遮断するなどの被害拡大防止策を実施しています。また、今後はIDやパスワード認証以外の方法でのシステムセキュリティ強化を目指すとのことです。

・外部委託業者への不正アクセスがきっかけで、約69万件の顧客情報が漏えい

ある大手保険会社は2023年1月、自社が保有する顧客情報の一部が流出した可能性があることを発表しました。流出した恐れのあるデータは同社の車両保険に加盟中の顧客と、過去に加入したことのある顧客のもので、性別や生年月日、氏名など約69万件とされています。外部委託業者が第三者からの不正アクセスを受けたことが原因で、顧客情報が海外のサイトに掲載されていたことから判明しました。再発防止策として、同社では委託先における個人情報の取り扱いに関する要件の厳格化などを進めています。

・サーバーへの不正アクセスによって約104万件の顧客情報が漏えい

カジュアル衣料品を中心にSPAブランドを展開する大手アパレル企業では2023年1月、社内の業務システムのサーバーが外部からの不正アクセスを受けました。不正アクセスの確認直後にネットワークの遮断や業務システムの停止などの被害拡大防止策を講じましたが、氏名・住所・生年月日・電話番号などを含む約104万件の顧客情報が流出した可能性があるとのことです。その後、さらに約22万件の顧客情報が流出した可能性も判明しました。物流システムを停止したことにより、同社が運営するECサイトも一時休止を余儀なくされました。これを受け、同社では各種アカウントのリセットや管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化、端末のリアルタイム監視体制の構築といった対策を実施しています。

海外で発生した有名なサイバー攻撃の事例

海外では民間企業への攻撃にとどまらず、社会インフラを脅かすような深刻なサイバーテロも発生しています。ここでは、近年に海外で起きた有名なサイバー攻撃の事例を紹介します。

・ランサムウェア「WannaCry」により、約430万円の被害

イギリスでは地域医療連携システムを提供するための公的機関のコンピュータが、ランサムウェア「WannaCry」に攻撃された事例があります。ウイルスに感染したコンピュータからはシステムの利用者情報が盗まれたほか、アクセス妨害や身代金の要求などの被害が発生。コンピュータを立ち上げることで感染拡大が懸念されるために、多くの医療機関の業務に支障が出たとのことです。また、一部の医療機関ではこの攻撃の影響でカルテ・処方箋・予約などの管理システムが停止しました。BBCの分析によれば、データ復旧の身代金として日本円で約430万円が支払われたとされています。

・某SNSの脆弱性が攻撃され、540万人の名簿データが漏えい

2022年11月には、アメリカのIT企業が運営する有名SNSにて、システムの脆弱性を狙ったサイバー攻撃で漏えいしていた情報が、誰でもアクセス可能な掲示板に公開されるという事件が起きました。その情報は約540万人分の名簿データで、アカウントIDやユーザー名のほか、二段階認証に必要な電話番号やメールアドレスなどの情報も含まれます。
非公開の電話番号やメールアドレスが流出したことで、それらを使って匿名アカウントの個人が特定できる状態となっていました。

・サプライチェーン攻撃により、アメリカ政府機関の機密情報が流出

2020年にはアメリカの政府機関にて大規模なサイバー攻撃が発生しています。発端となったのは、ネットワーク監視ツールを提供している大手IT企業がハッキングされたことです。攻撃者は同社製品の自動更新時にマルウェアを仕込み、それによって政府機関を含む100弱の組織のサーバーが不正アクセスの被害を受けました。サーバー攻撃の被害が確認された組織の中には国務省、財務省、米航空宇宙局なども含まれています。この事件の当時には新型コロナウイルスの感染が拡大しており、リモートワークのため社内ネットワークにログイン可能な端末の登録プロセスが簡略化されていたことが事件発生要因のひとつとして挙げられています。

日本でよく起きる12種類のサイバー攻撃

ここからは、日本国内で頻発するサイバー攻撃の中から代表的な12種類を挙げて解説していきます。複雑化しているサイバー攻撃に対処するために、それぞれの特徴を把握しておきましょう。

1.マルウェア
ウイルスやワーム、トロイの木馬など悪意のあるプログラムやソフトウェアの総称。感染すると個人情報の流出や端末に保存されているデータの改竄、端末の強制ロック、外部との勝手な通信などの被害に遭う可能性がある

2.ランサムウェア
マルウェアの一種。感染するとシステムへのアクセスが制限され、制限解除のために身代金を要求される

3.標的型攻撃
特定の個人や組織を狙った攻撃。ターゲット宛にウイルスが添付されたメールを送付する手口が知られている

4.Emotet
メールの添付ファイルを感染経路とするマルウェアの一種

5.不正アクセス
アクセス権限を持たない第三者が個人情報の取得などを目的に不正にサーバーやシステムへ侵入する行為

6.脆弱性を狙った攻撃
プログラムの不具合や設計上のミスなどセキュリティの脆弱性を悪用したサイバー攻撃

7.サプライチェーン攻撃
業務上のつながりを悪用し、セキュリティ対策に弱点がある関連会社や取引先を経由して不正アクセスを試みるサイバー攻撃

8.SQLインジェクション
Webアプリケーションの不備を悪用してデータベースを不正に操作する攻撃

9.パスワードリスト攻撃
あらかじめ何らかの方法で入手したIDとパスワードを悪用し、第三者が本人になりすましてサービスやシステムに不正アクセスを試みる攻撃

10.ゼロデイ攻撃
セキュリティの脆弱性が発見されてから、それへの対策が講じられるまでの間を狙って行われるサイバー攻撃

11.DDOS攻撃
サーバーやネットワークに複数端末から大量の通信を発生させることで処理不能に陥らせ、サービスを停止させる攻撃

12.ブルートフォース攻撃
IDやパスワードの考えられるパターンを総当たりで入力し、認証突破を試みる攻撃

サイバー攻撃の平均被害額は？

セキュリティ対策製品を提供するノートンライフロック社が2022年に発表したレポートによると、2021年の1年間におけるサイバー攻撃の被害額は320億円にものぼったことがわかっています。また、トレンドマイクロ社が2023年に実施した調査によれば、過去3年間でのサイバー攻撃の被害を経験した法人の累計被害額は平均1億2,528万円、ランサムウェアの被害を経験した法人の累計被害額は平均1億7,689万円にも及ぶという結果となりました。ランサムウェアの被害はサプライチェーンの関連組織にも広がることから、被害額が大きくなりがちです。そのため、自社だけでなく関連企業や取引先企業全体でのセキュリティ対策の強化が求められます。

出典：株式会社ノートンライフロック「サイバー犯罪調査レポート2022」

出典：トレンドマイクロ株式会社「サイバー攻撃による法人組織の被害状況調査」

まとめ

リモートワークの推進やクラウドの利用機会の増加により、企業はこれまで以上にサイバー攻撃の危険にさらされています。また、サイバー攻撃の手口は年々高度化、巧妙化しており、自社の情報資産を守るためには、従業員教育の徹底やWAFの導入といったセキュリティ対策の強化が必須です。本記事を参考に、自社に必要な対策を検討しましょう。

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

IT技術の発達とともに、サイバーテロや情報漏えいに対する情報セキュリティが重要視されています。専門的な知識も必要になるため、情報セキュリティに関する資格の取得することによって、サイバーセキュリティ等に対して適切な判断を下せるようになります。

情報セキュリティに関しておすすめな資格は7種類あり、取得するのであれば企業の方針や個々の立場、スキル、経験に合わせることが大切です。本記事では、資格の種類や概要、難易度について解説します。

情報セキュリティの資格とは?

近年のインターネットやIT技術の目覚ましい進化に伴い、情報漏えいやサイバーテロなどの悪意ある攻撃が急増しています。このような状況から、情報セキュリティの重要性がますます高まりました。

情報セキュリティの資格は、インターネット上に保管されているデータの適切な運営、保護に関する知識、対策、技術力などを証明するものです。データ漏えいやサイバー攻撃からの損失を最小限に抑えながら、「情報セキュリティに詳しい人材がいる」という事実が、個人のキャリアや組織の信頼性を向上させる効果も期待できます。

情報セキュリティの資格を取得するメリット

情報セキュリティの資格は専門的な知識やスキルを有する証明になります。資格を持つことにより、「自分は情報セキュリティに関して専門性の高い人材である」と自信を持ってアピールできることは大きなメリットです。

また、スキルを活かした実務の推進にも役立ちます。組織内で情報セキュリティの改革を進める際、資格保持者は最新の技術やベストプラクティスを考慮し、安全性を向上させるための施策を提案できるはずです。これは組織の信頼性を高め、顧客やパートナーからの信頼獲得に貢献します。

社内におけるIT人材の育成にも効果的です。組織内の従業員が情報セキュリティの資格を取得することでスキルアップが促進されるようになるとともに、組織全体のセキュリティ意識が高まります。このような変化は内部からセキュリティの専門家を育て上げることにつながり、長期的なセキュリティ戦略の成功をもたらす要因です。

おすすめの情報セキュリティ資格一覧

1. 情報処理安全確保支援士試験
2. 情報セキュリティマネジメント試験
3. シスコ技術者認定
4. 情報セキュリティ管理士認定試験
5. 公認情報セキュリティマネージャー（CISM）
6. （ISC）² 資格
7. AWS認定セキュリティ

情報セキュリティに関する2つの国家資格

情報セキュリティは国家資格と民間資格に分かれます。国家資格は情報処理安全確保支援士試験と情報セキュリティマネジメント試験です。

・1. 情報処理安全確保支援士試験

情報処理安全確保支援士試験は、マネジメント・エンジニアの共通分野の試験であり、情報処理システムにおけるセキュリティ確保に関したスキルが問われる資格です。

情報セキュリティの専門知識や実務経験を活かし、システムの潜在的な脆弱性を特定しながら、適切な対策を講じるスキルが評価されます。

内容が高度なため難易度が高く、合格するためには幅広い知識と実践的なスキルが必要です。

・2. 情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、マネジメント分野に焦点を当てた国家試験です。情報セキュリティの基本的な知識やトラブル発生時の対応についての内容が問われます。

難易度は比較的低く、特にエンジニア職を目指す人に向いています。情報セキュリティを組織内で適切にマネジメントするためのスキルや知識を評価する内容になっており、情報セキュリティにおけるポリシーの策定、リスク評価、セキュリティ対策の計画立案などが含まれます。

情報セキュリティに関するおすすめの5つの民間資格

前述の国家資格のほか、情報セキュリティに関する民間資格の取得もおすすめです。

・1. シスコ技術者認定

シスコ技術者認定は、世界的なネットワーク開発メーカーであるシスコが提供するセキュリティ試験です。情報セキュリティ分野における専門知識とスキルを証明するための信頼性の高い資格として知られています。以下4種のシスコの情報セキュリティ資格が特に有名ですが、難易度が高いため、入念な準備が必要です。

• CCENT：ネットワークの基礎知識が必要
• CCNA Security：CCENTの上位資格で、ネットワークの保護に関する知識が必要
• CCNP Security：CCNA Securityの上位資格でネットワーク環境の構築、トラブルへの対応力が必要
• CCIE Security：CCNP Securityの上位資格で、国際的に認められている情報セキュリティの上級資格

・2. 情報セキュリティ管理士認定試験

情報セキュリティ管理士認定試験は、全日本情報学習振興協会によって実施されている試験です。主に事務系や管理系の職種向けの情報セキュリティ資格として知られています。この試験は、情報セキュリティの基本的な概念と実務的なスキルや習熟度に焦点を当てており、難易度は比較的低いとされています。

・3. 公認情報セキュリティマネージャー（CISM）

公認情報セキュリティマネージャー（CISM）は情報通信の国際団体ISACAが主催しています。情報セキュリティマネージャーとしてのスキルと知識を証明するための国際的な資格です。幅広い情報セキュリティ関連トピックスに関する知識やスキルが要求されます。日本語対応の教材が少ないため、難易度は比較的高めです。

・4. （ISC）² 資格

（ISC）² 資格は国際的な非営利団体（ISC）²が主催しています。国際的な評価を受けるこの資格は、情報セキュリティ分野のスペシャリストを対象としており、非常に高い難易度です。しかし、取得した資格は国際的に評価されます。情報セキュリティの専門家としての能力を示す強力な証明になることは間違いありません。

ただし、合格後も定期的な資格更新が求められるため、専門知識とスキルを継続的に磨き続ける必要があります。

・5. AWS認定セキュリティ

AWS認定セキュリティは、Amazonが提供するクラウドサービスであるAWS（Amazon Web Services）が実施している資格試験です。AWSのセキュリティサービスやベストプラクティスに関する深い理解を持つ専門家を対象にしています。

AWSは多くの企業や組織にとって重要なクラウドプロバイダーです。そのセキュリティに関するスキルと知識もますます求められるようになりました。技術者が注目するべき資格のひとつであることは間違いありません。

まとめ

情報セキュリティに関する資格は、昨今の情報社会において重要視されるようになりました。高度な知識やスキルが求められる資格が多いですが、取得の難易度には差があります。取得する際には自分の立場に求められる資格やキャリアパスを考慮し、適切な資格を選択しましょう。

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら