2016.6.3 (Fri)
他人には聞けないICTの“いま”(第12回)
東大職員も騙された!心理の隙を突いたサイバー攻撃サイバー攻撃はときとして、社員を被害者にするだけではなく、加害者に変えてしまうことがあります。社員が意図せず加害者になってしまうと、社内だけの問題ではなくなり、企業のブランド価値や信用を毀損しかねません。
では、社員が加害者になってしまうのはどういった場合なのでしょうか。具体的に事例を交えながら、セキュリティ対策について考えていきます。
いまやICTは企業活動に欠かせないものとなり、それに伴って情報セキュリティ対策も重要度を増しています。一般的に情報セキュリティ対策は、「被害者」になることを防止する点が重要視されがちです。しかし、なかには攻撃対象を「加害者」に変えてしまうサイバー攻撃も存在します。
その最たる例が「DDoS攻撃」(Distributed Denial of Service attack)です。DDoS攻撃とは「遠隔操作によって不特定多数のコンピューターから、対象となるウェブサイトやサーバーへ一斉に攻撃を仕掛ける」方法を指します。攻撃者は、DDoS攻撃によって自らの手を汚すことなく、攻撃対象に甚大なダメージを与えることができるのです。
この「不特定多数のコンピューター」とは、何らかの経路でボットウィルスに感染した第3者のPCを指します。ボットウィルスは感染しても、PCに見た目に変化はありませんが、所有者の与り知らないところでDDoS攻撃などの遠隔操作が可能となるものです。社員のPCが何らかの理由でボットウィルスに感染してしまうと、本人の意思とは関係なく加害者の一翼を担ってしまいます。
仮に社員のPCがDDoS攻撃に加わってしまうと、社員及び企業はその責任を問われる場合があります。また「攻撃を加えた側」になりますから、ブランドイメージ失墜や取引先との関係悪化などといった深刻なダメージを負うこともありえるでしょう。では、DDoS攻撃の加害者にならないためには、どのようなセキュリティ対策を施すべきなのでしょうか。
DDoS攻撃の加害者にならないためのセキュリティ対策としては、主に3つの方法があります。
1つ目の方法は「OSやアプリケーションを最新状態にアップデートする」ことです。これはDDoS攻撃に限らず、サイバー攻撃から身を守るための基本です。インターネット上に存在するさまざまな悪意(マルウェアやウィルス)への対策として、つねにOSやアプリケーションのアップデート情報をチェックしておきましょう。OSやアプリケーションのアップデートには機能強化・改善のほかに、セキュリティ面での脆弱性に対応した内容が含まれているからです。
一般的にOSやアプリケーションは、古いバージョンほど脆弱で、リスクが高くなります。特定のバージョンにのみ存在する脆弱性をついた攻撃は日常茶飯事であり、対策するには最新版の適用が有効です。また、頻繁に脆弱性が確認されるアプリケーションの場合は、業務使用を控えるという決断が必要な場合もあります。
2つ目の方法は「セキュリティポリシーの策定と周知徹底」です。情報セキュリティ対策の方針や行動指針をセキュリティポリシーで明確化し、「どのような情報資産を守るのか」「どのような攻撃から守るのか」を社内へ周知徹底しておきましょう。
DDoS攻撃への加担は「フィッシングサイトへのアクセス」や「不用意なファイル開封」などによって引き起こされます。このような人災は、社員のセキュリティに対する意識が低い状況では防ぐことは難しいのです。セキュリティポリシーの策定と周知徹底により、社員のセキュリティ意識を高めておきましょう。
3つ目の方法は「IoTデバイスへの配慮」です。DDoS攻撃の原因であるボットウィルスは、PCだけに感染するわけではありません。ルーターのようなネットワーク機器や、WebカメラなどのIoTデバイスも攻撃対象となります。つまり、「ネットワーク接続機能を持つ全てのデバイス」がボットウィルスの感染対象なのです。
実際に2016年には、「Mirai(ミライ)」というボットウィルスに数多くのネットワーク機器が大量感染したことによって、大規模なDDoS攻撃を引き起こしました。Miraiは、ルーターやWebカメラを踏み台にして大量のデータを送り付け、セキュリティ情報ブログ「Krebs on Security」のサーバーをダウンさせたのです。この攻撃から、IoTの活用が拡大している現代においては、もはやPCへのセキュリティ対策だけでは不十分と考えられます。IoTデバイスへのアクセスに必要なパスワードは厳格に管理し、簡単に解読されないものに変更しておくことが重要です。
前述の3つの対策によって、DDoS攻撃に対する防御力は高まるでしょう。しかし、年々巧妙化するDDoS攻撃の手口に対応するには、もう一押しが必要です。DDoS攻撃への防御力を高め、社員を加害者にしないための秘訣は、「ネットワークセキュリティの強化」にあります。
ネットワークセキュリティとは、「ネットワークをウィルスや不正アクセスから防ぐ防御網を構築すること」です。具体的には「ファイヤーウォールの導入」「パスワード管理」「ネットワーク監視」などが該当します。また、ネットワークセキュリティの運用体制は24時間体制が基本であり、インシデントの発生時には迅速かつ的確な対応が求められます。
PCやスマートフォンなどの「個別の端末」を対象にするエンドポイントセキュリティに対し、ネットワークセキュリティは「端末が接続されているネットワーク全体」が対象となっています。つまりルーターやIoTデバイスなどのネットワーク機器も含んでいます。サイバー攻撃の手口が巧妙化している昨今、ネットワークセキュリティは、エンドポイントセキュリティと並び、セキュリティ対策の要所といえるでしょう。
ただし、ネットワークセキュリティの導入にはいくつかの課題があります。その課題とは「PCやIoTデバイスなど対象範囲が広く、カバーしきれない」ことや「運用員の確保」、「インシデントが発生した時の対応速度」などです。このような課題を解決するには、外部の専門機関や通信事業者などのサポートを受けるのも得策です。外部による24時間のモニタリングサポートや、インシデント発生時の復旧支援などを提供するサービスを導入すれば、前述の対象範囲の広さや運用員の確保といった課題も解決して、DDoS攻撃への防御力も高まることでしょう。
DDoS攻撃は、企業活動だけでなく、そこで働く社員の生活をも脅かすリスクを孕んでいます。「OSやアプリを最新状態へアップデートする」「セキュリティポリシーの策定と周知徹底」「IoTデバイスへの配慮」といった一般的な対策に加え、「ネットワークセキュリティの強化」という懐刀を確保して、サイバー攻撃のリスクから社員を守っていきましょう。
※掲載している情報は、記事執筆時点(2018年3月8日)のものです。