元警察庁技官の弁護士に聞く! サイバー攻撃の最新トレンド&セキュリティ対策
公開:2020年3月17日
目次
いよいよ東京五輪の開催が目前に迫り、企業にはより堅牢なセキュリティ対策の構築が求められている。警察庁技官としてサイバー犯罪の解析業務に10年以上従事し、現在は弁護士として企業の危機管理やサイバーセキュリティ対策を担っている北條孝佳氏に、2020年のサイバー攻撃のトレンドや被害に遭いやすい企業の特徴、効果的なセキュリティ対策などについて伺った。
1. 2020年に気をつけるべき3つの脅威と被害に遭う企業の共通点
2020年8月の東京五輪開催に伴い、サイバー攻撃の増加が予想されている。「攻撃者や攻撃者集団にとって五輪は絶好のアピールの場。観戦チケット販売サイトや競技状況の動画を配信するサイトなど影響が大きいウェブサイトが狙われやすく、観戦チケット当選のお知らせや東京五輪の公式サイトを騙ったフィッシングメール・フィッシングサイトなどにも注意する必要がある」と北條氏は言う。
他にも、2020年に増加が予想されるセキュリティ脅威として以下の3つを挙げた。(1)「ビジネスメール詐欺」、(2)「内部不正」、(3)「クラウドからのデータ流出」だ。その上でサイバー攻撃の被害に遭う企業に共通して見られるのは、攻撃を受けたことに気がつかない傾向があると指摘する。
「攻撃者はウイルス対策ソフトでは検知できないウイルスを用い、巧妙な手口を使って送り込んでくるため、感染したことに気づいていない企業は非常に多い。また、LINEやTwitter、InstagramなどのさまざまなSNSの浸透、多くのコミュニケーションツールの登場によって、攻撃手段や攻撃対象となるサービスが増えたとともに、サイバー攻撃を解析する専門家たちもサイバー攻撃が発生していることを発見しにくくなった」と北條氏。
最近は、実際にやり取りをしたことのある人からウイルス付きのメールが届くEmotet(エモテット)の感染や、取引先のメールアドレスに類似したメールアドレスを使って詐欺を行うBEC(ビジネスメール詐欺)、ディープフェイクを利用したニセ動画の配信など、ユーザーの心理をつく攻撃や誘導手法が増えている。攻撃者と知らずにSNS上で友人になり、後に突然ウイルスを送りつけられた事例もある。北條氏は「こうした攻撃を完全に防ぐことは難しいため、被害をいかに最小化するかが大切。担当者は常に新しい技術や知識を取り入れ、過去のサイバー攻撃の事例から、今後企業が求められる対策を考えるべき」と訴えた。
こうした状況を踏まえ、北條氏は弁護士としてログなどの痕跡データを残す仕組みづくりの重要性を訴える。「攻撃者はデータを盗み出す際に必ず通信を行うので、サイバー攻撃を検知するためには、ネットワークの通信記録を保存し、確認できるようにしておくことが重要。しかし、昨今の通信は暗号化されているため、内容を確認しにくい。そのため、ユーザーがファイルなどへアクセスしたログを全て残すことで、逸脱した動きがあれば持ち出す前に気づくこともできるし、仮に機密ファイルを持ち出されたとしても被害状況を明らかにできる。しかし、全ての痕跡データを長期間保存しようとするとなるとデータ容量が膨大になるため、重要なもののみに絞り込む必要もある」。
2. セキュリティ対策を怠れば、信用失墜のリスクも・・・
もしサイバー攻撃によって情報漏えいを起こしてしまったら、どのような法的リスクがあるのか。企業には道義的責任や法的責任などがあり、損害賠償を求められることが考えられるが、弁護士として数々のインシデントに対応する北條氏は「これまでの裁判例からして企業の過失は問われやすいが、日本では現状このような訴訟が少ない。それよりも信用失墜のリスクが大きく、情報漏えいを起こしてしまった企業の取引先から取引停止の通知をされる場合もある。よって、まず大切なのは事前のセキュリティ対策であり、これを適切に実施できていれば、サイバー攻撃の被害に遭ってもその最小化が図れる」と力説する。
事前対策においては、サイバー攻撃が早期に検知できる、調査に必要なログなどの痕跡データが取得できるといった組織的な体制やシステムの導入が不可欠である。「情報の管理担当者とセキュリティ担当者が分かれていない企業は多いが、担当を分けて業務量の負担を減らし、互いにけん制しつつきちんと動ける体制を作るべき。他にもシステムと齟齬のない社内規程を作ることや、法令遵守のためだけではなく、何のためにセキュリティ対策を行うかを考えた上での従業員教育も必要である」という。
また、インシデントが発生したにも関わらず、再発防止策を講じていない企業が増えていると北條氏。「『喉元過ぎれば熱さを忘れる』ということわざもあるとおり、サイバー攻撃を受けた企業は、現状をまずは何とかしようと対処するけれども、一息付いた後に再発防止策をきちんと講じられる企業は非常に少ない。同じ企業が何度も攻撃を受けることはよくあるが、再びインシデントが発生すると、企業の評価は一気に落ちる。訴訟になればマイナスポイントになり得るので、再発防止策は十分に実施しなければならない」。
3. ズバリ!被害に遭う企業に共通する特徴とは
被害に遭う企業の特徴として、セキュリティ対策を「情報漏えい」だけだと誤って認識している場合が多いと北條氏は指摘する。「攻撃を受けたとしても、自社に有益な情報は存在しないため漏えいしても問題がないという認識の企業もあるが、自社の情報の価値は攻撃者が決定するものであり、また、サイバー攻撃の問題は情報漏えいだけではない。社内のサーバーやネットワーク、すべてのパソコンが使用不可になる、データの削除や改ざんされる、サーバーやパソコンが踏み台にされ、自社から取引先をサイバー攻撃してしまうといったリスクがあることを認識しなければならない」。
最近は中小企業を狙ったサプライチェーン攻撃が増加している。「攻撃者は、セキュリティ対策を厳重に講じている大企業よりも、まずはセキュリティ対策が手薄な中小企業・サプライチェーンに侵入し、これらを踏み台にして大企業に侵入する手法をとっている。そのため適切なセキュリティ対策がなされていない企業にはリスクがあり、取引先として選ばれないケースや取引の継続を中止されてしまうケースが増えている。セキュリティ対策は直接的な利益は生まないと感じてしまうが、コストではなく投資の一環であり、セキュリティ対策ができていないということは、窓のない家を建てることに等しい。そのくらい当然のことと捉えなければならない」と北條氏。
またセキュリティ対策をとる上で、人的リソースが不足しがちな中小企業では外部サービスなどを活用するべきだと北條氏。「インシデントが発生した後を想定した必要な痕跡データがとれるサービスを選ぶことが重要。インシデントが起きてからログなどの痕跡データが取れていないことに気づく事例は非常に多い」。
4. 地方の企業こそ◯◯が大切
東京や大阪と比べて九州はセキュリティ担当者のコミュニティが少ないと北條氏は指摘する。「公にしづらい生の声や事例など、顔を合わせなければ聞けない話はセキュリティ対策における貴重な情報であるため、コミュニティは非常に重要。日本CSIRT(シーサート)協議会のようなコミュニティで情報共有し、他社のセキュリティ対策を参考にするなど、切磋琢磨するスタンスが望ましい」。
最後に、北條氏は「情報セキュリティ担当者は日々さまざまな業務で大変だと思うが、全ての企業がネットワークに接続され、データを活用する時代になってきたことから、セキュリティ対策は企業を支え、企業理念を達成するための根幹となるもの。ひいてはお客さまや市民のためとなることを意識して取り組んでいただきたい」と締めくくった。
5. 今、セキュリティ担当者がすべきこと
セキュリティ対策に本腰を入れていない企業は攻撃対象にされやすく、実際に攻撃を受けて情報漏えいが起きれば取引停止も起こりかねない。一方でどんなに対策を講じても、次から次に新しい手法で送り込まれる攻撃を完全に防ぐのは難しい。そのためセキュリティ担当者がすべきことは、常に新しい技術や情報を取り入れインシデントが発生した際に被害を最小化するための体制をつくること。そしてログなどの痕跡データを残す仕組みづくりも重要だ。痕跡データが残っていなければ、被害状況を把握できないどころか、2次被害、3次被害につながってしまうこともある。まずは「新しい技術や情報を取り入れる」「痕跡データを残す仕組み」この2つをきちんと構築するところからセキュリティ対策を進めていただきたい。
QTnetには、セキュリティアナリストがセキュリティログを24時間365日監視し、テクノロジー(SIEM)による自動分析も行うQT PRO
マネージドセキュリティというサービスがある。
詳細やお見積については下記のお問合せ窓口に気軽に問合せてほしい。
またQTnetは、日本シーサート協議会の九州地区活動委員として九州地区のCSIRT構築促進に係るワークショップ等を企画運営している。『QTnet
CSIRT』は日本シーサート協議会への加盟支援も実施している。セキュリティ対策についてお困りごとがあればまずQTnetに相談してほしい。