役立つ! 総務マガジン

脅威を増すサイバーテロから企業を守る

オリンピックはサイバー攻撃者にとって格好のターゲットとなっている

サイバー攻撃は日々激しさを増しています。特に2020年に控えた東京オリンピックに向けてサイバーテロが活発化する恐れがあります。被害を受けないように早めの対策を行いましょう。

[2019年 7月 1日公開]

オリンピックのサイバー攻撃とは

2020年に控えた東京オリンピックの開催は、誰もが待ち焦がれたスポーツの祭典です。しかし、過去のオリンピックを見てみると、サイバー攻撃の対象となって妨害をはじめさまざまな手口で攻撃されています。

IPA(独立行政法人情報処理推進機構)によると、2012年に開催されたロンドンオリンピックでは、大会期間中に延べ2億回を上回るサイバー攻撃がされたといわれています。2016年のリオデジャネイロオリンピックや2018年の平昌オリンピックでも同様に、高度なサイバー攻撃の対象となりました。世界中から注目されるオリンピックは、サイバー攻撃者にとっても格好のアピールの機会となっているため、組織委員会などの大会運営組織はもとより、関連する数多くの政府や自治体、企業が攻撃を受けています。

2020年の東京オリンピックも、さらに高度なサイバー攻撃されることを予測して注意喚起がなされています。過去のオリンピックで受けた攻撃を分析して攻撃者の手口は明らかになり、セキュリティ対策も進んでいますが、より一層の注意と万が一攻撃され被害を受けたときの対策を行う必要があります。
現在想定されているのは、オリンピック競技会場に対しての攻撃、交通・金融網や電気水道などの重要インフラ、情報通信システムやネットワークに対しての攻撃です。これらの攻撃は、ターゲットに直接仕掛けるだけではなく、不特定の企業のサーバーなどを踏み台として行われるケースもあります。

出典:IPA(独立行政法人情報処理推進機構)、サイバー攻撃最新対策について~2020年に向けて今から企業組織が取り組むべきサイバーセキュリティ対策~(https://www.ipa.go.jp/files/000057717.pdf)を元に作成。

サイバー攻撃の手口と対策について

2020年東京オリンピックに対してのサイバー攻撃の備えとして、国から以下の施策が打ち出されています。

  • 国全体が情報セキュリティの意識とリテラシーを高める
  • 組織が重要インフラや企業の情報資産を守るための体制と対策を作り強くなる
  • 官民が連携し国家レベルで守れる体制を作り上げる

具体的な対策

ソフトウェアの脆弱性
ソフトウェアの更新(脆弱性を解消し攻撃によるリスクを低減する)
ウイルス感染
セキュリティソフトの利用(攻撃をブロックする)
パスワード窃取
パスワードの管理・認証の強化(パスワード窃取によるリスクを低減する)
設定不備
設定の見直し(誤った設定を攻撃に利用されないようにする)
誘導(わなにはめる)
脅威・手口を知る(手口から重要視するべき対策を理解する)

多くの脅威がありますが「攻撃の糸口」はどれも似通っているそうです。基本的な対策の重要性は長年変わっていません。上記の対策を基本としてさらに攻撃パターン別の対策を講じることが重要です。
企業をサイバー攻撃から守るために、従業員の危機意識を向上させ予防措置を徹底しましょう。

最新の情報セキュリティ対策【標的型攻撃】

IPA(独立行政法人情報処理推進機構)によると最新の情報セキュリティ脅威の1位は、標的型攻撃による被害となっています。

標的型攻撃の手口

  1. メール等によりPCをウイルスに感染させ組織内部へ潜入
  2. 長期にわたって侵害範囲を徐々に広げる
  3. 組織の機密情報を窃取する

具体的には、以下のようにメールやWebを通して潜入してきます。

メールを利用した手口(標的型攻撃メール)

  • 不正な添付ファイルを開かせる
  • 不正なWebサイトへのリンクをクリックさせる

Webサイトを利用した手口

  • 標的組織が頻繁に利用するWebサイトを調査し、当該サイトを閲覧するとウイルスに感染するように改ざんする(水飲み場型攻撃)

標的型攻撃の対策

実施担当者基本対策主な実施項目
1.経営層組織としての体制の確立迅速かつ継続的に対応できる組織内体制(CSIRT<注>)の構築
対策予算の確保と継続的な対策実施
セキュリティポリシーの策定
2.セキュリティ担当者被害の予防/対応力の向上情報の管理とルール策定
セキュリティ教育・インシデント訓練
サイバー攻撃に関する情報収集
被害を受けた後の対応CSIRTの運用
影響調査および原因の追及、対策の強化
3.システム管理者被害の予防セキュアなシステム設計
アクセス制御・データの暗号化
ネットワーク分離
被害の早期検知ネットワーク監視・防御
エンドポイントの監視・防御
4.従業員、職員情報リテラシーの向上セキュリティ教育の受講
被害を受けた後の対応CSIRTへ連絡
  • (注)Computer Security Incident Response Team:サイバーセキュリティインシデントに対応する社内専門チーム。
    セキュリティにおける消防団的な役割を果たすチーム。事故を前提として予防のための教育・啓蒙(けいもう)、パトロールを行う。相談窓口となり、事故が発生したら被害を最小限に食い止め原因を究明し再発防止につなげる。参考:日本シーサート協議会(https://www.nca.gr.jp/)

最新の情報セキュリティ対策【ビジネスメール詐欺による被害】

2019年の情報セキュリティリスク第2位は「ビジネスメール詐欺による被害」です。ソフトを破壊したり、情報流出させたりするウイルスではなく、取引先や上司などの関係者を装った詐欺メールによる被害です。そのためセキュリティソフトでは検出できません。オレオレ詐欺のビジネスメール版です。二重三重のチェックを行い、くれぐれもだまされないように注意しましょう。

ビジネスメール詐欺の手口

  1. 取引先や経営者とやりとりするようなビジネスメールを装う
  2. メールを巧妙に細工し、企業の金銭を取り扱う担当者をだます
  3. 攻撃者の用意した口座へ送金させる

ビジネスメール詐欺の対策

実施担当者基本対策主な実施項目
1.経営層組織としての体制の確立迅速かつ継続的に対応できる組織内体制(CSIRT)の構築
対策予算の確保と継続的な対策実施
2.システム管理者、従業員被害の予防受信メール、ウェブサイトの十分な確認
サポートが切れたOSの利用停止、移行
フィルタリングツールの活用
ネットワーク分離
共有サーバーのアクセス権最小化
バックアップの取得
被害を受けた後の対応CSIRTへ連絡
バックアップからの復旧
復号ツールの活用
影響調査および原因の追及、対策の強化

例外措置

推奨はされませんが、暗号化されたファイルが人命に関わると、金銭を支払ったケースもあるそうです。

3位以下の情報セキュリティ脅威については、以下をご参照ください。

まだある2020年サイバー攻撃対策の課題

2020年は東京オリンピックの開催に関連したサイバー攻撃の対策だけでなく、「Windows 7サポート終了」もあります。

Windows 7サポート終了
2020年 1月14日
Windows Server 2008サポート終了
2020年 1月14日
Office 2010サポート終了
2020年10月13日

以前(2014年)、Windows XPのサポート終了が話題となりましたが、2020年はその後継OSであるWindows 7のサポートが終了します。そのためPCを保護するためのアップデートがされなくなり、ウイルスなどの脅威にさらされることになります。
Windows 7の次にリリースされたWindows 8 / 8.1も2023年1月10日でサポートが終了しますので、この際Windows 10に変更されることをお勧めします。

なお、Windowsの定番ソフトであるOffice 2010も2020年10月13日に全てのサポートが終了します。OSだけでなくアプリケーションの入れ替えもご検討ください。Officeはサポート期限にとらわれず、常に最新のアプリが使用できるOffice 365がビジネスユースには便利です。

また、Windows Server 2008も2020年1月14日でサポートが終了します。
サーバーの入れ替えにはプログラムの作成や安定稼働の検証も含めて時間がかかります。直前になると機種の在庫が不足したり、発注増で技術者の対応が手薄になったりするなど、仕事に支障なく移行することが難しくなる事態も想定されます。リスクなく移行するためには余裕を持った早めの処置が必要です。

【無料】セキュリティ、Windowsの2020年問題が分かる資料

「サイバー攻撃に対抗するセキュリティ対策」「Windows 7のサポート終了対策」など、2020年までに準備が必要なビジネス上の課題についてまとめた資料を無料でダウンロードいただけます。
意外な理由から対策が必要になっているものも多数ありますので、抜け漏れ防止チェックリストとしてもぜひご活用ください。

企業のセキュリティ対策は、ぜひ大塚商会にお任せください

セキュリティ対策について、何か気になる点があればお気軽にご相談ください。
お客様固有の環境や業務によって、必要な対策はそれぞれ異なります。 大塚商会は100万社に及ぶお取引実績で培った豊富なノウハウを元に、お客様の状況に必要な解決策をご提案します。

eラーニングで情報漏えいのリスクを学ぶ【受講無料】

情報漏えいの事例について、無料で学べるeラーニングサービスをご用意しました。人材育成でeラーニングを使いたいけれど「受講料が……」とお考えのお客様へ、お得なサービスをぜひ一度お試しください。

著者紹介

マネジメントリーダーWEB編集部

企業を活性化する総合マネジメント情報サイト「マネジメントリーダーWEB(http://www.mng-ldr.com/)」を企画・運用。

  • *本記事中に記載の肩書きや数値、社名、固有名詞、掲載の図版内容等は公開時点のものです。