おそらくあなたの組織は、日々直面する無数のデジタル脅威に対処する準備ができていないかもしれません。
これは批判ではなく、現実を述べたものです。ほとんどの企業は、サイバー空間における悪意のある活動から自らを守るための知識とリソースが不足しています。
残念ながら、こうしたデジタル脅威はすぐには消え去りません。事業運営において避けられないコストと捉えるのが賢明です。十分な準備をしてきた企業でさえも、その影響に苦しむケースがあります。例えば、2020年にランサムウェア攻撃者にシステムを人質に取られ、数百万ドルを支払ったコンピューターメーカーのAcerのように。競合他社よりも脆弱性を低く抑えることの重要性は明らかです。
すべての脅威を阻止することはできません。2021年にアジアシティ・トラストやイル・シンといった金融・法律サービス企業に影響を与えたパンドラ文書のように、出所不明の大規模なデータ侵害事件はますます増加しており、最も高度な防御策でさえもその効果を発揮しません。パンドラ文書の場合、徹底的な調査によってデジタル侵害の直接的な証拠は発見されず、犯人は自らの行為を正確に認識していたことが示唆されています。
侵入の経路や発生源を常に特定できるとは限らないとしても、そのような事態に備えて予防措置を講じることは価値があります。これらの対策は万全ではありません。世界が最善を尽くしても、侵入は起こり得ますし、残念ながら今後も起こるでしょう。しかし、何もしないよりは、今すぐ対策を講じる方がはるかに望ましいのです。
まず、私たちが直面する可能性のあるサイバーセキュリティの課題の性質を理解する必要があります。
デジタルセキュリティの課題を認識する:直面する主な脅威
繰り返しになりますが、パンドラ文書やエイサーへの攻撃のような出来事がどのようにして起きたのか、私たちは決して疑いの余地なく知ることはできないかもしれません。しかし、今日、デジタル世界と現実世界の脅威が蔓延していることは確かです。
これらは、現代の企業が直面する最も一般的なデジタルセキュリティ上の課題の一部です。これらの課題を認識し、防御する方法を理解すれば、組織の安全性は向上します。
ランサムウェア
ランサムウェアは、現在サイバーセキュリティにおける最大の脅威です。2020年以降、数十社の大企業がこの種の攻撃の被害に遭っており、その中にはJBS(世界的な食品加工会社)やColonial Pipeline(北米の大手エネルギー供給会社)といった経済的に重要な企業も含まれています。
ランサムウェアは、特別に設計されたマルウェア(メール、ハイパーリンク、その他の手段で配信される悪意のあるコード)を使用して被害者のネットワークにアクセスします。侵入すると、感染したデバイスを暗号化してロックし、被害者が暗号通貨で身代金を支払わない限り、デバイスへのアクセスを制限します。
ランサムウェアの暗号化は、情報セキュリティの専門家でさえも解読が困難、あるいは不可能であり、暗号通貨による支払いの追跡は困難(不可能ではないものの)です。そのため、ランサムウェア攻撃が成功し、攻撃者が逃げ切る可能性が高くなります。
ネットワークセキュリティとデータハイジーンプロトコルを強化することでランサムウェアのリスクを軽減できますが、完全に排除できるわけではありません。すべての組織は、ランサムウェア攻撃が成功する可能性に備え、重要なデータを頻繁に(理想的には12時間ごとに)バックアップし、対応計画を策定する必要があります。
多くの組織が身代金を支払って屈服しますが、攻撃者が約束を守り、ロックされたデータやシステムへのアクセスを回復する保証はなく、データが使用可能になる保証もありません。ランサムウェア攻撃は、感染したシステムを破壊してしまうことがよくあります。
分散型サービス拒否(DDoS)
DDoS攻撃は、サイバー攻撃の手口の中でも最も古いものの一つです。DDoS攻撃では、攻撃者は複数のデバイス(「ゾンビマシン」と呼ばれることもあります)をネットワーク化し、標的のサーバーに大量のトラフィックを送信します。大量のトラフィックがサーバーを圧倒し、オフライン状態に陥らせることで、多くの場合、標的のウェブサイトがクラッシュします。
DDoS攻撃者の動機は様々です。中には、デジタルグラフィティのような、単なる迷惑行為としか捉えられない攻撃もあります。一方、企業間の対立や政治闘争といった、より悪質な目的を持つ攻撃もあります。例えば、多くのDDoS攻撃は、倫理に反すると見なされる企業や組織を標的としています。
強力なウェブサイトとサーバーのセキュリティ、そしてネットワークファイアウォールは、DDoS攻撃の防御に役立ちます。DDoS攻撃は、通常、真に脆弱な人々を標的とするため、攻撃の標的になりそうな人は、攻撃者にとって魅力の低い存在になるよう意識するべきです。
ゼロデイ攻撃
残念ながら、ゼロデイ攻撃を防ぐためにできることはあまりありません。幸いなことに、ゼロデイ攻撃はDDoS攻撃やここで紹介する他のデジタル脅威ほど一般的ではありません。また、発見されれば対処可能です。もっとも、定義上、被害が発生するまで発見されない場合が多いですが。
ゼロデイエクスプロイトとは、デバイスやオペレーティングシステムの欠陥を悪用し、悪意のある攻撃者がデバイス、システム、またはネットワークにアクセスできるようにするものです。これは、直接接触することなく動作するマスターキーのようなものだと考えてください。
ゼロデイエクスプロイトは初心者にとって容易ではありません。しかし、高度な脅威アクターにとっては格好の標的です。最善の防御策は、機器メーカーやサイバーセキュリティ専門家からの情報に細心の注意を払い、脆弱性が発見されたら必要に応じてデバイスを更新または交換することです。
フィッシングとスピアフィッシング
フィッシングは、攻撃者が被害者に機密情報(パスワードや銀行口座番号など)を提供させたり、ネットワークにマルウェアをダウンロードする悪意のあるリンクをクリックさせたりしようとする古くからの戦略です。
スピアフィッシングは、同じ戦略のより洗練されたバージョンです。既存の関係(または関係があるように見せかけるもの)を利用することが多く、被害者の知人のアカウントが乗っ取られて使用されることもあります。また、スピアフィッシングには「なりすまし」アカウント、つまり被害者の知人のアカウントであるかのように見せかけたアカウントが使用されることもあります。
どちらの場合も、疑念を抱くことが最善の防御策です。たとえ相手を信頼していたとしても、メールやソーシャルメディアで機密情報を提供してはいけません。職場の場合は、電話など他の手段で送信者に連絡を取りましょう。
中間者攻撃活動
中間者攻撃(MitM)は、侵害されたネットワークまたはノードを利用して、ネットワーク上で送信されるトラフィックを「傍受」するものです。多くの場合、高度な技術を持つ攻撃者によって実行されるため、検出が困難です。不正侵入者が発見されるまでに数週間、あるいはそれ以上ネットワーク上に潜伏することも珍しくありません。その間に、彼らは膨大な量の情報を収集し、その中には金銭的利益や競争上の利益に利用される可能性のある機密データも含まれています。
中間者攻撃を防ぐには、強力なネットワークセキュリティと、実社会における賢明な対策を組み合わせる必要があります。2つ目の点として、多くの人は、日和見的な中間者攻撃が、無防備な被害者が安全でないネットワーク経由でインターネットにアクセスした際に頻繁に発生することを認識していません。このようなネットワーク経由で送信される暗号化されていないトラフィックは、捕捉され、読み取られる可能性があるため、どうしても使用する必要がある場合は、VPNも併用してください。
SQLインジェクション
SQLインジェクション(SQLi)は、データベース内の機密情報を探し出し、それをエクスポートするために使用される、技術的かつ高度な侵入手法です。SQLインジェクションは通常、正式な認証情報を持っているか、あるいは他の手段でアクセス権限を獲得したかを問わず、被害者のシステムに既にアクセス権を持つ人物によって実行されます。
大規模なSQLi侵入は、バックアップされていないネットワークへのランサムウェア攻撃に匹敵するほど、被害を受けた組織に壊滅的な影響を及ぼす可能性があります。最善の防御策は、データベースへのアクセスを制限し、異常なアクセスやアクティビティのパターンに注意しながらデータベースのアクティビティを綿密に監視することです。
パスワードとパスコード攻撃
まず、良いニュースです。ブルートフォースパスワード攻撃(攻撃者がアルゴリズムを用いて被害者のパスワードを推測する攻撃)は、パスワードの強度が向上し、二要素認証が一般的になるにつれて、減少傾向にあります。
さて、悪いニュースです。この種の攻撃は完全になくなったわけではなく、単により巧妙になっているだけです。パスワード攻撃者(より正確には「パスコード攻撃者」)は、2FA対応アカウントに必要な2つ目のパスコードにアクセスする方法を探しています。多くの場合、これはまず被害者のパスワードを盗み、次に偽の、しかし説得力のあるコミュニケーション(ロボコールやテキストメッセージなど)を使ってパスコードを開示させることを意味します。
パスコード攻撃を防ぐのは今のところ簡単です。2FAパスコードを決して他人に教えないでください。パスワードが盗まれたと思われる場合は、すぐに変更してください。
DNSハッキング
DNSハッキングは、Webユーザーをマルウェアやキーロガーを含む可能性のある悪意のあるウェブサイトにリダイレクトする、高度なエクスプロイトです。詳細は複雑ですが、DNSハッキングは特定のウェブサイトへの経路を書き換える行為と考えることができます。被害者は、目的のサイトにたどり着くことを期待してウェブアドレスを入力したりリンクをクリックしたりしますが、本人は気付かないうちに、別のウェブサイト(アドレスやデザインが似ている可能性もある)にリダイレクトされてしまいます。そのウェブサイトは、決して安全とは言えません。
組織内でDNSハッキングを回避するには、強力なネットワークセキュリティと綿密な監視が必要です。日常のブラウジングでは、常に注意を払うことが重要です。新しいウェブサイトにアクセスするたびにURLを再確認し、セキュリティ証明書が最新かつ有効であることを確認し、ブラウザのセキュリティ警告に注意してください。
期限切れドメインの悪用
ウェブベースの脅威として、期限切れドメインのエクスプロイトがあります。これは、「ドロップ」されたドメインが悪意のある活動ネットワークに利用されたり、以前の所有者から機密情報を盗み出したりするために利用されるものです。組織のドメインを削減する場合は、期限切れになる前にすべてのデータを削除し、ホスティングアカウントでまだアクセスできるURLには細心の注意を払ってください。
不正な内部活動
悪意のある内部関係者は、今日最も執拗で防御が困難なサイバー脅威の一つです。これは、彼らが無罪推定の前提で行動を開始することが多いためです。注意深い行動を取れば、少なくとも相当な被害を与えるまでは、技術的な警告を発することはほとんどありません。
内部関係者は、既に説明した戦術(SQLインジェクションなど)を含め、様々な手段を用いて目的を達成しようとします。最善の防御策は、機密性の高いデータベースやアカウントへのアクセスを制限し、より一般的な「最小限の権限ポリシー」を維持することです。つまり、従業員が業務を効率的に遂行するために必要なものだけにアクセスできるようにすることです。
自然災害
自然災害は、従来の意味でのデジタル脅威ではありません。しかし、デジタル空間で事業を展開する組織にとって、甚大な被害をもたらす可能性があります。嵐や火災によって物理的な端末へのアクセスが遮断されたり、組織のサーバーがオフラインになったりすることは、企業の存続にとって大きな脅威であり、混乱が長引けば長引くほど、状況は悪化します。
このような混乱を防ぐには、冗長性、つまり端末とサーバーを複数の場所に配置する必要があります。どれほど広範囲に及ぶものであっても、単一の自然災害が分散ネットワーク内のすべてのノードに影響を与える可能性は低いでしょう。
デジタルセキュリティを真剣に考える時が来た
あなたの組織はこれらの脅威に立ち向かう準備ができていますか?
それともそれらのうちのどれか?
もし答えが「ノー」なら、今こそ変化を起こす時です。アジアシティ・トラストやイル・シン銀行を襲ったような大規模なデータ侵害から、JBSのような経済的に重要な企業を狙った標的型ランサムウェア攻撃に至るまで、最近の出来事は、規模に関わらず組織がデジタルセキュリティと現実世界のセキュリティを無視したり、軽視したりすることはもはや不可能であることを示しています。あまりにも多くのリスクが伴うのです。
実に様々な種類のセキュリティ脅威を目にしてきましたが、それら全てを防御するのは困難に思えるかもしれません。しかし、包括的なセキュリティ計画があれば、様々な脅威の組み合わせに適用できる態勢とプロトコルを備え、それら全てに容易に対処できます。
最良の結果を得るには、経営幹部から最下層の臨時従業員まで、チーム全体の協力を得る必要があります。セキュリティ対策は真剣に取り組む価値があること、不正侵入や漏洩のリスクは、パスワードを定期的に変更したり二要素認証を設定したりする手間をはるかに上回ることを、企業全体に納得させる必要があります。
始めるのを待つ必要はありません。チームを将来の道に向けて準備させるのが早ければ早いほど、脅威が迫ってきたときに直面する抵抗が少なくなります。
