2020年の東京オリンピックに向けて、世界中の関心が日本に集まります。それは、いいことではありますが、情報セキュリティの観点からは危険なことでもあります。それだけ日本を標的にしたサイバー攻撃が増加する可能性があるからです。すでに、その兆候は見えています。そこで今回は、日本に対するサイバー攻撃の最新状況を説明したいと思います。
急増する日本に対するサイバー攻撃の最新状況を説明したいと思います。
いま、日本をターゲットにしたサイバー攻撃が急増しています。たとえば、昨年末には、安倍首相のホームページが攻撃され、一時的にアクセスできなくなりました。犯人は国際的なハッカー集団「アノニマス」とされ、日本政府の捕鯨政策に反対するためだと、Twitter上で声明を発表しました。もちろん、捕鯨反対は口実でしょう。自分たちの存在をアピールしたり、裏で何らかの犯罪行為をするのが本来の目的だと思います。
その他にも、2016年に入って、日産自動車、成田空港、厚生労働省、金融庁などのホームページが同様の攻撃を受けています。直近の2016年6月には、旅行会社のJTBがサイバー攻撃を受け、約793万人の個人情報が流出しました。また、9月にはヨドバシカメラの通販サイト yodobashi.comが攻撃を受けて、利用できなくなりました。yodobashi.comは、1日で億単位の売上があるといわれていますから、その被害は深刻です。
次は、サイバー攻撃でよく利用される標的型メールの推移です。警察に報告された件数なので、あくまで参考ですが、年を追うごとに増加しているのがわかります。
【図1】警察が報告を受けた標的型メール攻撃の件数
日本企業の99%以上を占める中小企業がねらわれる
先に挙げたのは、日本を代表する大企業・組織ですが、これは氷山の一角に過ぎません。むしろ今後は、無名の中小企業が、攻撃の対象になると考えられています。
たとえば、銀行の不正送金では、地方銀行を利用しているセキュリティ対策の不十分な中小企業がねらわれる傾向が強まっています。また、データを人質にとって身代金を要求する「ランサムウェア」の被害も、中小企業に増えています。
中小企業が”とばっちり”を受けるケースもあります。たとえば、前述の捕鯨反対をうったえるアノニマスは、鯨肉を販売しているという理由で、あるスーパーマーケットのホームページを利用不能に追い込みました。その結果、そのスーパーマーケットが契約しているレンタルサーバを利用している捕鯨と無関係の中小企業のホームページまでダウンしてしまいました。
日本企業の99%以上は中小企業です。1%以下の大企業は、膨大なお金・人・時間を投じてセキュリティ対策を立てています。しかし、中小企業はそうではありません。攻撃者にとって、どちらが攻撃しやすいかは明白です。
サイバー攻撃は防げない!理論的から現実論に移行したセキュリティ対策
5~6年くらい前は、セキュリティ対策の基本は、ウイルス対策ソフトを導入し、Windowsなどのソフトウェアを最新状態に保つことでした。この2つは、いまも重要な対策ですが、残念ながら、それだけで最新のサイバー攻撃を防ぐことは困難です。
すでに、現在、セキュリティ専門家のあいだでは「サイバー攻撃は防げない」のが常識となっています。では、まったくお手上げなのかというと、そうではありません。むしろ、侵入・攻撃されたあとの対策に重点が移っています。防げない攻撃を防ぐ理想を追いかけるのではなく、攻撃されても被害を最小限に抑える現実路線に移行したのです。
次回以降では、現在、注目されているサイバー攻撃として、「標的型攻撃」「ランサムウェア」「DDoS攻撃」の3つについて、その攻撃の内容と対策を説明していきます。
<関連リンク>
安倍首相のHP、アノニマスがサイバー攻撃か “犯行声明”捕鯨政策に反発?