世界的に、企業や組織を狙うサイバー攻撃が急増しているということをご存知ですか?
その中でも、日本では企業のWEBサイトの改ざんが2013年1月〜7月の期間に前年同期比6倍以上の4,137件に増加するなど事態は深刻化しています。このように被害が増えている原因は、日本企業のセキュリティレベルが低いからなのでしょうか?
企業WEBサイトの改ざん、知らぬ間にパソコンもウイルス感染
前述の通り、企業のWEBサイトではサイバー攻撃による、改ざん被害が年々増えています。
独立行政法人情報処理推進機構(IPA)には、ウイルスや不正アクセスの状況が企業から報告されていますが、その状況まとめによると、2013年のWEBサイト改ざん数は急増しており、過去にWEBサイト改ざんが増加した2010年第1四半期と2012年第3四半期を上回る勢いで増加しているそうです。
ガンブラー攻撃や脆弱性の悪用が増加
WEBサイト改ざんには、システムの脆弱性を悪用されるケースが最も多いことがわかっています。2010年に流行した「ガンブラー攻撃」に、近年ではさらに「WEBサーバの脆弱性や簡単なFTPパスワードを攻略して進入する」攻撃がプラスされるなど、サイバー攻撃の手口も複雑化する一方です。
脆弱性を解消していないパソコンで改ざんされたWEBサイトを閲覧するとウイルス感染することはもちろん、そのパソコンでWEBサイト管理を行っていた場合は管理WEBサイトが新たに改ざんされ、被害は連鎖していってしまいます。2013年第1四半期のFTPアカウント盗用は1件ですが、6月は改ざん被害17件のうち半数に当たる8件が、FTPアカウント盗用による改ざんでした。
ネットバンキングも狙われている
更に、2013年8月に警視庁は、近年増加するネットバンキングでの不正送金事件に関連して「国内のパソコン1万5,000台以上が、改ざんされたWEBサイトの閲覧によりウイルス感染している」と発表しています。
ウイルスに感染したままネットバンキングを利用すると、パソコン上に偽のログイン画面が表示され、入力したIDやパスワードが盗まれてしまうこともあります。今後もサイバー空間を舞台にした不正行為はさらに増加し、情報だけでなく金銭目当ての攻撃が増えていくと予想されており、対策は必須です。
セキュリティ対策は”負け戦前提”で戦うべき
前述の通り、企業や官公庁のWEBサイト改ざんは2013年1〜7月期で4,137件に急増しています。
それも中小企業だけでなく、例えばトヨタ自動車、リコージャパン、日本赤十字社、科学技術振興機構(JST)、札幌市観光情報サイトなど、アクセス数の多い名だたる大手企業・機関のWEBサイトでも被害が広がっています。
サイバー攻撃は「ねらわれた時点で被害は必然」というシビアな現実があります。
“人間の脆弱性”が命取りとなる
例えば2011年に勃発した、ソニーグループへのサイバー攻撃では、ソニーのシステムが脆弱だったから標的となったというよりも、ソニーには標的となるだけの社会的な要因があり、天才ハッカー(ジョージ・ホッツ)とハッカーの国際的集団(アノニマス)に標的にされた時点でソニーの負けは必然だったと言えるでしょう。
そして、ソニーの負けを完敗に限りなく近くしたのは、システムの脆弱性によるものでも、ハッカーの技術でもなく、ソニー自体の対応の悪さ・対応の遅さ、いわば「人間の脆弱性」によるものであったと言えます。
つまり、企業のWEBサイトは犯罪者によってねらわれる運命にあり、その前提でシステムの脆弱性を修正し、攻撃後の被害を最小限に留められるよう事前の対策をする必要があります。特に、頻発する日本企業のWEBサイト改ざんにおいて大きな問題であったのは「人間の脆弱性」です。
対応の遅れで被害は拡大してしまう
もう1つその顕著な例が、2013年6月に発生したトヨタ自動車での被害事例です。
トヨタ自動車でWEBサイトが改ざんされたのは、2013年6月5日18時26分から6月14日21時47分までの10日間。「10日間も改ざんを検知できなかった」結果、7万8,000人もの人たちがこの改ざんされたWEBサイトを閲覧しました。
しかも、閲覧者はパソコン内部に保管されている情報やWEBサイト利用時に入力するIDやパスワードを抜き取られる危険があるというセキュリティ情報の発表は事件発表から2週間も経ってからで、目眩いがするほどの対応の悪さ・遅さでした。
WEBサイトを改ざんされることは企業にとって「被害」ですが、その状態を放置することはもはや「犯罪」であると言えます。長期にわたり閲覧者を危険な状態においたトヨタ自動車は、犯罪に加担したといっても過言ではありません。
自己防衛対策は必至!今すぐできる改ざんWEBサイト対策
日本独自の企業文化も、サイバー攻撃の進化にセキュリティが追いつかない現状を、後押ししています。
日本の企業組織では新たな機器やシステムの導入には稟議をあげて予算を通すことが必要になり、実際の導入までに数ヶ月、さらに地方自治体などでは1年がかりということが一般的です。これでは最新の脅威をフォローし、すばやく対応することなど不可能に近いのです。
現場の声に耳を傾け、本当に必要な対策を行おう
企業や組織に必要なサイバー攻撃対策とは、まずはサイバー攻撃の脅威を感じている現場の声に常に耳を傾けることです。サイバーセキュリティにどれだけの投資をするかは経営者の経営判断にかかっていますが、経営者は経営状況を把握したうえで自社が絶対に失ってはならない情報資産を特定し、優先順位を付けなくてはなりません。そして、いったん攻撃されたら、現場のリードにより、全社一丸となって対応することが肝要です。
なお、サーバ側でいくら対策を施しても、社内のパソコンがウイルスに感染してFTPアカウント情報が漏洩してしまうと、第三者が正規の管理者になりすましてFTPログインすることが可能になってしまいます。企業WEBサイトの改ざんを防御するには、サーバだけではなく、社内パソコンを含めた総合的な対策が必要です。
サイトコンテンツの改ざん検知・対策に加えて、WEBサーバ全体のセキュリティ対策として
- WEBサーバで利用しているOSやソフトウェアの脆弱性対策の徹底
- OSシステムファイルやアプリケーション構成ファイルに対する変更監視
- WEBサーバに対する不正な通信の検知・遮断
- 運用アカウント管理の徹底、各種システムログ、セキュリティログの取得
- ログ監視の強化
などが必要になってきます。
ユーザー側でできる具体的な対策は?
また、改ざんされたWEBサイトは一見健全で、サイト管理者も改ざんに気付かず、トヨタ自動車のように長期間放置されてしまうケースも残念ながら少なくありません。インターネットの利用者であれば常時、十分な予防策を取ることが重要です。
具体的には、パソコン側の対策として、
- Windowsの自動更新を有効にする。
- OSを最新の状態にアップデートできるようにしておく各種プログラムを最新にする。
- ウイルスなど不正なプログラムに脆弱性をねらわれないようにするパーソナルファイアウォール機能を搭載した統合型セキュリティソフトを活用する。
といった3点が必要不可欠です。
セキュリティの脆弱性を放置することは、取引先や公共に被害を及ぼす迷惑行為です。サイバー攻撃を目の前にある脅威ととらえ、インターネットユーザすべてが万全の対策を取ることが求められています。