サイバー攻撃とは、サーバー、パソコン、スマートフォンなどの情報端末に対し、ネットワークを通じてシステムの破壊やデータの窃取、改ざんなどを行うことです。サイバー攻撃の目的はさまざまで、金銭詐取、企業や国家の経済力の弱体化、個人情報や機密情報の売買、営業妨害、個人的な復讐などが挙げられます。攻撃者も、犯罪者や犯罪集団、諜報員、産業スパイ、ハッカー、特定の企業や団体に恨みを持つ者など、複数のパターンが考えられます。
サイバー攻撃の件数と被害額は、JPCERTコーディネーションセンター(JPCERT/CC)の「JPCERT/CC インシデント報告対応レポート」で発表されています。JPCERTコーディネーションセンターとは、コンピュータセキュリティインシデントの報告受付や対応支援などを行なっている団体です。レポートによると、被害報告件数は2019年度が20,147件、2020年度が46,942件、2021年度が50,801件と、年々増加しています。
近年発生したサイバー攻撃の被害として、トヨタ自動車、カプコン、ユニクロの事例を紹介します。
2022年3月1日に、トヨタ自動車の内外装部品を生産する小島プレス工業が、サイバー攻撃の一種であるマルウェアの感染被害を公表しました。小島プレス工業では被害の影響範囲を特定するため、全社内サーバーを一時停止。たった1社のシステム障害によって、トヨタ自動車、グループ会社の日野自動車、ダイハツ工業における14ヶ所の工場の28ラインが止まり、約1万3000台の生産が見送られました。2022年4月調査時点で、小島プレス工業のホームページは暫定ホームページにより運用されています。
2020年11月2日に不正アクセスによりシステム障害が発生し、不正アクセスから14日後には元従業員9名の個人情報と販売レポートや財務情報などが流出したことが判明。さらに不正アクセスから71日後、1万6406人分の個人情報漏洩が確認され、漏洩可能性のある採用応募者の情報は約5万8000人分であることが公表されました。攻撃者はロシアを拠点とするサイバー犯罪集団「Ragnar Locker」と想定されています。身代金額の記載はなく、カプコンは金銭の支払いは行っていません。
2019年4月23日から5月10日にかけて、ユニクロとジーユーのオンラインストアにおいて不正ログインが行われ、461,091件の個人情報が流出しました。閲覧された可能性のある個人情報は、氏名・住所・電話番号・メールアドレス・生年月日・クレジットカード情報の一部などです。不正ログインの手法は、他社サービスから流出した可能性のあるユーザIDとパスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」だと推測されました。
特定のターゲットを狙った攻撃とは、一般的に「標的型攻撃」と呼ばれるサイバー攻撃です。ターゲットの関連団体や取引先のふりをして、メールに悪意のあるファイルを添付したり悪意のあるサイトに誘導するためのURLを貼り付けたりします。具体的には、身代金を要求するランサムウェアや情報を詐取するEmotet(エモテット)、国家や企業の活動を妨害するAPT攻撃、サイトを改ざんしておく水飲み場型攻撃などが挙げられます。
サイバー攻撃には、不特定多数を狙ったものもあります。たとえば、ログイン情報などを盗み出すフィッシング詐欺、SMS(ショートメッセージサービス)を利用してフィッシングサイトへ誘導するスミッシング、サイト上に突然「料金をお振込みください」や「登録が完了しました」などのメッセージが表示されるゼロクリック詐欺などが該当します。
負荷をかける攻撃は、「DoS攻撃/DDoS攻撃」や「F5アタック」などです。DoS攻撃/DDoS攻撃とは、サーバの機能を停止させる攻撃のことを指します。DoS攻撃では攻撃側と相手側が1対1ですが、DDoS攻撃は複数のマシンが一斉に攻撃を行います。また、F5アタックは、「F5」キーを連打してリロードさせることでサーバに負荷を与えて停止させる手法です。
サイバー攻撃には、OS・ソフト・WEBサイトなどの脆弱性を狙った攻撃もあります。たとえば、修正プログラムが未公表の脆弱性を悪用するゼロデイ攻撃、悪意のあるSQL文が挿入される SQLインジェクション、不正な入力データによってOS操作を攻撃するOSコマンド・インジェクションなどが挙げられます。
パスワード関連のサイバー攻撃には、総当たりで暗号を解読するブルートフォースアタック、複数のWEBサービスでログイン試行を繰り返すパスワードリスト攻撃、インターネット上に流出したIDとパスワードの組み合わせを使ってほかのWEBサイトへのログインを自動的に試行するクレデンシャルスタッフィング攻撃などが該当します。
サイバー攻撃による被害規模は、地震や火災などの災害による被害と変わらないくらい大きいと想定されます。そのため、災害リスクに対するBCPだけではなく、サイバー攻撃などのITリスクに対するBCPである「IT-BCP」を構築しておくことも重要です。
サイバー攻撃の予防、発生に気づかない可能性への対応、BCP発動判断の難しさ、代替機が使えない可能性への対応、原因特定のための組織体制、被害状況の把握、被害額や復旧費用の想定がポイントになります。IT-BCPにおいて、脆弱性対策などの予防措置、復旧目標の設定、必要対策の優先順位、復旧させるための原因の特定や対策などを策定しておきましょう。