みなさまは「有名企業○○がハッキングされて機密情報が流出した！」というニュースを見たことはありますか。

機密情報の流出はたしかに重大な事件です。ただ、ハッカーは、そもそもなぜ機密情報を盗んでいくのでしょうか。

お金のため、思想の主張のため、好奇心を満たすためなど、さまざまな理由があります。

 

大手企業でもサイバー攻撃の被害に遭い、情報を流出させています。

「うちは大手企業でもないし、狙われないだろう」という考えは危険かもしれません。

関係会社を攻撃の足掛かりとし、大手企業を狙う「サプライチェーン攻撃」も実際に多く発生しています。

わたしは社内SEとして、自社のセキュリティ面を担当しています。

本記事では、ハッカーが攻撃する理由、実際のサイバー攻撃被害からみる侵入経路、セキュリティ担当なら誰もが実践したい対策を紹介します。

• 関連記事：事業成長に対応できる開発組織を作るには？ポイントは外部リソースの適切な運用と部署間の意思疎通――株式会社EXIDEA執行役員CTO梶野尊弘氏
• 関連記事：「誰もがエンジニアリングを楽しめる世界」を目指すプロジェクトの現在地と、ユーザベースが向かう未来
• 関連記事：Tech × Career Talk Vol.4：デジタル治療アプリ開発への挑戦。CTOとして開発チームを一から作り上げるために奮闘中

ハッカーが攻撃する理由は多岐にわたる

ハッカーはPCやインターネットの技術に長けた人物であることで、本来は善悪の区別について定義するものではありません。便宜上、本記事ではハッカーを「通常アクセスできない情報を、なんらかの手段で操作や窃盗などをする人」とします。

ハッカーが企業を攻撃する理由は、大きく以下に分類されます。

• 機密情報の入手
• 社会的・政治的な思想の主張
• いやがらせ
• 好奇心

それぞれ、実際にどのような事件があったか紹介します。

機密情報の入手

日本年金機構では、2015年5月28日に保有する一部の個人情報が流出しました。

ウイルスを添付したメールを業務に関係があると装って送信する、標的型メールと呼ばれる攻撃です。

職員が受信したメールのリンクを開いて感染し、最終的に約125万件もの基礎年金番号・住所氏名・生年月日が流出する大きな事件になりました。

ハッカーは、盗んだ個人情報を他の犯罪者に売ったり、なりすましに使ったりします。

国から監督されている組織でハッキング被害があった事実は、日本全体に大きな騒ぎを引き起こしました。

社会的・政治的な思想の主張

2012年、ハッカー集団「アノニマス」により、関東地方整備局霞ヶ浦河川事務所のホームページが侵入および改ざんされました。

アノニマスは、日本で違法ダウンロードに懲役や罰金を科すことに反発し、ハッキングにおよびました。

この事件では、霞ヶ浦河川事務所は関係なく「霞が関」と間違えて攻撃したとのことです。

ただ、霞ヶ浦河川事務所のサイトが攻撃されてハッキングを許してしまったのは事実。もし情報をごっそり抜き取ったり削除したりしようと思えばできていた可能性があります。

余談ですが、社会的・政治的な主張でハッキングする人は、ハクティビスト（hacktivist）とも呼ばれますね。

いやがらせ

位置情報を特定できる小型機器「AirTag」を使って、女性に付きまといをした事件があります。

ハッカーといえるかは微妙ですが、位置という情報を不正な手段で入手しているので、わたしはハッキングのひとつだと考えています。

好奇心

2016年に、無職の17歳少年が学校のネットワークに不正アクセスし、14,355名の個人情報を窃取した事件がありました。すでに削除済みですが、窃取した情報はSNSで公開されました。

2015年にもハッキングの兆候がありましたが、当時は関係者のセキュリティ意識が高くなく、そのまま矮小化してしまったとのことです。

日本企業も多くのハッキング被害に遭っている

かつて、日本は「日本語の壁」がありました。日本語は世界的にマイナーな言語なので、攻撃者にとって何が書いてあるか分からず攻撃を受けにくいというものです。

ただ、翻訳技術の向上により日本語の壁は徐々に無くなり、今では日本企業のハッキング被害が増えています。

たとえば、上で紹介した半田病院を含め、以下の会社では「ランサムウェア」というファイル暗号化ウイルスを仕掛けられています。

• 小島プレス
• 本田技研工業（ホンダ）
• 日本コンクリート工業

小島プレスはトヨタ自動車Tier1の部品メーカーです。報道では、小島プレスがランサムウェア被害で部品が生産できなくなり、トヨタ自動車は1日工場を停止せざるを得なくなりました。

ホンダでもランサムウェアの被害により、国内外の工場が停止しました。

日本コンクリート工業は、暗号化されたファイルの復旧を諦め、以前から計画していた新システムへの移行を進める方針を発表しています。

大企業を直接狙う攻撃もありますし、子会社や関係会社を経由してトップの大企業を狙うサプライチェーン攻撃と呼ばれる手法もあります。

「うちは大きな企業ではないから狙われないだろう」という油断に、攻撃する隙が生じるのです。

ハッカーの侵入経路と、わたしたちが実践したい対策

ハッカーの侵入経路のよくある例として、以下の3つを紹介します。

• VPN装置の脆弱性
• VPNやリモートデスクトップの脆弱なパスワード
• フィッシング

上でも紹介した日本コンクリート工業は、VPN装置の脆弱性を突かれて侵入され、総当たりで管理者アカウントのパスワードを突破され、被害に遭いました。

VPNとは、インターネット上に特定の人専用の接続ルートをつくる技術です。コロナ禍でリモートワークが盛んになり、導入する企業が増えました。

VPN装置はたびたび脆弱性が報告され、解消するためにはOSのアップデートが必要です。

ただ、VPN装置の脆弱性が発見されてからアップデートをするまでの間に、ハッカーにアタックされ内部に侵入されるケースが少なくありません。

侵入後、ハッカーは管理者アカウントの奪取を狙います。パスワードが複雑で総当たりでのログインが困難であれば、管理者権限を奪われる可能性が小さくなるので、被害は少なく済むかもしれません。

また、VPNのほかにフィッシングもよくある侵入経路のひとつです。

みなさまの携帯電話にも、Eコマース企業や宅配業者を名乗る明らかに不審なメッセージが届くことはありませんか。

それらのメッセージのURLをクリックすると、攻撃者が用意した公式そっくりの偽サイトに遷移します。偽サイトだと気が付かず、ログインのためにIDとパスワードを入れると、それらが攻撃者の手に渡ります。こうして入手したログイン情報を使って、攻撃者は本物の公式サイトでログインするという流れです。

以上のことから、サイバー攻撃から企業をまもるために、わたしは以下の対応が必要だと考えています。

• 脆弱性にはできるだけ早く対応する
• パスワードは強固なものにする
• システム面、ユーザー面での対策を進める

脆弱性はできるだけ早く対応しましょう。

そのためには、脆弱性情報を早めに手に入れることが重要です。さまざまなハード、ソフトの脆弱性を集めたサイト「JPCERT」のメーリングリストに登録するのがオススメです。

JPCERTからメールが来たら内容をチェックし、自分が使っている機器の脆弱性情報をみつけたら、提示されている回避策をとる、というアクションを推奨します。

また、パスワードは強固なものにしてください。

英大文字小文字＋数字＋記号で10けた以上が安全だといわれています。人間が考えるとどうしてもランダム性が損なわれるので、このようなパスワード生成ツールを使うのもいいですね。

また、パスワード管理についてはTech Team Journalのこちらの記事でも述べていますので、参考にしてください。

フィッシングは、システム、ユーザーの両面での対策が必要です。

Microsoft 365ではMicrosoft Defenderに「安全なリンクポリシー」を設定すると、受信メールに記載のURLを自動チェックし、不審な遷移先をアクセス不可にできます。

ただ、いくらシステムでブロックしても、ユーザーの不注意によって情報が流出することも少なくありません。

たとえば、わたしは昼食に決まった喫茶店に行くのですが、PCを開いて作業やWeb会議をしている方が気になっています。中にはPCをおいてトイレに立つ方もいます。

画面の覗き見、PCの持ち去りなど、誰でもやろうと思えば可能です。

セキュリティの最後の砦はユーザー。教育を定期的に実施し、やっていいことと悪いこと、さらにはトラブルを起こしてしまったときの初動を浸透させることが大切です。

セキュリティ強化はユーザーとの信頼関係が大切

ここまで、セキュリティ向上のためにはシステム、ユーザー両面の強化が大切であることをお伝えしてきました。ただ、この両面を同時に強化することは、非常に困難です。それは、セキュリティ向上のために機能やルールで縛れば縛るほど、ユーザーの利便性が低下するためです。

上でも紹介した「パスワードを長いランダム文字列にして強固にしましょう」ですが、そうしたほうがいいことは、誰もが理解できるでしょう。

ただ、今まで「p@ssw0rd」のような簡単なパスワードを使っていた人が、今日から「&._Vwu9Fcs%$」を使うことはほぼ無理だと思います。覚えられないから「@@@p@sw0rd」のようなわかりやすいものに勝手に変更するかもしれません。

喫茶店でのWeb会議を禁止したら「じゃあ、どこで会議しろっていうんだ！」というクレームが出る可能性もあります。

あれもこれもダメ、とすると確実にユーザーの不満が溜まり、反発が起こります。必要以上に警戒して作業効率が落ちることもあるでしょう。

とはいえ、情報部門の立場から、ルール緩和も簡単にはできません。

そこで大切なことが、他部署との信頼関係の構築です。

「情報部門のあの人が言っているから、ルールをちゃんと守っておくか」とユーザーに思わせなければいけないのです。

ユーザーからの問い合わせに適切に即対応できる知識と、困りごとに真摯に対応する人間性を身に着け、頼れる存在になることが、セキュリティ意識向上に重要だと思っています。

セキュリティはシステム、ユーザーの両面で強化する

ハッカーが攻撃する理由と侵入経路、わたしたちが実施したい対策を紹介しました。

サイバー攻撃は、システムとユーザーの両面で強化することが大切です。

システム面の強化は、脆弱性にはすぐにアップデートして対応、単純なパスワードは設定できないようにするなど、お金と労力をかければ比較的容易です。

ただ、ユーザー面の強化は「あれもこれもダメ」と、システムやルールで縛るだけではできません。縛れば縛るほど、ユーザーの利便性は下がり不満が生まれるためです。

情報部門と他部門の良好な信頼関係があるからこそ、ルールを守ってもらえると、わたしは業務を通じて実感しています。

（文：藤井 宏治）

― presented by paiza