標的型攻撃への対策状況（2021年）後編

テレワークの普及によって標的型攻撃の手法も「進化」しており、企業の対策といたちごっこになっている。システム導入と並行して従業員のセキュリティ意識向上にも取り組む必要がある中で「つい開いてしまう」メールによるヒヤリハットが続いていることも分かった。

[キーマンズネット]

　キーマンズネットは2021年9月8日〜24日にわたり「標的型攻撃（サイバー攻撃）の対策状況」に関する調査を実施した。全回答者数245人のうち情報システム部門が38.8％、製造・生産部門が15.5％、営業・販売・営業企画部門が13.1％、経営者・経営企画部門が8.6％などと続く内訳であった。

　後編では「現在導入しているセキュリティ製品」や「標的型攻撃に対するトレーニングの実施有無」など、企業のセキュリティ対策状況について実態を調査した。その結果、2020年10月の前回調査でも課題となっていた「テレワークを狙った攻撃」への対策に力を入れていることが分かった。なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので、事前にご了承いただきたい。

テレワークを狙う攻撃が激化、企業の対応で「抜けがち」なのは？

　前編では、過半数の企業が何らかのセキュリティ被害に遭っており、過去2年で攻撃を受けた割合が20ポイント近く増加していることを紹介した。後編では、セキュリティ被害の中でも特にビジネスリスクの高い「標的型サイバー攻撃」の傾向と、企業の対策について実態を見ていく。

（図1）現在導入しているセキュリティ製品

　まず、何らかのIT製品でサイバー攻撃の対策をしている回答者を対象に「現在導入中の製品」を聞いた。最も多かったのが「ファイアウォール」で63.9％、次いで「マルウェア対策（アンチウイルスなど）」57.8％や「EDR（エンドポイントでの脅威の検出と対応）」54.4％などが上位に挙がった（図1）。

　この結果を2020年10月に実施した前回調査と比較すると、アンチウイルスの導入率が微減し、ファイアウォールとEDRの導入率が微増している。注目したいのは「認証／シングルサインオン」で、前年より6.4ポイント増加して36.7％だった。モバイルデバイス管理（MDM）やモバイルコンテンツ管理（MCM）、通信経路暗号化（VPN）なども微増しており、テレワークの普及やそれに伴うモバイルデバイスの活用に対応したセキュリティ対策が注目されていることが分かる。

　しかし、従業員規模別に見ると小規模企業の対策には遅れが目立つ。「認証／シングルサインオン」を導入していた1001人以上の大企業は46.3％に上り、82社中38社が導入していた一方で、100人以下の企業で導入していたのは16社中1社だった。VPNやMDM、MCMでも同様の傾向がある。小規模企業では安価なSaaSやBYODが活用されている可能性が高いが、それらの防御は大企業ほど厳重ではないようだ。前編同様に「中小企業が攻撃の狙い目」になっている様子が見える。

ITで対策できないなら「人」が気をつけるしかない、しかし……

　標的型攻撃は、人間の「うっかり」や「勘違い」を狙って仕掛けられる。そのため、標的型攻撃メールを受け取った従業員が攻撃に気付ければ、人間が最終的な防衛線となって被害を防げる。一人一人のセキュリティ意識の向上は、IT導入と併せて取り組みたい施策だ。

　そこで「従業員や経営層に対して標的型攻撃に関するトレーニングを実施しているか」を調査したところ、少なくとも3社に1社以上が、何らかのトレーニングを実施していることが分かった。回答の内訳からは「訓練」や「啓発」が重視されていることが分かる。

　しかし、ここでも従業員規模で対応に差が出ている。1001人以上の大企業では55.2％が何らかの施策を実施している一方で101〜1000人以下の企業では39.3％、100人以下の中小企業では19.6％にとどまる。等に、大企業の過半数が実子している「標的型攻撃の訓練」は100人以下の小規模企業では7.1％にとどまり、従業員規模が小さいほど「対策をデジタル化できておらず、セキュリティ教育も不十分」という傾向があった。セキュリティの専任部門や担当者が不在であったり、予算が限られていたりといった理由から「手が回っていない」様子も見える（図2）。

（図2）標的型攻撃に対する注意喚起やトレーニングの実施有無

上司からの「至急確認」……恐怖の標的型攻撃”実例“集

　コロナ禍をきっかけとしたワークスタイルの急激な変化は、攻撃者にとって大きな「狙い目」だった。特に2020年はオリパラに関する混乱もあり、それらに便乗した攻撃が増えた。2021年も同様の傾向は続くと見られ、手口も巧妙化してきている。そこで回答者が実際に受信した標的型サイバー攻撃メールで印象的だったものいくつか紹介したい。

個人を狙ったものは「コロナ」「チケット」「お金」

　個人を狙ったコロナ禍便乗メッセージには「自衛隊大規模ワクチン接種センター」を名乗るフィッシングメールや「業務用アルコール除菌シート緊急販売のお知らせ」といった件名があった。また、オリンピック関連では「東京2020オリンピック観戦チケット限定抽選販売について」などの報告があった。

　その他には緊急性をあおるためにECサービスや銀行の事業者を装って「アカウント停止」や「口座情報の変更」といった件名で登録情報を狙うものや、人事部を装って「給与の配信方法が変更されます」や「賞与支給について」といった件名で攻撃する例が目立った。

企業を狙ったものは「至急」「辞令」「巧妙ななりすまし」

　企業を狙った攻撃例では「至急議事録を確認してください」や「スケジュールのお知らせ」といったもの、役員や上司からの通知に似せた「辞令」などが多数報告された。

　注目したいのは、巧妙ななりすましメールだ。「日常業務の中で扱っていた文面や企業ロゴも全く同じで、見分けがつかない偽メールがあった」といったケースや「架空の企業から『請求書を添付している』というメールを受けて開封してしまった」といったケースがあり、人間の「うっかり」を狙った攻撃が続いていることが分かる。「差出人の名前や文面、やりとりの内容に一切違和感がない『劇場型詐欺』のようなメールが届いた」という声もあったが、このようなケースではアカウントが乗っ取られてメールがのぞき見されている可能性もある。

　こうした「ビジネスメール詐欺（BEC）」と呼ばれる標的型攻撃は2019年頃から増加傾向にあり、IPAが公開する「情報セキュリティ10大脅威 2021」の組織編においては2018年から4年連続で5位以内にランクインしている。

　企業や個人を脅威に陥れる標的型攻撃は日々進化している。企業側のセキュリティ対策も進化を続けているが、企業規模によって差が出ている。

　特に中小企業はサプライチェーンの「狙い目」にされている。IPA（独立行政法人情報処理推進機構）やNISC（内閣サイバーセキュリティセンター）が定期的に発信するセキュリティ情報や対策ハンドブックなどを参考にして自社のリソースに合わせた対応ソリューションを探し、費用対効果やリスクを判断して取り組みを進めてほしい。