【警視庁推奨】実例から見る「サイバー攻撃」どう防ぐ?

2024.03.08

企業のDX化が進んでいく中、紙媒体が電子媒体になったり、リモート勤務ができるようになったり、活動の幅が広がり便利な社会が当たり前になってきていますが、その便利さと同じくらい広がる問題、それは「サイバー攻撃」です。

「サイバー攻撃」とは、悪意をもってコンピューターやシステムにアクセスし、情報の改ざんや窃盗、システムの破壊などを行うことを指します。

近年、その被害件数は増加傾向にあり、総務省が公表している情報通信白書によると、
2022年に観測されたサイバー攻撃関連通信数は、各IPアドレスに対して17秒に1回、攻撃関連通信が行われていることになると記されています。
(なお、2020年より減少しているのは、2020年に観測された特異的な事象のためと推測される)

出典)総務省 情報通信白書 令和5年版「情報通信分野の現状と課題」NICT「NICTER観測レポート2022」より
出典)総務省 情報通信白書 令和5年版「情報通信分野の現状と課題」NICT「NICTER観測レポート2022」より
出典)総務省 情報通信白書 令和5年版「情報通信分野の現状と課題」NICT「NICTER観測レポート2022」より

本記事では、サイバー攻撃の実例をもとに、その原因と今からできる対策をお話していきます。

動かないシステム、怒号が飛び交う現場。その脅威・・・

―――――ある日、突然「攻撃されていた」と発覚する 

サイバー攻撃は企業への影響に留まらず、われわれ一般消費者にも大きな打撃を与えることがあります。
記憶に新しいのは、2022年10月末の大阪急性期・総合医療センターを襲ったランサムウェア攻撃です。

「ランサムウェア」とは、ファイルを暗号化し利用不可能な状態にしたうえで、元に戻す代わりに身代金(Ransom)を要求されるサイバー攻撃の一種です。
このサイバー攻撃では、同センターが給食業務を委託している業者のシステムから、同センターのシステムに連鎖的に攻撃されました。

これにより、病院内のシステム利用を停止せざるをえず、電子カルテ参照などができずにセンター職員や患者に大きな混乱を招くことになりました。
結果、完全復旧までに約2か月を要し、患者受け入れ制限のため、その被害額は数億円にものぼったといいます。

また、同センターは被害後の調査で、事件当日より前から給食委託事業者経由でサイバー攻撃を受けていた可能性があると報告しています。
つまり、「ある日、急にシステムが使えなくなる」→「ずっと前からサイバー攻撃を受けていたと知る」という、最悪な状態に陥ったのです。

―――――サイバー攻撃、なぜ防げなかった? 

大阪急性期・総合医療センターの調査報告書から、被害の原因として以下が挙げられています。

1.給食事業者がVPN機器の脆弱性を放置していた
2.給食事業者と同センターのシステムは常に繋がっている状態かつ、サーバやPCのIDとパスワードが全て同じものであり、アカウントロック設定もしていなかった
3.全ユーザーに管理者権限を付与していたため、システムの書き換えが容易だった
4.サーバ負荷を考え、同センターの電子カルテシステムにはウイルス対策ソフトを設定していなかった

また、アカウントが容易に乗っ取ることができたこと、全ユーザーが管理者権限だったため
事前に入れていたウイルス対策ソフトはアンインストールされてしまったといいます。
参照)地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会「調査報告書」より

サイバー攻撃、防止策は? 被害にあったらどうすべき?

―――――攻撃される前に!警視庁が推薦するやっておくべき対策3選

①現状のセキュリティの見直し
・電子メール:ファイルやURLが添付されている場合、送信元の確認を行い、不審なものにはアクセスしないようにしましょう
・VPN機器の脆弱性の対策:現在利用している機器、OSの更新をして脆弱性の対策を行いましょう。
・ウイルス対策ソフトの導入:いわずもがな、対策ソフトを導入することでウイルス感染を未然に防ぐことができます

②認証情報の管理
・ログインIDやパスワードの管理:共通利用や簡易的なパスワード(12345、など)は避け、サーバーや端末、ユーザーごとに個別で設定、2段階認証なども有効です
・アクセス権限の管理:被害拡大を防ぐため、ユーザーごとに権限の割り当てを管理しましょう

③ネットワーク監視、ログの保存を行う
・ネットワーク監視:ランサムウェアなどに感染した場合、外部との不審な通信を行うため、ネットワーク監視システムを導入し、早めに発見することで感染の拡大を食い止めましょう
・ログの保存:不審なアクセスがあった場合、どこから侵入してきたのか特定し対策が必要です。ネットワークのログ等を取得し、それを保存しておきましょう

―――――もし、被害にあってしまったら・・・

日頃、セキュリティに注力していても被害を受けないとは言い切れません。
万が一、被害にあってしまった場合は迅速に判断・対応が必要です。

①感染した情報端末をネットワークから切り離す
②社内のセキュリティ担当や関連部署、関連企業に連絡を入れる
③最寄りの警察署または都道府県警察本部のサイバー犯罪相談窓口に連絡する
④被害状況を調査、整理し、必要に応じて外部へ報告をする

参照)警視庁「ランサムウェア被害防止対策」より

常にセキュリティ意識を

先日公開された「医療機関向けガイドラインのログ管理に関する対応策について」にもある通り、医療機関では特にログ管理の徹底が重要視されています。

医療機関に関わらずDX化が推進されている昨今では、データは貴重な財産のひとつであり、それを守ることも企業の大事な役割となっています。
弊社の製品はすべてログを収集する性質を持っているため、ユーザーのみなさまは「Syslogシリーズ」を併せて導入されている方が多く見受けられます。
実際に、直近1年間のSyslogシリーズの問い合わせは前年比32.9%増、導入件数は35%増というデータが出ています。

今回紹介した事例のように、深刻な事態に陥る前に今できることは対策しつつ、サイバー攻撃にあってしまった場合のマニュアルを作成するなど万が一のリスクを考慮しましょう。
また、情シスやIT技術の方だけではなく、日頃から業務に関わる全員がIT環境に対する意識を強く持つべきです。

タイトルとURLをコピーしました