頻発するサイバー攻撃から身を守るには

皆さん、こんにちは。

昨年末から今年始めにかけて、日本航空（JAL）や三菱UFJ銀行、NTTドコモなどが、相次いでDDoS攻撃（大量の通信を送りつけて、サーバを停止させたり、処理速度を著しく低下させたりするサイバー攻撃の手口）を受け、例えばJALの搭乗手続きができなくなるといった被害が発生しました。

◇NHKニュース「『DDoS攻撃』年末以降 国内の航空会社など46の組織が標的に」（2025/1/12）

こうしたサイバー攻撃はこれまでも頻発し、また増加傾向にあります。

そしてそれは、必ずしも大手企業が狙われるというだけでなく、中小企業が標的にされる場合もあります。

このニュースレターでは以前にも、サイバーセキュリティ対策について記載しています。

◇以前の記事「中小企業様におけるサイバーセキュリティ対策三箇条」（2023/5/15）

今回は改めて、こうした頻発するサイバー攻撃から身を守る対策について、確認しておきたいと思います。

頻発するサイバー攻撃から身を守る基本

上に掲げた過去のニュースレター記事では、次の3点を基本三箇条として挙げました。

①   ソフトウェアのアップデートをこまめに行う。

②   フィッシングメールのリンクは絶対にクリックしない。

③   適切なウイルス対策ツールを導入する。

この3点はごく当たり前のことですが、引き続き重視すべき基本事項ですので、改めて確認していただきたいと思います。

こうした対策が徹底されていれば、DDoS攻撃を受けた際に、サーバの処理速度が一時的に落ちることはあっても停止には至らないはずで、冒頭のJALなどはそうして被害を最小限に食い止めたものと思われます。

フィッシングメールだけでなく、怪しいWebサイトにもアクセスしないこと。

インターネットの世界は信用できないものが多数であることを前提に、慎重にしていただきたいと思います。

パソコンやスマートフォンだけでないサイバー攻撃の侵入口

上に掲げた「①ソフトウェアのアップデート」について、意外と盲点になるのが、パソコンやスマートフォン以外にネットワークにつながっている機器です。

例えばルーター、監視カメラ、複合機（コピー／FAX）などです。

こうした機器のソフトウェアがアップデートされていなかったために、そこからサイバー攻撃の侵入を許し、ハッキング被害が発生したケースも報告されています。

海外拠点の片隅に設置されていた監視カメラが古いままだったために、そこから侵入されたといった例もあるようです。

古い機器は交換して最新のソフトウェアのものにするとか、メンテナンス業者に依頼してアップデートしてもらうとか、しっかりと対処しておきましょう。

冒頭に紹介したDDoS攻撃では、他人のコンピュータを乗っ取って、それを踏み台にして大量のメールを送りつけるといった手口が使われます。

アップデートされていないネットワーク機器は、知らず知らずのうちに、このようなDDoS攻撃を行う加害者の一端を担わされる恐れもあるのです。

改めてそのような盲点となっている機器が存在しないか、確認していただくようお願いします。

ランサムウェア攻撃に対する対策

近年、深刻な被害をもたらしているのが、ランサムウェアによる攻撃です。

組織内ネットワークにコンピュータウィルスを侵入させ、コンピュータを使用不能にし、その解除のために身代金を支払わせるといった手口です。

2021年には徳島県のつるぎ町立半田病院が、2022年には大阪急性期・総合医療センターが同攻撃を受け、電子カルテなどのシステムが使用不能になるといった甚大な被害が発生しました。

◇厚労省セキュリティ教育支援ポータルサイト「病院で発生した深刻なサイバー攻撃、当事者が被害と対策の全容を語る」

患者さんたちの命と引き換えに身代金を要求するという、許せない悪質な手口ですよね。

こうした被害は、医療機関に限らず、一般の中小企業様においても起こり得ることを認識すべきかと思います。

厚労省は、こうした被害への対策のため、昨年（令和6年）8月に、「医療機関等におけるサイバーセキュリティ対策の取組みについて（周知依頼）」という文書を、都道府県等の衛生主管部門に通達しています。

◇厚労省 医療分野のサイバーセキュリティ対策について

この文書では、「サイバー攻撃リスク低減のための最低限の措置」として、

①   パスワードを強固なものに変更し、使いまわしをしない。

②   IoT機器を含む情報資産の通信制御を確認する。

③   ネットワーク機器の脆弱性に、ファームウェア等の更新を迅速に適用する。

といった3点を挙げています。

②の「IoT機器を含む情報資産」というのは、まさに上で述べたルーターや監視カメラなども含めて、ネットワークの弱点がないかをチェックするということを言っているのです。

こうした内容を見ても、改めてサイバー攻撃への対策には、とにかく基本に忠実であることが重要と言えるのではないでしょうか。

ぜひ参考にしていただき、サイバー攻撃からの守りを固めていきましょう。

それでは今回はこの辺で。

宜しくお願い致します。

ニュースレターの最新号をメールでお知らせします。

こちらのデジタルビズ・トップページよりぜひ配信登録をお願い致します。