日商 Assist Biz

更新

企業を襲うサイバー脅威 標的型攻撃 その3

標的型攻撃被害による影響(手間やコスト)

今月は「標的型攻撃(Targeted Attack)」の3回目です。今回は「標的型攻撃」に遭ってしまった場合の影響とそれに対する対応策について説明します。

1月号で説明した通り、最近の標的型攻撃のほとんどは、「金銭の獲得」と「諜報活動」が目的と考えられています。つまり、盗んだ情報がお金に換えられたり、産業スパイ活動で悪用されたりすることで影響が発生するのです。

では、実際にどのような影響が発生するのでしょうか。標的型攻撃に遭った場合の影響としては、問い合わせ窓口の設置と運用、原因と影響の調査、ネットワークやシステムの停止による業務効率の低下と代替サービスなどの手配、システムやPCの復旧などに多くの手間や多額の費用が発生します。

特に、原因と影響の調査は必ず実施しなければならず、この中で最も手間も費用もかかります。その理由は二つあり、一つは、所管省庁に対する報告義務や関係者に対する説明責任を果たすためです。もう一つは、再発防止のためです。原因が究明できなければ、それを排除することができないからです。

また、標的型攻撃が発生した直後に、便乗詐欺による二次被害もよく発生します。たとえば、「今回の標的型攻撃で、あなたの情報が漏えいしました。その対策を○○万円でします。すぐにしなければ大きな被害になります」などと不安をあおって、お金を詐取しようとしてきます。

さらに、一般企業であれば、ブランドイメージの低下、それに伴う株価下落などが挙げられます。「被害」というと、漏えいした情報の件数×1000円ほどのお詫びの商品券と謝罪文、そしてその郵送費などと考えられがちですが、実際の影響としては、それ以外の方が圧倒的に大きいのです。

対応策として重要なことは、迅速に組織的に行動することです。サイバー犯罪とリアルな犯罪の違いは、盗まれるモノ(物品、データ)と、そのモノの移動時間です。物品の移動は物理的に時間がかかりますが、データはインターネットを介して一瞬にして移動します。だからこそ、サイバー犯罪には迅速な対応が必要となるのです。

迅速な対応をするためには、攻撃に遭うことを想定して、対応方針を決めておくことが必要です。「攻撃に遭ったら、そのときに考える」と思われている人も多いかもしれません。しかし、それでは迅速な対応はできませんし、あらかじめ対応方針を決め、手順化したり、教育訓練などをしたりしていなければ、いざというときに行動に移せるはずがありません。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

Webサイト改ざんは、大きく二つに分類されます。まず一つ目は、Webサイトのページ表示自体を書き換えするもの。つまり、見た目そのものが変わる改ざんです。ここでは「見た目の…

前の記事

長谷川長一

「標的型攻撃」などメールを使ったサイバー攻撃では、その送信元の多くが海外です。そのため、「日本語がおかしいものが多い」と言われてきましたが、最近はかなり巧妙で、標的…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…