Day: July 14, 2023

今日のデジタル環境では、企業は業務において様々なソフトウェアを活用していますが、ソフトウェアの脆弱性が大きなリスクを招いていることは、ご存知でしょうか。 サイバー犯罪者は、脆弱性を悪用し、企業の機密データに不正アクセスしているのです。本記事では、ソフトウェアの脆弱性が招くリスクと脆弱性を狙う主なサイバー攻撃、企業が講じるべき対策、そしてダークウェブ監視の必要性について解説します。 ソフトウェアの脆弱性が招くサイバー攻撃 多くのサイバー犯罪者は、企業が使うソフトウェアの脆弱性を利用して、機密データにアクセスをしています。そもそも脆弱性の原因は、プログラミング・エラーや設定ミス、古いバージョンのソフトウェアの使用などです。 米の大手セキュリティ企業パロアルトネットワークスの調査によれば、サイバー攻撃の原因として最も多いのがフィッシング詐欺、次いで多いのがソフトウェアの脆弱性と判明。この調査結果からも分かるように、脆弱性を放置しておけば、サイバー攻撃のリスクを高めるのです。 サイバー攻撃を受ければ、金銭的損失や風評被害、法的影響、さらには事業停止につながる可能性があります。さらに、顧客情報や企業秘密などの機密データがダークウェブに流出すると、企業の誠実さや信頼性に重大な脅威をもたらすでしょう。 脆弱性が招く主なサイバー攻撃 異なる角度から脆弱性のリスクを理解するために、ここからは脆弱性が招く主なサイバー攻撃を見ていきましょう。 ランサムウェア ランサムウェア攻撃は、企業のデータを暗号化し、身代金を支払うまでアクセス不能にする攻撃です。近年は、データの暗号化だけではなく、感染したコンピューター内に保管されているデータの暴露も脅迫する「二重脅迫型ランサムウェア」も増加しています。 さらにVeeam Softwareのレポートでは、ランサムウェア攻撃を受けた企業の76％が身代金を支払い、そのうち31％の企業がデータの復元に失敗していると判明。 ランサムウェア攻撃の被害を受ければ、機密データの流出や身代金を支払ってもデータを復元できないリスクが生じます。 DDoS攻撃 DDoS攻撃は、企業のサーバーに膨大な量のトラフィックを送信してサービスを停止させる攻撃です。DDoS攻撃を受ければ、サーバーダウンによるサービスの停止やそれに伴う金銭的被害などを招きます。 SQLインジェクション SQLインジェクション攻撃は、データベースのクエリを操作して、機密情報を抜き取ったり、改ざんしたりします。ソフトウェアの脆弱性は、SQLインジェクション攻撃のリスクを高めます。 例えば、世界中で使用されるCMSのWordPressにおいては、SQLに対する脆弱性が発見されたとの報告があります。SQLインジェクションから機密データを守るためにも、ソフトウェアの脆弱性対策が必須です。 ゼロデイ攻撃 ゼロデイ攻撃とは、ソフトウェア開発者が気づいていない脆弱性を利用して行う攻撃です。開発者が脆弱性のパッチやアップデートを公開する前に攻撃されるため、対策が非常に難しいという特徴があります。対策法としては、複数のセキュリティツールの導入やサンドボックス環境の準備などが有効です。 ソーシャルエンジニアリング ソーシャルエンジニアリングとは、業務上のメールや特定の人物に成りすまして、機密情報の盗み取りやセキュリティの侵害につながる行為を取らせる人間の脆弱性を悪用した攻撃です。 ソフトウェアに脆弱性があれば、サイバー犯罪者は容易に機密情報を取り出し、信頼性の高い人物になりすまして、ソーシャルエンジニアリング攻撃を容易に仕掛けられます。 脆弱性を防ぐために企業がすべきこと それでは、ソフトウェアの脆弱性に関連するリスクを軽減するには、どうすればよいのでしょうか。ここからは、企業が実施すべき対策を解説します。