セキュリティ事故多発!今すべき対策とは?
はじめに
インターネットが普及し始めてから、ウィルスやプログラムのセキュリティホールをついた攻撃はありましたが、年々、セキュリティインシデントは増えており、もはや、いつ自社が被害を受けてもおかしくない時代に入ってきています。2016年から2020年までのJPCERT/CC※1へのセキュリティインシデントの報告件数は、以下の通りで、2020年では46932件/年で、1日当たり約130件ものセキュリティインシデントが発生しています。
これでも、氷山の一角で、報告が上がってきていないものも含めると、数十倍にはなるだろうとも言われています。では、このような被害に遭うリスクを抑えるには、どうすればよいのでしょう。
そのためには、まず、自社のシステムにどのような脆弱性があるのかを知る必要があります。次に、その脆弱性への対策を実施することで、被害に遭うリスクを最小限にすることができます。次項からは、実際にあった事例をもとに、攻撃手法や被害について見ていきたいと思います。
※1一般社団法人JPCERTコーディネーションセンターの略で、日本国内におけるインシデント報告の受付対応などの活動を行っています。
事例からみた被害状況や攻撃手法
2022年に入ってから発生したセキュリティインシデントの中で、攻撃手法も含め公表されている事例については、以下の通りです。
上記の被害状況にもあるように件数が多くなりがちですが、これは、データベースに不正アクセスされると、登録されている情報すべてが漏洩した可能性があると考えられるためです。
また、ここに挙げられている攻撃手法はごく一部で、他にも、OSコマンド・インジェクション、クロスサイトスクリプティング、バッファオーバーフロー攻撃、セッションハイジャックなどがあります。これらの攻撃手法はメジャーで、その脆弱性の診断方法や対策については確立しており、対策をしておけば、未然に防げた事例でもあります。
インシデントが発生すると?
JNSA※2によると、一度、セキュリティインシデントが発生してしまうと、下記のような6つの損害が生じる可能性があります。
- 事故対応損害
インシデント対応などで、直接負担した費用による損害。 - 賠償損害
情報漏洩などで、第三者に支払う賠償による損害。 - 利益損害
サービスの停止などで、損失した利益による損害。 - 金銭損害
カードの不正利用などで損失した費用による損害。 - 行政損害
個人情報保護法などの法律違反による罰金や課徴金の損害。 - 無形損害
風評被害や株価下落などで損失した費用換算が困難な損害。
※2特定非営利活動法人日本ネットワークセキュリティ協会の略で、情報セキュリティに関する情報提供などの活動を行っています。
被害額はどれくらい?
下記は一例ですが、ECサイトからクレジットカード情報が漏洩した際の被害額です。
【被害状況】
カード情報漏洩:約1万件
カード不正利用額:約2,500万円
【攻撃概要】
攻撃手法:フォームジャッキング
ECサイトのサーバ及びプログラムの脆弱性により、入力フォームを改ざんされ、
入力したカード情報及びセキュリティコードを外部のサーバに送信していた。
【被害額】
9,490万円
事故対応損害:2,890万円
賠償損害:3,600万円
利益損害:3,000万円
被害を抑える施策とは?
日々新たな脆弱性が発見されています。被害を抑えるには、下記の3つを定期的に実施することが重要です。
※3Web Application Firewallの略で、Webアプリケーション専用のファイヤーウォールです。
具体策のご紹介
弊社では、以下を推奨していますので、よろしければご覧ください。
脆弱性診断サービス「Site-Audit(サイトオーディット)
https://www.brainassist.com/service/security.html
WAFサービス「攻撃遮断くん」
https://www.brainassist.com/service/ips.html
サイバー保険「サイバープロテクター」
https://www.ms-ins.com/business/indemnity/pd-protector