2022/03/27 投稿

DX時代のサイバー攻撃手法とパスワード運用方針

株式会社ウェブリク 代表 菅沼 大樹

昨今、日本でのランサムウェア被害が増える中、サイバーセキュリティに対する意識の高まりを感じます。
今回は数多い攻撃手法の中から、起業家および企業経営者向けに特に気を付けてほしいサイバー攻撃を一覧でまとめました。
セキュリティ対策のきっかけになればと思います。

サイバー攻撃手法一覧表

攻撃手法 概要 対応策
パスワードクラッキング 辞書やダークウェブで入手した情報を元にアカウントへの不正ログインを試みる 2段階認証/多要素認証、同じパスワードを使い回さない
ゼロデイ攻撃/Exploit攻撃 公開されたソフトウェア脆弱性情報データベースを元にセキュリティパッチを適用していないPCをターゲットにする Windows Update、保守されている最新ソフトウェアを使う
フィッシング 取引企業、大手企業、知人を装い不正なサイトへ誘導しマルウェアに感染させる。マッチングアプリによるロマンス詐欺も横行 送信元を確認、プライベートは別スマホを使う
DoS/DDoS 攻撃相手のネットワークに負荷をかけてサービス停止に追い込む CDN導入(Cloudflareなど)
マルウェア 悪意のあるソフトウェアの総称。近年は指令サーバーと連動し動作が変化するBOT型が多い 不審なファイル/リンクを実行しない
ランサムウェア マルウェアの一種。PCを人質にして金銭を要求する 不審なファイル/リンクを実行しない
BadUSB (暴露情報などと記載して)ターゲット企業にUSBを送付。PCに接続させてマルウェアを仕込む 不審なUSBをPCに挿さない

盗まれたアカウント情報などはダークウェブで売られることが多いです。
またマルウェアに感染させた状態で何もせず、その管理権限をダークウェブで売られることもあります。

パスワードの運用方針

企業でもウェブ上でログインしサービスを利用する機会が増えてきました。
参考までに弊社のパスワード運用方針をご紹介します。

  • パスワードは毎回ランダムな文字列にする。
  • ログイン後はブラウザにパスワードを保存する。
  • クレジットカードを登録する場合は2段階認証/多要素認証を必須にする。
  • 2段階認証/多要素認証がないサイトはクレジットカードを登録しない。
  • セキュリティ管理者がパスワードを一元管理する。
  • パスワードをやり取りする場合は経路が暗号化された環境で行う。

特に重要なのはパスワードを使い回さないということです。
そうすることで一つのパスワードが流出しても被害を最小限に抑えることができます。
ブラウザに覚えさせておけば、どこかにメモをしたりする必要もありません。

また銀行などでのパスワード定期変更はセキュリティ的にバッドノウハウとして知られるようになっています。
というのも、名称+西暦というように自分が覚えやすいパスワードを設定してしまうからです。
2段階認証が提供されているなら積極的に利用しましょう。

ITの進化は速いです。
IPAの情報セキュリティ対策ガイドラインも参考にしてください。

 

国単位で制限するのも一つの手

IPアドレス(IPv4)は国際組織で管理されており、IPアドレスでどの国からのアクセスか判別することが可能です。
サイバー攻撃のほとんどは日本国外から行われるため、思い切って日本国外のIPアドレスを拒否するのも有効な防衛手段です。

ちなみに弊社が運用しているサーバーへの攻撃のほとんどはロシアからです。

日本国内からのアクセスであれば、誰がいつどこからアクセスしたのかは比較的簡単に分かります。
(誰がいつどこへアクセスしたか分かっているから通信会社は通信料を請求できる)

ただし日本国内のマルウェアに感染したPCを踏み台にすることが予想されるため過信は禁物です。

このコラムは協議会メンバーが執筆しています。
情報発信したい方はお気軽にご連絡ください。 お問合せへ