注目を集めるサイバー攻撃: 中小企業への警鐘

• 過去 10 年間で、サイバー攻撃は巧妙化し、その範囲も拡大しており、テクノロジーの巨人や政府機関だけでなく中小企業にも影響を与えています。
• グローバルな「NotPetya」ランサムウェア攻撃、Equifax の大規模なハッキング、SolarWinds および Kaseya サプライ チェーン攻撃などのインシデントは、セキュリティに関して無視できない組織の警鐘です。
• サイバー攻撃が高度化する一方で、サイバーセキュリティのベスト プラクティスも進化しており、組織に効果的な防御を提供できます。
• この記事は、サイバー攻撃とサイバーセキュリティについて学びたいビジネス オーナーを対象としています。

あなたのビジネスの Web サイトとコンピュータ ネットワークはどの程度安全ですか? この質問は、サイバー攻撃が巧妙化し、範囲が拡大するにつれて、ますます重要になっています。今日の企業は、かつてないほど多くのセキュリティ ツールを自由に使用できるようになっていますが、ハッカーも同様に攻撃能力を向上させています。

過去 10 年間に注目を集めたサイバー攻撃は、あらゆる場所の企業にとってサイバーセキュリティの教訓となるはずです。競合他社によって画策された計画であろうと、小切手帳と恨みを持った人物であろうと、大規模な組織でも小規模な組織でも同様に、重大な規模の攻撃が発生する可能性があります。近年の最大の攻撃のいくつかを見て、あらゆる規模の企業が自らを守るために取るべき対策を確認してください。

過去 10 年間で注目を集めたサイバー攻撃

過去 10 年間で、サイバー攻撃の数、範囲、および影響が大幅に拡大してきました。以下に強調表示されているインシデントは、潜在的なセキュリティ インシデントから完全に保護されている組織はほとんどありませんが、考えられる最悪の結果を防ぐために、より準備された組織が実行できるアクションがあることを示しています。

2013: ニューヨーク タイムズがハッキング

2013 年、ハッカー活動家 (ハクティビストとしても知られる) がニューヨーク タイムズの Web サイトを「改ざん」攻撃で乗っ取り、サイトのコンテンツをロゴと「シリア電子軍 (SEA) によるハッキング」というメッセージに置き換えました。攻撃者は、Times の Twitter アカウントも侵害しました。この攻撃は、Times の評判を傷つけ、同社がオンラインでコンテンツを提供することを一時的に妨げましたが、永続的な損害を引き起こすことはありませんでした。

ハクティビストはタイムズの内部システムも侵害していないようです。代わりに、セキュリティ基準が緩い同紙のドメイン名レジストラを標的にしました。レジストラを標的にすることで、攻撃者はタイムズの Web サイトと Twitter アカウントを一時的に停止するために必要なアクセスを取得することができました。

2014: ソニー・ピクチャーズがハッキング

2014 年後半、ガーディアンズ オブ ピースと自称するグループが、ソニー ピクチャーズ エンタテインメントの内部システムに侵入しました。このグループは、会社から数テラバイトの個人データを盗み、元のデータを削除し、盗んだ情報をゆっくりとジャーナリストに漏らし、最終的にはウィキリークスに漏らしました。ソニーは、広報活動の惨事、財務上の損失、内部ネットワークへの技術的損傷に直面し、管理者は修復に数日を要しました。

ガーディアンズ オブ ピースは自らをハクティビストだと自称する一方で、同グループはテロ攻撃の脅威にもさらされていました。最終的に、FBI と NSA は、このハッキングが北朝鮮関連のグループによるものであると突き止めました。

2017: マースク攻撃

2017 年、ランサムウェアのサイバー兵器である NotPetya が世界中に急速かつ制御不能に拡散したため、世界は最初の真のサイバー パンデミックに見舞われました。「Sandworm」と呼ばれるロシアに関連するハッカーによって開発されたと考えられているこのグループは、MEDoc と呼ばれるユビキタスなウクライナの会計ソフトウェアの更新手順をハイジャックすることにより、厳選されたウクライナの企業に対して NotPetya を展開しました。MEDoc の更新サーバーを制御することで、Sandworm はウクライナの数千台のコンピューターに NotPetya をインストールすることができました。[ランサムウェアからビジネスを保護する方法を学びます。]

NotPetya は、急速かつ自動的に広がるように作成されました。それはすぐに世界中の企業に広がり、最終的に推定 100 億ドルの損害を与えました。世界的な海運会社マースクは、世界で最も打撃を受けた組織の 1 つです。NotPetya は、Maersk がウクライナに持っていたオフィスを介してそのネットワークに広がり、その後世界中のすべてのオフィスに広がり、会社のすべてのデータを暗号化しました。

2017: Equifax のハッキング

2017 年 9 月、信用調査機関の Equifax は、最大 1 億 4,300 万人のアメリカ人に影響を与えるデータ侵害に見舞われました。この侵害により、ハッカーは、社会保障番号、生年月日、自宅住所など、顧客の個人を特定できる情報にアクセスして盗むようになりました。この事件は、カナダとイギリスの一部の消費者にも影響を与えました。

パッチが適用されていない Web サイト アプリケーションの脆弱性が原因で、ハッキングが可能になりました。誰が Equifax をハッキングしたかはすぐには明らかになりませんでしたが、米国政府は 2020 年に攻撃に関連して中国軍の 4 人のメンバーを起訴しました。起訴状は、Equifax のハッキングが、さまざまな情報源から個人情報を盗むための中国の軍事および諜報機関による継続的な作戦であったことを示唆しています。ハッカーの最終的な目標は、贈収賄や脅迫を含むさまざまな作戦で、アメリカの諜報機関や役人をより適切に標的にすることでした.

2020年：SolarWindsの攻撃

2020 年初頭、ロシア政府と関係があると思われる攻撃者が、テキサスに本拠を置く SolarWinds の Orion IT リソース管理ツールに属する更新サーバーを密かに侵害しました。この侵害により、攻撃者は少量の悪意のあるコードを追加することができ、企業がソフトウェア アップデートの一部としてダウンロードすると、攻撃者はサプライ チェーン攻撃の一部として、影響を受ける企業へのバックドア アクセスを許可されました。このバックドアにより、攻撃者は追加のマルウェアをインストールして、影響を受ける企業や組織をスパイすることができました。

SolarWinds は、数か月の間に最大 18,000 の顧客が悪意のある更新プログラムをインストールし、ハッカーによるさらなる攻撃に対して脆弱になったと推定しています。影響を受けた組織には、サイバーセキュリティ企業の FireEye、Microsoft や Cisco などのテクノロジー企業、国防総省、エネルギー省、財務省の一部を含む米国政府機関が含まれていました。

加害者の目的は、スパイ活動とデータの窃盗でした。攻撃は数か月続き、非常にステルス性が高かったため、多くの企業は、影響を受けていることに気付いていなかったり、どのデータが盗まれた可能性があるかを把握していませんでした。

2021年：カセヤVSA攻撃

2021 年 7 月、ランサムウェア攻撃を専門とするサイバー犯罪グループである REvil は、ソフトウェア会社 Kaseya の VSA プラットフォームを介してサプライ チェーン攻撃を開始しました。パッチが適用されていない脆弱性を悪用したこの攻撃は、Kaseya を通じて VSA プラットフォームを使用する多数のマネージド サービス プロバイダー (MSP) に移動し、最終的に MSP のクライアントに移動しました。全体として、ランサムウェア攻撃は 1,000 以上の企業に影響を与えました。

REvil は、攻撃を開始した後、7,000 万ドルの身代金を要求しました。Kaseya は、最終的に影響を受けたファイルへのアクセスを回復するために使用した復号化ツールの代金を支払ったかどうかについては確認しませんでした. このインシデントは、以前は政府系のハッカーのみが成功裏に使用した方法を使用して、サイバー犯罪グループが高度に洗練された戦術を採用したことを示しています。

2022: Lapsus$ 攻撃

2022 年を通じて、Lapsus$ と名乗る非常に有能なサイバー犯罪グループが、テクノロジー業界の著名人に対して一連のサイバー攻撃を実行しました。攻撃は主にデータ侵害と漏洩につながりました。

Lapsus$ は主に、ソーシャル エンジニアリングと呼ばれるプロセスで無防備な個人をだましてパスワードやその他のログイン資格情報を誤って共有させることで、標的に対する攻撃を実行しました。Lapsus$ は、悪意を持って取得した資格情報を介して企業ネットワークへのアクセスを取得した後、データを盗み、影響を受けた企業を強要して、グループが盗んだ情報を漏洩しないことと引き換えに、身代金を支払いました。

以下の企業は、年間を通じて Lapsus$ の影響を受けた企業の 1 つです。

• NVIDIA (侵害により数万の従業員の認証情報と専有情報が影響を受けました)
• Samsung (盗まれた Samsung の Galaxy デバイスの社内データとソース コード)
• Ubisoft (ゲームと会社のサービスが中断されたインシデント)
• Microsoft (Bing と Cortana のソース コードの一部が盗まれた)
• Uber (内部 Slack メッセージと内部請求ツールからの情報が盗まれた)

Lapsus$ は、2022 年 4 月にグループに関係する一連の人々が逮捕された後、その活動を減速させたようです。グループは数か月後にカムバックし、その 9 月に別の一連の逮捕が続きました。

ご存知でしたか?:過去 10 年間でサイバーセキュリティ インシデントの範囲と巧妙さが増していますが、攻撃の大部分は依然として同じ出発点から始まります。フィッシング メールによる人的エラーや、技術的な問題を引き起こす古いシステムまたはパッチが適用されていないシステムです。脆弱性。

サイバー攻撃とともに進化するサイバーセキュリティのベスト プラクティス

増大するセキュリティの脆弱性と、悪意のある Web や電子メール スキームの餌食になる従業員の組み合わせにより、中小企業はこれまで以上に保護を強化する必要があります。ランサムウェアのようなマルウェアの亜種の台頭により、攻撃の破壊的な可能性と、企業が乗り切る準備が必要な経済的影響が根本的に変化しました。幸いなことに、緩和ツールはこれらの攻撃とともに進化してきました。次のベスト プラクティスは、サイバーセキュリティ リスクが増大する中でビジネスを保護するのに役立ちます。

テクノロジーへの投資と従業員教育。

トレーニングには、フィッシング メールの演習や、一意で強力なパスワードを使用することの重要性を従業員に教えるなどの活動を含める必要があります。さらに、可能な限り多要素認証を使用するようにスタッフに教育する必要があります。これには、パスワードと、従業員のみがアクセスできる追加の一時的なセキュリティ コードが必要です。従業員は、コンピューターがウイルスやマルウェアに感染している兆候についても知っておく必要があります。

IT-Harvest の最高マーケティング責任者である Craig Kensek 氏は、サイバー攻撃からビジネスを保護することは、技術的なソリューションを実装することだけではないと強調しました。テクノロジーへの投資と教育の両方を含む多面的な戦略が必要です。

「ハッキングからの最も効果的な保護には、危険なリンクをクリックしないようにユーザーベースを教育すること、高度なマルウェアがどのように現れるかを理解すること、および露出したサイバーフットプリントに対する強固な防御計画を立てることが含まれます.

Kensek は、Web、電子メール、およびファイル共有トラフィックを保護する機能を含む、マルウェア保護および第 3 世代製品に投資するよう企業にアドバイスしましたが、従業員のトレーニングは、フィッシングベースの攻撃を軽減するための中心です。

「Web サーフィンのトレーニングを検討し、従業員が Web サイトのダウンロード、疑わしいリンク、ソーシャル ネットワーキングで何を探すべきかを確実に理解できるようにします。Web、アプリケーション、ファイル共有、電子メール通信の使用ポリシーを定義してください」と Kensek 氏は述べています。

ネットワーク アーキテクチャを見てください。

サイバー攻撃の大部分は、複雑化するビジネス ネットワークを利用するために進化してきました。企業は、物理ネットワークを介して相互に接続された少数のコンピューターのみを保護する必要がなくなりました。また、携帯電話やタブレット、どこにでもあるクラウド、さらにはインターネットに接続されたスマート デバイスやモノのインターネットに起因するモバイル サイバー攻撃のリスクにも対処する必要があります。これらはそれぞれ、ハッカーに追加の攻撃手段を提供し、より広い企業ネットワークへのアクセス ポイントとして機能する可能性があります。

企業は、ゼロトラスト アーキテクチャ(ZTA)を適用することで、サイバーセキュリティの複雑さを軽減できます。ZTA は、適切なアクセス制御と管理を設定することを視野に入れて、ユーザー、資産、およびリソースに焦点を当てたセキュリティ プラクティスです。基本的に、ZTA は、誰かがアクセスを試みたときにネットワークがすでに侵害されていることを想定しており、管理者はすべてのユーザーの認証と検証に集中する必要があります。

ZTA を適用することで、企業は単一ユーザーのアクセス量を制限することで、潜在的なセキュリティ違反の範囲を制限します。さらに、ZTA システムは、ネットワーク上の典型的な従業員の行動を監視します。ユーザーが不規則な行動をしている場合、システムはそれを疑わしいものとしてフラグを立てます。

プロバイダーと話し、リソースを広げてください。

「自分自身を守るために、ドメイン名を登録した会社がそのドメイン名を保護していることを確認するために、できる限りのことをしなければなりません」と、戦略的リスク管理会社である Cedric Leighton Associates の創設者兼社長である Cedric Leighton は述べています。コンサルティング。問題は、ほとんどの企業が十分な保護を受けていないことだ、と彼は述べた。

「鍵となるのは、SEA（The New York Times のハッキングに関与）のようなハッカーが使用する Web サイトを登録する OpenDNS のようなものを用意することです」と Leighton 氏は述べています。「そのような Web サイトから、正当なインターネット トラフィックを「悪意のある」または許可されていないサイトにリダイレクトしようとすると、その要求は自動的にブロックされます。残念ながら、ほとんどの人は、このようなハッキングから身を守るためにこれを調べる必要があることを知りません。」

これは、企業がセキュリティ オプションについて十分な情報を得て、攻撃が発生した場合ではなく、発生した場合に備えて緩和および災害復旧計画を確立する必要があることを意味します。

インターネット プロバイダーと詳細な会話をすることから始めます。保護されているかどうかだけでなく、攻撃が発生した場合にどのように保護されているかについても話し合ってください。

「まず、[インターネット サービス プロバイダー] に『攻撃されたらどうするか』と尋ねる必要があります。「『私たちがあなたを守ります』と彼らが言うことを期待しないでください。そんなことはありません。ISP はおそらく、『オフラインにします』と返信するでしょう。」

次に、Web サイト自体や DNS サーバーなど、Web サイトのどの領域を保護する必要があるかを正確に判断します。DNS サーバーをダウンさせる攻撃から身を守るには、分断と征服が手口であると Stella は言いました。

「複数の DNS を異なる場所でホストしています。本当に独自の DNS サーバーをホストしたい場合は、DDoS 攻撃を心配しすぎないように、レジストラや他の大規模な Web ホスティング会社など、別の場所でバックアップをホストしてください。DNS のホスティングは高価な取り組みではありません。存在感を広めると、完全に打ち負かすのははるかに難しくなります」と Stella 氏は述べています。

ウェブサイトをオンラインに保ち、データ損失を防ぐために、ステラはコピーをクラウド ストレージに保管することを推奨しました。攻撃者がメインの Web サイトをロックした場合、当面はセカンダリ Web サイトを指すように DNS を再構成できる、と彼は言いました。

「多層防御」を適用します。

サイバー攻撃がより複雑になるにつれて、企業は画一的なセキュリティ アプローチを超えて考える必要があります。残念ながら、ファイアウォールとウイルス対策ソフトウェアをインストールして、それを 1 日と呼ぶ時代は終わりました。現在、企業は多層防御のセキュリティ体制で準備する必要があります。

これは、セキュリティに対する多層的なアプローチを含む効果的なビジネス サイバーセキュリティ ポリシーを指します。ファイアウォールとウイルス対策プログラムは依然として不可欠な防御手段ですが、これらのツールだけではデバイスをハッカーから保護するのに十分ではありません. 代わりに、ZTA、従業員のトレーニング、リモート ワーカー向けの VPN 接続、最高の従業員監視ソリューション、すべてのデータのコンピューター暗号化などの要素と組み合わせる必要があります。

セキュリティ ソリューションは絶対確実なものではありませんが、防御を多層化することで、発生したセキュリティ インシデントの最悪の結果を最小限に抑える可能性が大幅に高まります。

メンテナンスをおろそかにしないでください。

過去 10 年間の最悪のサイバー攻撃のいくつかに共通するテーマは、パッチが適用されていないソフトウェアの脆弱性を介して、攻撃者が最初に影響を受けるシステムへの侵入に成功した方法でした。企業は、システムを定期的に監査し、すべてのソフトウェアとハ​​ードウェアの実行中のインベントリを作成し、各プログラムのバージョンと最後に更新された時刻を記録することで、全体的なサイバーセキュリティを大幅に向上させることができます.

このインベントリを作成した後、企業は定期的なパッチ管理スケジュールを維持する必要があります。企業は、できるだけ早くパッチを適用する必要がある重大な脆弱性を警告するベンダー アラートにもサインアップする必要があります。MSP と連携している場合は、MSP も許容範囲内でパッチを監視および適用していることを確認してください。

最悪の事態に備える

サイバー攻撃は、過去 10 年間でより一般的になり、より巧妙になり、より破壊的になりました。残念ながら、企業は年々増加するサイバー犯罪率に直面し続けています。あらゆる規模の企業が、セキュリティ計画において最悪のシナリオに備える必要があります。

ただし、銀の裏地があります。完璧なセキュリティなどというものはありませんが、企業は、上記で概説したようなサイバーセキュリティのベスト プラクティスに従うことで、損害を与える攻撃の可能性を大幅に減らすことができます。これらのプラクティスは、サイバーセキュリティ インシデントを、ビジネスを破壊する可能性のある攻撃から、制御された混乱の瞬間へと変化させる可能性があります。詳細については、中小企業向けの詳細なサイバーセキュリティ ガイドをご覧ください。

Sara Angeles がこの記事に寄稿しました。ソース インタビューは、この記事の以前のバージョンに対して実施されました。