あなたはサイバー攻撃をしたことがありますか？

2015年02月20日

「あなたはサイバー攻撃をしたことがありますか？」
このような非常識な質問に対し、大多数の人は「いいえ」と答えるでしょう。
サイバー攻撃とは、『コンピュータシステムやインターネットなどを利用して、標的のコンピュータやネットワークに不正に侵入してデータの詐取や破壊、改ざんなどを行なったり、標的のシステムを機能不全に陥らせること』であり、これはもちろん犯罪です。
ところが、今は胸を張って「サイバー攻撃なんてしたことはない！」とは言い切れない時代であることを知っているでしょうか。
今回は、知らない間に自分がサイバー攻撃をしているかもしれないという、少し恐ろしい話をしたいと思います。

アンケート結果

【質問】
サイバー攻撃をしたことがありますか？

【回答数】
ある:1※
ない:99

※当社で調べたところ、サイバー攻撃とは言わない内容のもので法的にも問題はありませんでした。

サイバー攻撃のやり方すら知りません！

まずは一般の方に対し、サイバー攻撃に対する認識調査としてアンケートを行いました。
シンプルに「サイバー攻撃をしたことがありますか？」と質問した結果、ほぼ全員が「ない」と回答しました。

・「サイバー攻撃をしたことがある」……って、犯罪者ではないのですか。マズイよ。
・やり方が分からない。また、インターネットにアクセスしているパソコンは職場の備品のため、そういった活動に加担することはできない。
・サイバー攻撃をする知識がないです、どんなことがサイバー攻撃なのかわかりません。
・したことはありません。というかそういった知識が無いので出来ませんというのが本音です。

「ない」とご回答頂いたほとんどの人は、サイバー攻撃のやり方すらわからないということでした。多くの方が認識している通り、サイバー攻撃は高度な知識が必要とされ、一般的なパソコンスキルでは到底できるものではありません。ですから、そんな知識もない自分がまさかサイバー攻撃をするわけがない、と思っても当然だと思います。
しかし、近年サイバー攻撃の中には、知らない間に自分がサイバー攻撃をしているケースがあるのです。

知らない間にサイバー攻撃をする犯罪者になっている

一般的にサイバー攻撃とは、高度な知識を持ったサイバーテロリストがいて、国家機関や民間企業の外部に接する環境にあるWebサーバーを狙って攻撃していると思われがちです。そのため、企業は外部からの攻撃を防ぐことに注力していますが、ウイルスとして内部に侵入してくることを想定した対策も必要になります。なぜなら、ボットウイルスに感染しパソコンを操られてしまった場合、サイバー攻撃を「される側」だけでなく、「する側」にも転じる可能性があるからです。
例えば、ハッカー達は「Webアプリケーション」を狙ってきます。ECサイトなどは個人情報を抜かれるという被害がイメージしやすいですが、個人情報を持ったサイトでなくても攻撃の対象となります。例えば企業の公式サイトなど。もし乗っ取られてしまった場合、HPの改ざんに加え、迷惑メールを配信したり、特定のサーバーに一斉にアクセスして利用停止に陥れたりといったDDos攻撃を、自分のパソコンが行う可能性があるのです。
さらに、こういったボットウイルスは感染しても気づかれにくいという厄介さを抱えています。感染した後も、何事もなかったかのようにパソコンを使い続けることができるようになっているため、知らない間にWebサイトを乗っ取られてサイバー攻撃に利用されてしまう、という恐ろしい犯罪構造になっています。
では、このような犯罪に巻き込まれないためにはどうすればよいのでしょうか。

WEBアプリケーションにも対策ソフトの導入を！

基本的には、セキュリティソフトを正しく活用して不審な通信を遮断するとともに、定期的なパソコンの検査を行うことが大切です。
しかし、PCにウイルス対策のソフトを導入することは一般的になりましたが、Webアプリケーションにも対策ソフトを導入するという認識はまだまだ薄いのが現状です。WAF(Web Application Firewall)と呼ばれるWebアプリケーションの対策ソフトをご存知でしょうか。ウィルス対策ソフトがPCに対して防御しているものであるならば、WAFはWebサイト(会社、EC、メディアなど)を防御するもの、とイメージしていただければ分かりやすいかと思います。WAFは、Webアプリケーションへの攻撃に対して防御するために開発された専門的ツールです。Webアプリケーションがひとたび攻撃されると、企業や個人の社会的信用の失墜、Webサイトの長期的閉鎖に伴う機会損失によって大きく売り上げを落とすことも考えられますよね。

企業サイトが攻撃にあった場合の即座な対応としては、

・攻撃されたWebサイトの停止
・被害状況の確認や攻撃の確認
・個人情報の漏えいの場合、迅速な顧客対応

などが挙げられますが、これらの緊急対応に要するコストは莫大な額になります。ですから、なるべくそのような被害に合うことがないよう、早めの対策を講じて予防することが重要です。
とはいえ日本ではまだまだその認識が甘く、本格的な導入はこれからという段階の企業も多くあります。今一度、「サイバー攻撃」に対する認識を改め、企業や個人が大きな損失を被ってしまう前にサイバー攻撃対策を検討してみてはいかがでしょうか。

＜アンケート実施概要＞
■調査地域：全国
■調査対象：年齢不問・男女
■調査期間：2015年1月13日～1月20日
■有効回答数：100サンプル