はじめに
デジタル技術の急速な発展に伴い、企業のDX(デジタルトランスフォーメーション)化が加速しています。これにより業務効率の向上や新たなビジネスチャンスの創出など、多くのメリットがもたらされている一方、サイバー攻撃のリスクも急激に拡大しています。サイバー攻撃は、単なるコンピューターへの不正侵入にとどまらず、企業の情報資産を狙って高度化しています。その手法やターゲットは年々多様化・巧妙化しているのが現状です。
そこで本記事では、サイバー攻撃の概要から、企業が直面する可能性のある脅威や攻撃手法、実際の被害例まで幅広く解説します。さらに、効果的な対策方法についても詳しく紹介しますので、これからデジタル環境の整備を検討している企業だけでなく、すでに整備を進めている企業の方もぜひご一読ください。
サイファー・テックでは、DRMや脆弱性診断など、セキュリティ対策に関わるさまざまな製品を提供しています。サイバー攻撃への対策をご検討中の方は、お気軽にご相談ください。
サイバー攻撃とは
サイバー攻撃は、悪意のある第三者がサーバー・PC・スマホといった端末に不正アクセスし、データの窃取や破壊、改ざんなどを行う行為を指します。目的は攻撃対象によっても異なりますが、金銭的利益を狙ったデータの窃盗、企業活動の妨害、個人的な怨恨などが挙げられます。
個人をターゲットとする場合、金銭の詐取やクレジットカードの不正利用を目的とした詐欺行為が一般的ですが、国家に対するサイバー攻撃では、政権の弱体化や社会への政治的主張を目的とすることがしばしばあります。企業を標的にした攻撃では、営業妨害や企業のイメージダウンを狙ったものに加え、近年では個人情報や機密情報をロックもしくは暗号化し、解除やデータ復元のために金銭を要求する事案も増加しています。
これまでは大手企業や政府機関が主な標的とされてきましたが、最近では中小企業もサイバー攻撃の対象となる事例が増えています。中小企業は大手企業との取引を通じて重要な情報にアクセスできる立場にありながら、セキュリティ対策が手薄な傾向にあるため、攻撃者にとって狙いやすいターゲットとなっているのです。また、サイバー攻撃を行うのは個人ではなく、組織化された犯罪集団や産業スパイ、クラッカーなどであることも多く、その脅威は日増しに高まっています。
サイバー攻撃の種類と手口
サイバー犯罪者が用いる手口には、さまざまなサイバー攻撃の種類と手法があります。ここでは、その代表的な方法について解説します。
マルウェア・ランサムウェアなどの不正プログラム
マルウェアとは、悪意のあるソフトウェア全般を指し、ウイルス、トロイの木馬、スパイウェアなどが含まれます。これらのプログラムは、コンピュータやネットワークの正常な動作を妨げたり、情報を盗んだりすることを目的としています。
手口としては、ソフトウェアやなりすましメールの中に不正プログラムを仕込んでおき、ユーザーが実行・開封することで感染させるものが一般的です。ネットワークを通じて、さらに他のコンピュータに感染を広げるものもあります。マルウェアは、コンピュータの使用不能化、データの破壊、情報漏えいといった被害をもたらします
マルウェアのなかでもランサムウェアは特に厄介で、感染したコンピュータをロックしたりファイルを暗号化したりして使用不能にします。その後、元の状態に戻すことと引き換えに攻撃者から「身代金」を要求されます。ランサムウェアの恐ろしいところは、仮に身代金を支払ったとしても攻撃者がそれに応じないなど、完全な復元が約束されない点です。また、ファイルを窃取したうえで暗号化し、身代金を支払わなければ窃取したデータを公開すると脅迫する「二重脅迫型」のランサムウェアも増加しています。
ネットワーク・システムの脆弱性を利用した不正アクセス
企業の社内ネットワークやシステムの脆弱性を突いて侵入し、コンピュータに不正アクセスする手口は、サイバー攻撃のなかでもよくみられます。
この種の攻撃はデータを盗んだり破壊したりすることを目的に行われることが多く、既知の脆弱性を放置している企業や、定期的なシステム監視といったセキュリティ対策をあまり意識していない企業が狙われます。
電子メールを利用したサイバー攻撃
マルウェアを仕込んだ電子メールを利用するサイバー攻撃には、主に2つの手法があります。一つは「無差別メール攻撃」で、特定のターゲットを絞らずに多数のメールを一斉に送信します。もう一つは「標的型メール攻撃」で、特定の企業や団体を狙い、ターゲットに合わせた内容のメールを送信する手法です。
受け取った人がこれらのメールに記載されている疑わしいリンクをクリックしたり、添付ファイルを開いたりすることでマルウェアがインストールされ、コンピュータがウイルスに感染し、情報資産の流出といった被害に発展します。
特に「標的型メール攻撃」は、攻撃者が事前に標的を詳しく調査し、非常に具体的な内容のメールを作成することが特徴です。たとえば、取引先の担当者になりすましたり、実際の業務に関連する情報を盛り込んだりするため、受け取った側がメールの正当性を判断するのが難しく、被害に遭いやすくなります。
サーバーに負荷をかける分散型サービス妨害攻撃
「分散型サービス妨害攻撃」とは、攻撃者が大量のリクエストを一斉に標的のサーバーに送りつけ、過剰な負荷をかけることでサービスを完全に停止させる手法で、「DDoS攻撃」とも呼ばれます。この攻撃により、Webサイトの閲覧やオンラインサービスの利用ができなくなるといった深刻な問題が発生します。
「DDoS攻撃」とよく似た「DoS攻撃」もありますが、その違いは攻撃の規模にあります。「DoS攻撃」は単一の端末からサーバーに対して行われるのに対し、「DDoS攻撃」は複数の端末から分散して仕掛けられる攻撃です。DDoS攻撃は攻撃者の特定が難しく、広範囲にわたる影響を及ぼすため、より高度で悪質な攻撃手法とされています
モバイル端末・スマホからの情報漏えいを狙った攻撃
近年、特に増加しているのがモバイル端末を狙ったサイバー攻撃です。テレワークの普及に伴い、企業が従業員にノートパソコンやスマートフォンなどのモバイル端末を支給し、社外からインターネットを経由して業務システムへアクセスする機会が増えたことで、セキュリティリスクが高まっています。
社内ネットワークは閉鎖的で管理しやすい一方、インターネット上の通信はセキュリティ確保が難しく、攻撃者にとっては格好の標的となります。
サイバー攻撃による影響
サイバー攻撃を受けた場合、どのような被害が生じるのでしょうか。代表的な被害を4つ紹介します。
1. 機密情報・個人情報の漏えい
サイバー攻撃による代表的な被害の一つが、企業の機密情報や個人情報の漏えいです。攻撃者は企業の内部ネットワークに侵入し、機密情報や個人情報を盗み出すことを目的としています。これには従業員や顧客のデータも含まれており、不正利用や身元詐称に悪用されるリスクがあります。金融情報や健康に関するデータが漏えいすれば、その被害は特に甚大です。
さらに、情報漏えいは企業のブランドイメージを大きく損ない、経営に深刻な影響を及ぼします。たとえば、個人情報の漏えいは、長年かけて築いた顧客の信頼と利益を一瞬で失う事態を招くことがあります。また、経営上重要な機密情報が漏えいすると経営戦略に支障をきたすほか、取引先や顧客から責任を問われることになり、最終的には賠償問題に発展することも少なくありません。
2. システムダウン・機器の破壊・データ消失
サイバー攻撃によって引き起こされる深刻な被害の一つに、システムダウン、機器の破壊、データ消失があります。これらの被害は企業にとって特に致命的で、業務の停止により顧客へのサービス提供が不可能となり、深刻な経済的損失をもたらします。
サイバー攻撃によるシステムダウンが発生した場合、約62%の企業が「2日以上」の復旧時間を要するという調査結果があります(※1)。この間、企業は生産性の低下や顧客からの信頼喪失、利益の減少といった影響にさらされ続けます。復旧作業にかかる費用の負担も決して小さくありません。
さらに、サーバーやネットワーク機器が故障し、使用できない状態になってしまった場合、ハードウェアの修復や交換が必要となり、データが消失することもあります。このような状況では復旧が難しく、長期的な影響が生じるでしょう。
(※1)出典:サイバー攻撃によるダウンからの復旧時間 「2日以上」約 62 % ~ デル調査 | ScanNetSecurity
3. 第三者への被害の波及
サイバー攻撃による影響は組織内部だけにとどまらず、第三者に波及することも少なくありません。実際に、攻撃を受けた企業と関係のある第三者に被害をもたらすことが目的のサイバー攻撃も存在します。
一般的に知られている第三者に影響を及ぼす事例は、ホームページを書き換えて閲覧者に不正なプログラムを送信するものですが、サーバーを乗っ取って他の企業に攻撃を仕掛ける手法も散見されます。この攻撃は、攻撃を受けた企業が二次的・三次的なサイバー攻撃の「踏み台」として利用されることから「踏み台攻撃」と呼ばれています。
踏み台攻撃は、乗っ取られた「踏み台」のコンピュータのIPアドレスを使って攻撃が行われるため、本当の攻撃者の特定が困難です。これにより、さらに深刻な被害拡大につながる可能性があります。
4. 金融資産等の盗難・身代金の要求
サイバー攻撃には、金融資産を狙ったものもあります。
代表的な手法としては、個人のインターネットバンキングのIDやパスワードを盗み、攻撃者の口座に送金させる詐欺行為が挙げられます。2023年には、このような金融詐欺の被害件数が5,000件以上、被害額が80億円以上に達し(※2)、過去最多を記録しました。
また、ターゲットは個人に限りません。企業のサーバーに不正アクセスし、情報を盗んだ上で、その返還と引き換えに金品を要求するケースや、コンピュータ内のデータをロックするウイルスを用い、ロック解除のために金品を脅し取る「身代金要求」の被害も増加しています。このような攻撃は、個人や企業の経済的損失だけでなく、信頼の喪失や業務の中断といった深刻な影響を及ぼすことがあります。
(※2)出典:フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)|警察庁・金融庁
サイバー攻撃による被害の動向
サイバー攻撃への懸念が広がる現在、実際にはどのくらいの被害が発生しているのでしょうか。
国立研究開発法人 情報通信研究機構(NICT)のデータによれば、2023年のサイバー攻撃関連の通信数はひとつのIPアドレスあたり年間約226万パケットに達し、これは2014年と比較して約19.6倍まで増加しています。
NICTER観測レポート2023の公開|NICT-情報通信研究機構
また、NPO法人日本ネットワークセキュリティ協会(JNSA)の調査によると、サイバー攻撃による被害規模の内訳は大企業が30%、中小企業が47%、病院や政府機関を含む団体等は23%と報告されており、大企業のみならず多くの中小企業や団体がサイバー攻撃による被害を受けている状況です(※3)。
このように、日本国内におけるサイバー攻撃が増加するなか、特に顕著となっている被害は、企業や公的機関を狙ったランサムウェア攻撃です。警察庁によって発表された2023年時点のランサムウェア被害の報告によると、都道府県警察から警察庁に報告されたランサムウェア被害は197件で、被害に遭ったのは大企業が71件、中小企業は102件にのぼりました。また、調査・復旧費用に関する118件の回答のうち、1,000万円以上の費用が発生したと回答した数は44件あり、全体の37%を占める結果です(※4)。
今後はランサムウェア被害だけでなく、DDoS攻撃や不正アクセスといった他のサイバー攻撃もますます増加することが懸念されています。
セキュリティ対策の重要性を広める活動を行っている独立行政法人 情報処理推進機構(IPA)でも、今後影響が大きいとされる脅威を次のとおり発表しています。
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
引用:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
IT技術は便利な半面、予測が難しい事態が起こる可能性も高いため、あらゆるセキュリティリスクへの対策が各企業の急務となっています。
(※3)出典:インシデント損害額調査レポート|JNSA
(※4)出典:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警視庁
サイバー攻撃による実際の被害例
これまでサイバー攻撃の概要や種類、被害動向について解説してきました。ここでは、実際に発生した被害の中でも、特に社会への影響が大きかった3つの事例をご紹介します。
事例1:国立研究開発法人で起きた事例
2022年1月、国立がん研究センター東病院で、テレワーク中の職員がウイルスへの感染を伝える偽の警告画面に従ったことで、使用していた端末が第三者に乗っ取られるという事案が発生しました(※5)。この端末は約30分間にわたり乗っ取られ、その間に臨床研究中の被験者データという非常に機微な個人情報が閲覧された可能性が報告されています。
端末を使用していた職員は、事案発生後に金銭の要求を受けたことで異変に気づき、インターネット接続を遮断しました。 その後、専門機関の調査により、データファイルの転送や流出、不正使用の事実は確認されず事案は収束しています。
この事例では、事案発生後に職員が適切な行動をとったことで、さらなる被害を防ぐことができました。しかし、もし対応が遅れていたら、甚大な個人情報漏えいにつながっていた可能性があります。
(※5)出典:個人情報(臨床研究情報)の流出の可能性に関するおわび | 国立がん研究センター 東病院
事例2:日本政府が海外サーバーから攻撃を受けた事例
2022年9月、デジタル庁が運用・管理する事業者向け共通認証システムのメール中継サーバーが、海外から不正アクセスを受ける事案が発生しました(※6)。不正通信は事象発生後すぐに遮断され、さらなる被害拡大は防がれましたが、政府ドメインから約13,000件の迷惑メールが送信されています。
この事象による個人情報の漏えいは確認されていませんが、デジタル庁ではこの事案を契機に、被害を未然に防ぐための取り組み強化が実施されました。
(※6)出典:G ビズ ID が管理するメール中継サーバーに対する不正アクセスによる迷惑メール送信について|デジタル庁
事例3:日本政府機関がサイバー攻撃を受け個人情報が漏えいした事例
2023年8月、内閣サイバーセキュリティセンター(NISC)のメールサーバーがサイバー攻撃を受け、約5,000人分の個人情報を含むメールデータが外部に流出した可能性があると発表されました(※7)。この攻撃は、NISCが使用していた電子メール関連システムの脆弱性が原因とされており、同様の事案が国外でも確認されています。事案発生後、該当システムの運用が停止され、機器の交換や内部監視の強化などの対策が実施されました。流出した個人情報の詳細はまだ不明であり、調査は今も続いています。
このように、サイバー攻撃の被害は一般企業だけでなく、国立病院や政府機関などでも発生しており、セキュリティ対策の強化が日本国内でも急務であることは明らかです。
(※7)出典:内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について|内閣サイバーセキュリティセンター
サイバー攻撃への対策
誰もがサイバー攻撃の標的となり得る状況において、被害を未然に防ぐためにはどのような対策が必要でしょうか。ここでは、サイバー攻撃に備えるための対策を紹介します。事前に適切な対策を講じることで、大切な情報資産を守ることができますので、ぜひ参考にしてみてください。
脆弱性診断による情報セキュリティリスクの把握
サイバー攻撃に対抗するためには、まず企業が直面している情報セキュリティリスクを正確に把握することが不可欠です。特に、専任のセキュリティ担当者が不在の企業においては一層重要になります。
脆弱性診断は、システムやネットワークに存在するセキュリティの弱点を特定し、これらの脆弱性が悪用される前に対策を講じるためのセキュリティ診断です。診断は通常、セキュリティ専門の企業にて行われます。サイバー攻撃の潜在的なリスクを評価し、診断結果に基づいて具体的な対策を提示されるため、セキュリティ対策の第一歩となります。
サイファー・テックでは、経済産業省が策定した「情報セキュリティサービス基準」に適合した脆弱性診断サービスを提供しています。これにより、企業や団体は自社のセキュリティ状況を客観的に評価し、潜在的なリスクを把握できます。また、セキュリティ意識向上のためのトレーニングサービスも提供しており、従業員全体のセキュリティ意識を高めることが可能です。
マルウェア対策ソフトの導入
サイバー攻撃のなかでも特に被害の多いマルウェア(悪意のあるソフトウェア)対策には、専用ソフトの導入が効果的です。マルウェア対策ソフトは、コンピュータやスマートフォンなどの情報端末を保護し、さまざまなマルウェアから守るためのツールです。プログラムやファイルを監視し疑わしい挙動やファイルを即座に検出する「リアルタイムスキャン」や、偽のWebサイトやメールを検出し個人情報の詐取から守る「フィッシング対策」、マルウェアの情報を常に更新し最新の脅威に対応する「定義ファイルの自動更新」などの機能を有しています。
特に企業は個人に比べてセキュリティリスクが高いため、上記のような機能に加えて以下のような高度な機能を備えたマルウェア対策ソフトの導入が推奨されます。
- ネットワーク保護:ネットワーク全体を監視し、外部からの攻撃や不正アクセスを防ぐ
- 脅威インテリジェンス:最新の脅威情報をリアルタイムで取得し、常に進化する攻撃手法に対応
- 自動応答機能:発見された脅威に対して自動応答し、被害を最小限に抑える
など
マルウェア対策ソフトの導入は、サイバー攻撃への第一線の防御となります。信頼性の高いソフトウェアを選び、定期的な更新とスキャンを行うことで、セキュリティリスクを大幅に軽減させることが可能です。
ソフトウェアアップデートの確実な実施
業務やプライベートで使用するソフトウェアプログラムには、潜在的な脆弱性が存在する場合があります。これらの脆弱性は、新たに発見されるたびにアップデートを通じて修正されますが、ユーザーがソフトウェアのアップデートを怠ると、大きなセキュリティリスクが生じる可能性があります。
また、このリスクはパソコンだけでなく、ルーターなどの周辺機器にも当てはまります。周辺機器のファームウェアも、脆弱性が発見されるとアップデートが提供されるため、定期的に更新することが重要です。
常にソフトウェアを最新の状態に保つことで、脆弱性を潰し、サイバーセキュリティを向上させることができるのです。
日々の業務の中で幾度となくアップデートの知らせが届くため、更新を後回しにしてしまうことも多いかもしれませんが、非常に重要なセキュリティ対策です。ぜひ意識してみてください。
メールセキュリティの強化
サイバー攻撃の多くは電子メールを通じて始まります。
無差別に送信するものから、特定のターゲットを狙ったものまで、攻撃者はさまざまな手法を用います。これには、ターゲットの関係者を騙ったりシステムを乗っ取って送信したりする極めて巧妙な攻撃も含まれます。
メールセキュリティを強化するためには、専用の対策ソフトやサービスを活用することが効果的です。たとえば、受信前にサーバー上で不正プログラムを検知する機能や、通信の暗号化による盗聴の防止、メールを直接端末に受信せずにリモート環境で閲覧するサービスなどがあります。これらの対策は、メールを通じた攻撃から情報資産を守るために有効です。これらの対策ソフトやサービスを積極的に取り入れ、サイバー攻撃からの保護を強化しましょう。
ファイアウォールによるネットワークセキュリティ強化
企業や団体の社内ネットワークを標的にした不正アクセスの防止には、ファイアウォールが非常に有効です。ファイアウォールは、ネットワークトラフィックを監視し、許可されていない通信をブロックすることで、外部からの攻撃や不正アクセスを防ぎます。
ファイアウォールは、すでに多くの企業で導入されていますが、近年ではさらに進化した機能を持つ製品が登場しています。
たとえば、WAF(ウェブアプリケーションファイアウォール)は、DDoS攻撃などのネットワーク攻撃に対しても対応できる製品です。WAFは、ウェブアプリケーションへの不正アクセスを防ぎ、攻撃から守ることができます。また、一般的なファイアウォールと組み合わせて使用することで、より強固なネットワークセキュリティを実現できます。
ファイアウォールの導入にあたっては、自社のセキュリティニーズをしっかりと把握し、適切な製品を選定することが重要です。さらに、セキュリティ対策は一度設定したら終わりではなく、定期的に見直しと更新を行うことで、常に最新の脅威に対応することが求められます。
セキュリティ教育の徹底
これまでさまざまなセキュリティ対策を紹介してきましたが、最も重要なサイバー攻撃対策は各自のセキュリティ意識の向上です。対策ソフトでシステムの脆弱性を解消しても、使用する従業員がルールを守り、適切にシステムを利用しなければ、被害を完全に防ぐことはできません。従業員全員がサイバー攻撃のリスクを正しく理解し対応できることが、全体的なセキュリティ体制を強化するためには重要です。
セキュリティ意識を向上させるには社内教育が効果的です。定期的なセキュリティトレーニングや研修を実施し、最新の脅威情報や対策方法を共有することで、従業員全員のセキュリティ意識を高めることができるでしょう。
サイファー・テックでは、セキュリティ意識向上トレーニングをはじめとするさまざまなサイバーセキュリティ演習プログラムを提供しています。これからサイバーセキュリティ担当になる方や全社的なセキュリティ意識向上を検討している企業様におすすめです。
サイバー攻撃を受けても情報を守れる対策を!
サイバー攻撃へのさまざまなセキュリティ対策を講じても、情報漏えいの可能性を完全に排除することはなかなか難しいのが現状です。情報が外部に流出してしまった場合に備えて、セキュリティ対策とは別にDRM(デジタル著作権管理)をあわせて導入することをおすすめします。
DRMは、デジタルコンテンツの使用や配布に関する制御を行う技術で、主に電子書籍や音楽・映像などのメディアファイル、ソフトウェアなどの不正利用防止に用いられます。このDRMを機密情報に適用することで、万が一サイバー攻撃などを受けて情報が流出してしまっても、権限を持たない者がその情報を利用することは困難になります。
また、DRMの種類によってはコンテンツの使用履歴を追跡する機能を備えたものもあるため、不正アクセスや内部の違反行為を早期に発見し対応することが可能です。
重要な情報資産を多く保持する企業の場合、このように二次対策を施しておくと、情報漏えいのリスクをより軽減させることが可能です。
今後、デジタル化がさらに進む現代で、企業にはしっかりとした情報管理が必要です。
サイファー・テックではセキュリティ対策サービスのほかに、DRM事業も行っています。情報資産の不正利用を防ぐ目的にあわせたDRMサービスを展開しています。
また、DRMの詳細については別の記事でも紹介しています。
基礎的な概念やメリット、機能について興味がある方はこちらもあわせてご覧ください。
情報セキュリティリスクのチェックが重要!
近年、サイバー攻撃の被害が増加しており、企業にとって深刻なリスクとなっています。サイバー攻撃による損失は、単なる情報資産の喪失にとどまらず、企業の信頼低下や取引先との関係の解消といった事業の存続にも大きな影響を及ぼす可能性があります。
大切な資産や信頼、顧客を守るために、本記事でご紹介した対策方法をぜひ実践してみてください。セキュリティ対策は専門的な知識とリソースを必要とする場合が多いため、セキュリティ対策の専門企業への相談もおすすめです。
サイファー・テックでは、脆弱性診断、DRMソリューションなどのセキュリティ対策サービスや企業のセキュリティ意識向上を促す演習プログラムを提供しています。