-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
サイバー攻撃の手口は巧妙化しており、被害件数が年々増加しています。規模にかかわらず、企業は攻撃対象になる可能性があります。被害に遭うリスクを少しでも減らすために、セキュリティ対策を強化しましょう。
本記事ではサイバー攻撃の概要や目的、企業へのリスク、対策方法について詳しく解説します。サイバー攻撃を未然に防ぎ、安全に運用を目指す企業の担当者の方はぜひ参考にしてください。
サイバー攻撃とその目的とは
サイバー攻撃とは、ネットワークを介してサーバやパソコンなどの情報端末を狙い、情報の窃取や改ざんをする行為です。近年はデジタル機器が普及し、インターネット上で作業や取引をする機会が増えたため、サイバー攻撃の被害に遭うリスクも増加しています。IT技術が進化したことでサイバー攻撃は複雑化・巧妙化しており、攻撃対象も拡大しています。
サイバー攻撃の目的は、金銭の要求・機密情報の窃取・企業のイメージダウン・政治的主張などさまざまです。目的を理解して攻撃対象となりそうな標的を予測しておくと、自社で実施すべきセキュリティ対策を効率的に実施できるでしょう。
サイバー攻撃の最近の動向
サイバー攻撃の最近の動向について、被害額や近年増加している脅威などを詳しく解説します。サイバー攻撃のトレンドは年々変化するため、特に被害が増加している脅威に注目してセキュリティ対策を検討しましょう。
サイバー攻撃による被害額
2023年6月にトレンドマイクロが実施した調査※1によると、過去3年間におけるサイバー攻撃の累計被害額は平均1億2,528万円でした。また、過去1度でもランサムウェアの被害に遭ったことのある組織の累計被害額は、平均1億7,689万円となっています。
また、米連邦捜査局(FBI)が発表した「Internet Crime Report 2022」※2によると、世界のサイバー攻撃による2022年の被害額は103億ドル(約1兆4,400億円)にも上り、2021年の69億ドル(約9,600億円)を大きく上回りました。(1ドル=140円換算)
このように、日本でも世界でも、サイバー攻撃による被害額は増加し続けています。年々20~60%も増加するペースで被害額が伸びており、今後も止まりそうにありません。早急なセキュリティ対策の強化が求められます。
企業における情報セキュリティ10大脅威
IPAが発表した『情報セキュリティ10大脅威 2024[組織]』※3によると、2023年に発生した、企業を狙った脅威で最も多かったのは、ランサムウェアによる被害でした。
順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
---|---|---|---|
1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
また外部からの攻撃だけでなく、内部不正や不注意による情報漏えい被害が多いのも近年の特徴です。セキュリティ対策を強化するのはもちろんのこと、社内研修によって従業員にセキュリティ教育を行うことも重要になります。
近年増加しているサイバー攻撃
総務省の「令和5年版 情報通信白書」※4によると、2022年に観測したサイバー攻撃関連通信数は約5,226億パケットで、2015年(約632億パケット)と比較して8.3倍に増加しました。特に前年は2割を下回っていたIoT機器を狙った攻撃が、全体の約3割を占めるまでに増加しています。
また、警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」※5によると、クレジットカードの不正利用額は401億9,000万円と過去最多、インターネットバンキングの不正送金被害も発生件数・被害額ともに過去最多を更新しました。また、ランサムウェアの被害件数が197件報告されており、中でもノーウェアランサム(データを窃取して対価を要求する手口)の被害が30件も確認されています。
行政機関などにも情報窃取を目的とした不正アクセスが確認されていることからも、今後ますます企業情報を狙ったサイバー攻撃が増えてくると予想されます。
米連邦捜査局(FBI)が発表した「Internet Crime Report 2022」※2によると、世界で増加しているサイバー攻撃で2022年に首位だったのはフィッシングで、被害額が最も多かったのは投資詐欺でした。近年、暗号資産・仮想通貨の普及もあり、被害額が急増しています。日本でも今後投資詐欺の被害が増加する可能性があるでしょう。
サイバー攻撃による企業へのリスク
サイバー攻撃を受けることで生じる企業へのリスクについて解説します。サイバー攻撃の被害に遭うと経営危機を招く可能性があるため、リスクを知って適切な対策を検討しましょう。
情報が盗まれる
セキュリティ対策が不十分でサイバー攻撃を受ければ、企業の機密情報や個人情報が盗まれるリスクがあります。盗まれた情報は、非合法の情報が取引される「ダークウェブ」で売買されたり、意図しない形で悪用されたりするでしょう。
例えば、クレジットカード情報が漏えいすれば不正利用の被害が発生します。企業独自の機密情報が競合他社に漏れれば、商品・サービスの提供に悪影響が出るでしょう。情報が盗まれることで企業への信頼が損なわれてしまい、結果として事業の継続が困難になるリスクもあります。
金銭的損失が発生する
サイバー攻撃によってサーバやシステムが稼働しなくなると、その間サービスが停止し金銭的損失が発生します。さらにサイバー攻撃の原因調査やサービスの復旧、再発防止のためのセキュリティ対策にもコストがかかります。
また、個人情報が漏えいした場合は、損害賠償を請求される可能性もあります。被害の規模が大きくなれば負担額も大きくなるため、最悪の場合、経営が破綻するリスクもあります。
企業のイメージダウンにつながる
情報漏えいが発生したりサービスが停止したりすると、取引先やサービスを利用しているユーザからの信頼が失われ、企業のイメージダウンにつながります。SNSで気軽に情報発信し拡散する現代では、企業のイメージダウンや風評被害によって、株価の下落などのリスクもあります。取引先が離れたりユーザが競合サービスに流出したりすれば、売り上げの減少につながるので、経営が傾く懸念もあります。
サイバー攻撃の主な種類
サイバー攻撃にはさまざまな種類がありますが、本章では代表的なサイバー攻撃を10個紹介します。いずれも被害件数が多く報告されているものです。しっかり対策して被害に遭うリスクを低減させましょう。
- 標的型攻撃
- ランサムウェア
- Emotet(エモテット)
- サプライチェーン攻撃
- フィッシング詐欺
- DoS攻撃/DDoS攻撃
- ゼロデイ攻撃
- SQLインジェクション
- クロスサイトスクリプティング
- ブルートフォースアタック
標的型攻撃
標的型攻撃とは、情報窃取や金銭を目的に特定の企業・組織を狙うサイバー攻撃です。業務上のやり取りを装い、マルウェア(悪意あるソフトウェア)を添付したメールを送付して感染させる手口が代表的です。
マルウェアへの感染は、情報が外部に流出したり、データが書き換えられたりする被害につながります。標的型攻撃では、綿密な計画が練られ日々新たな手口の攻撃が仕掛けられるため、セキュリティ対策や従業員の知識を常にアップデートさせることが重要です。
ランサムウェア
ランサムウェアとは、企業が保有するデータを暗号化・ロックし、復旧を条件に身代金を要求するサイバー攻撃です。近年特に被害が増えているマルウェアの一種で、身代金を支払わなければ情報を公開すると脅す「二重恐喝」が多くなっています。
警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」※5によると、令和5年におけるランサムウェアの感染経路は、仮想専用線(VPN)機器からの侵入が73件で全体の6割を占め、続いてリモートデスクトップからの侵入が21件で全体の約2割でした。
このように、テレワークに利用される機器・ツールを侵入経路とした被害が全体の8割を占めていることからも、社内で使用している機器やツールに脆弱性が潜んでいることの怖さが分かるでしょう。
Emotet(エモテット)
Emotet(エモテット)とは、攻撃者が不正なメールを送信することで感染が拡大している遠隔操作型のボットマルウェアです。もともとは銀行のトロイの木馬(バンキングトロイ)の一種として登場しましたが、時間とともにその機能が大幅に拡張され、多目的マルウェアとして進化しました。感染するとメールアカウントやパスワードが盗まれたり、感染した端末を踏み台として悪用されたりするリスクがあります。
メールの送信者が過去にやり取りしたことがある相手の場合や、「賞与について」といった社内からの一般的なメールタイトルだと、疑いなく開封してしまいがちです。ウイルス対策ソフトでは検知しにくく、他のマルウェアより感染しやすいのが特徴です。
サプライチェーン攻撃
サプライチェーンとは、商品の部品調達・製造・出荷・販売・消費までの一連のつながりを指します。サプライチェーン攻撃はこのつながりを悪用し、セキュリティが不十分な取引先や子会社を経由して大企業や公共機関を狙うサイバー攻撃です。
セキュリティ対策に力を入れていても、サプライチェーンを経由されると外部からの侵入を防げない恐れがあります。自社だけでなく、取引先や子会社のセキュリティ状況を把握して対応することが大切です。
フィッシング詐欺
フィッシング詐欺とは、金融機関やECサイトを称してメールを送信し、フィッシングサイト(偽のWebサイト)に誘導するサイバー攻撃です。フィッシングサイトでログインパスワードやクレジットカード番号などを入力させ、個人情報を騙し取ります。
企業の場合は自社のWebサイトがコピーされ、悪用されることがあります。顧客が被害に遭うリスクがあるため、自社のWebサイトの安全性を高める対策が必要です。
DoS攻撃/DDoS攻撃
DoS攻撃とは単一の攻撃元から、インターネットに接続された標的サーバに過剰なデータを送信し、システムを停止させることで、正規のユーザがサービスを利用できないようにする攻撃手法です。さらに、DoS攻撃の一形態として、複数の攻撃元の存在を前提とし、例外はあるものの基本的には多数のコンピュータを使って大量のデータを送信する手法を「DDoS(Distributed Denial of Service attack)攻撃」と呼びます。
DoS・DDoS攻撃の目的は競合サイトへの妨害や金銭目的の脅迫、コンテンツに対する抗議などです。攻撃を受けるとWebサイトにアクセスできなくなるため機会損失につながり、ユーザからの信用も低下します。
ゼロデイ攻撃
ゼロデイ攻撃とは、脆弱性が修正される前に攻撃を仕掛けるサイバー攻撃です。OSやソフトウェアの開発ベンダは脆弱性を発見次第、プログラムを修正しますが、パッチの配布までには多少の時間がかかります。攻撃者は脆弱性が修正されるまでのわずかな時間を突いてくるため、防ぎにくいのがゼロデイ攻撃の特徴です。
またサイバー攻撃を検知するセキュリティ対策ソフトを導入していても、未知の脆弱性を狙った攻撃は検知できないことがあります。
SQLインジェクション
SQLインジェクション攻撃とは、不正なSQLクエリをWebアプリケーションの入力フォームなどに注入し、データベースにアクセスして情報を盗んだり、データベースを改ざんしたりするセキュリティ攻撃の一種です。 SQLとはデータベースを操作するための命令文で、脆弱性のあるアプリケーションなどに不正なコードを注入することで個人情報を盗んだりWebサイトやデータベースなどの幅広いシステムを改ざんしたりします。
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)とは、脆弱性のあるWebサイトを悪用してわなを仕掛け、訪問したユーザを別のWebサイトに誘導するサイバー攻撃です。誘導先のWebサイトでログイン情報を盗まれたり、マルウェアに感染させられたりします。SNSや掲示板、ECサイトなど、ユーザの情報を入力するWebアプリケーションが攻撃対象となりやすい傾向にあります。
ブルートフォースアタック
ブルートフォースアタックとは、パスワードを解読するためにさまざまな文字列の組み合わせを総当たりで試すサイバー攻撃です。人の手で行うと膨大な時間がかかりますが、コンピュータを使用すれば自動でさまざまなパターンの文字列を試せるため、時間さえあればほぼ確実にパスワードを解析できます。
パスワードが単純だと解析されやすくなり、社内システムに侵入され改ざんや乗っ取りの被害に遭うリスクが高まります。
サイバー攻撃の有名な被害事例
サイバー攻撃の有名な被害事例を3つ紹介します。規模や業種にかかわらず多くの企業・公共機関がサイバー攻撃の被害に遭っています。被害の原因を知って自社のセキュリティ対策に役立てましょう。
医療機関へのランサムウェア攻撃
ある病院が、サーバに保存されていた数万人分の電子カルテを暗号化されるランサムウェアの被害に遭いました。感染は脆弱性が潜んだVPN機器の使用が原因でしたが、病院側はシステム保守を外部業者に委託しており、脆弱性を把握していませんでした。
ランサムウェアによって電子カルテが閲覧できなくなったため、病院は患者への聞き取りを実施しながら、カルテを手書きで再作成しました。新たなシステムの導入には数千万円かかり、カルテの再入力は医師や看護師の大きな負担となりました。
大手製造企業へのサプライチェーン攻撃
部品を仕入れているサプライチェーン企業がランサムウェア攻撃に遭ったことで、大手のあるメーカーは国内の全ての工場で生産を停止しました。この影響で大規模な生産停止が発生し、販売の機会を逃しました。
調査の結果、サプライチェーン企業の子会社が利用していたリモート接続機器に脆弱性があり、社内ネットワークに侵入されたことが判明しました。今回は工場の生産停止のみでしたが、可能性としては、サプライチェーンを構成する多数の企業が攻撃を受け、身代金を要求されるといった被害も考えられます。
国内マーケティング企業へのSQLインジェクション攻撃
国内マーケティング企業がSQLインジェクション攻撃を受け、メールアドレスやログインパスワードが10万件以上漏えいした可能性があると発表しました。クレジットカード情報は非保持でしたが、大規模な情報漏えいのセキュリティインシデントとなりました。
この企業は攻撃を受けたWebサイトの閉鎖、ログインパスワードの初期化、脆弱性管理ツール導入などの対策を実施しました。今回は2次被害が確認されませんでしたが、SQLインジェクション攻撃を受けるとデータを改ざん・削除されサービスが停止したり、情報漏えいにより損害賠償を負ったりするリスクがあります。
サイバー攻撃防止に有効なセキュリティ対策
サイバー攻撃を防止するには、組織全体でセキュリティ対策に取り組む必要があります。ここでは、有効なセキュリティ対策を6つ紹介します。自社で実施していない対策があれば、ぜひ取り入れましょう。
OSやソフトウェアを常に最新状態に保つ
OSやソフトウェアを常に最新状態に保つことで、脆弱性が潜む無防備な状態がなくなり、サイバー攻撃から身を守れる可能性が高くなります。
反対にOSやソフトウェアをアップデートせずに放置してしまうと、脆弱性を突かれて被害に遭うリスクが高まります。特に近年はゼロデイ攻撃の被害件数が増加しており、いつ被害に遭ってもおかしくない状況です。
ベンダは定期的に修正プログラムを提供しているため、従業員にも速やかなアップデートを促し、攻撃の隙を与えないようにしましょう。
安全性の高いパスワードを設定し使い回ししない
ブルートフォースアタックでパスワードを不正に解読されるリスクを低下させるには、安全性の高いパスワードを設定することが重要です。パスワードが流出して第三者に不正使用されると、情報漏えいやWebサイトの乗っ取りなどさまざまな被害が発生します。
短く単純な文字列だと解析されやすくなるため、以下のポイントを意識してパスワードを設定しましょう。
- アルファベット(大文字、小文字)、数字、記号を組み合わせる
- 10桁以上のパスワードにする
- 会社名や創立年など意味を持つ文字列にしない
ただし安全性の高いパスワードを設定しても、複数のサービスで使い回しをしてしまうと、流出のリスクが高まります。サービスごとにパスワードを設定し、適切に管理するようにしましょう。
認証方法を強化する
認証方法を強化するには、多要素認証を導入するのが有効です。多要素認証では知識情報・所持情報・生体情報の3要素のうち、2つ以上を組み合わせないとログインできないため、第三者が不正に侵入するのを防げます。
認証要素 | 例 |
---|---|
知識情報 |
|
所持情報 |
|
生体情報 |
|
「安全性の高いパスワードを設定する」「使い回ししない」こともセキュリティ対策として有効ですが、従業員全員にルールを順守させるには限界があります。多要素認証を導入すれば、管理するアカウントが増えても高いセキュリティレベルを維持できるでしょう。
セキュリティソフトを導入する
サイバー攻撃の被害を防止するには、セキュリティソフトを導入するのが有効です。代表的なセキュリティソフトには、以下の5つがあります。
セキュリティソフト | 概要 |
---|---|
ウイルス対策ソフト | ウイルスを検知し、ブロックする |
脆弱性診断ツール | Webサイトやアプリケーションに脆弱性がないか検証する |
ファイアウォール | ネットワークを狙った攻撃を防ぐ |
IPS/IDS | OS・ミドルウェアを狙った攻撃を防ぐ |
WAF | Webアプリケーションに潜む脆弱性を狙った攻撃を防ぐ |
セキュリティソフトはそれぞれ役割が異なるため、複数のセキュリティソフトを組み合わせて使うとセキュリティをより強化できるでしょう。
サプライチェーンセキュリティを強化する
サプライチェーン攻撃の件数が増加しているため、取引先やグループ会社のセキュリティにも気を配る必要があります。セキュリティ対策の実施状況やリスク評価を共有し、セキュリティポリシーを見直しましょう。
万が一サプライチェーン攻撃を受けたときのために、取引先とセキュリティに関する契約書を取り交わしておきましょう。事前に責任の所在を明確にしておくと、自社の被害を最小限に抑えられます。グループ会社に関しても、セキュリティの実施状況を共有して対策をサポートすることで、被害に遭うリスクを軽減できます。
従業員にセキュリティ教育を実施する
サイバー攻撃の被害に遭わないためには、各従業員のセキュリティ意識を高めるためのセキュリティ教育を実施することも重要です。
多くの企業で、不審なメールを開いたり業務に関係のないWebサイトにアクセスしたりして、マルウェアに感染する被害が相次いでいます。被害を防ぐにはセキュリティ教育を行い、「どのような経緯でサイバー攻撃の被害に遭うのか」「普段から気を付けるべきことは何か」などを従業員に理解してもらう必要があります。
セキュリティ教育は定期的に実施し、高いセキュリティ意識を持って業務に当たるよう従業員への指導を徹底しましょう。
セキュリティ対策を強化してサイバー攻撃を防ごう
本記事ではサイバー攻撃の概要や代表的な攻撃手法、セキュリティ強化に役立つ対策などについて解説しました。
サイバー攻撃は年々増加しており、被害に遭うと情報漏えい・金銭的損失・企業のイメージダウンなどのリスクがあります。被害を未然に防ぐには、サイバー攻撃の最近の傾向を注視して、自社に足りないセキュリティ対策の見直し・実行をすることが重要です。
サイバー攻撃のセキュリティ対策についてお悩みの場合は、専門家への相談をおすすめします。ラックは企業ニーズに合わせて調査・コンサルティング・ツールの導入・監視など多方面の運用をサポートします。サイバー攻撃への対策を検討している方は、ぜひお気軽にご相談ください。
参考情報
※1 過去3年間で56.8%がサイバー攻撃の被害を経験、3年間の累計被害額は平均1.3億円、 ランサムウェア被害経験企業では平均1.8億円 | トレンドマイクロ | トレンドマイクロ
※2 FEDERAL BUREAU OF INVESTIGATION(FBI)「Internet Crime Report 2022」
※3 情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
※5 警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR