業種や業務内容を問わず、インターネットの活用は社会に欠かせないものとなっています。そこで注意したいのが、サイバー攻撃の存在です。この記事では、国内におけるサイバー攻撃の被害事例や、サイバー攻撃への具体的な対策についてご紹介します。
サイバー攻撃とは、悪意を持った第三者がデータの不正入手や改ざんなどを仕掛けること
サイバー攻撃とは、コンピューターやネットワークを標的として実行される攻撃のことです。悪意を持った第三者が、組織や個人が保有するデータを不正入手したり、改ざんしたりすることを指します。
近年は国家機関の機密情報を狙ったものだけでなく、民間企業などの組織を狙ったサイバー攻撃が増えているのが実情です。組織の機密情報の窃取や、窃取したデータに対する身代金の要求、データの破壊、サービスの一時停止による売上被害などを意図した攻撃が増えています。
サイバー攻撃に遭ってしまった組織は、事業の継続が困難になったり、社会的信用に悪影響を及ぼしたりと、深刻な被害を受けます。サイバー攻撃の脅威には適切な対策を講じておくことが肝要です。
サイバー攻撃の検挙件数
警察庁の資料によると、サイバー攻撃の検挙件数は2022年の1年間で1万2,369件(※1)、2023年上半期は5,715件でした(※2)。サイバー攻撃の種類としては、国内で被害が拡大し続けているランサムウェアの感染被害のほか、サプライチェーン全体の事業活動や地域の医療提供体制に影響を及ぼす事例などが報告されています。また、暗号資産関連事業者を標的としたサイバー攻撃や、学術関係者等を標的としたサイバー攻撃も確認されています。それらの攻撃によって、インターネットバンキングでの不正送金被害が一時的に急増するなど、サイバー空間をめぐる脅威は極めて深刻な情勢であり、社会全体での警戒が必要です。
※1 警察庁 広報資料「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(2023年3月)
※2 警察庁 広報資料「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」 (2023年9月)
国内におけるサイバー攻撃の被害事例
国内におけるサイバー攻撃の被害には、具体的にどのような事例があるのでしょうか。攻撃の手口や被害の規模を中心に、16件の事例をご紹介します。
ソフトウェア会社:自社の顧客情報が流出・暗号化
ソフトウェア会社がランサムウェア攻撃に遭い、大量の顧客情報が流出した事例では、同社が保有する顧客情報が攻撃者によって暗号化され、データの復号と引き換えに金銭を要求されました。この事例の特徴としては、ランサムウェアが同社を標的として独自にカスタマイズされていたことが挙げられます。近年は、特定の企業を標的とする攻撃が増加しています。不特定多数の組織や個人を対象にランダムに攻撃を仕掛けるのではなく、ピンポイントで標的にされる可能性があります。
情報通信会社:運営するWebサイトへの不正アクセスで個人情報漏洩
情報通信会社が不正アクセスの被害に遭い、多くの個人情報が漏洩した事例では、システムの脆弱性を突いた攻撃により、アプリケーションの一部が改ざんされたことが原因とされています。漏洩した情報には顧客のクレジットカード情報も含まれていました。わずかな脆弱性であっても放置していれば、システム改ざんや大規模な情報漏洩につながる可能性があることを示している事例です。
人材会社:不正ログインによってWeb履歴書流出
人材会社のサーバーが不正アクセスの被害に遭い、サービス利用者のWeb履歴書が大量に流出していたことが判明しました。同社が調査したところ、同社のユーザーが別のサービスでも同じID・パスワードを使い回していることを悪用した「リスト型攻撃」の手口だった可能性が高いとされています。この事例の特徴としては、20年以上分にわたってユーザーの情報が窃取されていた点が挙げられます。サーバーに蓄積されているデータ量によっては、このように膨大な件数のデータが流出する可能性もあります。
保険会社:外部委託業者が不正アクセスを受けて顧客情報が流出
保険会社の外部委託業者が不正アクセスの被害を受け、特定の保険商品に加入したことのある顧客情報が流出しました。流出したデータには、顧客の名前や生年月日、メールアドレスなどが含まれています。この不正アクセス被害は、流出した情報の一部が別のWebサイトに掲載されていたことにより発覚しました。
この事例では、保険会社そのものではなく外部委託業者が不正アクセスの標的となっています。サイバー攻撃は、パートナー企業や関連会社、グループ会社なども、それぞれ対策を講じていく必要があります。
メーカー:不正アクセスによって、顧客情報流出
メーカー企業が不正アクセスの被害に遭い、顧客情報が流出した事例もあります。ECサイトに登録されていた顧客の情報が流出したと見られ、これらのデータには顧客の名前・住所・電話番号・メールアドレスなどが含まれていました。
同社では顧客情報の流出を受け、影響を受けた機器およびその可能性のある機器の利用を一時停止しています。また、各種アカウントのリセットや社内ネットワーク通信のセキュリティ強化策を講じるとともに、被害が確認されなかった機器に関しても不正アクセスの痕跡がないことを確認しました。このように、一度でも不正アクセスの被害に遭うと膨大な量の事後対応が必要になり、企業にとって大きな負担となりかねません。
情報通信会社:サイバー攻撃で顧客情報が流出
情報通信会社のWebサイトが不正アクセスの被害に遭い、多くの個人情報が漏洩した事例では、攻撃者が同社のWebサービスへのログイン用アカウントとパスワードを盗み、サービスの通信内容を改ざんすることで不正ログインに成功したものと見られます。
被害に巻き込まれたユーザーから直接的な被害の報告は受けていませんが、同社は安全上の懸念からサービスの一部停止を余儀なくされました。このように、ID・パスワードの組み合わせを何らかの方法で入手すれば、攻撃者は正規のユーザーを装ってログインできてしまいます。企業はマルウェアなどへの感染だけでなく、不正アクセスへの対策も講じていくことが大切です。
国内大学:サイバー攻撃によってメールアドレス流出
国内の大学がサイバー攻撃を受け、大量のメールアドレスが流出した事例は、過去のログを調査していた際、不正なデータベース操作が疑われる痕跡が発見されたことで発覚しました。調査した結果、攻撃者が複数回にわたってデータベースに攻撃を試みていたことがわかりました。
この事例の特徴は、システムメンテナンスの一環として実施していたログ調査にて、偶然にも不正なデータベース操作の痕跡が見つかった点です。つまり、ログ調査を実施していなければ、一連の攻撃や被害の実態が発覚しないままになっていた可能性があります。機器の不具合や不審な動作が見られなかったとしても、気づかないうちにサイバー攻撃の被害に遭っているかもしれません。
メーカー:不正アクセスを受け情報流出
メーカー企業が不正アクセスの被害に遭い、ECサイトの会員情報が流出しました。社内のサーバーに複数の異常が確認されたことを契機に調査を実施したところ、不正アクセスの被害が判明。後の調査によって、このサイバー攻撃はネットワーク機器の脆弱性を突いた攻撃だったことが明らかになっており、攻撃を受けたサーバーはデータを参照できなくなるなどの被害を受けました。
この事例の特徴としては、不正アクセスが発覚した原因が「サーバーの不具合」だったことが挙げられます。不正アクセスの被害を受けている期間も、同社はその事実に気づかないままでした。ネットワーク機器やソフトウェアは脆弱性の問題を随時解消できるように、アップデートを適用し、常に最新の状態を保つことが重要です。
マスコミ:不正アクセスで個人情報が流出
マスコミが不正アクセスの被害に遭い、個人情報が流出した事例もあります。事業の委託先企業が攻撃者の標的にされており、ある企画への応募者の個人情報が大量に流出した可能性があると同社は発表しました。流出した可能性のある個人情報は、応募者の名前・性別・住所・電話番号などです。
この事例の特徴は、マスコミ自体が標的にされたのではなく、事業を委託していた企業が狙われた点にあります。不正アクセスの被害に遭うのは自社だけでなく、外部委託先の事業者となる可能性もあることを示した事例です。
保険会社:自社サイトへの大量の不正ログイン
保険会社のWebサイトが膨大な回数の不正ログイン被害に遭った事例では、数日間にわたり大量の不正なログインが確認されています。なお、攻撃者は他社サービスから漏洩したパスワードを利用したと見られていますが、保険会社は具体的な手口については明らかにしていません。しかし、数件といったレベルではなく、多くのユーザー情報を不正に入手した形跡があることから、「リスト型攻撃」の可能性があると考えられています。自社サービスがサイバー攻撃への対策を講じていたとしても、他社サービスから漏洩したパスワードによって不正ログインが実行されてしまうことを示唆した事例です。
マーケティング会社:ランサムウェア感染で個人情報のデータが暗号化
マーケティング会社がランサムウェア攻撃の標的となり、大量の機密情報が暗号化された事例もあります。機密情報を管理していたサーバーとPCがランサムウェアに感染し、データが不正に暗号化された上、身代金を要求する脅迫メールも届いています。同社がランサムウェアに感染した当初のきっかけは、不正アクセスでした。わずかな件数の不正アクセスでも、企業全体の事業運営に深く関わる重要なデータを失う事態に発展しかねないことを伝える事例といえます。
小売業:「リスト型攻撃」で顧客情報流出
小売業を営む企業が「リスト型攻撃」を受け、ECサイトを利用している大量の顧客情報が流出した事例では、顧客が保有していたポイントの不正利用による注文も確認されています。
この事例は、同社とは関わりのない外部サービスから顧客のパスワードが流出しており、大量のパスワードが不正利用された形跡があることから「リスト型攻撃」の手口と見られています。大量の顧客情報の流出に加えて、ポイントの不正利用により企業や顧客に与えた被害は甚大です。使い回されたパスワード情報は不正利用され、大規模な情報流出へとつながる可能性があることがわかります。
病院:個人情報のデータが暗号化され、業務停止に加えて身代金の脅迫被害
病院のシステムがランサムウェアに感染し、膨大な量の個人情報が暗号化された事例もあります。保有していた患者情報が暗号化されて使用できない状態になったことに加え、病院内のプリンターが不正に操作されて脅迫文を出力するといった被害も発生しました。
この攻撃によって、病院側は新規患者の受け入れを一時ほぼ全面的に停止せざるを得ない事態に陥っています。脅迫文の内容は、暗号化されたデータの復号と引き換えに身代金を要求するものでしたが、病院側は支払いを拒否してデータ復旧を試みました。その後、病院の運営は再開できたものの、正常な状態に戻るまでに多くの時間を費やしています。
研究開発法人:なりすましで開発機関の仮想専用線(VPN)に不正アクセス、個人情報流出
研究開発法人が不正アクセスの被害に遭い、個人情報の流出へと発展した事例もあります。開発機関にて不審な通信を検知したため調査したところ、仮想専用線(VPN)経由で同法人の職員になりすましている者がいることが発覚しました。この攻撃により、名前・メールアドレス・パスワードを含む大量の職員情報が流出しています。
当事例のように、攻撃者が実在する人物になりすましていると、不正アクセスの発覚までに時間を要することがあります。テレワークを導入している組織も増えていることから、仮想専用線(VPN)であっても不正アクセスの被害に遭うということを想定しておくことが大切です。
建設会社:ランサムウェアで窃取した重要情報の公開と引き換えに金銭を要求
建設会社がランサムウェア攻撃の被害に遭い、多数の重要情報が暗号化されました。ランサムウェア集団は窃取したデータファイルをダークウェブに公開しており、公開の取りやめと引き換えに金銭を要求しています。
この攻撃は、建設会社の海外グループ企業がランサムウェア集団の標的にされたことがきっかけです。海外に拠点を構える企業は、国内外を問わず、グループ企業や関連企業もサイバー攻撃対策を徹底する必要があることを示している事例です。
サイバー攻撃による情報漏洩への備え
ここまで見てきたとおり、サイバー攻撃には多種多様な手口があります。また、一度被害に遭うと甚大な被害が発生する恐れがあるため、サイバー攻撃による情報漏洩を想定しておく必要があります。続いて、具体的に必要とされる情報漏洩への備えについて解説します。
情報漏洩時の対応フローを策定しておく
情報漏洩対策は、サイバー攻撃を防ぐための対策を講じるだけでなく、情報漏洩が発生した場合のことも想定した対応フローを策定しておくことが大切です。独立行政法人情報処理推進機構(IPA)は、情報漏洩が発生した際に必要な対応として下記の例を挙げています。
情報漏洩時の対応フロー例
対応すべきこと | 対応例 |
---|---|
1. 発見・報告 | ・責任者に報告し、すみやかに情報漏洩対策のための体制をとる ・不用意な操作によって証拠を消してしまわないようにする ・外部から通報があった場合には、相手の連絡先などを必ず控える |
2. 初動対応 | ・対策本部を設置して対応方針を決定する ・外部からアクセスできる状態であれば遮断する措置をとる ・情報の隔離、ネットワークの遮断、サービス停止などの対策を講じる |
3. 調査 | ・5W1H(いつ・どこで・だれが・何を・なぜ・どのように)の観点で調査し、情報を整理する ・事実関係を裏づける情報や証拠を確保する |
4. 通知・報告・公表等 | ・漏洩した情報の当事者へ通知する ・Webサイトやマスコミを通じた公表を検討する ・不当な金銭の要求など、犯罪性があれば警察へ届け出る ・個別通知が困難な場合や、被害の影響が広がる懸念がある場合は情報公開を行う |
5. 抑制措置と復旧 | ・専用の相談窓口を設置し、被害発生時に素早く察知・対応できるようにする ・再発防止に向けた具体的な取り組みを進める ・停止したサービスやアカウントなどを復旧する |
6. 事後対応 | ・抜本的な再発防止策を検討・実行する ・調査報告書をまとめ、被害者への損害補償について必要な措置を講じる ・内部職員の責任などについて処分手続きを行う |
参考:独立行政法人情報処理推進機構「情報漏えい発生時の対策ポイント集」(2012月9月)
どの企業も標的になり得るサイバー攻撃の脅威に適切な備えを
サイバー攻撃は、どの組織にも起こり得る脅威です。いつどのような形で自社が被害に遭うかは予測できないことから、できるだけ早期に対策を講じておくことが大切です。
クライアント運用管理ソフトウェア「SKYSEA Client View」は、悪意のある攻撃への対処として、多層防御による情報セキュリティ対策の実現をサポートします。セキュリティ機能をまとめて管理できるUTM(Unified Threat Management:統合脅威管理)や、次世代ファイアウォールと連携することで不審な通信を振る舞い検知し、管理者に素早くアラートで通知することも可能です。さらに、エンドポイントを常時監視し、不審な挙動を検知する他社のセキュリティソフトであるEDR(Endpoint Detection and Response)製品とも連携。ウイルスが検知されたPCをネットワークから自動遮断し、すみやかな調査の実施を支援する機能なども搭載しています。
また、一般社団法人IT資産管理評価認定協会(SAMAC)が提供する、国内外で一般公開されているソフトウェアに関する情報を収録したマスターデータである「SAMACソフトウェア辞書」と、脆弱性対策情報ポータルサイト「JVN」の脆弱性情報を製品識別子CPEでひもづけて脆弱性管理の効率化を支援する仕組みもご用意。さまざまなサイバー攻撃の標的となる脆弱性への対策をサポートし、ソフトウェアを常に最新の状態に保ちます。サイバー攻撃への備えを強化したい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。なお、情報資産を扱う組織の一員には習得すべきセキュリティリテラシーがあります。Sky株式会社は一般職員向けと管理者向け、それぞれを対象とした情報セキュリティ研修サービスを提供しています。
お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから