企業がサイバー攻撃の被害に遭うケースが後を絶ちません。
ニュースで取り上げられるのは大企業の例ばかりであるものの、パソコンやスマートフォンなどインターネットに接続される機器を使う以上、どの企業であっても被害に遭う可能性はあります。
では、サイバー攻撃には主にどのような種類があるのでしょうか?
また、サイバー攻撃に備えるため、企業はどのような対策を講じればよいのでしょうか?
今回は、企業が被害に遭った近年のサイバー攻撃を紹介するとともに、サイバー攻撃の概要や対策について弁護士が解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
サイバー攻撃とは
サイバー攻撃とは、ネットワークを通じて行われる攻撃です。
サーバーやパソコン、スマートフォンなどの情報端末に攻撃を仕掛け、データの窃取や改ざん、システムの破壊などを行います。
サイバー攻撃は無差別に仕掛けられることもある一方で、ある企業などに狙いを定めてなされることもあります。
サイバー攻撃の目的は、企業のイメージダウンや機密情報の窃取を目論んだ産業スパイ行為さまざまですが、データを「人質」にとったいわゆる「身代金」目的であることも少なくありません。
しかし、要求された金額を支払ったからといってシステムが元通りとなる保証はなく、企業は難しい判断を迫られることとなります。
サイバー攻撃のリスクは、どの企業にも無縁とはいえません。
被害に遭わないために、そして万が一サイバー攻撃に遭った場合の影響を最小限に抑えるために、日頃から対策を講じておくことをおすすめします。
サイバー攻撃の主な種類
サイバー攻撃は日々新たな手法が誕生し、これを防御するセキュリティ対策ソフトとのいたちごっこでもあります。
しかし、基本的な類型を知っておくことは、防衛策の検討に役立つでしょう。
そこでここでは、主なサイバー攻撃を9つ紹介します。
ランサムウェア
ランサムウェアとは、ウイルスに感染した端末のデータを不正に暗号化し、暗号解除と引き換えに身代金を要求する攻撃手法です。
窃取したデータを公開すると脅すケースもあります。
企業に仕掛けられることが多く、身代金を支払ってしまう企業も少なくないようですが、身代金を支払ったからと言って暗号が解除される保証はありません。
ランサムウェアは、身代金を意味する「ランサム(Ransom)」と、次で解説するマルウェアを合わせたことばです。
マルウェア攻撃
マルウェアは、「悪意ある(Malicious)」と「ソフトウェア(Software)」とを合わせたことばであり、「悪意のあるソフトウェア」を意味します。
システムやネットワークに害をもたらし、悪意のある目的を果たすために作られたソフトウェアの総称です。
マルウェアにはさまざまな種類があり、先ほど紹介したランサムウェアのほか、次のものなどが存在します。
- ウイルス:ファイルを宿主として感染し、既存プログラムの一部を不正に改ざんして拡散するマルウェア
- ワーム:ネットワークを通じて拡散するマルウェア
- トロイの木馬:有益なプログラムを装ってコンピューターに侵入し不正な行為をするマルウェア
- スパイウェア:端末内にある機密情報などを収集し、外部へと送信するマルウェア
マルウェアはメールとともに送信されることがあるほか、有益に見えるアプリなどに埋め込みダウンロードによって感染する場合などがあります。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、バッファの処理能力を超える大量のデータなどを送り付け、バッファの許容量を超えて溢れさせる(オーバーフロー)ことで、プログラムを誤作動させるサイバー攻撃です。
この攻撃を受けるとシステムが停止するおそれがあるほか、管理者権限が盗まれたり、DDoS攻撃など他のサイバー攻撃の踏み台にされたりするおそれが生じます。
パスワードリスト攻撃
パスワードリスト攻撃とは、攻撃者がダークウェブ上など何らかの方法で入手したIDやパスワードを使い、不正ログインをするサイバー攻撃です。
不正ログインをされると機密情報を盗み見られたり、不正送金などにより金銭的な被害が生じたりするおそれがあります。
標的型攻撃
標的型攻撃とは、特定の企業などに狙いを定めて行われるサイバー攻撃です。
多くのサイバー攻撃は無差別に行われるため、不正なメールなどが届いても内容が不自然であり、開かないことが多いでしょう。
一方、標的型攻撃の場合はターゲットの情報があらかじめ調べられており、騙される可能性の高い内容のメールが送信されます。
このメールの添付ファイルを開くと、マルウェアに感染します。
サプライチェーン攻撃
サプライチェーンとは、部品や原材料の調達から製造した製品の出荷や販売までの一連の企業のつながりを指します。
サプライチェーン攻撃は、サプライチェーンの中からセキュリティが比較的脆弱な企業を選定して攻撃を仕掛け、これを拠点として最終的に標的とする企業へ攻撃を仕掛けるサイバー攻撃の手法です。
フィッシング詐欺
フィッシング詐欺とは、送信者を偽った電子メールや本物に酷似した偽サイトなどを悪用し、これを信じて入力された個人情報を盗み出すサイバー攻撃です。
金融機関から送信されたように見せかけた偽のメールでログインを促して偽のサイトに誘導し、ここに入力された口座番号などが悪用されるケースが想定されます。
また、Amazonなどに見せかけた偽の通販サイトに、クレジットカード番号などを入力させて情報を窃取するケースもあります。
DDoS攻撃
DDoS(Distributed Denial of Service)攻撃とは、多数の端末からWebサイトに対して大量の情報を送りつけて負荷をかけ、サーバーの機能を停止させるサイバー攻撃です。
マルウェアなどに感染した他のパソコンなどを乗っ取り、一斉に攻撃が仕掛けられます。
ブルートフォース攻撃
ブルートフォース攻撃とは「総当たり攻撃」とも呼ばれ、想定されるすべてのパスワードのパターンを「00001」、「00002」などと総当たりで入力し、不正ログインを試みるサイバー攻撃です。
想定されるパスワードを1つずつ人の手で入力することは現実的ではない一方で、BOTの活用によってブルートフォース攻撃が行われるリスクが高まっています。
企業がサイバー攻撃の被害に遭った場合のリスク
企業がサイバー攻撃の被害に遭った場合、どのようなリスクが生じるのでしょうか?
ここでは、生じ得る一般的なリスクを4つ紹介します。
機密情報が漏洩する
1つ目は、機密情報の漏洩です。
技術上の機密情報漏洩のほか、顧客情報漏洩のリスクもあります。
金銭的な負担が生じる
2つ目は、金銭的な負担の発生です。
システムの復旧にコストが発生するほか、顧客情報が漏洩した場合は必要に応じて個々の顧客に通知するコストなども発生します。
場合によっては、顧客や取引先への損害賠償が必要となる可能性もあります。
業務が停止する
3つ目は、業務の停止です。
サイバー攻撃の内容によっては業務の遂行に支障が生じ、復旧までの期間、業務が停止することがあります。
大規模なシステム障害が発生した場合は復旧までに相当の期間を要し、顧客や収益に膨大な影響が生じるおそれがあるでしょう。
信用が失墜する
4つ目は、信用の失墜です。
サイバー攻撃において、企業は被害者です。
しかし、顧客からは「自分の情報を守ってくれなかった」との見方をされることも多く、特に重要な情報を取り扱う企業の場合は、信頼が失墜するおそれがあります。
近年のサイバー攻撃の事例
企業が被害に遭ったサイバー攻撃の事例には、どのようなものがあるのでしょうか?
ここでは、近年のサイバー攻撃の事例を4つ紹介します。
出版大手の事例
出版大手の株式会社KADOKAWAが2024年6月にランサムウェア攻撃を受け、子会社の取引先や従業員などおよそ25万人分の個人情報が流出した事件です。※1
この件では、株式会社ドワンゴの取引先などの個人情報のほか、N高等学校などの在校生など一部の個人情報、従業員の情報や法務関連をはじめとした社内文書などが流出しました。
また、流出した情報の一部が匿名掲示板やSNSなどで公開された形跡もあり、2024年8月現在引き続き対応がなされています。
自動車メーカーの事例
トヨタ自動車株式会社創業時からの取引先でありサプライチェーンを構成する小島プレス工業株式会社に、ランサムウェア攻撃が仕掛けられた事件です。※2
2022年2月、小島プレス工業のサーバーにランサムウェアが侵入し、システムが停止しました。
この件では、システムを再稼働した際に感染が再び広がるおそれがあることが懸念され、1日に留まったものの、トヨタ自動車の国内すべての工場が一時停止する事態となりました。
後に、ウイルスの侵入口が小島プレス工業の子会社の通信用機器にあったことが判明しています。
たった1社の一つの機器の脆弱性から多大な影響が生じた点で、サイバー攻撃において知っておくべき事例です。
家電量販店の事例
2022年4月、家電量販店を営む株式会社エディオンのサーバーに不正アクセスが行われ、サーバー内の情報が流出した事例です。※3
この件では、グループ会社のサーバーで管理していた7万件以上の顧客情報が不正アクセスにより消去され、流出の可能性があるとされました。
転職情報サイトの事例
総合転職情報サイトである「エン転職」に対して外部からの不正ログインがなされた事例です。※4
この件では、パスワードリスト攻撃によって不正ログインがなされ、登録者のうち約25万人分のWeb履歴書にアクセスされた可能性が生じました。
企業が講じるべきサイバー攻撃対策
サイバー攻撃は、今やどの企業にとっても他人事ではありません。
自社が被害に遭う可能性があるほか、自社のシステムに脆弱性があればそれを踏み台として、取引先にまで被害が及ぶおそれがあります。
では、企業はサイバー攻撃について、どのような対策を講じればよいのでしょうか?
最後に、サイバー攻撃への主な対策を4つ紹介します。
セキュリティの強化
1つ目は、システムのセキュリティの強化です。
具体的には、セキュリティソフトを常に最新情報に保つことです。
ほかにも、Webブラウザを最新情報に保つことや、メールソフトで迷惑メール受信防止機能を利用することなども有効です。
機密情報にアクセスできる従業員を制限することも一つの手でしょう。
従業員教育の実施・徹底
2つ目は、従業員教育の実施や徹底です。
たとえば、怪しい添付ファイルを開かないことや業務用のパソコンで業務に関係のないウェブサイトを開かないこと、業務用のパソコンを不審なWi-Fiに接続しないこと、パスワードを定期的に更新することなどが検討できます。
併せて、万が一サイバー攻撃に遭った場合の初動についても、研修によって周知しておくべきでしょう。
サイバー攻撃は巧妙化しており、日々新たな手口が誕生しています。
そのため、一度研修を実施して終了とするのではなく、定期的に研修をするなど情報のアップデートが必要です。
物理的なセキュリティ体制の構築
3つ目は、物理的なセキュリティ体制の構築です。
たとえば、入退室管理の徹底やUSBメモリの持ち込み禁止、社内PCの持ち出し禁止などがこれに該当します。
社内規程の整備
4つ目は、社内規程の整備です。
従業員に対して研修をするだけではなく、特に遵守すべき事項は規程にまとめて周知するのがおすすめです。
また、特に避けるべき行為については、違反時の懲戒処分について定めることも検討するとよいでしょう。
併せて、サイバー攻撃が発生した場合の対応マニュアルも作成しておくことをおすすめします。
マニュアルがあることで万が一の際に落ち着いた対応がしやすくなり、不用意な行為で被害を拡げてしまう事態を避けやすくなります。
サイバー攻撃に対応するための規程策定でお困りの際は、弁護士へご相談ください。
まとめ
サイバー攻撃の概要や種類を紹介するとともに、企業が講じるべき対策についても解説しました。
サイバー攻撃の被害に遭うケースは多く、もはやどの企業にとっても他人事ではありません。
不用意な行為でランサムウェアなどに感染する事態を避けるため、社内規程を整備したうえで、研修などで遵守事項を周知しましょう。
万が一サイバー攻撃の被害に遭った場合に備え、初期対応のマニュアルを策定しておくことをおすすめします。
Authense法律事務所では企業法務に特化したチームを設けており、サイバー攻撃の対策や対応についても豊富なサポート実績があります。
サイバー攻撃への対策を講じたい場合やサイバー攻撃に関する社内規程を策定したい場合、実際にサイバー攻撃に遭い補償などでお困りの場合は、Authense法律事務所までお気軽にご相談ください。
