サイバー攻撃をされたらどうなる？
よくある攻撃事例と対策を解説

自社で活用しているシステムのセキュリティを高めるには、どのようなサイバー攻撃があるのか、受けた場合にはどうなってしまうのかを知っておかなくてはなりません。サイバー攻撃の技術が日々進化し、新たな攻撃手法も次々と生まれているため、常に最新情報を入手し、対策することが重要です。今回は、サイバー攻撃の現状とよくあるサイバー攻撃の事例を見たうえで、未然に防ぐための対策をお伝えします。自社システムのセキュリティを高めるためにもぜひ、参考にしてください。

サイバー攻撃の現状

インターネットの普及やIT技術の進化により、これまで手作業で行っていた業務の自動化もしくはデジタル化が進み、人にかかる負担は大幅に軽減されています。しかし、業務のデジタル化が進むほどにサイバー攻撃の被害も増大し、場合によっては大きな被害に遭ってしまうケースも少なくありません。
情報処理推進機構（IPA）が、社会的に影響が大きかったと考えられるサイバー攻撃を選出した「情報セキュリティ10大脅威2022」。これによると、1位は「ランサムウェアによる被害」です。攻撃者がメールやWebサイトなどを使いランサムウェアに感染させ、端末のロックやデータ暗号化を行い、復旧と引き換えに金銭を要求します。
2位は「標的型攻撃による機密情報の窃取」です。企業や官公庁など特定の団体を狙う攻撃で、機密情報の窃取や業務妨害を目的に行います。
そして、3位は「サプライチェーンの弱点を悪用した攻撃」、4位は「テレワーク等のニューノーマルな働き方を狙った攻撃」です。3位と4位は、本命である組織の周辺や在宅社員などセキュリティ対策が手薄なところを狙い、それを足掛かりに本命の組織を狙うもので、強固なセキュリティ対策を施していても被害に遭う可能性があることを表しています。
このようにランサムウェアなど外部からの攻撃が多い現状を踏まえた対策を、企業は必ず行わなければなりません。そのためには、まずサイバー攻撃の事例や手法などを理解する必要があります。次章で詳しく解説いたします。

参照：情報セキュリティ10大脅威2022｜情報処理推進機構（IPA）

サイバー攻撃の事例・手法

サイバー攻撃に遭うとどのような被害を受けてしまうのでしょう。ここでは、実際にサイバー攻撃に遭い、被害を受けた事例と攻撃手法について解説します。

なお、ランサムウェアによる被害事例については、「ランサムウェアの感染経路とは？被害に遭わないために知っておきたい対策のポイント」をご覧ください。

クラウド上で発生した情報漏えいの被害事例

企業のクラウド活用が一般的になりつつあるなか、クラウド上での情報漏えいも増加しています。
2020年11月、日本のある電機メーカーが受けた被害です。攻撃者は中国の子会社を経由して日本の本社に不正アクセスし、社員のアカウント情報を窃取したあと、クラウド上のサービスに不正ログイン。約1万件に近い取引先や個人情報が流出してしまいました。
クラウド上のサービスに不正ログインできた要因は、外部からのアクセスに対する対策の甘さであり、クラウド活用時のセキュリティ対策の重要性が求められる事例と言えます。

標的型攻撃による被害事例

「情報セキュリティ10大脅威2022」でも2位と、被害の多い標的型攻撃の事例を紹介します。
2015年5月、ある団体がウイルス付きの偽装メールを開封したことから、団体内のネットワークを通じてウイルスが拡散。不審な通信が確認されたと連絡があってから1時間以内に、その端末を特定してLANケーブルの抜線をしました。しかしその後も約1ヶ月にわたって継続的に攻撃を受け、31台のパソコンに感染、少なくとも125万件の個人情報が流出したと公表しました。

サプライチェーンを対象とした攻撃の被害事例

サプライチェーンのセキュリティが脆弱（ぜいじゃく）な取引先や関連組織を標的とする攻撃による事例を紹介します。
2020年12月、攻撃者は、アメリカの企業が提供しているある製品のサプライチェーンに侵害し、悪意のあるコンポーネントを製品に忍ばせました。そして、その製品の導入企業が3万件を超えたところで一気に攻撃を仕掛け、1万8,000件に被害を発生させました。

内部不正による情報漏えいの被害事例

サイバー攻撃は外部からだけではなく、社員や元社員など関係者が自社の機密情報を持ち出し、悪用や不正利用するケースもあります。
2013年12月にある家電量販店（A社）を退職したものが、翌年にライバル関係にある家電量販店（B社）に転職した際、2013年まで勤務していたA社から機密情報を持ち出しました。これによりA社は機密情報を不正に利用されたとして、機密情報の削除に加え、元社員とB社に対し50億円の損害賠償請求を行いました。

ビジネスメール詐欺による金銭被害事例

偽のメールを企業・団体に送り、従業員をだまして送金取引に関わる資金を詐取した事例です。
2019年9月、日本のある輸入販売企業（A社）とイタリアの輸入元企業（B社）との取引のなかで、B社の担当者になりすました攻撃者がA社に対し、偽の口座へ振り込みを要求するメールを送信。A社の担当者はこのメールにだまされ、偽の口座に5万ユーロを送金し、その半額を引き出されてしまいました。B社やイタリアの警察の協力のもと、残り半額は取り戻せましたが、最初に引き出された半額は取られたままです。

修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）による被害事例

脆弱性のあるソフトウェア、システムなどの修正プログラムが公開される前の隙をついて行う攻撃の事例です。
2020年1月、日本のある電機メーカーから社員や新卒採用応募者、関係会社の退職者などの個人情報が8,000人以上、さらに技術情報や営業資料（データ量として推定200MB）なども流出した可能性があると公表しました。
原因は、ウイルス対策システムのセキュリティパッチ公開前の脆弱性を突いた不正アクセスです。重要度の高い機密情報や取引先情報の流出は抑えたものの、情報が流出した可能性のある社外の個人には郵送で謝罪と報告を行っています。

サイバー攻撃を未然に防ぐための対策

サイバー攻撃の種類によって対策が異なる場合はありますが、基本的にやるべきことは変わりません。ここでは、サイバー攻撃を未然に防ぐためにやるべきことを解説します。

セキュリティソフトを使う

オフィス内で使用するパソコンやサーバーはもちろん、在宅社員に貸与するパソコン、営業社員が利用するスマートフォンなどにもセキュリティソフトをインストールします。ウイルスの侵入を防ぐもの、感染後、速やかにウイルスを削除できるもの、出口対策など、複数タイプのセキュリティソフトを使い、あらゆる攻撃に備えられるようにしましょう。

セキュリティパッチ・修正プログラム・Windows Updateなどを実施する

実は、セキュリティパッチや修正プログラムのインストール、Windows Updateなどのセキュリティ対策の基本をしっかりと行っていないケースは珍しくありません。特に最近は、セキュリティパッチや修正プログラム公開の隙を縫って攻撃を仕掛けるケースも多いため、確実に実施することが重要です。

セキュリティ対策ルールを策定する

セキュリティ対策は、会社側でしっかりとしたルールを策定し、全社員に周知することが重要です。二段階認証の導入、会社端末の持ち出し禁止、退職者のアクセス権限の削除などの基本を押さえ、明確なセキュリティ対策のルール策定を行いましょう。

社員へのセキュリティ教育を徹底する

ランサムウェアや標的型攻撃の多くは、間違えてメールを開封してしまう、Webサイトでリンクをクリックしてしまうといったことから感染が拡大します。そのため、社員に対するセキュリティ教育は欠かせません。特に、テレワークを行う社員やサプライチェーンの社員に対する教育は徹底して行う必要があります。

クラウドサーバーを活用する

セキュリティ対策がしっかりとなされたクラウドサーバーを活用するのもおすすめです。万が一、社内のパソコンやサーバーがウイルスに感染しても、機密情報や個人情報は流出を防ぐことができる場合があります。また、データを分散保存することで、BCP対策にもつながるのも大きなメリットです。

サイバー攻撃を未然に防ぐには社員・企業双方の意識を高めることが重要

日々進化するサイバー攻撃。以前からある攻撃の進化はもちろん、新たな攻撃も日々増え続けています。特に近年は、感染症対策としてテレワークが増加したことから、在宅勤務用の機器に対する攻撃が増加し、新たな対応が求められています。
さまざまな種類のサイバー攻撃を未然に防ぐためには、それぞれの攻撃の特徴や感染経路の把握が欠かせませんが、すべてを把握するのは容易ではありません。そこで重要になるのが、社員と企業双方が常にセキュリティ意識を高く持ち続けることです。
自社の社員に対するセキュリティ教育はもちろん、サプライチェーンの社員に対しても、しっかりと対策を求めなくてはなりません。また、企業としても、セキュリティソフトの導入やクラウドサーバーの活用など、コストをかけてでも重要なデータを守る意識を持つ必要があるでしょう。

STNetでは、安全性の高いSTクラウドサーバーサービスに加え、最適なセキュリティ環境を構築するための多様なサービスを提供しています。セキュリティ対策を検討されている方は、ぜひご検討ください。