サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説
インターネットサービスの普及に伴い、「サイバー攻撃」という言葉を耳にする機会も増えました。
大手企業から中小企業まで、さまざまな企業がサイバー攻撃による被害を受けており、企業規模に関係なく、サイバー攻撃の対策が急務となっています。
この記事では、サイバー攻撃の基礎情報から具体的な手口、被害事例、サイバー攻撃を防ぐ対策までを解説します。
目次
[ 開く ]
[ 閉じる ]
サイバー攻撃とは
サイバー攻撃とは、インターネットを介してパソコンやスマートフォンなどに保管されているデータを破壊・改ざん・窃取する行為のことです。サイバー攻撃の種類は、特定の個人や企業を狙ったものから、不特定多数の個人や企業を狙ったものまでさまざまです。
たとえば、企業がサイバー攻撃を受けると次のようなリスクが生じます。
- 機密情報や顧客情報が盗まれてしまう
- サーバーやシステムがダウンし、業務に支障が出る
- サイバー攻撃を復旧するために多額の費用が発生する
サイバー攻撃を受けると社内だけでなく、関連会社や顧客先にも迷惑をかけてしまいます。特に、取引情報や顧客情報が漏洩する場合、社会的な信頼を失うことが避けられません。
さまざまな電子端末が普及したことに伴い、サイバー攻撃は複雑化しています。これまでは、パソコンやスマートフォン経由でサイバー攻撃が行われるケースが一般的でした。しかし、近年ではWi-Fiやクラウド、IoT機器などから社内のサーバーなどに侵入し、サイバー攻撃が行われる事例も増えています。
インターネットが普及して便利になっていく反面、企業はサイバー攻撃への備えが重要となってきています。今後は「AIを悪用してサイバー攻撃が行われるのではないか」という声も上がっている状況です。企業規模に関係なく、サイバー攻撃の被害を防ぐ取り組みをすることが、どの企業にも求められています。
サイバー攻撃の目的
サイバー攻撃の目的として、主に次の3つが挙げられます。
- 金銭収奪
- 産業スパイ
- 愉快犯
サイバー攻撃の目的のうち最も多いのが、金銭収奪といわれています。金銭収奪は個人から企業までさまざまな層がターゲットにされるサイバー攻撃です。たとえばクレジットカードの不正利用は、金銭収奪が目的で行われるサイバー攻撃のひとつです。
企業を狙ったサイバー攻撃にフォーカスすると、産業スパイが多くあります。産業スパイは、企業のサーバーなどに侵入して顧客情報や機密情報などを盗み、外部へ漏洩させるサイバー攻撃です。ほとんどの企業がサーバーなどにデータを保管する状況であることから、近年件数が増加しているサイバー攻撃となっています。
また自身が持つ技術やスキルを見せつけたいというハッカーなどは、自己顕示欲を満たすために愉快的な目的でサイバー攻撃を行います。愉快犯によるサイバー攻撃は、サーバーへの侵入以外にウイルスやワームを不特定多数のユーザーにばら撒くものもあります。金銭収奪や企業の情報漏洩を目的としていないことが多い点も、愉快犯によるサイバー攻撃の特徴です。
日本のサイバー攻撃の最近の動向
日本のサイバー攻撃の検挙件数は年々増加しています。
2024年3月に警察庁が発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー攻撃の検挙件数は、2021年以降、特に急増していることが分かります。
出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
上記でフォーカスされている、不正アクセス禁止法違反とコンピュータ・電磁的記録対象犯罪は次のようなものを指します。
- 不正アクセス禁止法違反
- 他人のパスワードを不正利用し、サイトやSNSに侵入したり乗っ取ったりすること
【例】元勤務先のサーバーに不正アクセスしてデータを消去した
- コンピュータ・電磁的記録対象犯罪
- サイト上のデータを無断で書き換えたり、他人の金融口座から無断で自分の口座へお金を移したりすること
【例】不正入手した他人名義のクレジットカードを利用して、代金の支払いをした
その他の項目には、詐欺や児童買春・児童ポルノ禁止法(児童ポルノ)、青少年保護育成条例などの犯罪が含まれています。2023年の調査では、その他の合計検挙数10,958件のうち、約26%にあたる2,854件が詐欺によるものでした。
近年は「リモートワークが普及したこと」「インターネット上による決済が増えたこと」などが関係し、企業と個人に関係なくサイバー攻撃を受けやすい状況です。特に、リモートワークの普及で社外にいながら社内の機密情報にアクセスしやすくなったことから、産業スパイによるサイバー攻撃が増えていると考えられます。
また、対話型AI(人工知能)が急速な広がりを見せている中、AI技術を悪用したサイバー攻撃への懸念も生まれています。技術を持たない攻撃者が、AIの力を借りてサイバー犯罪を実行できてしまう可能性があるのです。
こうした背景からも、個人・企業を問わず、データの取り扱いには細心の注意を払うことが重要だといえます。
サイバー攻撃の種類
ひと口にサイバー攻撃といっても、次のようにいくつかの手口に分類できます。
- ランサムウェア
- 不正アクセス
- 標的型攻撃
- DoS・DDoS攻撃
- 内部不正
ここからは、サイバー攻撃の手口を詳しく解説します。
ランサムウェア
ランサムウェアとは、ウイルスを感染させて所有者のデータを暗号化し、データの復元と引き換えに金銭を要求するサイバー攻撃のことです。英語で身代金を意味する「Ransom」とソフトウェアを意味する「Software」を掛け合わせて、ランサムウェアと呼ばれています。
ランサムウェアによるサイバー攻撃を受けると、顧客情報やサービス利用者の情報などの漏洩だけでなく、攻撃者から金銭を要求されます。
暗号化されたデータを復元することは難しく、サイバー攻撃をしてきた組織に金銭を支払ったとしても、データを確実に復元してもらえるという保証はありません。ランサムウェアの被害を受けると、情報漏洩によって顧客やサービス利用者に迷惑をかけるだけでなく、多額の金銭を失うことになります。
不正アクセス
不正アクセスとは、第三者が企業や個人のシステムやサービスへ不正にログインし、データの書き換え・消去や乗っ取りなどをするサイバー攻撃です。不正アクセスは企業のみならず、個人をターゲットとするサイバー攻撃としても知られています。
企業が不正アクセスによるサイバー攻撃を受けると、メールアドレスやクレジットカード情報などの個人情報の漏洩は避けられません。個人情報の漏洩により、迷惑メールが届く・クレジットカードが不正利用されるなどといった二次被害につながることも多くあります。
ほかにも、サービス利用者の登録情報が不正に書き換えられるケースも多く、不正アクセスを受けた被害を復旧させるために、提供しているサービスを一時停止せざるを得ない場合もあります。
標的型攻撃
標的型攻撃とは、特定の団体や組織をターゲットに仕掛けるサイバー攻撃のことです。企業だけでなく国家機関や行政団体、協会団体が狙われるケースもあります。
代表的な手口はターゲットとなる企業や団体へ顧客を装い、ウイルスを感染させたファイルを添付したメールを送信するというものです。そのファイルを従業員などが開くと、企業や団体の電子端末がウイルスに感染し、攻撃者にサーバーへ侵入されます。
近年では、サイバー攻撃だと怪しまれないように、メールに役職名や業務内容を記載したり、何通かやり取りした上でウイルスを感染させたファイルを添付したりする事例も見られます。標的型攻撃もほかのサイバー攻撃と同様に、企業が持つ個人情報や顧客情報を窃取する際に使われることがほとんどです。
DoS・DDoS攻撃
DoS・DDoS攻撃は、企業のサーバーが処理しきれないほどアクセスを集中させて、ユーザーがサイトへアクセスしにくい状況を作るサイバー攻撃のことです。
DoS攻撃は「Denial of Service Attack」の略称であり、直訳すると「サービス拒否攻撃」になります。一方でDDoS攻撃は「Distributed Denial of Service Attack」と呼ばれ、日本語に訳すと「分散型サービス拒否攻撃」を意味します。
どちらもターゲットのサーバーに大きな負荷をかける攻撃ではあるものの、DoS攻撃とDDoS攻撃で次のような違いがあることを知っておいてください。
- DoS攻撃:特定のIPからサイバー攻撃をする
- DDoS攻撃:複数のIPから分散的にサイバー攻撃をする
以上の特徴から、DDoS攻撃はDoS攻撃の進化版のようなサイバー攻撃として位置付けられています。実際に、DoS攻撃よりも複数のIPを使うDDoS攻撃は対策が難しく、セキュリティツールなどを利用しなければ十分な対策ができません。
DoS・DDoS攻撃を受けるとサイトにアクセスしにくい状況になるため、企業はサイト経由による問い合わせや売上が減少します。ほかには、DoS・DDoS攻撃を企業へ事前に予告し、攻撃しないことを引き換えに金銭を要求する脅迫行為を受ける恐れもあります。
内部不正
サイバー攻撃は外部だけから受けるものだけではありません。企業の関係者が機密情報を持ち出したり漏洩したりするなど、内部不正というサイバー攻撃もあります。
内部不正は、現在勤めている従業員だけでなく、企業の情報を知っている外注先や業務委託先、退職者などによって行われます。内部不正の手口はさまざまで、情報処理推進機構が2020年に実施した調査によると、「中途退職者(役員・正規社員)による漏洩」「現職従業員等の誤操作・誤認等による漏洩」「現職従業員等のルール不徹底による漏洩」の順で多い状況です。
(出典:情報処理推進機構「「企業における営業秘密管理に関する実態調査2020」報告書について」)
ほかにも、現職の従業員が金銭を得ることを目的に、営業計画や技術情報などをライバル企業へ漏洩させる行為も内部不正に該当します。
内部不正は外部から受けるサイバー攻撃よりも、被害が大きくなる傾向にあります。社内の内部事情を知っている従業員が情報を漏洩させることから、極めて重要な機密情報が外部に流出する場合がほとんどです。また、社内での情報管理が疎かになっていると外部から判断され、大幅な信用喪失につながることも、被害が大きくなる理由として挙げられます。
サイバー攻撃の主な被害事例
サイバー攻撃は、さまざまな業界の企業や団体を対象に行われます。そのため、従業員数などに関係なくどの企業や団体がサイバー攻撃の被害に遭ってもおかしくありません。下記は、サイバー攻撃の被害に遭った企業・公共施設の一例です。
- 株式会社ファーストリテイリング
- みずほ銀行
- 米国上下水道
ここからは、企業・公共施設がどのようなサイバー攻撃に遭ったのかを詳しく解説します。
株式会社ファーストリテイリング(2019年)
ユニクロやGUなどで有名な株式会社ファーストリテイリングスは、2019年に本人以外の第三者が登録者のアカウントにログインする不正アクセスによるサイバー攻撃の被害を受けました。不正アクセスされたアカウント数は461,091件にものぼり、利用者の氏名・住所・電話番号・個人情報などが流出したと言われています。
サイバー攻撃を受けて株式会社ファーストリテイリングスでは、不正アクセスのあった通信元を特定してアクセスを遮断しました。また、アクセス状況の監視を強化し、不正アクセスの再発防止に努めています。
不正ログインされたアカウント保有者に対しては、パスワードの再設定に関する連絡を個別で行い、セキュリティ面の強化を進めています。
みずほ銀行(2019年)
みずほ銀行は2019年に海外連結子会社ユーカリヘッジのシステムに、不正アクセスされるというサイバー攻撃を受けました。口座番号や暗証番号などの決済に関する情報は漏洩していないものの、利用者の氏名・連絡先・国名・ユーカリヘッジの商品に関する関心事項などの情報は流出しました。
ほかにも、ユーカリヘッジの有料サービスを契約している約500社の会社名・肩書き・契約内容なども外部へ流出しています。被害件数は最大で12万件にもおよぶ大規模なサイバー攻撃として、ニュースで大きく取り上げられました。
サイバー攻撃を受けてみずほ銀行およびユーカリヘッジでは、システムへの再侵入を防ぐために、管理者IDのパスワードの変更や、Webサイト管理システムへの外部アクセスを遮断するなどして対策しています。
米国上下水道(2021年)
米国のフロリダ州にある上下水道は、2021年にインターネット経由でセキュリティを破って、水処理システムに不正侵入するというサイバー攻撃を受けました。水酸化ナトリウムの投入量を高く設定されるという被害を受けたものの、設定値がおかしいことに現場担当者が気づき、供給される水に影響を及ぼすことはありませんでした。
なお、米国では上下水道をターゲットとしたサイバー攻撃が多発している状況です。米国の上下水道事業のほとんどが小規模であり、古い水処理システムが利用されていることから、サイバー攻撃を受けやすいと言われています。
米国では上下水道のシステムへの不正アクセスを防ぐことを目的に、システム監視による不審な活動の検知やリモートアクセスの保護などが推進されています。
サイバー攻撃を防ぐための対策
サイバー攻撃を防ぐためには、次のような対策をとる必要があります。
- セキュリティ対策ソフト・サービスを導入する
- OS・ブラウザを常に最新版にアップデートする
- 不審なサイト・メールに関する注意喚起をする
- 端末の持ち出し・持ち込みの管理を徹底する
- 退職者のアクセス権限をすぐに取り消す
サイバー攻撃は多様化しているため、早めに対策をとることが重要です。ここからは、サイバー攻撃を防ぐために必要な5つの対策を詳しく解説します。
セキュリティ対策ソフト・サービスを導入する
サイバー攻撃は、セキュリティ対策ソフト・サービスを導入することで防げます。セキュリティ対策ソフト・サービスは、電子端末に流入したウイルスの感染予防や駆除をするだけでなく、不正アクセスや情報漏洩を防止する機能が備わっています。
セキュリティ対策ソフト・サービスを導入メリットは、サイバー攻撃の件数として多いランサムウェアや不正アクセスを防げることです。サイバー攻撃を防ぐ基本として、セキュリティ対策ソフト・サービスを導入する企業がほとんどです。セキュリティ対策ソフト・サービスを選ぶ際は、セキュリティ面が万全なのかを必ずチェックしてください。利用者の口コミや過去のセキュリティ被害などを調べると、安心して利用できるセキュリティ対策ソフト・サービスなのか知ることができます。
OS・ブラウザを常に最新版にアップデートする
サイバー攻撃を防ぐためには、OSやブラウザを常に最新版にアップデートすることも重要です。サイバー攻撃を仕掛ける組織は、システムの脆弱性を狙って不正アクセスなどを行います。OSやブラウザを最新版にアップデートしていない状態では、脆弱性のあるシステムを使い続けることになるため、サイバー攻撃を仕掛ける組織のターゲットになりやすいと言えます。
社内で利用するOSやブラウザを最新版に保ち続けるには、セキュリティに関するアップデートを自動更新するように設定しておくことが大切です。自動更新にしておけばアップデートのし忘れを防げるため、OSやブラウザを常に最新版で使い続けられます。
不審なサイト・メールに関する注意喚起をする
サイバー攻撃を防ぐためには、社内で不審なサイト・メールに関する注意喚起をすることも欠かせません。不審なサイト・メールには、ウイルスが仕込まれていることが多く、開くだけで感染することが少なくありません。
たとえば、誰から送られてきたのかわからないサイト・メールは、不審なサイト・メールの可能性が高く、安易に開くことを控えてください。
不審なサイト・メールによるサイバー攻撃を防ぐためには、社内でセキュリティ教育を実施することが大切です。不審なサイト・メールによるサイバー攻撃の事例や、実際に不審なサイト・メールが手元に届いたときの対処法を伝えると、被害を未然に防げるでしょう。
端末の持ち出し・持ち込みの管理を徹底する
サイバー攻撃を防ぐ場合、外部だけでなく内部にも目をむける必要があります。社内での情報の取り扱い方が原因でサイバー攻撃を受けるケースも多いため、端末の持ち出し・持ち込みの管理を徹底することもあわせて取り組みましょう。
社内で使っている端末を持ち出すと、どこで情報を窃取されるかわかりません。たとえば、従業員がカフェなどで利用できる無料Wi-Fiを使って仕事をした場合、無料Wi-Fiを経由して情報が窃取される恐れがあります。
従業員がプライベートで使っている電子機器を社内へ持ち込むことを許可している場合、個人の電子端末へ社内情報を取り込まれてしまう可能性がゼロではありません。結果として、内部不正が起こりやすくなります。
端末の持ち出しが多い企業では、持ち出し専用の端末を用意したり、強固なセキュリティ対策をしたりすると、サイバー攻撃を受けにくくなります。端末の持ち込みは原則禁止にする、もしくは許可制にするなどして、管理を徹底することがおすすめです。
退職者のアクセス権限をすぐに取り消す
内部不正によるサイバー攻撃を重点的に防ぎたい場合は、退職者のアクセス権限をすぐに取り消すことが重要です。内部不正は現在勤めている従業員だけでなく、退職者によって行われる恐れもあります。
退職者に与えたアクセス権限を消去せずに放置しておくと、退職者によって社内で保有している顧客情報を悪用されるかもしれません。また、データの改ざんやシステムを不正操作される可能性も高くなります。
退職者が出た際には、与えていたアクセス権限を速やかに削除するだけでなく、社内のシステムにアクセスしてはならない誓約を退職者と交わすことが大切です。
サイバー攻撃の対策はGMOサイバーセキュリティbyイエラエにお任せ
画像引用元:「GMOサイバーセキュリティbyイエラエ」
守るべきデジタル資産の増加と、攻撃者の技術力向上により、近年では攻撃者の侵入を100%防ぐことは難しいとされています。限られた人的リソースの中では、守るべき最重要資産を明確にしたうえで、そこに至るキルチェーンを断ち切るような重点的な対策や監視が必要になります。
GMOサイバーセキュリティbyイエラエでは、攻撃者の手法を熟知したホワイトハッカーによる多様なセキュリティサービスを提供しています。Webアプリケーション診断では、経験豊かなセキュリティエンジニアによりWebアプリケーションの特性に応じた柔軟な診断を行います。またどんな対策をすればよいかわからないという方には、リスクアセスメントを通じて、守るべき情報資産と想定すべき脅威の見える化を行うことも可能です。各企業の状況に応じたセキュリティ対策ができるという強みを有しているため、サイバー攻撃の対策に力を入れたい場合は、ぜひGMOサイバーセキュリティbyイエラエにご相談ください。
まとめ
サイバー攻撃とは、企業や個人の持つ情報を破壊・改ざん・窃取する行為のことです。多くの場合、金銭収奪・産業スパイ・愉快犯などが目的でサイバー攻撃が行われます。近年はさまざまな手口のサイバー攻撃があるため、セキュリティ対策ソフト・サービスを導入したり、社内でセキュリティ教育をしたりしても、サイバー攻撃を確実に防げるとは断言できません。実際に、国内の企業や海外の公共施設などでは、サイバー攻撃による不正アクセスなどが相次いでいます。
サイバー攻撃の対策に力を入れたい企業は、プロに相談することがおすすめです。GMOサイバーセキュリティbyイエラエでは、Webアプリの脆弱性診断などを中心に多様なサービスでサイバー攻撃の対策を実施しています。企業のセキュリティに関する相談会を常時開催していますので、サイバー攻撃による被害を未然に防ぎたい企業は、ぜひGMOサイバーセキュリティbyイエラエにお問い合わせください。
文責:GMOインターネットグループ株式会社
