💡この記事のポイント
☑サイバー攻撃は、特定の企業や個人を狙う標的型が増えている。
☑データを暗号化して身代金を要求するランサムウェアの被害は約6割が中小企業。
☑企業のセキュリティ面強化とともに、従業員一人一人のセキュリティリテラシー向上が必要。
閉じる開く
- 1.サイバーリスクとは
- (1) 中小企業の被害が増えている
- (2) サイバー攻撃による被害想定
- 2.よく使われるサイバー攻撃の種類
- (1) マルウェア
- (2) ランサムウェア
- (3) フィッシング
- (4) Dos(サービス拒否)攻撃
- (5) SQLインジェクション
- 3.サイバーリスクへの対策
- 4.サイバー攻撃による被害事例
- 5.まとめ
1.サイバーリスクとは
サイバー攻撃によるコンピュータ・ネットワークなどへの侵入によって企業が保有する取引先情報や個人情報の流出、社内システムの妨害や破壊などのトラブルを招くリスクのことです。デジタル化した情報をサーバーに保存していたり社内のネットワークシステムで業務を行っている場合、サイバー攻撃を受けると情報が漏えいしたり、システムの働きを阻害される可能性があります。こうした被害を未然に防ぐためにも、サイバーセキュリティについて対策を講じる必要があります。
※サイバー攻撃とは
主にインターネットのネットワークを介して、コンピュータシステムや情報を不正に攻撃したり盗んだりする行為です。
※サイバーセキュリティとは
サイバー攻撃からの被害を防ぐ仕組みや対策のことです。
(1) 中小企業の被害が増えている
企業におけるサイバーリスクには、外部からのサイバー攻撃、内部の人間の過失による情報漏えい、システム障害などがあります。
近年増加しているのがサイバー攻撃です。特に、企業システムに侵入し盗んだデータを暗号化したうえで身代金を要求するランサムウェアが増加しています。経済産業省も、サイバー攻撃(ランサムウェア)による被害企業の約6割が中小企業であると公表しています。(経済産業省HP「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」2025年2月19日より)
(2) サイバー攻撃による被害想定
サイバー攻撃を受け実害を被ると、顧客や取引先の情報漏えい、メールのやりとりや自社システムが監視・阻害されたり破壊されます。また、企業が保有している情報が盗まれた場合、情報が悪用される可能性もあります。
サイバー攻撃の被害を受けた企業は「経済的被害」と「社会的被害」の両方を受けます。下記では実際の被害例について例を紹介します。
ランサムウェア
■経済的実害 3億7,600万円
・事故原因・被害範囲調査費用
1億円
⇒複数台の従業員端末とサーバー調査、ネットワーク全体監視等を一定期間実施。
・従業員端末等の入れ替え費用
1.42億円
⇒ランサムウェアに感染したサーバー10台、従業員端末900台の入れ替えを実施。
・再発防止費用
0.5億円
○利益損害
0.84億円
※営業支援システムが利用不可による営業活動停滞
経済的実害は被害規模によって様々ですが、社会的実害については「社会的信用の低下」「事業継続の阻害」の2点が共通します。今後の事業活動にも影響が出るので、日頃からサイバー被害を受けないように対策を継続することが重要です。
2.よく使われるサイバー攻撃の種類
かつては「コンピュータウイルス」という言葉が使われていましたが、昨今は悪意のある不正プログラムの総称である「マルウェア」と呼ばれることが多くなりました。コンピュータウイルスはマルウェアの1種であり、高度な機能を持つものが増えたため、ウイルスという概念では捉えきれなくなりました。
サイバー攻撃は無差別型と標的型に大別できます。特に近年は、企業が保有する個人情報や機密情報の価値が上がっており、手口も巧妙化していることから、特定の企業を狙う標的型が増えています。
| 【型名】 | 【対象】 | 【侵入経路】 | 【攻撃方法】 |
| 無差別型 | 主に個人 | メール、USBメモリやCD-ROMなど外部メディア、Webサイトなど | ・マルウェアが仕込まれたメールの拡散 ・汚染されたWebサイトの閲覧 ・フィッシング |
| 標的型 | 企業や政府機関、病院などの法人や団体組織 | メール、USBメモリやCD-ROMなど外部メディア、Webサイトなど | ・詐欺メールから遠隔操作 |
(株式会社Blue Planet-works、2018)を基に作成
無差別型でも標的型でも、攻撃方法は「マルウェアが仕込まれたメール」「汚染されたWebサイトへの誘導」「外部メディアへの接続」の3種類に分けられます。また、この3パターンを複数掛け合わせた攻撃方法もあります。
| 【攻撃方法】 | 【具体的な内容】 | 【特徴】 |
| マルウェアが仕込まれたメール | マルウェアが潜伏しているメールを送り、受信者のコンピュータに感染する | 添付ファイルや本文内のリンクを通じてマルウェアを感染させる |
| 汚染されたWebサイトへの誘導 | 検索結果を不正に操作するSEOポイズニング等で汚染Webサイトに誘導、コンピュータに感染する | ショッピングサイトなどに偽造しクレジットカード等の情報を盗む。利用者が気づかない場合、多くの情報を盗まれる |
| 外部メディアへの接続 | USBメモリ等の外部記録媒体を使用して内部に保存された悪意のあるプログラムがコンピュータに感染する | WindowsPCにはUSBメモリを接続すると自動再生機能によりファイルが自動的に実行される。オンのままだとUSBメモリを接続した瞬間に感染する可能性がある |
(1) マルウェア
悪意のある不正プログラムの総称で、コンピュータに不正な動作を引き起こすサイバー攻撃がマルウェアです。「トロイの木馬」「ワーム」「Emotet(エモテット)」などが該当します。
| 【マルウェア名】 | 【侵入経路】 | 【不正な動作】 | 【特徴】 |
| トロイの木馬 | 偽メールやSMS、不審なWebサイト、Wi-Fiネットワーク、ファイル共有 | 情報の流出、データの改ざんや破壊など | システムに不正侵入できるよう侵入経路を設置する「バックドア」型など、性質の異なる型が複数存在している |
| ワーム | メールの添付ファイル、外部記録メディア、Webサイト・ネットワークへのアクセスなど | 情報漏えい、他マルウェアがインストールされる、端末乗っ取り、端末が動かなくなる | 自己増殖型のマルウェア |
| Emotet (エモテット) |
主にメール | 情報の漏えい、ほかの端末への感染など | ウイルス対策ソフトで検知しにくい |
添付ファイルやWebサイトに誘導するメールにマルウェアが潜んでおり、被害者がそれを開くことで感染に至ります。表面上は特に何も変わらないように見えますが、メールでのやり取りを監視できるため、その内容をもとに詐欺メールなどを送ってくる場合があります。
(2) ランサムウェア
侵入先のデータを暗号化、コンピュータ機器を使用不可にさせ、復旧する条件として身代金を要求する手口です。
以前は身代金を支払ったとしてもコンピュータを修復しない犯人がほとんどでした。しかし、最近は一部で、支払いに応じると復号化ツールを提供する例も報告されていますが、信頼できるとは限りません。たとえ修復できたとしても、再度同じ手口を用いて被害者から継続的に金銭を巻き上げるパターンもあります。
(3) フィッシング
有名企業やサービス名になりすまし、電子メールで偽のWebサイト等へ誘導し、利用者からパスワードなどの重要情報を盗んだり、誘導したWebサイト内でマルウェアを仕掛ける手口です。
情報を盗まれ悪用される場合、通信販売サイトにおいて無断で買い物をされたり、アカウントを乗っ取ったうえでお金を奪ったりされます。また、フィッシング経由でマルウェアに感染すると、携帯電話のアドレス帳情報が盗まれたり、電話番号を悪用されフィッシングSMSの発信源になることがあります。
(4) Dos(サービス拒否)攻撃
「Dos」は「Denial-of-Service」(サービス妨害攻撃)の略称で、接続を過剰に要求する内容を送りつけ、それを受信するネットワークやシステムに負荷を与えサーバーをダウンさせようとしてくるサービス妨害攻撃です。攻撃を受けるとサーバーがダウンし、サービスを正常に使えなくなります。
(5) SQLインジェクション
Webアプリケーションに対して攻撃側に都合のいい命令を、データベース言語であるSQL文を使って攻撃し、データベースを不正に利用する手口です。
近年企業を狙ったサイバー攻撃として使用されており、数万~数十万件の顧客情報等の流出が相次いでいます。
3.サイバーリスクへの対策
サイバーリスクに備えるためには会社と従業員、それぞれのサイバーセキュリティ面を強化することが重要です。どちらかが欠けてしまっては万全の対策とはいえません。
(1) 外部からのサイバー攻撃対策に「セキュリティソフトの導入や強化」
主に外部からのサイバー攻撃の対策となるのがセキュリティソフトです。コンピュータと外部の通信について監視をしたり、内部データにウイルスなどないかをチェックし、それを支援するソフトウェア。ソフトウェアの導入や強化を図ることで、有害なウイルスやマルウェアなどの検知、不正アクセスの遮断、保有情報を暗号化できるなどサイバーセキュリティを高めることができます。導入した後も適宜アップデートし、強化を図ることが重要です。
(2) 従業員のヒューマンエラー対策に「セキュリティリテラシーの向上」
ヒューマンエラーの対策となるのが従業員のセキュリティリテラシーの向上です。たとえ最高レベルのサイバーセキュリティ環境を作れたとしても、内部の過失により情報漏えいなどがあっては意味がありません。従業員にはIT全般について、安全に活用できる必要な技術や知識を有しデジタル情報を正しく管理できる能力、セキュリティリテラシーが必要不可欠です。
例えば、標的型攻撃のメールと知らず開封し、添付ファイルやURLを開くことでウイルスに感染する可能性があります。この場合「怪しいメールは開かない」「添付ファイルやURLにアクセスしない」などの知識を有していなければ簡単にウイルスを社内に持ち込んでしまいます。
日頃からできる対策としては、社内で標的型攻撃メールの訓練を行い、セキュリティに関して向上する意識を持つようにし、少しずつでも社内のセキュリティリテラシーを高めていくことが重要です。
(3) 内部不正対策に「アクセス権限の管理やログ監視」
内部不正の対策の1つが、アクセス権限の管理やログ監視です。
①アクセス権限の管理
内部不正が発生しやすい環境として、アクセス権限が適切に管理されていなかったり、不必要なアクセス権限まで付与されている場合があります。「機密情報は経営上層部のみ閲覧できるよう設定」など、アクセス権限範囲を適切に管理することが大切です。
②ログ監視
従業員のコンピュータログを監視することも効果の高い対策です。情報が持ち出された場合、機密情報が保存先サーバー等にいつ・誰がアクセスしたかを確認することが可能です。
(4) サイバーリスク保険
サイバー攻撃によって被害を被った損害を保障する保険です。近年急増するサイバー攻撃に備える企業が増加していることから、大手保険会社をはじめサイバーリスク保険を取り扱う保険会社が増えています。
サイバーリスク保険は主に「情報漏えい・サイバー攻撃対策」について保障されたプランが一般的です。
一例として、保険内容は下記のようなものがあります。
| 損害賠償・責任賠償 | 支払限度額1億円(免責金額・縮小支払割合なし) |
| 年間保険料 | [Aプラン] 支払限度額1,000万円 [Bプラン] 支払限度額2,000万円 |
| 対象となる事故 | 情報漏えい、IT事故、サイバー攻撃 |
| 年間保険料 | [Aプラン] 17,010円~155,000円 [Bプラン] 25,110円~229,600円 ※職員数によって変動 (下限「1~3人」から上限「46~60人」) |
| 支払われる保険金 | 損害賠償金、争訟費用、権利保全行使費用、訴訟対応費用 |
「TKC会員事務所用 サイバーセキュリティ保険」パンフレットを基に作成
(5) 各対策にかかる費用
サイバーリスクには様々な面でセキュリティ対策が必要ですが、中小企業におけるそれぞれの対策費用の相場は下記の通りになります。
| 【各対策】 | 【費用相場】 |
| セキュリティソフトの導入や強化 | 平均年間50~100万円前後 |
| 従業員のセキュリティリテラシー向上 | 平均年間0~300万円前後 |
| アクセス権限の管理やログ監視 | 平均年間数万から数百万前後 |
| サイバーリスク保険 | 2~20万円前後(職員数によって変動) |
4.サイバー攻撃による被害事例
(1) 通信教育会社の例
【攻撃手法:内部不正 主な被害:260億円の損失、35%の会員数減少】
約3,000万件の顧客情報が流出した通信教育会社のベネッセコーポレーションは、顧客からの問い合わせにより情報流出が発覚しました。アウトソーシングした再委託先企業の派遣社員が情報を流出させたとして逮捕されました。再委託先企業の従業員の犯行とはいえ、ベネッセコーポレーションの信用が失墜したことは事実です。その後、ベネッセコーポレーションはお詫びの品やセキュリティ対策により約260億円もの多額の金額を費やしました。この特別損失により経済的損失を受けたと同時に、社会的損失により会員数を約35%減らすことに(約420万人から約271万人の減少)。セキュリティ対策には外部からのサイバー攻撃だけでなく、社内や委託先、再委託先からの内部漏えいにも対応する必要があります。
参考:『決定版サイバーセキュリティ 新たな脅威と防衛策』(株式会社Blue Planet-works、2018)
(2) 特殊法人の例
【攻撃手法:マルウェア 主な被害:125万件の情報漏えい】
特殊法人の日本年金機構の職員宛に、学術機関の職員を装った「セミナーの案内状」についてのマルウェアが仕込まれたファイル付きのメールが届きました。そのメールを開封した職員の端末からネットワーク内のファイル共有サーバーにある個人情報が盗まれました。約125万件の個人情報が漏えいする形に。
日本年金機構は以前から情報流出防止のために個人情報が格納されているシステムはネットワークから切り離していました。しかし、とある職員が切り離していたシステムに保管されている情報をマルウェアに感染したコンピュータに移して作業をしたため、情報が盗まれる事態に。業務後はネットワークを個人用コンピュータから切り離しておくルールがあったものの、該当職員はそのルールを順守していませんでした。
(株式会社Blue Planet-works、2018)
年金機構125万件流出 職員、ウイルスメール開封 - 日本経済新聞
5.まとめ
近年、サイバー攻撃の手口は巧妙化・複雑化しており、大規模なシステムダウンや顧客情報の流出も増えています。いつ訪れるかわからないサイバー攻撃に備えることは、業務に関してデジタル情報を保有するすべての企業にとって必要不可欠な対策です。そのためにも、セキュリティシステム面の対策はもちろん、従業員一人一人が情報を適切に取り扱う立場にあること、責任をもって情報の保管や活用について意識して業務にあたることが重要です。
【参考文献】
・『決定版サイバーセキュリティ 新たな脅威と防衛策』(株式会社Blue Planet-works、2018)
・『サイバーリスクの脅威に備える 私たちに求められるセキュリティ三原則』(株式会社化学同人、2015)
・中小企業の実態判明 サイバー攻撃の7割は取引先へも影響 (METI/経済産業省)
・JNSA「情報セキュリティ体制」をたずねられたら|いまさら聞けない対策のポイント
・TKC全国会 リスクマネジメント制度推進委員会「TKC会員事務所用 サイバーセキュリティ保険」パンフレット
・Synplanning 【セキュリティコンサル費用】相場と適正予算の目安を業界別・規模別で解説 | Synplanning
・Synplanning 中小企業のセキュリティ対策費用削減!効果的な予算配分と見積りポイント | Synplanning
・産経新聞 積水ハウス、サイバー攻撃で約29万人分情報漏洩 ほかに53万人分もか 会員制サイトで - 産経ニュース
・日経クロステック 積水ハウスが29万人超の個人情報漏洩、過去のページでセキュリティー設定に不備 | 日経クロステック(xTECH)
・TBS NEWS DIG JR東日本「サイバー攻撃受けた」 モバイルSuicaなどに障害 | TBS NEWS DIG (1ページ)
・産経新聞 JR東日本のシステム障害、「通常とは異なるアクセス」多数 サイバー攻撃濃厚 - 産経ニュース
・ScanNetSecurity サンリオエンターテイメントにランサムウェア攻撃、最大約 200 万件の個人情報が漏えいした可能性 | ScanNetSecurity
・サンリオピューロランド「当社への不正アクセスによるネットワークトラブルについて」
・日本経済新聞 年金機構125万件流出 職員、ウイルスメール開封 - 日本経済新聞
・「トロイの木馬とは?感染時の確認方法・対処法を解説」
・ワームとは? 種類や感染経路のほか、対処法と予防策を解説|SKYSEA Client View
・Emotet(エモテット)とは? 特徴や予防方法を含めて基本を解説 | docomo business Watch | ドコモビジネス | NTTコミュニケーションズ 法人のお客さま
記事提供
株式会社TKC出版 1万名超の税理士および公認会計士が組織するわが国最大級の職業会計人集団であるTKC全国会と、そこに加盟するTKC会員事務所をシステム開発や導入支援で支える株式会社TKC等によるTKCグループの出版社です。
税理士の4大業務(税務・会計・保証・経営助言)の完遂を支援するため、月刊誌や映像、デジタル・コンテンツ等を制作・提供しています。