公開日:|最終更新日時:
警視庁のデータを基にしたIPAの調査によると、2021年に比べ2022年のランサムウェア感染等のサイバー攻撃は増加傾向にあり、2023年の件数も依然高水準で推移しています。※1,2
企業に対するサイバー攻撃は身代金要求等、直接的な金銭被害だけでなく、株価や純利益の下落・減少といった間接的被害もあります。たとえばインシデントに関して適宜開示した企業のデータによると、株価は平均10%下落、純利益は平均21%減少※1しており、企業にとっての大きな損害となりえるため、注意が必要です。
ここでは、サイバー攻撃による被害の事例を、業界や対象別に紹介していきます。事例を知ることで、どのような脅威に対し策を練るべきか考えていきましょう。
※参照元1:IPA(独立行政法人 情報処理推進機構)公式サイト(https://www.ipa.go.jp/security/economics/practice/practices/Practice101/)
※参照元2:警視庁公式サイト(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf)
製造業は昨今のDX化の進展により、サイバー攻撃に狙われやすい傾向にあります。過去にどんな事例があったのかを確認し、対策を講じるべき脅威について備えましょう。
クラウドサーバーに対する外部からのサイバー攻撃により、取引先の企業や個人事業主の金融口座情報が流出。同社は2020年1月にも不正アクセスを受けており、異なる攻撃手法に対処するための調査に時間を要しました。
同社が管理するサーバーに不正アクセスが発生し、サーバー停止やネットワーク遮断の措置を取ることに。これによりデータの読み取りやメールの確認ができなくなり、業務に支障をきたしました。
金融機関は巧妙な手口によるサイバー攻撃が増えており、被害規模も増幅化しています。過去にどんな事例があったのかを確認し対策することで、新しい脅威に対しても動じない強固なセキュリティ体制を構築できます。
2023年1月、アフラックは、業務委託先が不正アクセスを受けたことにより約130万人分の顧客情報が流出する被害を受けました。 顧客の姓、年齢、証券番号、保険種類、保険料などが含まれており、金融機関における個人情報保護の重要性が再認識させるものとなっています。
この件を受けて、アフラックは再発防止策として、委託先の情報管理基準の厳格化、委託先や再委託先のセキュリティ評価強化、提供情報の最小化などの対策を発表しました。 サイバー攻撃リスクへの対策と管理体制の強化の重要性が高まっています。
IoTデバイスは管理が行き届きにくいというネックがあることから、サイバー攻撃の標的にされてしまいます。過去にどんな事例があったのかをチェックし、自社システムのセキュリティのレベルアップに活かしましょう。
サーバーレンタル業を営むフランスの事業者は、保有サーバーが、14万台以上ものIoTデバイスによるDDoS攻撃を受けました。これにより、最大で1Tbpsを超える過去最大級の攻撃トラフィックが観測されたとのことです。
顧客の家庭用ルーターが、Miraiまたはその亜種に感染させられる恐れがありました。このとき全ユーザーの4~5%にあたる約90万人に、ソフトウェアの停止や制限を受けるといった影響が出ました。
2024年5月にランサムウェアの被害を受け、最大4万人分の患者情報が流出した可能性が指摘されています。IDやパスワードの使い回しなど、基本的なセキュリティ手順の不備が原因と報告され、厚生労働省の指針を守れば回避可能だった「人災」ともいわれています。
参照元:日本経済新聞 (https://www.nikkei.com/article/DGXZQOUE119GJ0R10C24A6000000/)
2021年10月31日にランサムウェアへ感染し、全システムが停止。診療の大幅な制限や救急患者の受け入れ停止に追い込まれました。紙カルテへの切り替えで何とか診療を継続しましたが、システム復旧には約2カ月を要しています。
参照元: Yahooニュース (https://news.yahoo.co.jp/articles/1cd586aa9280f22eb7ebb6cce81490811b9f0347)
2022年2月下旬、トヨタ自動車の部品サプライヤーがランサムウェアに感染し、やむを得ず国内すべての工場が生産停止となりました。自動車は多数の部品が揃わないと完成せず、重要部品の供給を担う企業が攻撃を受ければ組み立てラインまで直ちに影響が波及します。一企業への攻撃が、業界大手全体の生産に大きな混乱をもたらす代表的な事例です。
2023年9月頃、マツダ社内のサーバーへの不正アクセスが確認され、主に社員や取引先のアカウント情報が流出した可能性が浮上しました。幸い顧客情報への影響は軽微と見られましたが、もしも盗まれた認証情報が他サービスへの不正ログインに使われた場合、被害が連鎖する懸念があります。
印刷業務を担うイセトーが2024年5月にランサムウェアに感染し、同年7月には多くの自治体に被害の公表や影響範囲の報告が行われました。納税情報やワクチン接種関連データなどが流出した可能性が浮上しており、委託先のネットワーク管理不足が原因とされています。自治体自体でなく業務委託先を経由して被害が拡散するリスクを強く印象づけた例です。
参照元:NHK公式HP (https://www3.nhk.or.jp/news/html/20240705/k10014502531000.html)
2024年11月23日と25日に、熊本県が管理する農業関連サイトが大量アクセスによるサイバー攻撃を受け、一時的にダウンしました。その後、住民の氏名や住所など数千件の情報が流出した可能性が判明し、12月上旬には関係者に通知を行う事態に。システム構成や委託先セキュリティ対策の不備が原因とされ、被害拡大を防ぐ仕組みが整っていなかったことも問題視されました。
積水ハウスの会員制サイトがサイバー攻撃を受け、大量のメールアドレスやパスワードなどが外部に流出しました。運用していなかった過去のページが脆弱性を抱えていた点が主因とされています。これにより顧客や従業員のパスワードが漏洩し、不正ログインなどの二次被害が懸念されました。攻撃者は情報を盗むための手段として「SQLインジェクション」を用いてデータベースを狙ったとみられています。
参照元:積水ハウス公式HP (https://www.sekisuihouse.co.jp/company/topics/library/2024/20240524_1/20240524_1.pdf )
大手建設コンサルタントのオリエンタルコンサルタンツは、社内サーバーがランサムウェア攻撃に遭い、業務データが暗号化されました。復旧のための対応費や損失として数億円単位の特別損失を計上する結果となり、一部案件の納品が遅れるなど事業活動にも支障を来たしています。被害を受けたサーバをネットワークから切り離し、情報復旧や原因調査に膨大な時間やコストが割かれた点が象徴的です。
参照元:オリエンタルコンサルタンツ公式HP (https://www.oriconsul.com/news/post_files/211008_newsrelease.pdf)
サイバー攻撃は多種多様で、例えばランサムウェアが企業や個人のデータを暗号化し、身代金を要求する手口が代表的です。また、サプライチェーンを狙った攻撃では、取引先のネットワーク経由で重要システムに侵入し、大規模な情報漏えいや事業停止を引き起こします。さらに従来型のフィッシングメールも攻撃者の手法が洗練され、ユーザーが偽装を見抜きにくい状況が続いています。被害は金銭的損失だけでなく、社会的不安や企業の信頼失墜につながるため、最新動向に合わせた対策が求められます。
最近はAIを利用した攻撃が注目を集めています。具体的には、AIモデルを活用して生成された極めて巧妙なフィッシングメールが急増し、2022年12月には前月比260%もの伸びが確認されました。また、ディープフェイク技術を使い、香港の企業が「偽のCFO映像」に騙され約38億円を送金してしまった例もあります。さらに2023年には、米国防総省付近で爆発が起きたかのようなフェイク画像が拡散し、一時的に株価が下落する騒動が発生しました。
制御システムを狙った攻撃は社会的影響が大きく、2010年にはイランの核燃料施設が「Stuxnet」というマルウェアで遠心分離機を破壊されました。2015年から翌年にかけてはウクライナの電力インフラが攻撃を受け、送電停止による大規模停電が発生しています。また2017年には、中東の施設で安全計装システムを狙った攻撃が確認され、重大事故のリスクが一層クローズアップされました。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
