近年、サイバー攻撃の被害が急増しています。サイバー攻撃と聞くと大企業や官公庁がターゲットとなるイメージを持つ方も多いかもしれませんが、対策が遅れている中小企業が次々と狙われ被害が拡大しています。
本記事ではサイバー攻撃の目的と攻撃別の手口や事例、中小企業向けのセキュリティ対策も解説します。
※ 本記事は、追記・修正して2025年4月9日に再度公開しました。
サイバー攻撃とは
サイバー攻撃とは公的機関や企業を対象に、インターネットやデジタル機器を絡めて行われる攻撃のことです。具体的には、サイバー攻撃によって金銭の窃盗や個人情報の詐取、システムの機能停止などの被害が引き起こされてします。今こうしている間にもさまざまな手口が考案されており、多くの企業がサイバー攻撃を受けるリスクにさらされています。
サイバー攻撃の目的
サイバー攻撃の目的の移り変わり
ひと昔前(2000年代~2010年代初期)のサイバー攻撃は、不特定多数を狙ったばら巻き型の無差別型攻撃が主流でした。当時のサイバー攻撃の主な理由は、「世間の注目を集めたい」「混乱を引き起こしたい」といった愉快犯的な動機によるものであり、社会に与える影響の大きさを競う傾向が見られました。そのため、攻撃の目的は感染台数の多さ、すなわち攻撃の規模に重きを置いたものでした。
しかし、現在のサイバー攻撃は基本的に「標的型攻撃」が問題になることが主流であり、ターゲットを明確に企業・政府・インフラなどに絞った攻撃に代わっています。
これらは、情報の不正入手や金銭の目的、あるいはスパイ活動が目的の犯罪です。
過去同様、愉快犯的な動機の犯罪も根強くありますが、ここでは被害が甚大な「攻撃者が意図的に狙う企業へのサイバー攻撃」について解説を進めます。
サイバー攻撃の目的
サイバー攻撃の目的は、攻撃者の動機や背景によってさまざまです。しかし、前述したとおり現在では金銭の取得や営業妨害など、明確な犯罪行為を目的としたケースが主流となっています。攻撃の対象は限定されることはなく、さまざまな組織に被害が及んでいますが特にサイバーセキュリティ対策が不十分な中小企業を足がかりとし、より大きな組織へと被害を拡大させる「踏み台攻撃」が増加しています。
また、特定の企業や団体の機密情報を不正に取得することを目的とした組織的な攻撃も顕著になっており、その手口は年々高度化・巧妙化しています。単なるウイルス感染にとどまらず、長期的かつ計画的に仕掛けられるサイバー攻撃が多く見られるようになっています。
愉快犯的な自己顕示欲
前述したとおりひと昔前の攻撃者は、「自分の技術力を誇示したい」「話題になりたい」といった愉快犯的な動機や自己顕示欲から攻撃を行いました。過去には、コンピュータウイルスの作成やWebサイトの改ざんなどが、このような目的で実行されることが多く見られました。情報の不正入手
企業の内部情報、顧客データ、設計図やノウハウといった知的財産などの機密情報・営業秘密を不正に入手することを目的とした攻撃も多数報告されています。得られた情報は、第三者への販売や恐喝、競争優位の確保などに悪用される可能性があります。金銭目的
金銭の取得を直接の目的とした攻撃は、現在最も多く見られるケースです。ランサムウェアによる身代金要求や、フィッシング詐欺を通じてクレジットカード情報やログイン情報を盗み取る手口など、サイバー攻撃が「金銭ビジネス」として成立していることを示しています。手法については、後述します。社会的な影響力
政治的・社会的な主張を目的に行われるサイバー攻撃も存在します。これは「ハクティビズム(Hacktivism)」と呼ばれ、特定の思想や価値観に基づいて行われる攻撃です。政府機関や大企業のシステムを攻撃することで、世論を喚起したり、組織の信用を失墜させたりすることを狙っています。サイバー攻撃の対象
サイバー攻撃の対象は、目的により以下のようなカテゴリに分類されます。① 企業・団体
・金融機関(銀行・証券・保険):資金や個人情報を狙う・病院等の医療機関:カルテや健康データなどの高価値データが豊富
・製造業:設計図・生産管理システム(OT)、営業秘密を狙う
・教育機関・大学:研究データ・学生情報などが標的
・中小企業:セキュリティが甘いことが多く、狙われやすい
② 政府機関・自治体
・住民情報、税務データ、防災インフラなどを狙う・国家間のサイバー戦(スパイ行為や妨害)も含まれる
③ 重要インフラ
・電力・水道・交通・通信など社会基盤そのもの・攻撃による混乱・停止を狙う(国家レベルの脅威)
①の企業・団体を標的とするケースにおいては、情報窃取が多く確認されています。その主な理由として、現代社会において「データ=商品」と見なされていることが挙げられます。
機密性の高い情報は、ダークウェブ上で売買されることで金銭的価値を持ち、攻撃者にとって直接的な利益を生む手段となっています。
代表的なサイバー攻撃の手口8選とその事例
ここでは以下の企業の脅威となるサイバー攻撃の概要と、実際の手口や事例について解説します。①標的型攻撃
標的型攻撃とは機密情報を盗み取るなどを目的とし、特定の個人や組織を狙うメール攻撃です。業務関連の内容を装い、ウイルスが含まれたメールを標的の担当者に送付する手口が知られています。標的型攻撃とは知らずにメールに記載されているURLをクリックした結果、マルウェア(悪意のあるソフトウェアやコードの総称)を気づかぬうちに自動インストールされてしまう感染する代表的です。
日本では2015年に行政機関が標的型攻撃の対象とされ、約125万件近くの個人情報が流出する事態となっています。
攻撃に用いられるメールは、極めて巧妙に組織内の業務連絡メールや取引先企業からの安全なメールを装うため、不正なメールと判別するのが非常に困難なケースも少なくありません。
標的型攻撃に関しては、以下の記事もご覧ください。
▼標的型攻撃とは?企業の情報資産を狙う驚きの手口と事例・対策も紹介
②ランサムウェア
ランサムウェアとは身代金(Ransom)とソフトウェア(Software)を組み合わせた造語で、PCの復旧と引き換えに「身代金」を要求するプログラムの総称です。ランサムウェアに感染すると端末などに保存されている顧客情報や機密事項データが暗号化されてしまい、管理者でさえデータが使用できなくなってしまいます。データの復号と引き換えに身代金を要求されますが要求に応えたとしてもデータを復旧できるという保証はありません。
また、「ダブルエクストーション(二重の脅迫)」と呼ばれ、窃盗したデータを公開するよう脅してくるケースや、暗号化を行わずデータを窃取して対価を要求する「ノーランサムウェア」という手法も増えています。国内のランサムウェア被害の有名な事例は、2020年の国内大手ゲーム会社です。ランサムウェアの被害によって、約1万5,000人分の個人情報が流出する事件となりました。
なお直近では、ランサムウェアの犯罪グループが組織化し犯罪の分業を行うことで、犯罪がより洗練され高度化・多様化しており、さらに逮捕されるリスクを低減させているようです。
ランサムウェアに関しては、以下の記事もお読みください。
▼ランサムウェアとは?感染経路や被害事例から対策を解説
▼「組織化、ビジネス化するランサムウェア攻撃」とは?サイバー犯罪の新たな脅威を解説
③サプライチェーン攻撃
「サプライチェーン」とは商品やサービスを製造し、消費者へ販売するまでの一連のプロセスのことを指します。「サプライチェーン攻撃」とはそのサプライチェーン上にある中小規模の企業を経由し、本命の標的である大企業に侵入を仕掛けるサイバー攻撃です。気づかぬうちに自社が踏み台となり取引先に甚大な損害を与えてしまうという特徴があります。
サプライチェーン上には複数の企業が関与しているため、まずはセキュリティの薄い中小企業を攻撃し踏み台とし、真の目的であるターゲット大企業に侵入後、ランサムウェアなどに感染させ業務に支障を与えて金銭を要求するという流れで攻撃者が利益を得ることになります。
国内においては、2022年に入ってから自動車のサプライヤー企業にサプライチェーン攻撃が次々と仕掛けられ、関連のある工場やその企業に関係する複数の自動車メーカーが一部の生産を見合わせる事態に発展しました。
▼サプライチェーン攻撃に関しては、以下の記事もお読みください。
なぜ中小企業が狙われる「サプライチェーン攻撃」とは?
④Emotet(エモテット)
「Emotet」とは、マルウェアのダウンロードを勝手に行いながら情報の窃取を行い、被害を広げて行くマルウェアです。分類としては「トロイの木馬」の亜種という位置づけです。Emotetに感染してしまうと、次々と他の勝手にマルウェアをダウンロードした上に、パソコン内を検索しメールの履歴から過去にやり取りがあった顧客等へ、あたかも本人であるかのように装ってEmotet付きの攻撃メールを送信してしまうため、被害はさらに拡大していきます。
また、Emotetはネットワーク上のセキュリティホール(抜け穴)を探索し、他のデバイスへ侵入した上に業務アプリケーションやブラウザの認証情報、社内の機密情報なども盗聴・収集し悪用していく特徴もあります。 Emotetに感染してしまうと、Emotetではないマルウェアを次々とダウンロードして行ってしまい、他のマルウェアでの被害にも広がります。
それらのマルウェアはファイル形式で保存されず、デバイスのメモリに読み込まれて動作するため、感染に気づかないままというケースも確認されています。
さらに、マルウェアを次々とダウンロードしてしまう流れの中で、ランサムウェアがダウンロードされてしまうケースも確認されています。
■Emotet(エモテット)被害に遭うと
Emotetに感染してしまうと、パソコンやブラウザに保存されたIDやパスワード等の認証情報から、メールアカウントやパスワード、メール本文、アドレス帳の情報まで盗まれてしまいます。
また、パソコンに接続されたネットワーク内に感染が広がり、盗まれたメールアカウントや本文が悪用され、Emotetの感染をさらに広げるメールが送信されます。
窃取されたパスワード・認証情報・メールアカウント・メール本文・アドレス帳情報なのデータは、すべて外部へ流出し悪用されてしまいます。
Emotet(エモテット)に関しては、以下の記事もお読みください。
▼凶悪なマルウェア「Emotet(エモテット)」とは?最新の手口や被害事例・予防対策をわかりやすく解説
⑤不正アクセス
不正アクセスとは、アクセス権限を持たない第三者がシステムやサービスに不正ログインする行為です。攻撃対象として企業のサーバやネットワーク、デバイスなどが挙げられ、不正アクセスによってサーバや情報システムが停止してしまったり個人情報が漏えいしてしまう恐れがあります。さらに、不正アクセス時にバックドアという裏口を作られてしまうと、機密情報の盗難や破壊、標的型攻撃の際の踏み台にされてしまう事態も起きかねません。
2020年11月、大手総合電機メーカーが不正アクセスの被害を受け、取引先住所や銀行口座といった情報が外部に流出する事故が起きています。この企業では前年にも大規模なサイバー攻撃を受けて対策を講じていたにもかかわらず、再び被害を受けました。
不正アクセスに関しては、以下の記事もお読みください。
▼企業における不正アクセスの対策とは?基本事項を網羅的に紹介
⑥ウェブサイト改ざん
ウェブサイト改ざんとは第三者が外部からWEBサイトに侵入し、内容を書き換えてしまうことを指します。攻撃の手法は、大きく2つに分けられます。
- ぜい弱性攻撃:WEBサイトやサーバーOSのぜい弱性を狙う
- 管理者アカウントの乗っ取り:標準型メール攻撃によるマルウェア感染や内部の人間からの流出
2000年1月に官公庁のWEBサイトが改ざんの被害に遭った際は、関連WEBサイトも次々と影響を受け事故後は2週間以上もWEBサイト閉鎖を強いられました。
⑦DoS攻撃/DDoS攻撃
DoS攻撃とはWEBサイトやサーバーに対して大量の情報を送り付けることで負荷をかけ、システムをダウンさせるサイバー攻撃のことです。「Denial of Service attack」の略で、日本語訳では「サービス拒否攻撃」とも称されます。また、DoSの先頭にもう一つ「D」が付くと「Distributed Denial of Service attack」(DDoS)となり、「分散型サービス拒否攻撃」と訳されます。政治的な主張などを目的に攻撃を仕掛けるハッカー集団が用いることが多く、これまでも世界中の政府機関が標的となってきました。
近年では日本政府のサイトもDDoS攻撃の標的となっており、2022年9月に政府の複数のシステムが機能停止に追い込まれました。
⑧盗難・紛失・メール誤送信
PCやUSBメモリの紛失、メールの誤送信など組織内部の人間の過失による事故も非常に多く、2022年10月には大学の生徒約800人分の個人情報が含まれているUSBメモリを紛失してしまう事故が起きました。メール誤送信については、下記記事もお読みください。
▼メール誤送信の事故事例3選|原因・対策も解説
⑧内部不正
内部不正とは、組織内部にいる人間が企業の機密情報や顧客情報を不正に社外に持ち出し扱われることを指します。目的としては競合企業に機密情報を流し、有利な状況を作ることであったり、持ち出した情報で利益を得る横領も少なくありません。従業員やその上層部、業務委託先などの外部の会社を含めた組織的犯行のケースでは、発覚を恐れ情報漏洩の事実を隠ぺいしてしまうケースもあります。
また、テレワークの増加によりクラウドサービスの利用が増えデータの持ち出しが容易になったため中途退職者による情報の持ち出しが増加しており、内部不正は根深いサイバー攻撃と言えます。
2015年の事例では、家電量販店の元従業員が競合他社に転職するに際し、同社の営業秘密データ約200件を抜き出し転職先に提供し不正競争防止法違反で既に有罪判決となりました。元従業員は転職の際の手土産とするため退職前に機密データを自己のPCに転送し、転職後も遠隔操作ソフトを使用して営業秘密データを転職先PCに転送していました。
内部不正については、下記記事もお読みください。
▼内部不正対策は万全ですか?営業秘密漏えい増加の背景とその対策を解説
サイバー攻撃の件数の推移
総務省が公表している令和4年版の情報通信白書「サイバーセキュリティの動向」によると、サイバー攻撃の被害件数は年々増加し、2018年から2021年の3年間で被害規模は約2.4倍にも増加しており、さらに増加することが予測されています。[NICTERにおけるサイバー攻撃関連の通信数の推移]
出典:総務省 令和4年版 情報通信白書「サイバーセキュリティの動向」
最新のサイバー事故については、下記記事をお読みください。
▼情報セキュリティ十大トレンド2025発表:JASAが示す身近な脅威と企業の課題
企業におけるサイバー攻撃のリスク
サイバー攻撃によって引き起こされるリスクは、企業の経営や社会的信用に深刻な影響を及ぼします。主なリスクは以下のとおりです。サイバー事故発生による主なリスク
情報漏えいに伴う法的責任個人情報の流出により、損害賠償請求や個人情報保護法に基づく行政処分・罰金が科される可能性があります。
システム停止による業務への影響
ネットワークやサーバやPC、業務システムの停止により、日常業務が遂行できなくなり、顧客対応や取引に大きな支障をきたします。
サイバー事故対応にかかるコストの増大
サイバー事故の原因調査、再発防止策の構築、顧客への謝罪や対応にかかるコストが発生し、企業に大きな負担をもたらします。
社会的信用の失墜
サイバー事故が報道やSNSで拡散されることにより、企業の評判が悪化し、株価の下落、取引先との関係悪化、採用活動への影響など、幅広い分野に波及します。
経営陣への法的責任
適切な内部統制やセキュリティ体制を構築していなかった場合、取締役などの役員が個人として法的責任を問われることもあります。
サイバー事故は広範囲に影響を及ぼします。管理体制がずさんだと役員個人も法的な責任を問われる可能性あるため注意が必要です。
このようなリスクを最小限に抑えるためには、平時からのセキュリティ体制の強化と、万一に備えた体制整備が不可欠です。
サイバー攻撃の被害については、下記記事もお読みください。
▼サイバー攻撃の企業への被害額は?億単位もありえる被害額|2024年最新版を公開
企業が行うべきセキュリティ対策
企業には、個人情報保護法を遵守したうえで、情報漏えい等を防ぐセキュリティ対策が求められます。これに加え、企業の取締役には、職務の一環として内部統制システムの基本方針を取締役会で決定し、その方針に基づき内部統制システムを構築する義務があります。内部統制システムの適切な構築と運用は、個人情報の管理やセキュリティ対策の一環として、企業の社会的責任を果たすためにも重要な役割を果たしています。
具体的な対策を解説します。
組織的対策
・ 個人情報保護方針やセキュリティポリシーの策定・周知・ 従業員への個人情報保護法・情報セキュリティ教育の実施
・ インシデント対応計画の作成
などがあります。
まずは、企業全体で個人情報保護方針を策定し、全従業員に周知徹底しましょう。
従業員教育によって組織全体の意識向上を図ることが大切です。
技術的対策
・ ファイアウォール、ウィルス対策ソフトの導入・更新・ セキュリティの高い通信方法(暗号化通信など)の利用
・ 従業員ごとにアクセス権限の管理を徹底
・ 侵入検知システムの導入
・ 多要素認証の採用
・ 重要データのバックアップ
などがあります。
IT部門などの専門部署・専門家と連携した技術的対策も重要です。不正アクセスの方法は年々複雑化しているため、一度の対策で安心せず、定期的に管理方法を見直すようにしましょう。
物理的対策
・ 監視カメラの設置・ 入退室記録の管理
・ 機密情報の保管を厳重化
・ 廃棄物の適切な処理
・ サーバールームの施錠強化
などがあります。
社内だからと安心せず、監視カメラや施錠強化などで物理的に防ぐ対策も重要です。
しかしどれだけ対策を尽くしても、サイバー事故を100%防ぐ保証はありません。法人向けサイバー保険に加入しておけば、万が一の際に生じる多大な経済的損失や労力から自社と従業員を守ることができるため、この機会に検討してみてください。
サイバー保険の概要と補償内容について
サイバー保険とは、サイバー事故で生ずる損害をカバーする目的で設けられている保険のことです。
サイバー攻撃を受けると不利益は多方面にわたっており顧客情報が流出するだけでなく、高額な損害を伴う事故も増えています。
サイバー攻撃は日々巧妙さを増しており、そのリスクが完全になくなることはありません。
まずはしっかりと情報セキュリティ対策をとり、万一の際の備えも大切です。
サイバー保険の基本的な補償内容は以下の通りです。
● 取引先・顧客からの損害賠償
● 事故対応費用
● 利益損害・営業継続費用
※補償内容は加入するプランや特約によって異なるため、各社保険会社のページを参照ください。
※ランサムウェア感染時の身代金支払いは日本では補償対象外となります。
サイバー保険に関しては、以下の記事もお読みください。
▼サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説
▼法改正でサイバー保険義務化の可能性はある?企業のセキュリティ対策とあわせて解説
サイバー保険を取り扱う保険会社について
サイバー保険コラムの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
サイバー保険 一括見積りサイト
まとめ
本記事では、主なサイバー攻撃の種類とその事例についてお伝えしました。近年では官公庁や大企業だけではなく、セキュリティ対策が比較的遅れている中小企業が狙われるケースが増えており、どの企業でも狙われてもおかしくない状態といえます。
残念ながらサイバー攻撃のリスクをゼロにすることはできませんが、サイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。
もしもに備えてサイバー保険への検討してみてはいかがでしょうか。
