フォーム読み込み中
サイバー攻撃から会社を守る! 手口や事例、対策を徹底解説
ビジネスブログ「 Future Stride」編集チーム
ビジネスブログ「 Future Stride」では、ビジネスの「今」と「未来」を発信します。
DXや業務改革をはじめとしたみなさまのビジネスに「今」すぐ役立つ最新トレンドを伝えるほか、
最先端の技術を用いて「未来」を「今」に引き寄せるさまざまな取り組みにフォーカスを当てることで、すでに到来しつつある新しいビジネスの姿を映し出していきます。
2019年1月31日掲載
2021年6月30日更新
インターネットの使用が広がり続ける中、近年「サイバー攻撃」という単語をよく耳にするようになりました。2018年も大手企業がサイバー攻撃を受け、大きなニュースとなりました。被害に遭わないためには、サイバー攻撃の手口を知って、対策する必要があるでしょう。今回は、サイバー攻撃の手口や実際の被害事例、対策方法などについて解説していきます。
※ランサムウェアとサイバーセキュリティに関するホワイトペーパーの紹介を追加しました(2021年6月30日)
サイバー攻撃とは?
サイバー攻撃とは、簡単にいえばサーバに対して不正にアクセスし、個人情報や機密情報を盗んだり、データ改ざんや破壊をしたりすることです。被害に遭うと復旧するためのコストがかかるだけではなく、顧客の情報が流出してしまえば企業としての信用を失い、大きな痛手を被ることになります。
サイバー攻撃の手口
実際の手口を知らなければ、対策することができません。
サイバー攻撃から企業を守るために、代表的な手口を知っておきましょう。
ランサムウェア
ランサムウェアとは、トロイの木馬(偽装して侵入する手段)により入り込んだウイルスで、PC内のデータにロックをかけ、解除させるためにお金を要求するサイバー攻撃です。英語で身代金を表す「ransom」から名付けられました。
DoS攻撃
DoS攻撃のDoSとは「Denial of Service attack(サービス拒否攻撃)」の略で、攻撃者(1拠点)が相手側のサーバに対して過剰な負荷を与え、活動を遅くしたり停止させたりします。
複数拠点から攻撃することでDoS攻撃よりも負荷が高くなる、「DDoS攻撃(Distributed Denial of Service attack:分散型サービス拒否攻撃)」もあります。
F5アタック
インターネットブラウザでF5キーを押すと、リロード(ページの更新)が行われます。リロードはサーバに対して一定の負荷がかかることから、意図的にF5キーを連打するような行為でサーバをダウンさせる攻撃です。もっとも手軽に実行されているサイバー攻撃といえるでしょう。
SQLインジェクション
SQLインジェクションとは、サーバに対してSQL文というものをデータベースに送り込み、不正な動きをさせるというものです。それによってデータベースを壊したり、情報を盗んだり書き換えたりします。場合によってはブラウザのアドレスバーやフォームからも攻撃できるため、多くの企業が被害に遭っています。
リスト型攻撃
インターネット上ではあらゆるサービスが存在し、複数のアカウントを持っているユーザーが数多く存在します。管理が面倒という理由から同一のパスワードで対応している人は少なくありません。攻撃者は別のサイトから取得したパスワードを利用し、目標のサイトから個人情報や金銭を盗みます。これがリスト型攻撃です。
サイバー攻撃の被害事例
サイバー攻撃にはさまざまな方法があり、被害も多く報告されています。氷山の一角ではありますが、企業や団体が受けたサイバー攻撃の事例を見てみましょう。
事例1:ローソン
2018年9月にローソンが管理している「ローソンID」が、サイバー攻撃によって不正にアクセスされたことが発表されました。これは他サイトでも使用している同一パスワードを利用したリスト型攻撃によるものです。ローソン側はパスワードリセットの対応をし、被害を抑えました。被害規模や賠償金などは非公表です。
事例2:日本年金機構
2015年5月に日本年金機構は125万人分の個人情報が漏えいしたと発表しました。発端はフリーアドレスから日本年金機構の職員に向けて送られた、「『厚生年金制度見直しについて(試案)』に関する意見」というタイトルのメールです。職員が開封・ダウンロードを行ったことにより、PCがウイルスに感染し、個人情報が漏えいしました。被害による影響額は120億円以上と報道されています。
事例3:British Airways
イギリスの航空会社British Airwaysも2018年にサイバー攻撃の被害に遭っています。同社が提供しているアプリケーションソフトに欠陥があり、そこからユーザー情報を盗まれたというものです。およそ38万人のユーザーの個人情報が盗まれ、企業イメージが大幅ダウンするとともに、賠償金の支払いを負うことになりました。
事例4:徳島県鳴門病院
2018年に徳島県鳴門病院のホームページが不正アクセスを受け、ハングル語による不正投稿があったと発表されました。電子カルテや個人情報は漏えいされなかったため、被害こそ少なくすみましたが、大手企業だけが狙われているわけではないことがうかがえます。
サイバー攻撃の対策方法
サイバー攻撃から身を守るためには専門的な知識や人員が必要に思えますが、そうでなくても対処できる方法はあります。
セキュリティツールを使用する
セキュリティ対策といえばウイルス対策ソフトを思い浮かべることが多いですが、それだけでは完全な対策とは言えません。ウイルス対策ソフトは既存のウイルスに対して対策をしているだけであり、最新のウイルスには対応していないからです。サイバー攻撃対策には、セキュリティ会社が提供する、セキュリティツールの利用がおすすめです。具体的には下記のような方針が取られています。
- 侵入をさせない
- 内部から外部に通信させない
- 攻撃された場合は隔離
この3原則を守れば、万一サイバー攻撃を受けても、大きな被害になることはないでしょう。
従業員のセキュリティ意識の向上も重要
従業員のセキュリティ意識を徹底させることも重要です。フィッシングメールやなりすましメールなどがあるので、最新のセキュリティ情報を従業員に常に伝えていく必要もあるでしょう。
中小企業が狙われている⁉
メディアで報道されているのは大手企業ばかりですが、中小企業も被害が拡大しています。IPA(情報処理推進機構)が発表した「2016年度 中小企業におけるセキュリティ対策に関する実態調査」では、ウイルスに感染した割合は小規模企業が27.8%、中小企業(100人以下)が34.4%、中小企業(100人以上)は54.6%と発表しています。
大手企業はサイバー攻撃のための対策を実施しつつありますが、その一方で中小企業の多くは対策まで手が回っていない状態です。前述の調査において、小規模企業では57.5%が、100人以下の中小企業でも43.7%が情報セキュリティを「組織的には行っていない」としています。
現状では、中小企業こそサイバー攻撃の格好の餌食とされる可能性があります。今問題と感じていなくても、リスクに備えてしっかりしたセキュリティ対策が必要と言えるでしょう。
巧妙化されるサイバー攻撃だがセキュリティも進化している
サイバー攻撃は年を追うごとに巧妙化しています。しかし、セキュリティ対策のソフトウェアや機器も進化を遂げています。リスクを低下させるために、セキュリティ情報を収集し、しっかり対策をとるようにしましょう。
関連サービス
Cyberreason
Cybereasonのセキュリティプラットフォームは、エンドポイントのログを収集し、侵入したマルウェアのサイバー攻撃の兆候をリアルタイムに検知することができる、クラウド型のデータ解析プラットフォームです。
資料ダウンロード
「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」
ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。
昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。
このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
サイバーセキュリティのソリューションに関するホワイトペーパーも公開中です。
次世代のセキュリティモデル「ゼロトラスト」も解説しています。是非ダウンロードしてください。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
