サイバー攻撃から会社を守る!
手口や事例、対策を徹底解説

2019.3.11

インターネットの使用が広がり続ける中、近年「サイバー攻撃」という単語をよく耳にするようになりました。2018年も大手企業がサイバー攻撃を受け、大きなニュースとなりました。被害に遭わないためには、サイバー攻撃の手口を知って、対策する必要があるでしょう。今回は、サイバー攻撃の手口や実際の被害事例、対策方法などについて解説していきます。

サイバー攻撃とは?

サイバー攻撃とは、簡単にいえばサーバに対して不正にアクセスし、個人情報や機密情報を盗んだり、データ改ざんや破壊をしたりすることです。被害に遭うと復旧するためのコストがかかるだけではなく、顧客の情報が流出してしまえば企業としての信用を失い、大きな痛手を被ることになります。

サイバー攻撃の手口

実際の手口を知らなければ、対策することができません。
サイバー攻撃から企業を守るために、代表的な手口を知っておきましょう。

ランサムウェア

ランサムウェアとは、トロイの木馬(偽装して侵入する手段)により入り込んだウイルスで、PC内のデータにロックをかけ、解除させるためにお金を要求するサイバー攻撃です。英語で身代金を表す「ransom」から名付けられました。

DoS攻撃

DoS攻撃のDosとは「Denial of Service attack(サービス拒否攻撃)」の略で、攻撃者(1拠点)が相手側のサーバに対して過剰な負荷を与え、活動を遅くしたり停止させたりします。
複数拠点から攻撃することでDoS攻撃よりも負荷が高くなる、「DDoS攻撃(Distributed Denial of Service attack:分散型サービス拒否攻撃)」もあります。

F5アタック

インターネットブラウザでF5キーを押すと、リロード(ページの更新)が行われます。リロードはサーバに対して一定の負荷がかかることから、意図的にF5キーを連打するような行為でサーバをダウンさせる攻撃です。もっとも手軽に実行されているサイバー攻撃といえるでしょう。

SQLインジェクション

SQLインジェクションとは、サーバに対してSQL文というものをデータベースに送り込み、不正な動きをさせるというものです。それによってデータベースを壊したり、情報を盗んだり書き換えたりします。場合によってはブラウザのアドレスバーやフォームからも攻撃できるため、多くの企業が被害に遭っています。

リスト型攻撃

インターネット上ではあらゆるサービスが存在し、複数のアカウントを持っているユーザーが数多く存在します。管理が面倒という理由から同一のパスワードで対応している人は少なくありません。攻撃者は別のサイトから取得したパスワードを利用し、目標のサイトから個人情報や金銭を盗みます。これがリスト型攻撃です。

サイバー攻撃の被害事例

サイバー攻撃にはさまざまな方法があり、被害も多く報告されています。氷山の一角ではありますが、企業や団体が受けたサイバー攻撃の事例を見てみましょう。

事例1:ローソン

2018年9月にローソンが管理している「ローソンID」が、サイバー攻撃によって不正にアクセスされたことが発表されました。これは他サイトでも使用している同一パスワードを利用したリスト型攻撃によるものです。ローソン側はパスワードリセットの対応をし、被害を抑えました。被害規模や賠償金などは非公表です。

事例2:日本年金機構

2015年5月に日本年金機構は125万人分の個人情報が漏えいしたと発表しました。発端はフリーアドレスから日本年金機構の職員に向けて送られた、「『厚生年金制度見直しについて(試案)』に関する意見」というタイトルのメールです。職員が開封・ダウンロードを行ったことにより、PCがウイルスに感染し、個人情報が漏えいしました。被害による影響額は120億円以上と報道されています。

事例3:British Airways

イギリスの航空会社British Airwaysも2018年にサイバー攻撃の被害に遭っています。同社が提供しているアプリケーションソフトに欠陥があり、そこからユーザー情報を盗まれたというものです。およそ38万人のユーザーの個人情報が盗まれ、企業イメージが大幅ダウンするとともに、賠償金の支払いを負うことになりました。

事例4:徳島県鳴門病院

2018年に徳島県鳴門病院のホームページが不正アクセスを受け、ハングル語による不正投稿があったと発表されました。電子カルテや個人情報は漏えいされなかったため、被害こそ少なくすみましたが、大手企業だけが狙われているわけではないことがうかがえます。

サイバー攻撃の対策方法

サイバー攻撃から身を守るためには専門的な知識や人員が必要に思えますが、そうでなくても対処できる方法はあります。

セキュリティツールを使用する

セキュリティ対策といえばウイルス対策ソフトを思い浮かべることが多いですが、それだけでは完全な対策とは言えません。ウイルス対策ソフトは既存のウイルスに対して対策をしているだけであり、最新のウイルスには対応していないからです。サイバー攻撃対策には、セキュリティ会社が提供する、セキュリティツールの利用がおすすめです。具体的には下記のような方針が取られています。

  1. 侵入をさせない
  2. 内部から外部に通信させない
  3. 攻撃された場合は隔離

この3原則を守れば、万一サイバー攻撃を受けても、大きな被害になることはないでしょう。

従業員のセキュリティ意識の向上も重要

従業員のセキュリティ意識を徹底させることも重要です。フィッシングメールやなりすましメールなどがあるので、最新のセキュリティ情報を従業員に常に伝えていく必要もあるでしょう。

中小企業が狙われている⁉

メディアで報道されているのは大手企業ばかりですが、中小企業も被害が拡大しています。IPA(情報処理推進機構)が発表した「2016年度 中小企業におけるセキュリティ対策に関する実態調査」では、ウイルスに感染した割合は小規模企業が27.8%、中小企業(100人以下)が34.4%、中小企業(100人以上)は54.6%と発表しています。

大手企業はサイバー攻撃のための対策を実施しつつありますが、その一方で中小企業の多くは対策まで手が回っていない状態です。前述の調査において、小規模企業では57.5%が、100人以下の中小企業でも43.7%が情報セキュリティを「組織的には行っていない」としています。

現状では、中小企業こそサイバー攻撃の格好の餌食とされる可能性があります。今問題と感じていなくても、リスクに備えてしっかりしたセキュリティ対策が必要と言えるでしょう。

巧妙化されるサイバー攻撃だがセキュリティも進化している

サイバー攻撃は年を追うごとに巧妙化しています。しかし、セキュリティ対策のソフトウェアや機器も進化を遂げています。リスクを低下させるために、セキュリティ情報を収集し、しっかり対策をとるようにしましょう。

あわせて読みたい関連記事

関連サービス

Cybereason

Cybereasonのセキュリティプラットフォームは、エンドポイントのログを収集し、侵入したマルウェアのサイバー攻撃の兆候をリアルタイムに検知することができる、クラウド型のデータ解析プラットフォームです。

詳細をみる

導入事例

  • 株式会社ジンズ 様

    株式会社ジンズ 様

    「Cybereason」の導入で運用負荷を最小限に抑えながらセキュリティを強化

    • 導入サービス:Cybereason
    • 業種:流通
    • 規模:1,001〜5,000人
  • 株式会社 TATERU 様

    株式会社 TATERU 様

    全社のPCと一部サーバに、「Cybereason」を導入。脅威を可視化し、未知の脅威へ対するセキュリティを強化

    • 導入サービス:Cybereason
    • 業種:不動産・住宅
    • 規模:101〜500人
  • 株式会社ベルク様

    株式会社ベルク様

    事業拡大にともないCybereasonを導入しセキュリティ強化、標的型攻撃からベルクカード会員の個人情報を守る

    • 導入サービス:Cybereason
    • 業種:サービス
    • 規模:5,001人以上
biz news

メールマガジン「Biz News」登録最新サービスや事例のご紹介、イベント案内、最前線の情報など、役立つ情報を配信中。

個人情報の取り扱いについて

本フォームにご入力頂いたお客さま情報は、個人情報保護法および、当社プライバシーポリシーに従い適切に管理いたします。 ソフトバンク株式会社「個人情報保護のための行動指針

お預かりしたお客さま情報は以下の目的に限り使用いたします。

  • ・弊社取り扱い製品、サービス、セミナーなどに関する情報のご案内
  • ・お問い合わせや資料請求への対応
  • ・今後の販売活動のためのマーケティング・分析活動

お預かりしたお客さま情報はお客さまご本人から、当社の運営上支障が無い範囲で閲覧、修正、削除を要求することができます。その場合はお問い合わせ先までご連絡いただけますようお願いいたします。

ソフトバンク 法人のお客さま向けサービス・ソリューション