情シス Secret Method

【サイバーセキュリティの今と新たな脅威】企業の損失事例と注意ポイント

昨今、個人情報の漏洩や機密情報の改ざん等により、サイバー攻撃の被害を受ける企業が世界的に急増しています。
このような環境下で企業はサイバーセキュリティの強化に向けてさまざまな活動をしなければなりません。

そこで今回は企業のセキュリティ担当者に対して、サイバーセキュリティに関する現状と新たな脅威や企業の損失事例、注意ポイントを解説します。

目次[非表示]

  1. 1.世界のサイバーセキュリティ損害額は?
    1. 1.1.サイバーセキュリティの新たな脅威
  2. 2.日本におけるサイバーセキュリティ事例とは?
    1. 2.1.ワースト1位:ランサムウェアによる被害
    2. 2.2.ワースト2位:サプライチェーンの弱点を悪用した攻撃
    3. 2.3.ワースト3位:標的型攻撃による機密情報の窃取
  3. 3.サイバーセキュリティの注意ポイント
    1. 3.1.リスク低減のための措置
    2. 3.2.インシデントの早期検知
    3. 3.3.インシデント発生時の適切な対処・回復
  4. 4.まとめ


世界のサイバーセキュリティ損害額は?

2020年、米IBMは世界の主要17カ国・地域におけるサイバーセキュリティの損害額(1件当たり)を発表しました。
この調査結果によると、1位の米国が800万ドル以上、2位の中東が600万ドル以上、3位がカナダ、4位がドイツと続き、5位の日本は約419万ドル(約4億5000万円)でした。
日本の被害額は前年度から9.5%増加しています。

なお、情報漏洩の発生から被害を検出するまでの世界平均は211日間です。
これに対して日本は218日間と世界平均より7日間遅れています。

サイバーセキュリティの損害額が多額にもかかわらず、情報漏洩の発生から被害を検出するまでのスピードが遅く、日本のサイバーセキュリティは更に強化する必要があることが分かります。


サイバーセキュリティの新たな脅威

前述したようにサイバーセキュリティの被害は年々増加しており、犯行手口も巧妙化しています。
更に昨今ではIT技術の進化により、IoT機器の普及が進んでいます。
この結果、新たな脅威としてIoT機器を介在したサイバー攻撃が増加しています。

国立研究開発法人情報通信研究機構(NICT)は2022年2月に「NICTER(Network Incident analysis Center for Tactical Emergency Response)観測レポート2021」でIoT機器へのサイバー攻撃に関する報告がありました。

NICTERによる主なサーバー攻撃対象の宛先ポート番号のトップ10のうち、4つがWebカメラやホームルーター等のIoT機器に関連したものでした。
また、その他のポート(Other Ports)の中にもIoT機器で使用されるポートが多数含まれていました。
これらを合算すると全体の約半数がIoT機器に関する脆弱性を狙ったサイバー攻撃となります。

※参照:NICTER観測レポート2021の公開


日本におけるサイバーセキュリティ事例とは?

世界のサイバーセキュリティ損害額を理解して頂いたところで次は国内に目を向けます。

2023年1月、IPA(独立行政法人情報処理推進機構)は「情報セキュリティ10大脅威 2023」を発表しました。
この情報は2022年に発生したサイバーセキュリティ事例の中から脅威となるものを第1位から10位までをランキング化しています。

そこでここでは企業向けのワースト3に焦点を当て、具体的な事例を紹介します。

ワースト1位:ランサムウェアによる被害

ランサムウェアとは、コンピュータのファイルやシステムを使用不能にし、その復旧と引き換えに金銭を要求する、マルウェア(※)の一種です。

※マルウェア:利用者の意図しない動作をするソフトウェア全般のこと。語源は、mal(悪質な)+ware(software ソフトウェア)からきている。

社内サーバーの暗号化による被害の長期化
2021年7月、某製粉大手企業はサイバー攻撃を受けて社内サーバーが暗号化される被害を受けました。
この結果、早期 復旧が困難となり、四半期決算報告書の提出を延期しました。

病院に対するランサムウェア攻撃
2021年10月、某公立病院がランサムウェアの感染によって、約8万5千人分の電子カルテや会計システムにアクセスできなくなる被害を受けました。 
同病院は犯人に身代金を支払わずにシステムの再構築を行いました。
一部の診療で新規患者の受け入れを中止する等の影響がありましたが、約2か月で通常診療を再開しました。

社会インフラ関連企業における被害
2021年5月、アメリカの某石油パイプライン企業が、ランサムウェアの被害を受けて 5日間の操業停止に追い込まれました。
燃料不足を心配した市民はガソリンを買いだめし、売り切れや価格高騰といった大きな影響が出ました。
犯行グループはデータの暗号化の他にデータの窃取も行っており、二重の脅迫を受けた同社は身代金440万ドルを暗号資産(ビットコイン)で支払ってシステムを復旧させました。


ワースト2位:サプライチェーンの弱点を悪用した攻撃

サプライチェーンとは、製品の原料や部品の調達にはじまり、製造や販売、消費までの一連の経済活動の流れのことを指します。

サプライチェーン攻撃の世界的な増加
米Sonatype社の調査結果によるとOSS(オ ープンソースソフトウェア)をターゲットとしたサプライチェーン攻撃が2021年は1万2千件を超えて 前年比 650%増となった報告しています。
またクラウドの運用を含む技術者300人の内、36%が情報漏えいや侵害等の問題を経験しています。
更に83%が企業においてクラウドの設定ミスに関連する重大なデータ侵害に対して脆弱性があることを懸念しています。

子会社や海外拠点を狙った攻撃
2021年4月、国内の某光学機器メーカーの米子会社がランサムウェア攻撃を受けました。
これにより約 300 ギガバイトの財務や顧客情報等が窃取され、ダークウェブ上のウェブサイトに公開されていることが判明しました。この事件は「アストロチーム」と名乗るサイバー犯罪グループが犯行声明を出しています。

業務委託先から貸与データが外部に流出
2021年9月、某建設コンサルティング企業が、8月に受けたランサムウェア攻撃により連結業績で約7億5000万円の特別損失を計上すると発表しました。
同社に業務委託していた東京都や千葉県市川市は、貸与していたデータも被害を受けた可能性があると発表しています。


ワースト3位:標的型攻撃による機密情報の窃取

標的型攻撃とは、特定の企業や個人などに狙いを定めて行うサイバー攻撃のことです。

サイバー攻撃による企業情報と個人情報の漏えい
2021年12月、某チェーンスーパーを全国展開する企業は、サイバー攻撃を受けて個人情報や機密情報が外部に流出したことを明らかにしました。
発覚の経緯は、本社で利用するサーバーで共有ファイルが開けなくなり、メールが届かない不具合が発生したためと報告されています。

情報共有ツールから受託情報が外部に流出
2021年5月、某国内IT企業が提供するプロジェクト情報共有ツールが
第三者から不正アクセスを受けて顧客から預かった情報の一部が窃取されたことを発表しました。
本ツールは同社やグループ 会社、外部の協力企業、顧客間のシステム開発等のプロジェクト管理に用いられていました。

サイバー攻撃に関する情報共有
IPA(独立行政法人情報処理推進機構)が発足したサイバー情報共有イニシアティブ(J-CSIP)は、2023年2月に2022年度(4月~12月)に受け付けた情報提供のうち
標的型攻撃メールとみなした情報提供が、現状12件と発表しました。

直近の公開レポートでは、2022年10月~12月の間で情報提供があった内容として
『人事部門からの通知を装った不審なメールが送られてきた。』
『参加組織のグループ会社や同社の取り扱い製品のウェブサイトに対して、探索行為とみられる大量の不正通信や、大量の問い合わせフォームへの書き込みが発生した。』
などがありました。

※参照:サイバー情報共有イニシアティブ J-CSIP(ジェイシップ)|IPA(独立行政法人情報処理推進機構)


サイバーセキュリティの注意ポイント

ここまでサイバーセキュリティの損害額と、企業の被害事例をご紹介しました。
あなたの企業を情報セキュリティの脅威から守るためには、どのような点に注意すれば良いでしょうか。

2022年3月、経済産業省は「サイバーセキュリティ対策の強化について」として企業に対してサイバーセキュリティの強化に関する注意喚起を行いました。
これらの情報はすべての企業や個人に対して有効な対策ですので、サイバーセキュリティの注意ポイントとしてご紹介します。

※参考:サイバーセキュリティ対策の強化について | 経済産業省

リスク低減のための措置

・パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。


・IoT機器を含む情報資産の保有状況を把握する。
とくにVPN装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。


・メールの添付ファイルを不用意に開かない、URL を不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。


インシデントの早期検知

・サーバー等における各種ログを確認する。

・通信の監視・分析やアクセスコントロールを再点検する。

インシデント発生時の適切な対処・回復

・データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。

・インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。


まとめ

この記事ではセキュリティ担当者に知っておいて頂きたい、サイバーセキュリティに関する現状と新たな脅威や企業の損失事例、注意ポイントを解説しました。
世界各地や日本国内でも、企業がサイバー攻撃により大きな被害を受けていることをご理解頂けたかと思います。

サイバー攻撃は企業だけで無く個人に対しても年々、増加しています。
誰もが他人事と考えず、サイバーセキュリティの知識を深めるとともに対策を講じることが必要不可欠な時代です。

『自社のサイバーセキュリティは大丈夫なのか、現状を把握したい。』
『サイバーセキュリティについて、プロに相談したい・・・』
という方は、こちらまでご相談ください。


\アイエスエフネットのセキュリティサービス/
情報漏えい調査サービス MIERUPASS(ミエルパス)
エンドポイントセキュリティ MIERUDR(ミエルダー)
標的型攻撃メール訓練サービス MIERUTRAP(ミエルトラップ)
従業員へのセキュリティ教育サービス セキュリティベーシック研修

■関係記事

情報漏えい対策の基本!! 当たり前のようで知らない情シスが行うべきこととは!?

マルウェア_Emotet(エモテット)に感染したらどうなる?特徴とおすすめ対策について

企業が情報漏洩対策として行うべきポイントは?機密情報の守り方を解説



※この記事は、公開時点の情報をもとに作成しています。


加藤 博恵
加藤 博恵
営業兼ひよっこライター。 アイエスエフネットへはエンジニアとして入社し、新卒入社2年目からは営業を担当。 「〇〇って最近トレンドらしいけど、よく分からんなぁ~」というモヤモヤを、スッキリ!に変えるコンテンツをシェアできるよう心がけてまいります! 座右の銘は「置かれた場所で咲きなさい」

サービスについてのお問い合わせはこちら

お電話でのお問い合わせはこちら
平日9:00-18:00
ご不明な点はお気軽に
お問い合わせください。
課題解決の資料は
こちらからダウンロードできます。
情報漏えい調査に関する
ご相談はこちら

おすすめの資料


おすすめの記事

カテゴリー

タグ