社会全体のデジタル化に伴いサイバー攻撃が急増しています。 デジタル・インフォメーション・テクノロジー株式会社が2021年4月発表した「中小企業のサイバー攻撃対策」に関する実態調査」では 、中小企業の約7割が「サイバー攻撃を受けたことがある」と答えています。

→ダウンロード: マーケティング担当者向けプライバシー&セキュリティー無料診断ワークブック

企業は一度でも情報の漏洩や改ざんなどを許してしまえば、取引先や顧客、社会からの信頼は著しく損なわれます。業種や事業規模かかわらず、企業にとってサイバーセキュリティは最優先課題と言えるでしょう。

日本損害保険協会が2020年2月に発表した「中小企業の経営者のサイバーリスク意識調査2019」 によると、中小企業の4社に1社はサイバー攻撃への対策をしておらず、自社がサイバー攻撃の対象となると考えている企業も1割未満となっています。

本記事ではサイバー攻撃の種類と最新動向を紹介し、サイバーセキュリティについて説明します。

マーケティング担当者向けプライバシー&セキュリティー診断

サイバー攻撃とは?

サイバー攻撃とは、ネットワークを通じてPCやサーバーに侵入し、データの破壊や改ざん、個人情報や機密情報漏えいを狙う不正行為を指します。
 

サイバー攻撃の目的

個人がターゲットのサイバー攻撃は金銭を目的とするものがほとんどです。しかし企業や組織を狙うサイバー攻撃は、以下の4点が主な目的とされています。

  • 顧客情報、機密情報
  • クレジットカード情報、身代金
  • 別のネットワークへの踏み台
  • サーバーやWebサイトのサービス妨害
     

顧客情報、機密情報

企業の保有する顧客情報や企業の内部情報、機密情報などを盗む目的で仕掛けられる攻撃です。窃取された情報はなりすましや不正アクセスなどに悪用されます。
 

クレジットカード情報、身代金

クレジットカード情報や決済手続きの不正利用で金銭を得ようとするもののほか、近年見られるのが身代金目的のサイバー攻撃です。身代金目的の手口は、ランサムウェアの項で詳しく説明します。
 

別のネットワークへの踏み台

大企業のネットワークに侵入を試みる攻撃者が、中小企業にサイバー攻撃を仕掛ける場合があります。侵入したコンピューターを遠隔操作し、取引先である大企業のネットワークに侵入することが目的です。
 

サーバーやWebサイトのサービス妨害

標的のサーバーに大量のデータや不正データを送りつけ、リソースを消費させてサービスの妨害します。具体的な手口などはDoS攻撃の項で詳しく説明します。
 

サイバー攻撃の種類

サイバー攻撃の種類1

代表的なサイバー攻撃には以下の5つがあります。

  • マルウェア感染
  • 不正アクセス
  • フィッシング詐欺
  • DDoS攻撃
  • アドウェア
     

マルウェア感染

コンピューターウイルスやスパイウェアなどを総称して「malicious software(悪意のあるソフトウェア)」=マルウェアと呼びます。マルウェアはPCに侵入し、不正行為を行います。近年ではマルウェアが巧妙化し、ユーザーが感染に気づきにくいケースも増えています。

マルウェアの代表的なものとして、以下の5種類があります。

  • ウイルス
  • ワーム
  • トロイの木馬
  • スパイウェア
  • ランサムウェア
     

ウイルス

ウイルスは侵入先のプログラムの一部を書き換えるマルウェアです。単独では存在できず、プログラムに入り込んで増殖します。

ウイルスが仕込まれたメールやWebサイトをユーザーが閲覧すると、PCが動かなくなる、表示が崩れる、ファイルが削除されるといったことが起こります。また、ユーザーが気づかないうちに、ウイルスが仕込まれたメールを拡散する場合もあります。
 

ワーム

ワームはネットワークやメール、USBなどを通じて侵入し、自己複製・自動感染を繰り返すマルウェアです。単独のプログラムとして不正を行うため、別のシステムに侵入する際に、宿主のファイルを必要としません。ネットワークを虫(worm)のように這いまわり、脆弱性を見つけて侵入するところからワームと名づけられました。
 

トロイの木馬

ゲームや動画閲覧ソフト、有用なプログラムを装ってインストールを促し、内部からシステムを侵害するためのプログラムです。特定の条件になるまで待機し、ユーザーが知らない間に個人情報を外部に流出させ、不正攻撃の踏み台にすることもあります。
 

スパイウェア

PCのユーザーに関する情報を、ユーザーの許可なく収集・転送する機能を有するプログラムです。ユーザーがフリーソフトなどをインストールする際に、一緒にインストールされてたり、Webサイトを閲覧しただけでダウンロードされたりするものがあります。
 

ランサムウェア

身代金という意味のランサムとソフトウェアを組み合わせ、ランサムウェアという言葉が生まれました。ランサムウェアに感染すると、ファイルがアーカイブされたり暗号化されたりして読み込めなくなり、元に戻すための身代金が要求されます。

サイバー攻撃の種類2 例:ランサムウェア「Wannacry」 |大阪府警察

例えばランサムウェアのWannacryに感染すると、ファイルが次々に暗号化され、ブラウザに身代金を要求する表示が出ます。

マルウェアについては以下の記事でも詳しく解説しています。ご興味のある方はぜひご覧ください。

マルウェアとは?会社のPCやスマホが感染した際の対処法を解説
 

不正アクセス

不正アクセスとは、アクセス権限を持たない第三者が、サーバーやシステム内部へ侵入することです。

サイバー攻撃の種類3

令和2年における不正アクセス後の行為別認知件 |警察庁

警察庁の発表によれば、不正アクセスした後、攻撃者の約65.8%がインターネットバンキングで不正送金を行っています。金銭目的のほかに、なりすましやWebサイトの改ざんを目的とする場合もあります。

不正アクセスの手口を内訳で見ると、「識別符号窃用型」(パスワードを窃取し悪用する手口)が全体の90%を占めています。

サイバー攻撃の種類4

不正アクセス行為の手口別検挙状況 (2021年) |警察庁

パスワードの窃取に比べて割合は少ないものの、セキュリティ・ホールの脆弱性を突き、不正アクセスを行うケースも見受けられます。
 

フィッシング詐欺

フィッシング詐欺とは有名企業を装ったメールやSMSで、IDやパスワード、クレジットカード番号などを窃取しようとするものです。

フィッシング対策協議会 の報告によると、フィッシング詐欺の被害は年々増えており、2021年8月は過去最高の53,177件、またフィッシングサイトも過去最高の9,024件となりました。以下がフィッシング対策協議会に寄せられた2020年10月から本年9月までの報告件数のグラフです。

サイバー攻撃の種類5

2021年10月フィッシング報告件数 |フィッシング対策協議会

フィッシングメールに悪用されたブランドはAmazonが最も多く、全体の30.6%を占めました。その他、金融系のカード各社が続きます。スマホのSMS経由では、携帯キャリアを装うものも多く出回りました。
 

DDoS攻撃

WebサイトやサーバーがDoS攻撃やDDoS攻撃を受けると、Webサイトの閲覧ができなくなったり、動きが遅くなったりして、ユーザーにも負担をかけます。

DoS攻撃とはDenial Of Service Attack(サービス拒否攻撃)の略で、 Webサイトやサーバーへさまざまな方法でネットワークパケットを送付し、サーバーのリソースを消費させてサービスの妨害を目的とするものを指します。

DDoSはDistributed Denial of Service attack(分散型サービス拒否攻撃)の略で、攻撃者が複数の一般のコンピューターを乗っ取り、一斉にDoS攻撃を行います。そのためDDoS攻撃の場合攻撃者を割り出すのが難しく、また通常のアクセスと切り離して攻撃者のアクセスだけを排除することも難しいのが特徴です。
 

悪質なアドウェア

アドウェアはフリーソフトをインストールした時に、一緒にインストールされ、Webブラウザのポップアップ機能やホーム画面に広告表示を行うソフトウェアです。

アドウェアの中でも悪質なものは、単に広告を表示するだけでなく、インストールされたPCの内部情報を収集して外部に送信します。

その他にもブラウザの拡張機能としてダウンロードされるものや、セキュリティ上の問題が存在するように見せかけて悪質なマルウェアをダウンロードさせるものなどがあります。
 

サイバー攻撃の最新動向

サイバー攻撃の最新動向1

総務省が2020年12月に発表した「 サイバー攻撃の最近の動向等について 」によると、サイバー攻撃の目的や手法が変化して、より組織的かつ大規模になり、手口も巧妙化しています。

サイバー攻撃の最新動向2

サイバーセキュリティ上の脅威の増大 |総務省

近年目立つのが、以下の2つの傾向です。

  • 標的型サイバー攻撃の増加
  • 金銭以外の目的も多発
     

標的型サイバー攻撃の増加

標的型攻撃とは、標的とする個人や標的組織に属する人に向け、ターゲットが信頼する組織や人を偽装して、不正プログラムを感染させたり、不正サイトへアクセスさせたりする手法です。

警察庁の発表 によると、2020年の標的型メール攻撃の件数は、全体の5%に過ぎません。しかし、標的型のメールは以下の特徴があります。

  • 75%がメールアドレスがインターネット上で公開されていない業務アドレスに送信されている
  • 97%が送信元メールアドレスが偽装されている

標的型攻撃の代表的なEmotetは、以下のような手口で偽装メールが作成されます。

①攻撃者はA社に向け、実在する企業を装い、添付ファイル付きのメールを送信

②A社が添付ファイルを開くと、プログラムが実行される

③A社がB社と通常のやりとりをする

④攻撃者はその内容を引用した添付ファイル付きの偽装メールを作成し、A社名でB社に送信

⑤B社はA社からのメールと思いこみ、添付ファイルを開いて感染が拡大する

入念に偽装されているため見分けがつきにくいのです。

添付されたファイル形式は、さまざまなものがあります。2019年には圧縮ファイルが9割近くを占めていたのに対し、2020年にはWord文書が増加しています。

サイバー攻撃の最新動向3

令和2年におけるサイバー空間をめぐる脅威の情勢等について |警察庁

標的型攻撃にはメールを利用したもののほかに、標的とする個人や標的組織に属する人が利用するWebサイトやSNSで、不正プログラムなどをダウンロードさせる水飲み場攻撃もあります。
 

金銭以外の目的も多発

IPAの2020年の統計 によると、個人へは金銭目的が目立ち、法人へは金銭目的以外のサイバー攻撃が増加しています。

順位

個人

組織

1

スマホ決済の不正利用

標的型攻撃による機密情報の窃取

2

フィッシングによる個人情報の詐取

内部不正による情報漏洩

3

クレジットカード情報の不正利用

ビジネスメール詐取による金銭被害

情報セキュリティ10大脅威 2020 を元に作成

総務省の「 サイバー攻撃の最近の動向等について 」では、近年のサイバー攻撃の動向について紹介されています。
 

サイバー攻撃による企業の被害事例

サイバー攻撃による企業の被害事例

実際に組織や企業に仕掛けられ、大きな影響を与えた事例を紹介します。
 

被害事例1 日本年金機構の情報流出(標的型攻撃)

2015年5月、日本年金機構に対する標的型攻撃によって、年金加入者の個人情報125万件が流出しました。

これは職員がフリーアドレスから送られたメールを開封し、ファイルをダウンロードすることから端末が感染したケースです。最初のメールが開封されてから機構内で全端末の接続を遮断する約3週間の間に、125万件の情報が流出しました。
 

被害事例2 コインチェックの仮想通貨流出(不正アクセス)

仮想通貨取引所のコインチェックに不正アクセスがあり、2018年1月、約580億円にも上る顧客の資産が流出しました。これは従業員の端末がマルウェアに感染し、仮想通貨を管理する秘密鍵が悪用されたことが原因でした。
 

被害事例3 カプコンのランサムウェア被害(ランサムウェア)

カプコンは2020年11月、ランサムウェアによる不正アクセス攻撃を受けました。この攻撃でカプコンはシステム障がいが発生、1TBともいわれる顧客情報が流出しました。身代金として仮想通貨で1,100万ドルを支払うことを要求され、カプコン側は支払いを拒否しました。
 

サイバー攻撃を防ぐ主なセキュリティ対策

基本的なサイバーセキュリティを説明します。
 

PCに関する対策

サイバー攻撃は脆弱性を狙います。そのため以下の徹底が必要です。

  • OSやソフトを常に最新版にする
  • 利用する場合は安易にファイルを開かず、インストールはしない
  • マルウェアを検知するセキュリティソフトを導入する
     

サーバーに関する対策

自社でサーバーを運用する場合は、以下のことを徹底します。

  • OSやサーバソフトウェア、ミドルウェアを常に最新版にする
  • 不要なサービスやアプリは停止する
  • アカウント一覧を定期的にチェックし、不要なアカウントを削除する
  • ファイル・ディレクトリに対して適切なアクセス制御を行う
  • サーバーの各種ログファイルを定期的に確認する
     

企業において必要なセキュリティ対策

進化し続けるサイバー攻撃は、完全には防御できません。基本的な対策を徹底した上で、危険な徴候を見つけたらすぐにネットワークを切断し、状況を整理確認します。
 

セキュリティソフトの導入

セキュリティソフトは既存のマルウェアに一致するものを検知して対処します。新種のマルウェアに対しては対処できませんが、サイバー攻撃の多くは過去の脆弱性を利用しているため、セキュリティソフトの導入やOS、アプリの更新は欠かせません。
 

従業員のセキュリティ意識を向上させる

不審なファイルは開かない、危険のあるWebサイトは行かない、送り主のわからないメールは開封しないなどの基本的な対策を徹底し、従業員の意識を高めることが重要です。
 

「サイバーセキュリティ経営ガイドライン」の実践

経産省は「 サイバーセキュリティ経営ガイドライン ver.2.0 」を発表しています。

ガイドラインでは「サイバーセキュリティは経営問題」と定義し、経営者のリーダーシップの下、経営戦略の一環としてサイバーセキュリティを実施することを求めています。

「サイバーセキュリティ経営」として、経営者が認識すべき「3原則」や、経営者が情報セキュリティ対策を実施する責任者であるCISO(Chief Information Security Officer=情報セキュリティ責任者)に指示すべき「重要10項目」がまとめられています。
 

サイバーセキュリティは顧客や見込み客に安全安心を届けること

クラウドやスマートフォン、IoTの普及によって、サイバーセキュリティの重要性は今後ますます高まっていくでしょう。

企業が取り組むべきサイバーセキュリティは、顧客情報や企業の機密情報の窃取や、大企業の内部に侵入するための踏み台など、多岐に渡ります。

サイバーセキュリティは、自社を守るだけでなく、自社の製品やサービスを利用する顧客や潜在的な見込み客に「安全・安心」という価値を提供することにもつながります。

HubSpotではこの他にもマーケティングやセールスに役立つ資料を無料で公開していますので、ぜひこちらからご覧ください。

 

マーケティング担当者向けプライバシー&セキュリティー診断

 マーケティング担当者向けプライバシー&セキュリティー診断

元記事発行日: 2021年11月10日、最終更新日: 2021年11月10日