あなたの会社も狙われています！　昨今のサイバー攻撃の実態

日本国内において多くの企業が被害を受けている印象のサイバー攻撃。実はサイバー攻撃の件数が急増し、業種や事業の規模を問わず被害が拡大していることをご存じでしょうか。
そこで今回は、昨今のサイバー攻撃の実態・事例を通じて、注意すべき点やセキュリティにかかる費用などについて解説します。いつターゲットになってもおかしくないサイバー攻撃から企業の資産を守るために、できることを知っておきましょう。

┃押さえておきたいサイバー攻撃の実態と手口

 はじめに、サイバー攻撃の実態、具体的な手口、サイバー攻撃を受けた際にすべきことについて見ていきましょう。自社のサイバーセキュリティ対策を考える上で役立つ知識となるため、ぜひチェックしてください。

┃サイバー攻撃の実態

サイバー攻撃の件数は、近年急増の動きを見せています。2019年の不正アクセス行為の認知件数は前年と比較しておよそ2倍の2,960件。2019年のフィッシング届出件数は、前年と比較しておよそ2.8倍の55,787件となっています。
出典：総務省　サイバー攻撃の最近の動向等について
また、日本損害保険協会の2018年調査を見ると、業種に偏りはあるものの、製造、建設、情報通信、運輸、卸売・小売、金融、保険等に至るまで、幅広くサイバー攻撃の対象となっていることがわかります。
さらに、日本損害保険協会の2018年調査によれば、サイバー攻撃を受けたと回答した企業のおよそ17%が売上高10億円未満であることが判明しました。
現在のサイバー攻撃は急増傾向にあり、また、業種や規模を問わずターゲットとなる恐れがあると言えるでしょう。

┃サイバー攻撃の具体的な手口

サイバー攻撃の具体的な手口には、以下のようなものがあります。
・標的型攻撃 メールに悪意のあるURLリンクの貼り付けやファイル添付等を行い、ターゲット企業に送付します。
・マルウェア（ランサムウェア） 悪意のあるソフトウェアやコードによってコンピューターの挙動に悪影響を及ぼしたり、盗み出したデータの返却などに対して対価を要求します。
・フィッシング詐欺 正規サービスになりすまして、ユーザーの情報を不正に取得します。
・中間者攻撃 情報の盗聴・傍受を行います。
・DoS攻撃/DDoS攻撃 相手のコンピューター（サーバー）に過剰な負荷をかけます。画面の更新機能を悪用した「F5アタック」も同様の手口です。
・ゼロデイ攻撃 システムにおいて未公表の脆弱性を突いた攻撃方法です。
・SQLインジェクション 悪意ある入力情報をデータベースに注入する攻撃手口です。

┃サイバー攻撃のセキュリティ対策における費用について

多くの企業にとって、コンピューターやインターネットは業務上不可欠な存在です。そのため、サイバー攻撃へのセキュリティ対策は、企業の必須課題だと言えるでしょう。ここからは、サイバー攻撃のセキュリティ対策における費用面について解説します。

┃費用をかけてセキュリティ対策すべき理由

中小企業白書（2016年版）によると、情報セキュリティ対策の年間費用は以下の通りとなります。

・大企業：1,000万円以上が20%前後。

・中小企業：100万円以下が半数。100万円〜1,000万円以上の費用をかける中小企業も20%前後。

このような多額の費用をかけて情報セキュリティ対策すべき理由は、「セキュリティ対策の不備によって企業が信頼を損ない、多大な経済的損失を被る可能性があるから」です。
実際に、情報通信白書（令和元年版）によると、2017年の世界におけるサイバー犯罪で発生したコストは6,080億ドル。日本国内においては、情報流出等の開示を行った企業の純利益が平均21%減、株価が平均10%ダウンしたとの調査結果が示されています。

┃サイバー攻撃のセキュリティ対策で費用を抑えるコツ

①セキュリティリスクを把握する

専門ツールなどを使用し、自社が抱えるセキュリティリスクを的確に把握することで、不要なコストの発生を避けることが期待できます。

②ツールをよく比較検討して選ぶ

自社が抱えるセキュリティリスクを解決する際、むやみに高価・多機能なツールを選ぶと、イニシャルコスト・ランニングコストが増大するリスクがあるので注意が必要です。

③オープンソースやクラウドを利用する

一部にオープンソースやクラウドのセキュリティツールを利用することで、コスト削減できる場合があります。

④助成金を利用する

サイバーセキュリティ関連では、現在「サイバーセキュリティ対策促進助成金」の利用が可能。最大1,500万円までの助成が受けられますが、「SECURITY ACTION」（IPA実施）で2つ星宣言している東京都内の中小企業・団体、個人事業主のみが対象です。

┃利用者側が今すぐ気をつけるべき2つのポイント

セキュリティ上の危険は、利用者側（ユーザー）の問題によっても生じる恐れがあります。特に「認証情報の管理が行き届いていない」「システムやサービスの設定に誤りがある」といった事柄には注意が必要です。

①認証情報

認証情報とは、システムやサービスの利用に必要なIDやパスワードのこと。認証情報は第三者の手に渡らないよう、利用者側での万全の管理が必要です。仮にサイバー攻撃によって認証情報が取得された場合、以下のように悪用されるリスクがあります。

・ サービスへの不正アクセス

・ webサイトやシステムの改ざん/破壊

・ システムやサービス上に仮想サーバーを立ち上げ、他社へのサイバー攻撃に利用する

・ システムやサービス上に仮想サーバーを立ち上げ、仮想通貨の採掘に利用する　等

また、認証情報を適切に管理する際のポイントや注意点は以下の通りです。

・複数のシステムやサービスでパスワードを使いまわさない

・簡単なパスワード/パターン化されたパスワードを避ける

・メモや電子メールでパスワードが伝達された場合、ログイン後にパスワードを変更する

・流出時は速やかにパスワード変更する

・パスワードの再発行に際しては、なりすましリスクを想定した対応方法を考えておく

②システムの設定

システムやサービスにおける人為的な設定ミスが、情報漏洩につながるリスクもあります。例えば、重要情報の入ったフォルダを誤って公開設定した場合、サイバー攻撃がなくても情報流出の状態となるのです。
実際に、日本ネットワークセキュリティ協会（JNSA）の調査では、設定・管理ミスが原因の情報漏洩が全体の約16％を占め、不正アクセスに次いで高い危険性のあることが示されています（※1）。
具体的な事例として、2020年に楽天グループが最大約148万件の企業・個人情報の流出を発表しました。原因は、楽天グループが利用するサービスにおける設定ミスであったと見られています。 （※1：日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査結果～個人情報漏えい編～」）

┃サイバー攻撃を受ける前にやっておきたい予防策
 

サイバー攻撃による被害を出さないために、またサイバー攻撃を受けた際に速やかな初動対応ができるよう、以下の予防策を講じておきましょう。

①脆弱性の発見と、情報の重要度の評価

脆弱性の発見には、セキュリティソフトの導入はもちろん、専門家を交えての社内システム等の点検も有効です。同時に情報の重要度を評価し、重要度の高いものから優先的にセキュリティ対策していきましょう。

②社内体制の構築

保存する情報の暗号化、不正侵入を防ぐための入退室管理、ログ管理の徹底、定期的な社員への情報セキュリティ教育、専門人材の確保などを実施します。

③緊急時対応マニュアルの作成

緊急連絡網の整備ほか、初動対応、社内外への発表に至るまで、緊急時の対応方法をマニュアル化しておきましょう。

④訓練の実施

緊急時対応マニュアルが活かせるように、緊急事態を想定した定期的な訓練を実施します。

⑤サイバー保険への加入

サイバー保険への加入によって、第三者への損害賠償、自社の損失利益への補償、事故処理等に係 る費用等がカバーできます。サイバー攻撃による万が一の事態に備えるための有効な手段です。

┃まとめ

サイバー攻撃の手口は多様化し、件数も急増しています。大企業のみならず中小企業もターゲットになっているのが現状です。サイバー攻撃で重要情報の流出などがあれば、企業の信用失墜にもつながるため、しっかりと予防策を講じる必要があります。また、不正アクセスや情報流出の危険をゼロにすることは現実的に難しいため、「攻撃された際の補償」としてサイバー保険に加入するなど、万全な体制を整備しておくことが不可欠です。