企業と顧客を守るセキュリティ対策とは？サイバー攻撃事例と対処法

近年、被害が多く報告されている企業へのサイバー攻撃。パートナー企業へのサイバー攻撃に端を発した大手自動車メーカーの国内工場全面停止や、大手ゲームメーカーが被害にあった不正アクセスによるデータ盗難など、企業を狙うサイバー攻撃が後を絶ちません。攻撃の手口も多様化する中、セキュリティトラブルへの対策は、自社だけでなく、取引先や顧客を守る上で不可欠です。そこでこのコラムでは、現在発生しているサイバー攻撃によるセキュリティトラブルの具体例と、その対処法を解説します。

工場停止や身代金要求も……企業を狙うサイバー攻撃

サイバー攻撃とは、パソコンやスマートフォン、サーバーなどに侵入して、データを盗んだり、システムを破壊したりすることで、相手に被害を与える行為のことです。売買するための個人情報の窃盗や、企業に対する営業妨害や、信頼失墜を狙うなどの目的で行われます。

最近では2022年3月に、部品仕入れ先企業がサイバー攻撃に遭ったことをきっかけに、大手自動車メーカーが国内全14工場28ラインを停止する事態に陥りました。また、大手ゲームメーカーは、2020年11月から、不正アクセスによるシステム障害や35万件以上の個人情報や企業情報が盗まれたことを発表。サイバー犯罪集団から、約11億5000万円相当のビットコインの身代金を要求されたと公表しました。

サイバー攻撃によるセキュリティインシデント対策活動を行うJPCERTコーディネーションセンターが発表している「インシデント報告対応レポート」によると、セキュリティインシデントの年間報告件数は年々増えています。件数は、2017年度の18,141件から2021年度には50,801件に増加。また、2021年度の件数は、前年の46,942 件との比較でも8%増えています。

また、トレンドマイクロが発表した「法人組織のセキュリティ動向調査 2020年版」によると、調査に回答した法人のうち78.5%が、2019年4月～2020年3月の1年に何かしらのセキュリティインシデントを経験。43.8%が、実際に被害を受けたと回答しました。その年間被害額は、平均して約1億4800万円に及ぶなど、多くの企業で多額の被害が出ています。

サイバー攻撃の最近の傾向は？

サイバー攻撃の手口は年々、多様化、巧妙化しています。企業が警戒すべき主なサイバー攻撃は、企業などの情報を暗号化して金銭をゆすり取ろうとするランサムウェア攻撃や、国家支援型の攻撃集団が特定の企業を執拗に狙う標的型攻撃など、多岐にわたります。サプライチェーンの弱点を悪用した攻撃や、テレワークなどの新しい働き方の弱点を狙った攻撃のリスクも指摘されています。

あらゆる情報やものがネットワークでつながった今、攻撃を受ける起点が増えたことで組織にとってのセキュリティリスクが増加。さまざまな方向から仕組まれるサイバー攻撃が、社会全体や企業活動に、広く、深く被害を与える傾向にあります。

サイバー攻撃によるセキュリティトラブルの具体例

では、日本国内では具体的にどのようなセキュリティトラブルが発生しているのでしょうか。サイバー攻撃による被害の一例をご紹介します。

家電量販店通販サイトのアプリ改ざんで個人情報が流出

2019年、大手家電量販店の通販サイトで不正アクセスによるサイバー攻撃が発生。支払いアプリケーションが改ざんされ、被害期間中に登録された顧客情報が最大3万7,832 件、流出したと発表されました。

流出した情報にはクレジットカードの情報も含まれており、カードの不正利用が行われた可能性も確認されています。

アパレル通販サイトから顧客情報46万件流出の可能性

2019年5月、大手アパレル会社が運営する通販サイトで個人情報が流出。IDとパスワードがセットになったリストを使いログインを試みる「パスワードリスト攻撃」を受け、被害に遭ったことを発表しました。

流出した可能性があるのは、顧客情報46万件。情報の一部には、クレジットカード情報も含まれていました。

公立病院がサイバー攻撃で患者受け入れ停止に

2021年10月、日本国内の公立病院がランサムウェア攻撃による被害を受けました。電子カルテが暗号化されて閲覧不可になったほか、診療報酬計算や電子カルテ閲覧を行う基幹システムが使用不能になり、新規患者の受け入れを停止。データの復旧を引き換えにした身代金が要求されました。

病院は身代金要求には応じず、2021年12月にサーバーを復旧。翌年1月4日から通常診療を再開しました。

ビジネスメール詐欺で3億8000万円の被害

大手航空会社は2017年12月、ビジネスメール詐欺に遭い、約3億8000万円を騙しとられたと発表しました。犯人は、取引先と航空会社の間のビジネスメールに割り込み、偽の請求書メールを送付。取引先になりすまして口座にお金を振り込ませました。

専門家は、パソコンをウイルス感染させてメールを盗み見る、またはメールアカウントを乗っ取るなどの手口が使われた可能性があると指摘しています。

企業がサイバー攻撃から身を守る方法は？

では、多種多様化するサイバー攻撃から企業が身を守るためには、どんな取り組みが有効なのでしょうか。セキュリティ対策を強化する具体的方法をお伝えします。

パスワード設定などの本人認証の強化

セキュリティリスク軽減のために企業が今すぐできる取り組みのひとつが、本人認証システムの強化です。まずは、社員が使っているパスワードが単純ではないかどうかという、セキュリティの基本的事項の確認から始めましょう。パスワードの複雑化や、不要なアカウントを削除するといったルールを徹底し、不正ログインを防ぐことが重要です。

アクセス権限を確認して適正化する、多要素認証を利用するなどのシステム側の措置も、サイバー攻撃対策として取り入れましょう。

メールセキュリティの強化

メールを経由したウイルス感染やアカウント乗っ取りを防ぐため、メールセキュリティを強化することも重要です。不審なメールは開かずに送付元に電話で送信について確認する、URLや添付ファイルを不用意に開かない、相談や報告を迅速に行うなど、セキュリティ対策ルールを作成し社内に周知徹底しましょう。メール関連の脅威や対策について学ぶ勉強会を定期的に開催するなどして、社内にセキュリティに対する高い意識を根付かせることも大切です。

迷惑メールの受信制限や、添付ファイルのウイルススキャンを行えるウイルス対策ソフトも、メール起点の攻撃リスク軽減のために導入しましょう。

ウェブブラウザのセキュリティ強化

インターネットを閲覧するウェブブラウザ経由でのサイバー攻撃を防ぐ取り組みも欠かせません。セキュリティリスクの高いサイトへのアクセスを防ぐウイルス対策ソフトや、ブラウザ経由のサイバー攻撃を防ぐゲートウェイ装置を導入するなどの対策が必要です。

会社が許可していないアプリをダウンロードしない、不用意に個人情報を入力しないなど、ブラウザ使用上のセキュリティマニュアルも整備し、社内に教育しましょう。

インシデントの早期発見に向けた対策

セキュリティを脅かす事態に迅速に対応できるよう、インシデントの早期発見を行うための施策も必要です。サーバー上で各種ログをチェックできる体制を確保するほか、リスクをすばやく検知するための通信の監視・分析システムや、アクセス制御体制を再点検しましょう。

報告しやすい組織づくり

リスクに気付いた社員からの報告がすぐに行われるよう、日ごろから不安を遠慮なく上司に伝えられる環境を整えておくことも大切です。スパムメールの添付ファイルを開いてしまった、不審なサイトにアクセスしたなどの報告が滞ると、対応が遅れて被害が拡大する可能性があります。重要な報告が漏れないように、リスクに関わる行動を責めるより、報告を評価するセキュリティ教育を行いましょう。

インシデント発生時の迅速・適切な対策

セキュリティインシデントが発生してしまった際に、素早く対応・復旧することが、リスクを最小限に止める上で重要です。データ消失に備えたバックアップ体制や、データ復旧手順の確認を進めましょう。

インシデントが発生したときの対処手順、社内連絡体制、取引先や外部への発信方法を確立するなど、リスクに迅速に対応できる体制を整えておくことも重要です。

対策を進めてサイバー攻撃に強い会社になろう！

セキュリティリスクは、重要な企業情報の損失や、対応・復旧にかかる費用などの実際の被害を生むだけでなく、取引先や顧客からの信頼損失にもつながります。テレワークが広がり、社員がさまざまなスタイルで働く時代だからこそ、ひとりひとりのセキュリティへの意識を高めることが重要です。パスワードの強化やマニュアル整備など、ひとつずつ着実にサイバーセキュリティ対策を進めましょう。