サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2023.5.18 サイバー攻撃

サイバー攻撃の脅威とは?目的や攻撃別の手口事例を紹介

サイバー攻撃について詳しく解説
近年、サイバー攻撃によって被害を受ける企業が急増しています。サイバー攻撃と聞くと大企業や官公庁がターゲットとなるイメージを持つ方も多いかもしれませんが、対策の遅れている中小企業が次々と狙われ被害が拡大しています。
本記事ではサイバー攻撃別の被害事例と、サイバー攻撃によって生じるリスクについて解説します。

サイバー攻撃とは

サイバー攻撃とは公的機関や企業を対象に、インターネットやデジタル機器を絡めて行われる攻撃のことです。
具体的には、サイバー攻撃によって金銭の窃盗や個人情報の詐取、システムの機能停止などの被害が引き起こされてします。今こうしている間にもさまざまな手口が考案されており、多くの企業がサイバー攻撃を受けるリスクにさらされています。

総務省が公表している令和4年版の情報通信白書「サイバーセキュリティの動向」によると、サイバー攻撃の被害件数は年々増加し、2018年から2021年の3年間で被害規模は約2.4倍にも増加しており、さらに増加することが予測されています。

[NICTERにおけるサイバー攻撃関連の通信数の推移] サイバー攻撃関連の通信数の推移 出典:総務省 令和4年版 情報通信白書「サイバーセキュリティの動向」

サイバー攻撃によって生じる主な企業へのリスクとして以下の4つが挙げられます。
  • 情報漏えいリスク
  • 事業阻害リスク
  • 賠償責任リスク
  • 風評リスク
サイバー攻撃を受けてしまうと、多くの人を巻き込む被害に見舞われてしまうことは避けられないでしょう。

サイバー攻撃の対象とその目的

サイバー攻撃を行う目的は攻撃者によって異なりますが、大半が金銭目的、営業妨害といった犯罪行為を目的としたサイバー攻撃です。
近年ではサイバー対策が遅れている中小企業が狙われやすくなっており、中小企業のネットワークを踏み台にして大企業や官公庁にも被害が拡大するケースも急増しています。
また、特定組織の機密情報を窃取する目的で組織犯罪を行うケースが増えており、攻撃の種類や手口が巧妙化している傾向にあります。こうしたリスクに備えるべく、企業は個人情報や機密情報を守るために早急に対策を講じる必要があるでしょう。

代表的なサイバー攻撃の手口とその事例

ここでは以下の企業の脅威となるサイバー攻撃の概要と、実際の手口や事例について解説します。

1. 標的型攻撃
-サプライチェーン攻撃
2. ランサムウェア
3. 不正アクセス
4. ウェブサイト改ざん
5. DDoS攻撃
6. 盗難・紛失・メール誤送信
7. 内部不正

1. 標的型攻撃

標的型攻撃とは機密情報を盗み取るなどを目的とし、特定の個人や組織を狙うメール攻撃です。業務関連の内容を装い、ウイルスが含まれたメールを標的の担当者に送付する手口が知られています。
標的型攻撃とは知らずにメールに記載されているURLをクリックした結果、マルウェア(悪意のあるソフトウェアやコードの総称)を気づかぬうちに自動インストールされてしまう感染する代表的です。

日本では2015年に行政機関が標的型攻撃の対象とされ、約125万件近くの個人情報が流出する事態となっています。
攻撃に用いられるメールは、極めて巧妙に組織内の業務連絡メールや取引先企業からの安全なメールを装うため、不正なメールと判別するのが非常に困難なケースも少なくありません。

▼標的型攻撃に関しては、以下の記事もご覧ください。
標的型攻撃とは?企業の情報資産を狙う驚きの手口と事例・対策も紹介

知っていますか?甚大な被害をもたらすサプライチェーン攻撃

「サプライチェーン」とは商品やサービスを製造し、消費者へ販売するまでの一連のプロセスのことを指します。
「サプライチェーン攻撃」とはそのサプライチェーン上にある中小規模の企業を経由し、本命の標的である大企業に侵入を仕掛けるサイバー攻撃です。気づかぬうちに自社が踏み台となり取引先に甚大な損害を与えてしまうという特徴があります。

サプライチェーン攻撃とは

サプライチェーン上には複数の企業が関与しているため、まずはセキュリティの薄い中小企業を攻撃し踏み台とし、真の目的であるターゲット大企業に侵入後、ランサムウェアなどに感染させ業務に支障を与えて金銭を要求するという流れで攻撃者が利益を得ることになります。
国内においては、2022年に入ってから自動車のサプライヤー企業にサプライチェーン攻撃が次々と仕掛けられ、関連のある工場やその企業に関係する複数の自動車メーカーが一部の生産を見合わせる事態に発展しました。

▼サプライチェーン攻撃に関しては、以下の記事もご覧ください。
なぜ中小企業が狙われる「サプライチェーン攻撃」とは?

2. ランサムウェア

ランサムウェアとは身代金(Ransom)とソフトウェア(Software)を組み合わせた造語で、PCの復旧と引き換えに「身代金」を要求するプログラムの総称です。
ランサムウェアに感染すると端末などに保存されている顧客情報や機密事項データが暗号化されてしまい、管理者でさえデータが使用できなくなってしまいます。データの復号と引き換えに身代金を要求されますが要求に応えたとしてもデータを復旧できるという保証はありません。
実際、2020年には国内大手ゲーム会社がランサムウェアの被害を受け、1万5,000人分の個人情報が流出する被害が起きています。
また、近年では「ダブルエクストーション(二重の脅迫)」と呼ばれ、窃盗したデータを公開するよう脅してくるケースも増えつつあります。

▼ランサムウェアに関しては、以下の記事もご覧ください。
ランサムウェアとは?感染経路や被害事例から対策を解説

3. 不正アクセス

不正アクセスとは、アクセス権限を持たない第三者がシステムやサービスに不正ログインする行為です。攻撃対象として企業のサーバやネットワーク、デバイスなどが挙げられ、不正アクセスによってサーバや情報システムが停止してしまったり個人情報が漏えいしてしまう恐れがあります。
さらに、不正アクセス時にバックドアという裏口を作られてしまうと、機密情報の盗難や破壊、標的型攻撃の際の踏み台にされてしまう事態も起きかねません。
2020年11月、大手総合電機メーカーが不正アクセスの被害を受け、取引先住所や銀行口座といった情報が外部に流出する事故が起きています。この企業では前年にも大規模なサイバー攻撃を受けて対策を講じていたにもかかわらず、再び被害を受けました。

▼不正アクセスに関しては、以下の記事もご覧ください。
企業における不正アクセスの対策とは?基本事項を網羅的に紹介

4. ウェブサイト改ざん

ウェブサイト改ざんとは第三者が外部からWEBサイトに侵入し、内容を書き換えてしまうことを指します。
攻撃の手法は、大きく2つに分けられます。
  • ぜい弱性攻撃:WEBサイトやサーバーOSのぜい弱性を狙う
  • 管理者アカウントの乗っ取り:標準型メール攻撃によるマルウェア感染や内部の人間からの流出
特定の企業に目的を持って攻撃するケースだけでなく、セキュリティ対策の甘いWEBサイトをランダムに改ざんするケースもあります。
2000年1月に官公庁のWEBサイトが改ざんの被害に遭った際は、関連WEBサイトも次々と影響を受け事故後は2週間以上もWEBサイト閉鎖を強いられました。

5. DoS攻撃/DDoS攻撃

DoS攻撃とはWEBサイトやサーバーに対して大量の情報を送り付けることで負荷をかけ、システムをダウンさせるサイバー攻撃のことです。「Denial of Service attack」の略で、日本語訳では「サービス拒否攻撃」とも称されます。
また、DoSの先頭にもう一つ「D」が付くと「Distributed Denial of Service attack」(DDoS)となり、「分散型サービス拒否攻撃」と訳されます。政治的な主張などを目的に攻撃を仕掛けるハッカー集団が用いることが多く、これまでも世界中の政府機関が標的となってきました。
近年では日本政府のサイトもDDoS攻撃の標的となっており、2022年9月に政府の複数のシステムが機能停止に追い込まれました。

6. 盗難・紛失・メール誤送信

PCやUSBメモリの紛失、メールの誤送信など組織内部の人間の過失による事故も非常に多く、2022年10月には大学の生徒約800人分の個人情報が含まれているUSBメモリを紛失してしまう事故が起きました。

7. 内部不正

内部不正とは、組織内部にいる人間が企業の機密情報や顧客情報を不正に社外に持ち出し扱われることを指します。
目的としては競合企業に機密情報を流し、有利な状況を作ることであったり、持ち出した情報で利益を得る横領も少なくありません。従業員やその上層部、業務委託先などの外部の会社を含めた組織的犯行のケースでは、発覚を恐れ情報漏洩の事実を隠ぺいしてしまうケースもあります。
また、テレワークの増加によりクラウドサービスの利用が増えデータの持ち出しが容易になったため中途退職者による情報の持ち出しが増加しており、内部不正は根深いサイバー攻撃と言えます。
2015年の事例では、家電量販店の元従業員が競合他社に転職するに際し、同社の営業秘密データ約200件を抜き出し転職先に提供し不正競争防止法違反で既に有罪判決となりました。元従業員は転職の際の手土産とするため退職前に機密データを自己のPCに転送し、転職後も遠隔操作ソフトを使用して営業秘密データを転職先PCに転送していたそうです。

企業におけるサイバー攻撃のリスク

事例からもわかるように、ひとたびサイバー攻撃の被害を受けてしまうと、自社のみならず取引先にも被害が及ぶことは避けれず、取引先・顧客からの損害賠償や、企業活動の停止や社会経済活動への影響も余儀なくされます。
企業の信用が失墜することはもちろん、一度失われた信頼を取り戻すのはそう簡単なことではありません。
また、2022年上半期の警視庁の発表によると、ランサムウェア被害にあった場合、調査や復旧費用の総額が、1000万円~5000万円未満が35%、5000万円以上が8%を占めており、調査や復旧費用が高額化してしまっています。
しかし、ウイルス対策ソフトの導入やパスワードの強化のほか、ネットワーク上にバックアップシステムを分散しながら導入するなど、サイバー攻撃をさせない対策を講じ、サイバー攻撃に対する対策を万全に行ったとしても、それらのリスクを完全にゼロとすることは不可能と言われています。

サイバー保険の概要と補償内容について

サイバー保険とは、サイバー事故で生ずる損害をカバーする目的で設けられている保険のことです。
サイバー攻撃を受けると不利益は多方面にわたっており顧客情報が流出するだけでなく、高額な損害を伴う事故も増えています。
サイバー攻撃は日々巧妙さを増しており、そのリスクが完全になくなることはありません。
まずはしっかりと情報セキュリティ対策をとり、万一の際の備えも大切です。

サイバー保険の基本的な補償内容は以下の通りです。

● 取引先・顧客からの損害賠償
● 事故対応費用
● 利益損害・営業継続費用

※補償内容は加入するプランや特約によって異なるため、各社保険会社のページを参照ください。
※ランサムウェア感染時の身代金支払いは日本では補償対象外となります。

▼サイバー保険に関しては、以下の記事もご覧ください。
サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説


サイバー保険を取り扱う保険会社について

サイバー保険コラムの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

サイバー保険 一括見積りサイト

まとめ

本記事では、主なサイバー攻撃の種類とその事例についてお伝えしました。
近年では官公庁や大企業だけではなく、セキュリティ対策が比較的遅れている中小企業が狙われるケースが増えており、どの企業でも狙われてもおかしくない状態といえます。
残念ながらサイバー攻撃のリスクをゼロにすることはできませんが、サイバー保険に加入しておくことで万が一の際に生じる損害や多大な労力から自社を守ることが可能です。
もしもに備えてサイバー保険への検討してみてはいかがでしょうか。
サイバー保険を選ぶ際は、
大手保険会社の中で比較、
検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。
取り扱いのある保険会社
  • 東京海上日動火災保険株式会社
  • 三井住友海上火災保険株式会社
  • 損害保険ジャパン株式会社
  • あいおいニッセイ同和損害保険株式会社
  • AIG損害保険株式会社
サイバー保険一括見積もりサイト
関連タグ
関連記事
ACCSS RANKING アクセスランキング
PICK UP ピックアップ
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ