【サイバーセキュリティの今と新たな脅威】企業の損失事例と注意ポイント

2023-02-20（更新：2024-02-26）加藤博恵セキュリティ

セキュリティ情報漏えい

昨今、個人情報の漏洩や機密情報の改ざん等により、サイバー攻撃の被害を受ける企業が世界的に急増しています。
このような環境下で企業はサイバーセキュリティの強化に向けてさまざまな活動をしなければなりません。

そこで今回は企業のセキュリティ担当者に対して、サイバーセキュリティに関する現状と新たな脅威や企業の損失事例、注意ポイントを解説します。

目次[非表示]

1.世界のサイバーセキュリティ損害額は？

1.1.サイバーセキュリティの新たな脅威

2.日本におけるサイバーセキュリティ事例とは？

2.1.ワースト1位：ランサムウェアによる被害
2.2.ワースト2位：サプライチェーンの弱点を悪用した攻撃
2.3.ワースト3位：標的型攻撃による機密情報の窃取

3.サイバーセキュリティの注意ポイント

3.1.リスク低減のための措置
3.2.インシデントの早期検知
3.3.インシデント発生時の適切な対処・回復

4.まとめ

世界のサイバーセキュリティ損害額は？

2020年、米IBMは世界の主要17カ国・地域におけるサイバーセキュリティの損害額（1件当たり）を発表しました。
この調査結果によると、1位の米国が800万ドル以上、2位の中東が600万ドル以上、3位がカナダ、4位がドイツと続き、5位の日本は約419万ドル（約4億5000万円）でした。
日本の被害額は前年度から9.5%増加しています。

なお、情報漏洩の発生から被害を検出するまでの世界平均は211日間です。
これに対して日本は218日間と世界平均より7日間遅れています。

サイバーセキュリティの損害額が多額にもかかわらず、情報漏洩の発生から被害を検出するまでのスピードが遅く、日本のサイバーセキュリティは更に強化する必要があることが分かります。

サイバーセキュリティの新たな脅威

前述したようにサイバーセキュリティの被害は年々増加しており、犯行手口も巧妙化しています。
更に昨今ではIT技術の進化により、IoT機器の普及が進んでいます。
この結果、新たな脅威としてIoT機器を介在したサイバー攻撃が増加しています。

国立研究開発法人情報通信研究機構（NICT）は2022年2月に「NICTER（Network Incident analysis Center for Tactical Emergency Response）観測レポート2021」でIoT機器へのサイバー攻撃に関する報告がありました。

NICTERによる主なサーバー攻撃対象の宛先ポート番号のトップ10のうち、4つがWebカメラやホームルーター等のIoT機器に関連したものでした。
また、その他のポート（Other Ports）の中にもIoT機器で使用されるポートが多数含まれていました。
これらを合算すると全体の約半数がIoT機器に関する脆弱性を狙ったサイバー攻撃となります。

※参照：NICTER観測レポート2021の公開

日本におけるサイバーセキュリティ事例とは？

世界のサイバーセキュリティ損害額を理解して頂いたところで次は国内に目を向けます。

2023年1月、IPA（独立行政法人情報処理推進機構）は「情報セキュリティ10大脅威 2023」を発表しました。
この情報は2022年に発生したサイバーセキュリティ事例の中から脅威となるものを第1位から10位までをランキング化しています。

そこでここでは企業向けのワースト3に焦点を当て、具体的な事例を紹介します。

ワースト1位：ランサムウェアによる被害

ランサムウェアとは、コンピュータのファイルやシステムを使用不能にし、その復旧と引き換えに金銭を要求する、マルウェア（※）の一種です。

※マルウェア：利用者の意図しない動作をするソフトウェア全般のこと。語源は、mal(悪質な)＋ware(software ソフトウェア)からきている。

社内サーバーの暗号化による被害の長期化
2021年7月、某製粉大手企業はサイバー攻撃を受けて社内サーバーが暗号化される被害を受けました。
この結果、早期復旧が困難となり、四半期決算報告書の提出を延期しました。

病院に対するランサムウェア攻撃
2021年10月、某公立病院がランサムウェアの感染によって、約8万5千人分の電子カルテや会計システムにアクセスできなくなる被害を受けました。
同病院は犯人に身代金を支払わずにシステムの再構築を行いました。
一部の診療で新規患者の受け入れを中止する等の影響がありましたが、約2か月で通常診療を再開しました。

社会インフラ関連企業における被害
2021年5月、アメリカの某石油パイプライン企業が、ランサムウェアの被害を受けて 5日間の操業停止に追い込まれました。
燃料不足を心配した市民はガソリンを買いだめし、売り切れや価格高騰といった大きな影響が出ました。
犯行グループはデータの暗号化の他にデータの窃取も行っており、二重の脅迫を受けた同社は身代金440万ドルを暗号資産(ビットコイン)で支払ってシステムを復旧させました。

ワースト2位：サプライチェーンの弱点を悪用した攻撃

サプライチェーンとは、製品の原料や部品の調達にはじまり、製造や販売、消費までの一連の経済活動の流れのことを指します。

サプライチェーン攻撃の世界的な増加
米Sonatype社の調査結果によるとOSS(オープンソースソフトウェア)をターゲットとしたサプライチェーン攻撃が2021年は1万2千件を超えて前年比 650%増となった報告しています。
またクラウドの運用を含む技術者300人の内、36%が情報漏えいや侵害等の問題を経験しています。
更に83%が企業においてクラウドの設定ミスに関連する重大なデータ侵害に対して脆弱性があることを懸念しています。

子会社や海外拠点を狙った攻撃
2021年4月、国内の某光学機器メーカーの米子会社がランサムウェア攻撃を受けました。
これにより約 300 ギガバイトの財務や顧客情報等が窃取され、ダークウェブ上のウェブサイトに公開されていることが判明しました。この事件は「アストロチーム」と名乗るサイバー犯罪グループが犯行声明を出しています。

業務委託先から貸与データが外部に流出
2021年9月、某建設コンサルティング企業が、8月に受けたランサムウェア攻撃により連結業績で約7億5000万円の特別損失を計上すると発表しました。
同社に業務委託していた東京都や千葉県市川市は、貸与していたデータも被害を受けた可能性があると発表しています。

ワースト3位：標的型攻撃による機密情報の窃取

標的型攻撃とは、特定の企業や個人などに狙いを定めて行うサイバー攻撃のことです。

サイバー攻撃による企業情報と個人情報の漏えい
2021年12月、某チェーンスーパーを全国展開する企業は、サイバー攻撃を受けて個人情報や機密情報が外部に流出したことを明らかにしました。
発覚の経緯は、本社で利用するサーバーで共有ファイルが開けなくなり、メールが届かない不具合が発生したためと報告されています。

情報共有ツールから受託情報が外部に流出
2021年5月、某国内IT企業が提供するプロジェクト情報共有ツールが
第三者から不正アクセスを受けて顧客から預かった情報の一部が窃取されたことを発表しました。
本ツールは同社やグループ会社、外部の協力企業、顧客間のシステム開発等のプロジェクト管理に用いられていました。

サイバー攻撃に関する情報共有
IPA（独立行政法人情報処理推進機構）が発足したサイバー情報共有イニシアティブ(J-CSIP)は、2023年2月に2022年度（4月～12月）に受け付けた情報提供のうち
標的型攻撃メールとみなした情報提供が、現状12件と発表しました。

直近の公開レポートでは、2022年10月～12月の間で情報提供があった内容として
『人事部門からの通知を装った不審なメールが送られてきた。』
『参加組織のグループ会社や同社の取り扱い製品のウェブサイトに対して、探索行為とみられる大量の不正通信や、大量の問い合わせフォームへの書き込みが発生した。』
などがありました。

※参照：サイバー情報共有イニシアティブ J-CSIP（ジェイシップ）｜IPA（独立行政法人情報処理推進機構）