サイバー攻撃とは？被害事例と対策について解説

近年、セキュリティ対策が手薄な中小企業を狙い撃ちにするケースや、大企業を攻撃するための「踏み台」として関連企業が狙われる「サプライチェーン攻撃」が急増しています。そのような状況において、「中小企業はサイバー攻撃には狙われない」と捉えるのは危険な状況です。

この記事では、サイバー攻撃の種類や種類ごとの事例について紹介します。

サイバー攻撃とはコンピューターやネットワークを標的にした不正行為の総称

サイバー攻撃とは、インターネットなどのネットワークを通じて、サーバー、PC、スマートフォンなどに対して行われる悪意ある不正行為の総称です。

攻撃の目的は多岐にわたり、クレジットカード情報や個人情報の「窃取」、ランサムウェアによる「金銭の要求」、システムのデータを破壊する「業務妨害」、さらには政治的、社会的な主張を目的とした「ハクティビズム 」などがあります。

現代のビジネスにおいてITシステムは不可欠なインフラのため、サイバー攻撃によるシステム停止や情報漏洩は、企業の社会的信用や存続に関わる重大なリスクとなっています。

サイバー攻撃の主な種類

サイバー攻撃の手口は日々進化し、巧妙化しています。企業が特に警戒すべき攻撃手法としては、下記が挙げられます。

サイバー攻撃の主な種類

特に近年では、テレワークの普及に伴い、VPN機器（仮想専用線）の脆弱性を突いた侵入や、リモートワーク環境を狙った攻撃が増加傾向にあります。

ランサムウェア攻撃の事例

データを人質に取るランサムウェアは、最も警戒すべき脅威の一つです。ここでは、ランサムウェア攻撃の代表的な事例を紹介します。

社内ネットワークへの侵入により個人情報漏洩や二次被害が発生

2024年6月、大手出版社が大規模なランサムウェア攻撃を受け、動画配信サービスや出版物の受注システムなど、グループ全体の広範囲なサービスが停止に追い込まれました。

調査の結果、約25万4,000人分もの個人情報（従業員、取引先、クリエイター情報など）の漏洩が判明。さらに深刻だったのは、攻撃組織が盗み出した情報がSNSで拡散されるという二次被害が発生した点です。侵入経路としては、フィッシング攻撃によって従業員のアカウント情報が窃取され、それを悪用して社内ネットワーク深部へ侵入された可能性が高いと推測されています。

RaaSを利用した攻撃で個人情報が漏洩

2024年6月、システム開発を行う企業がランサムウェア攻撃を受けました。このケースでは、サーバーの脆弱性とVPNルーターの設定不備が悪用され、最大で10万件以上の個人情報が漏洩した可能性があります。

使用されたのは「Phobos 」と呼ばれるランサムウェアで、これは攻撃ツールをサービスとして提供するRaaS（Ransomware as a Service ）の一種です。高度な技術を持たない攻撃者でも、RaaSを利用することで容易に攻撃を行えるようになった現状を象徴する事例といえます。

サプライチェーン攻撃の事例

自社のセキュリティ対策が完璧でも、取引先や委託先が攻撃を受ければ、その影響は自社にも及びます。ここでは、サプライチェーン攻撃の事例を見ていきましょう。

自治体だけで約50万件以上の個人情報が漏洩

2024年5月、自治体の業務を受託していた情報処理サービス企業が、VPN機器経由で不正アクセスを受け、ランサムウェアに感染しました。この企業は多くの自治体から業務を請け負っており、複数の自治体で合計約50万件以上もの個人情報が漏洩する事態に陥ります。

個人情報保護委員会はこの事態を重く見て、当該企業に対して行政指導 を行っています。たった1つの委託先のセキュリティ不備が、複数の組織に甚大な被害を拡大させた典型的な事例です。

ランサムウェアによる攻撃で出荷停止

2024年9月、物流支援サービスを展開する企業がランサムウェア「Akira」による攻撃 を受け、倉庫管理システム（WMS）などの入出庫関連システムが停止しました。これにより、同社自身の業務が止まっただけでなく、物流業務を委託していた多数の荷主企業（EC事業者など）にも、商品の出荷遅延や一時停止といった影響が連鎖的に発生。物流というサプライチェーンの要が狙われたことで、経済活動に大きな支障が出た事例です。

DDoS攻撃の事例

DDoS（Distributed Denial of Service）攻撃は、大量のアクセスを送りつけてネットワークのサービスをダウンさせる攻撃です。どのような攻撃の事例があるのか見ていきましょう。

航空会社のシステムがDDoS攻撃を受けて運航遅延

2024年12月、大手航空会社が大規模なDDoS攻撃を受けました。これにより、空港内の自動手荷物預け機のシステムなどで障害が発生し、国内線・国際線のウェブサイトでのチケット販売や予約確認が一時停止。さらには、搭乗手続きの遅れにより、運航にも遅延が生じました。社内外をつなぐネットワーク機器に対して集中的な攻撃が行われ、完全復旧には約6時間を要したとされています。

金融機関のインターネットバンキングに影響

2024年末、国内の大手金融機関3行が相次いでDDoS攻撃を受けました。これにより一時的にインターネットバンキングに接続しづらくなったり、利用できなくなったりするなどの障害が発生。多くの利用者に混乱が生じました。

標的型攻撃の事例

特定の組織を狙い撃ちにする標的型攻撃は、非常に巧妙かつ隠密に行われます。具体的にどのような被害が起こってきたのか見ていきましょう。

PC1台から49台に感染が拡大し情報漏洩が発生

2024年3月、大手総合電機メーカーでマルウェア感染による情報漏洩が発生しました。詳細な手口は公表されていませんが、きっかけは1台の業務用PCへの感染だったとされます。攻撃者はそのPCを足がかりにネットワーク内で横展開（ラテラルムーブメント ）を行い、最終的に49台のPCへ感染を拡大 。使用されたマルウェアは、セキュリティソフトによる検知を逃れるためにさまざま偽装工作を行う高度なタイプであったとされています。

システムを改ざんし約482億円相当の暗号資産を窃取

2024年5月、暗号資産（仮想通貨）取引所から、約482億円相当のビットコインなどが不正流出しました。この攻撃には、北朝鮮当局の下部組織とされるハッカー集団が関与していたと見られています。手口は極めて巧妙で、取引所のシステム管理を委託されていた企業の社員に対し、実在する人物や採用担当者を装ってSNSで接触 。採用試験に見せかけて「悪意あるスクリプト（プログラム）」を含んだファイルを送付・実行させました。これにより社員のPC権限を乗っ取り、システムを改ざんして巨額の資産を盗み出しています。

サイバー攻撃への対策

多様な攻撃から自社を守るためには、「技術的対策」と「組織的対策」の両輪が必要です。それぞれどのような対策が求められるか見ていきましょう。

技術的対策

技術的対策とは、システムや機器の脆弱性を塞ぎ、侵入を防ぐ、あるいは被害を最小化するための対策です。まず、ソフトウェアの更新やセキュリティソフトの利用、パスワード管理・認証の強化、そして設定の見直しを行いましょう。具体的には、クラウドサービスを含む各種システムで多要素認証の設定を有効にし、共有サーバー等へのアクセス権の最小化と管理の強化を行います。

また、ランサムウェア対策として適切なバックアップ運用も欠かせません。書き換え不能にするWORM（Write Once Read Many） 機能やイミュータブル設定 などの改ざん防止機能を活用して、バックアップの保全性を確保します。さらに、VPN機器の脆弱性を狙った攻撃やリモートデスクトップ経由の不正アクセスを防ぐため、リモートワーク環境のセキュリティ強化を進めることが重要です。

組織的対策

技術だけでなく、組織全体での対策も不可欠です。万が一の事態に備え、インシデント対応体制を整備し、緊急時の連絡方法や対応手順を策定して従業員に周知しておく必要があります。併せて、従業員の情報リテラシーやモラルを向上させるため、定期的な教育を実施することも大切です。その際には、リモートワークのセキュリティポリシーの策定や、運用規則を整備し、安全な業務環境を維持するルール作りを進めましょう。

サイバー攻撃の被害を防ぐためにセキュリティ対策を見直そう

今回紹介した事例のように、1社の被害が取引先や顧客、社会全体へ波及することも珍しくありません。他社の被害事例を「対岸の火事」とせず、自社のセキュリティ対策を見直すきっかけにすることが重要です。しかし、「予算も人員も限られる中で、具体的にどう進めればいいのかわからない」という方も多いでしょう。

コニカミノルタジャパンでは、中小企業が現実的に取り組めるセキュリティ強化をまとめたホワイトペーパーをご用意しました。「100%の防御」ではなく、侵入を前提とした「回復力（レジリエンス）」を高めるための具体的なステップや、コストを抑えた対策手法について解説しています。ぜひダウンロードして、自社のセキュリティ対策にお役立てください。