年々手口が巧妙化し、脅威が増すばかりのサイバー攻撃。企業側でもさまざまな情報セキュリティ対策を講じていますが、その被害は拡大傾向にあります。自社の機密情報や顧客情報の漏えい、業務システムの停止など、被害状況は深刻です。本記事では、2023年に発生したサイバー攻撃の事例や発生原因、サイバー攻撃の種類、対処法などを解説しています。自社で必要な対策を練る際の参考にしてみてください。
2023年に国内で起きたサイバー攻撃の代表的な事例
ここでは、2023年に国内で発生したサイバー攻撃の代表的な事例を紹介します。
・クラウド環境の誤設定で、約215万件の顧客情報が漏えい
2023年5月、大手自動車メーカーのIT・通信分野を担う事業会社において、クラウド環境の誤設定により、車載IDや車台番号など約215万件の顧客情報が公開状態となっていたことが判明しました。社内におけるデータ取り扱いのルール説明が不十分だったことが主な原因とされています。同社では事件の判明後に外部からのアクセスを遮断する措置を講じており、流出した可能性のある顧客情報が第三者によって二次利用されるなどの被害は確認されていないとのことです。また、これを受けて同社ではクラウド設定を監査するシステムを導入するとともに、従業員への教育を徹底するなどしてセキュリティ機能を強化するとしています。
・リスト型攻撃で約25万件のWeb履歴書が流出
総合転職サイトを運営する、ある人材紹介会社では、2023年3月、外部からの不正ログインによって約25万人のWeb履歴書情報が漏えいしました。社内調査によると、外部から不正に取得したIDやパスワードを使用してさまざまなサイトにログインを試みるリスト型攻撃が原因であるとわかっています。これを受け、同社では全ユーザーのパスワードをリセットし、不正ログインを行っていた送信元のIPアドレス群からの通信を遮断するなどの被害拡大防止策を実施しています。また、今後はIDやパスワード認証以外の方法でのシステムセキュリティ強化を目指すとのことです。
・外部委託業者への不正アクセスがきっかけで、約69万件の顧客情報が漏えい
ある大手保険会社は2023年1月、自社が保有する顧客情報の一部が流出した可能性があることを発表しました。流出した恐れのあるデータは同社の車両保険に加盟中の顧客と、過去に加入したことのある顧客のもので、性別や生年月日、氏名など約69万件とされています。外部委託業者が第三者からの不正アクセスを受けたことが原因で、顧客情報が海外のサイトに掲載されていたことから判明しました。再発防止策として、同社では委託先における個人情報の取り扱いに関する要件の厳格化などを進めています。
・サーバーへの不正アクセスによって約104万件の顧客情報が漏えい
カジュアル衣料品を中心にSPAブランドを展開する大手アパレル企業では2023年1月、社内の業務システムのサーバーが外部からの不正アクセスを受けました。不正アクセスの確認直後にネットワークの遮断や業務システムの停止などの被害拡大防止策を講じましたが、氏名・住所・生年月日・電話番号などを含む約104万件の顧客情報が流出した可能性があるとのことです。その後、さらに約22万件の顧客情報が流出した可能性も判明しました。物流システムを停止したことにより、同社が運営するECサイトも一時休止を余儀なくされました。これを受け、同社では各種アカウントのリセットや管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化、端末のリアルタイム監視体制の構築といった対策を実施しています。
海外で発生した有名なサイバー攻撃の事例
海外では民間企業への攻撃にとどまらず、社会インフラを脅かすような深刻なサイバーテロも発生しています。ここでは、近年に海外で起きた有名なサイバー攻撃の事例を紹介します。
・ランサムウェア「WannaCry」により、約430万円の被害
イギリスでは地域医療連携システムを提供するための公的機関のコンピュータが、ランサムウェア「WannaCry」に攻撃された事例があります。ウイルスに感染したコンピュータからはシステムの利用者情報が盗まれたほか、アクセス妨害や身代金の要求などの被害が発生。コンピュータを立ち上げることで感染拡大が懸念されるために、多くの医療機関の業務に支障が出たとのことです。また、一部の医療機関ではこの攻撃の影響でカルテ・処方箋・予約などの管理システムが停止しました。BBCの分析によれば、データ復旧の身代金として日本円で約430万円が支払われたとされています。
・某SNSの脆弱性が攻撃され、540万人の名簿データが漏えい
2022年11月には、アメリカのIT企業が運営する有名SNSにて、システムの脆弱性を狙ったサイバー攻撃で漏えいしていた情報が、誰でもアクセス可能な掲示板に公開されるという事件が起きました。その情報は約540万人分の名簿データで、アカウントIDやユーザー名のほか、二段階認証に必要な電話番号やメールアドレスなどの情報も含まれます。
非公開の電話番号やメールアドレスが流出したことで、それらを使って匿名アカウントの個人が特定できる状態となっていました。
・サプライチェーン攻撃により、アメリカ政府機関の機密情報が流出
2020年にはアメリカの政府機関にて大規模なサイバー攻撃が発生しています。発端となったのは、ネットワーク監視ツールを提供している大手IT企業がハッキングされたことです。攻撃者は同社製品の自動更新時にマルウェアを仕込み、それによって政府機関を含む100弱の組織のサーバーが不正アクセスの被害を受けました。サーバー攻撃の被害が確認された組織の中には国務省、財務省、米航空宇宙局なども含まれています。この事件の当時には新型コロナウイルスの感染が拡大しており、リモートワークのため社内ネットワークにログイン可能な端末の登録プロセスが簡略化されていたことが事件発生要因のひとつとして挙げられています。
日本でよく起きる12種類のサイバー攻撃
ここからは、日本国内で頻発するサイバー攻撃の中から代表的な12種類を挙げて解説していきます。複雑化しているサイバー攻撃に対処するために、それぞれの特徴を把握しておきましょう。
1.マルウェア
ウイルスやワーム、トロイの木馬など悪意のあるプログラムやソフトウェアの総称。感染すると個人情報の流出や端末に保存されているデータの改竄、端末の強制ロック、外部との勝手な通信などの被害に遭う可能性がある
2.ランサムウェア
マルウェアの一種。感染するとシステムへのアクセスが制限され、制限解除のために身代金を要求される
3.標的型攻撃
特定の個人や組織を狙った攻撃。ターゲット宛にウイルスが添付されたメールを送付する手口が知られている
4.Emotet
メールの添付ファイルを感染経路とするマルウェアの一種
5.不正アクセス
アクセス権限を持たない第三者が個人情報の取得などを目的に不正にサーバーやシステムへ侵入する行為
6.脆弱性を狙った攻撃
プログラムの不具合や設計上のミスなどセキュリティの脆弱性を悪用したサイバー攻撃
7.サプライチェーン攻撃
業務上のつながりを悪用し、セキュリティ対策に弱点がある関連会社や取引先を経由して不正アクセスを試みるサイバー攻撃
8.SQLインジェクション
Webアプリケーションの不備を悪用してデータベースを不正に操作する攻撃
9.パスワードリスト攻撃
あらかじめ何らかの方法で入手したIDとパスワードを悪用し、第三者が本人になりすましてサービスやシステムに不正アクセスを試みる攻撃
10.ゼロデイ攻撃
セキュリティの脆弱性が発見されてから、それへの対策が講じられるまでの間を狙って行われるサイバー攻撃
11.DDOS攻撃
サーバーやネットワークに複数端末から大量の通信を発生させることで処理不能に陥らせ、サービスを停止させる攻撃
12.ブルートフォース攻撃
IDやパスワードの考えられるパターンを総当たりで入力し、認証突破を試みる攻撃
サイバー攻撃の平均被害額は?
セキュリティ対策製品を提供するノートンライフロック社が2022年に発表したレポートによると、2021年の1年間におけるサイバー攻撃の被害額は320億円にものぼったことがわかっています。また、トレンドマイクロ社が2023年に実施した調査によれば、過去3年間でのサイバー攻撃の被害を経験した法人の累計被害額は平均1億2,528万円、ランサムウェアの被害を経験した法人の累計被害額は平均1億7,689万円にも及ぶという結果となりました。ランサムウェアの被害はサプライチェーンの関連組織にも広がることから、被害額が大きくなりがちです。そのため、自社だけでなく関連企業や取引先企業全体でのセキュリティ対策の強化が求められます。
出典:株式会社ノートンライフロック「サイバー犯罪調査レポート2022」
出典:トレンドマイクロ株式会社「サイバー攻撃による法人組織の被害状況調査」
まとめ
リモートワークの推進やクラウドの利用機会の増加により、企業はこれまで以上にサイバー攻撃の危険にさらされています。また、サイバー攻撃の手口は年々高度化、巧妙化しており、自社の情報資産を守るためには、従業員教育の徹底やWAFの導入といったセキュリティ対策の強化が必須です。本記事を参考に、自社に必要な対策を検討しましょう。
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら
▼2024年度版のサイバー攻撃の被害事例まとめはこちら