深刻化するサイバー攻撃の手口とは?

1 狙われる中小企業
   ~中小企業を足掛かりとした大企業へのサイバー攻撃の増加~

近年、企業が有する個人情報や営業秘密等を不正に入手することや、ネットバンキングを通じて不正送金を行うなど、企業に対するサイバー攻撃が増加しています。

サイバー攻撃の対象として狙われるのは、誰しもが知っている大企業や著名なインターネットサイトばかりではありません。最近では、サイバー攻撃への対策が進んでいる大企業は直接狙わずに、その取引先である中小企業を攻撃し、そこから大企業への侵入を試みるいわゆる「サプライチェーン攻撃」が増えています。

このように企業の規模を問わずサイバー攻撃に関するリスクが増えている一方で、人手や予算の問題から、まだまだ十分なセキュリティ対策が出来ていない中小企業が多いのも実情です。

大阪商工会議所が平成29年3月から6月にかけて実施した「中小企業におけるサイバー攻撃対策に関するアンケート調査 」では、約3割の中小企業が「サイバー攻撃を受けた経験あり」、約7割の中小企業が「現在実施している情報セキュリティ対策で十分ではない」と回答したと公表されています。

そこで、本コラムでは、知っておきたいサイバー攻撃の種類、サイバー攻撃を受けた際に生じる不利益等について、概要を解説いたします。

なお、実際にサイバー攻撃を受けた場合の対応等については、本コラムと同日付けで配信するもう1つのコラムをご覧ください。

2 知っておきたいサイバー攻撃の種類

はじめに、サイバー攻撃にはどのような種類があるのか、主だったサイバー攻撃について、その内容を見ていくことにしましょう。

まず、①標的型攻撃とは、特定の個人や企業に絞り、メールなどでサイバー攻撃を仕掛ける攻撃をいいます。メールに添付したファイルを開かせ、ウイルスに感染させることにより、攻撃者が外部からパソコンを遠隔操作したり、パソコン内部の情報を盗み取って外部へ送信したりすることが一般的です。

次に、②ランサムウェアを使った業務妨害等があります。ランサム(ransom)とは「身代金」を意味し、メールに添付されたランサムウェアを不用意に開かせることで、パソコンをロックしたり、内部データを暗号化し、使用できない状態に陥らせます。そして、ロックの解除や暗号化されたファイルの復元と引き換えに金銭を要求してくることもあります。

また、自社のウェブサービスで顧客の個人情報やクレジットカード情報を取得している場合、ウェブサービスでよく使われているOpenSSLやWordpressなどのソフトウェア、あるいはウェブアプリケーションの脆弱性を狙い、ウェブサービスから情報が窃取されることもあります(③)。

その他、最近では、経理業務の効率化のため、インターネットバンキングを利用している中小企業も増えてきましたが、添付ファイルなどから不正送金ウイルスを侵入させ、入手した認証情報を悪用してネットバンキングにログインし、そこから第三者の口座に送金を行う不正送金(④)の被害も増えてきています。平成27年には、1件あたり9100万円もの被害が生じた事案も発生しており、全体として30億円余りの被害が報告されています。

このように、一口にサイバー攻撃と言っても、その手法は多様化かつ巧妙化している点をまずは押さえる必要があります。

3 サイバー攻撃を受けた際に生じる企業の不利益

次に、サイバー攻撃を受けた場合、企業にはどのような不利益が生じるのかを見ていくことにしましょう。

まず、顧客の個人情報や取引先の機密情報を漏えいさせてしまった場合、顧客や取引先から損害賠償請求を受けるなど、漏えい元の企業には①金銭的損害が発生します。

また、サイバー攻撃を受け、情報に関する事故を生じさせてしまうと、企業にどの程度の落ち度があったのかにかかわらず、厳しい管理責任が問われ、レピュテーション(社会的評価)が低下し、結果として②顧客の喪失を招いてしまうことが一般的です。

そして、ウイルス等により業務システムに事故が生じると、原因調査や被害の拡大防止のため、システムの停止やネット環境を遮断しなければならなくなり、③業務が停滞し、納期の遅れや営業機会の損失が生じます。

このように、サイバー攻撃を受けると、金銭的損害はもちろん、顧客の喪失や業務の停滞など、経営に直結する重大なリスクが発生し、事案によっては、企業や経営者が法的な責任を追及されることもあることから、日頃からサイバー攻撃に備えたセキュリティ対策を実施しておく必要があります。

4 求められるセキュリティ対策
  ~サイバーセキュリティ経営ガイドライン等の活用~

それでは具体的にどのようなセキュリテイ対策を講じれば良いのでしょうか。

経済産業省では、各企業において効果的なセキュリティ対策を進めることができるように、経営者が認識すべき3原則や10個の重要項目等を定めた「サイバーセキュリティ経営ガイドラインVer2.0」を公表し、同ガイドラインを踏まえた対策を推奨しています。

経済産業省ウェブサイトhttps://www.meti.go.jp/policy/netsecurity/mng_guide.html

 

また、同ガイドラインの内容を踏まえ、中小企業において、自社で具体的な対策を講じることができるように、独立行政法人情報処理推進機構セキュリティセンター(IPA)からは「中小企業の情報セキュリティ対策ガイドライン(第3版)」が公表されるなどしています。

IPAウェブサイトhttps://www.ipa.go.jp/security/keihatsu/sme/guideline/

 

中小企業においてもITの利活用が進む一方で、前述のとおり、サイバー攻撃の手法は多様化しており、事業に悪影響を及ぼすリスクはますます高まっています。

本コラムを機に、これらのガイドライン等を参照しながら、自社のセキュリティ対策について、今一度、確認をしてみてください。
 

(このコラムの内容は、平成31 年3月現在の法令等を前提にしております)。

(執筆)五常総合法律事務所 弁護士 持田 大輔