被害事例 | SQAT®.jp

2024年3月22日2024年3月29日

被害事例から学ぶサイバー攻撃対策
-サイバー攻撃への対策2-

自分の会社がもしもサイバー攻撃を受けてしまった場合、どのような影響があるのか？もし被害に遭ってしまったら、まずどうすればよいのか？今回の記事では、サイバー攻撃の被害事例に着目し、どのような影響やリスクがあるのかについて解説する。

サイバー攻撃を受けるとどうなる？

サイバー攻撃を受けてしまうと、情報漏洩、システム停止・事業継続リスク、信用失墜、金銭的損失・経済的影響といった様々なリスクに晒されます。

情報漏洩リスク

情報漏洩とは、企業や組織が管理する重要な情報が、意図せず外部に流出してしまうことです。クレジットカード情報や個人情報などの機密データが盗まれ不正使用された場合、個人情報保護法違反に該当し、企業の信頼を損ない、経済的な損失や法的な問題を引き起こす可能性があります。

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、個人情報を含む機密情報の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調査によれば、2023年に上場企業とその子会社で個人情報漏洩または紛失事故・事件を公表したのは175社、漏洩した個人情報は約4,090万人分とされています。個人情報の漏洩または紛失事故・事件は年々増加の傾向にあり、同社の調査結果を見ても2023年は社数では過去2番目、事故・事件の件数は2012年以降の12年間で過去最多を更新しました。

東京商工リサーチ　2023年「上場企業の個人情報漏えい・紛失事故」調査画像 — 出典：東京商工リサーチ　2023年「上場企業の個人情報漏えい・紛失事故」調査

関連リンク：「情報漏えいの原因と予防するための対策」

金銭的損失・経済影響

機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。データ侵害によりかかる世界平均コストも増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。

IBM「2023年「データ侵害のコストに関する調査」画像 — 出典：IBM「2023年「データ侵害のコストに関する調査」」

システム停止・事業継続リスク

システム停止・事業継続リスクとは、サイバー攻撃によって企業・組織の業務システムが停止したり、サービスが利用できなくなったりすることで、事業継続が困難になるリスクを指します。システムが停止すると、業務プロセスやサービス提供が滞り、顧客に影響を及ぼす可能性があります。さらに顧客の個人情報情報漏洩やデータ損失が発生すると、企業の信頼性が損なわれる恐れもあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアとはマルウェアの一種で、感染したコンピュータやシステムにあるファイルやデータを暗号化し、アクセスできないようにした上で、元に戻すことと引き換えに金銭（身代金）を要求するものの総称です。

ランサムウェアの攻撃手口は、時間とともに大きく進化し、より複雑かつ高度になっています。ランサムウェア攻撃の対象がクライアント（従来のランサムウェア攻撃の対象）から、サーバや業務システムを標的にした攻撃へ変化したのは、サーバが停止した場合の企業・組織への影響が大きく、攻撃者にとってより多くの身代金が手に入る可能性が高いためです。サーバでは組織内の重要情報が保存されており、データ暗号化解除の脅迫をかけやすいため、企業・組織のサーバが攻撃対象に狙われやすくなります。

関連記事：「拡大するランサムウェア攻撃！―ビジネスの停止を防ぐために備えを―」

信用失墜リスク

信用失墜リスクは、企業がサイバー攻撃によりブランドイメージが損なわれ、信頼性が失われる可能性のことを指します。もしも顧客データが漏洩した場合、顧客からの信頼を損なうだけでなく、将来的に新たなビジネスチャンスを逸することにもつながります。さらに、パートナーとの信頼関係を取り戻すのに時間がかかることも、信用失墜リスクの一環として考慮する必要があります。

日本国内で発生したサイバー攻撃の事例

Log4Shellは、Javaのログ処理ライブラリApache Log4j2に見つかったリモートコード実行の脆弱性*1です。攻撃者は攻撃文字列を送り、脆弱性のあるLog4j2のシステム上で任意のコードを実行させます。脆弱性を悪用した攻撃は2021年12月、日本でも確認されました。

Log4Shellの脆弱性を悪用したランサムウェア「NightSky」による攻撃も確認されました。2022年1月、国内ITサービス企業がランサムウェア「Night Sky」によるサイバー攻撃を受けました*2。攻撃者は2021年10月から侵入を開始し、12月31日にランサムウェアを使用し社内のファイルを暗号化しました。感染させたことで、社内システムの情報が流出し、一部はインターネット上で公開されました。この攻撃により、同企業は一部業務の復旧に数日を要し、セキュリティ強化策を講じました。

マルウェア「Emotet」による攻撃

Emotetはメールアカウントやパスワード、アドレス帳、メール本文といった情報窃取と、感染拡大を引き起こすマルウェアです。感染したシステムは、Emotetギャングらに情報を盗まれるばかりか、さらに悪質なプログラムをインストールされる恐れがあります。Emotetは、メールを介したマルウェア感染で知られ、添付ファイルやリンクを通じてシステムに侵入します。

<IPAに寄せられたメール被害事例>

・docファイル添付型
・URL記載型
・zipファイル添付型
・PDF閲覧ソフトの偽装
・ショートカットの悪用
・Excelファイルの悪用

参考：https://www.ipa.go.jp/security/emotet/situation/index.html

また、警察庁の解析によると、EmotetはGoogle Chromeに保存されたクレジットカード情報を盗み出す新機能が追加されました。この機能は、Chromeに暗号化されて保存されたクレジットカード番号、名義人氏名、有効期限を外部に送信します。Emotetはこれに加えて、情報を復号するための鍵も盗むため、感染した場合、クレジットカード情報が第三者に漏洩する危険があります。

https://www.npa.go.jp/bureau/cyber/koho/detect/20201211.html

サプライチェーン攻撃の脆弱性を悪用した攻撃

2022年3月、国内大手自動車メーカーが部品仕入取引先のマルウェア感染被害によるシステム障害を受け、国内の全14工場の稼働を停止する事態に追い込まれました*3この事件は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

ランサムウェア攻撃では通常、被害者のデータを不正に暗号化し、復号のための金銭を要求します。しかし、近年ではデータを窃取し、公開する脅迫（いわゆる「二重脅迫」）も行われています。特に中小企業ではセキュリティに関する予算や人員が十分でない場合が多く、攻撃者にとって魅力的なターゲットとなっています。

国内大手自動車メーカーの事例は、サプライチェーン攻撃が大手企業に与える影響の大きさを示しており、内閣サイバーセキュリティセンター（NISC）を含む関係省庁からもサイバーセキュリティ対策の強化について注意喚起が出されました。

病院を狙ったランサムウェア攻撃

**【医療機関を狙ったランサムウェアによる被害事例】**
年月	地域	被害概要
2021/5	大阪府	医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*4
2021/10	徳島県	電子カルテを含む病院内のデータが使用（閲覧）不能となった*5
2022/1	愛知県	電子カルテが使用（閲覧）できなくなり、バックアップデータも使用不能な状態となった*6http://www.kreh.or.jp/2022/01/19/3837/
2022/4	大阪府	院内の電子カルテが一時的に使用（閲覧）不能となった
2022/5	岐阜県	電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*7
2022/6	徳島県	電子カルテおよび院内LANシステムが使用不能となった*8
2022/10	静岡県	電子カルテシステムが使用不能となった*9
2022/10	大阪府	電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用（閲覧）不能となった*10

2023年に影響の大きかったサイバーセキュリティ脅威

「情報セキュリティ10大脅威 2024」

2024年1月24日、独立行政法人情報処理推進機構(IPA）は、情報セキュリティにおける脅威のうち、2023年に社会的影響が大きかったトピックを「情報セキュリティ10大脅威 2024」として公表しました。

注目するべきは「ランサムウェアによる被害」「内部不正による情報漏えい等の被害」イメージ — 出典：独立行政法人情報処理推進機構（IPA）
「情報セキュリティ10大脅威 2024」（2024年1月24日）組織向け脅威

サイバーセキュリティ対策の必要性

セキュリティ対策がなぜ必要か？

事業活動・日常生活にかかせないIT環境では様々な個人情報や機密情報等が保管・やりとりされており、業界問わず、あらゆる組織・企業がサイバー攻撃の脅威にさらされています。万が一サイバー攻撃を受けた場合、顧客情報の漏えいやシステムの停止による経済損失、コストの発生など様々な被害・影響があります。日本でも経済産業省などからサイバーセキュリティ対策の強化について注意喚起*11が出されています。リスクを少しでも低減するために組織でセキュリティ対策を実施することが求められます。

サイバーセキュリティ対策が必要な理由は、情報技術の進化に伴い保護すべき情報量が増加し、サイバー攻撃が高度化しているからです。サイバー攻撃は、データの取得、改ざん、破壊を目的とし、企業や個人に甚大な損害を与える可能性があります。企業では、紙の文書だけでなく、デジタルデータも徹底して保護する必要があります。一度情報漏洩が起こると、信用問題や多額の損害賠償に繋がる可能性があるため、適切なセキュリティ対策を講じることが重要です。

まとめ

サイバー攻撃は企業や組織にとって深刻なリスクをもたらし、情報漏洩、システム停止、事業継続の困難、信用失墜、金銭的損失や経済的影響などを引き起こします。情報漏洩では、クレジットカード情報や個人情報などの機密データが外部に流出し、企業の信頼を損なうと共に経済的損失や法的問題を引き起こすことがあります。またサイバー攻撃による業務システムの停止は、業務プロセスやサービス提供に大きな影響を与え、システム停止や事業継続のリスクを高めます。さらに、サプライチェーン攻撃や医療機関を狙ったランサムウェア攻撃など、特定の業界を狙った攻撃も報告されており、これらは企業や組織に深刻なダメージを与える可能性があります。

サイバー攻撃に備えるためには、組織でセキュリティ対策の実施に取り組むことが重要です。適切なセキュリティ対策を講じることで、リスクを低減し、情報漏洩やその他の被害を防ぐことが可能です。

Security Report TOPに戻る
TOP-更新情報に戻る

2024年3月8日2024年3月11日

ランサムウェアに感染したら？対策方法とは -ランサムウェアあれこれ 3-

「ランサムウェアに感染したら？対策方法とは」アイキャッチ画像（パソコンをウイルスから保護するイメージ）

この記事では、ランサムウェア攻撃の具体的な被害事例を通じて、被害に遭った場合の影響と対処法について触れながら、最後に、ランサムウェア対策の基本となるポイントを紹介します。この記事を通じて、ランサムウェアの脅威に対する理解を深め、基本的な対策を講じることの重要性を学んでいただければ幸いです。

ランサムウェア攻撃の被害事例

2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局（NSA）が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

2021年10月には、日本国内の医療機関がランサムウェア攻撃によって被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。

主に企業・団体に向けたサイバー攻撃の被害として、ランサムウェアでの被害がありますが、令和4年上半期以降、高い水準で推移しています（棒グラフ参照）。

企業・団体等におけるランサムウェア被害の報告件数の推移

被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重恐喝（ダブルエクストーション）の割合が多く、手口を確認できたもののうちの約8割を占めている。また、データを暗号化せずに対価を要求する「ノーウェアランサム」による被害も新たに確認されました。感染経路としては、前年と同様、脆弱性を有するVPN機器等や、強度の弱い認証情報等が設定されたリモートデスクトップサービスが原因となる事例が多かった（円グラフ参照）。

ランサムウェア被害の感染経路

2023年7月4日、国内物流組織がランサムウェア攻撃を受け、名古屋港の統一ターミナルシステムに障害が発生し、7月6日夕方の作業完全再開までのあいだ業務が一時停止する事態になりました。本件は、サイバー攻撃により港湾施設が操業停止に追い込まれた国内初の事例と報じられています。

この事件を受け、国土交通省は、安全で安定的な物流サービスの維持・提供に資することを目的として、対策等検討委員会を設置しました。2023年9月に公開された調査資料「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について」によれば、感染経路はVPN機器からの侵入が有力とされています。そして主な原因として、「保守作業に利用する外部接続部分のセキュリティ対策が見落とされていたこと」「サーバ機器およびネットワーク機器の脆弱性対策が不十分であったこと」などが挙げられています。

ランサムウェアによる被害の影響

ランサムウェア攻撃を受けた場合、企業への被害の影響は、以下のようなものがあります。

身代金による金銭の損失

ランサムウェア攻撃を受けた場合、身代金を支払うかどうかの選択を迫られます。身代金を支払った場合、その金額は数百万円から数億円に上ることもあります。また、身代金を支払ったとしても、データが復旧できないこともあるため、金銭的な損失は避けられません。

事業での業務が停止

ランサムウェア攻撃により、企業のシステムやデータが暗号化され、業務プロセスが停止することがあります。これにより、本来行われる業務が滞るため、生産性が低下します。業務が停止している期間が長引けば、競争力の低下や市場シェアの減少も懸念されます。

顧客の喪失

ランサムウェア攻撃により、顧客データが漏洩した場合、顧客の信頼を失い、顧客を喪失する可能性があります。また、攻撃によるシステムの停止や業務の遅延などによって顧客に損害を与えた場合、損害賠償請求を受ける可能性もあります。

影響範囲

ランサムウェア攻撃は、企業の規模や業種を問わず、あらゆる企業が標的となる可能性があります。また、攻撃対象は、企業のITインフラや業務システム、顧客データなど、多岐にわたります。そのため、攻撃を受けた場合の影響範囲は、企業によって大きく異なります。

莫大なコストの発生

ランサムウェア攻撃による被害コストは、身代金の支払い以外にも、システム復旧や顧客対応など、多岐にわたります。そのため、被害コストは数千万円から数億円に上ることもあります。

ランサムウェアに感染したら

マルウェア感染（特にランサムウェア感染）に気づいた場合、以下のステップに従って対処することが重要です。

ネットワークの切断：インターネットの接続を切断し、感染を広げないようにします。感染がネットワーク内に広がるのを防ぎ、攻撃者の操作を制限します
コンピュータのシャットダウン：感染したコンピュータを即座にシャットダウンし、データへのアクセスをブロックします。これにより、攻撃者がデータの暗号化を続行するのを防ぎます
被害状況の報告：インシデント対応チームや情報セキュリティの担当者にすぐに報告し、被害の詳細を共有します。早急な対応が感染拡大を防ぎます
バックアップの確認：バックアップからデータを復旧できるよう、バックアップを確認し、感染前のデータのコピーが利用可能であることを確認します
身代金の支払いはしない：攻撃者に身代金を支払わないようにしましょう。身代金を支払っても、データの復号が保証されないことがあります
ランサムウェアの種類を特定：攻撃されたランサムウェアの種類を特定し、解析情報をセキュリティ専門家に提供します。これにより、未来の攻撃を防ぐための情報が得られます
ノーモアランサム（No More Ransom）：ランサムウェアの解除ツールが提供されている場合、それを利用してデータを復号化します。ノーモアランサムは、解除ツールを提供するプロジェクトの一例です

これらの手順は、マルウェア感染に対処する基本的な対処手順です。セキュリティ対策の実施においては、セキュリティ専門家のアドバイスや組織内のポリシーに従うことも重要です。

ランサムウェアの対策方法

ランサムウェアの基本的な対策は、以下のとおりです。

【システム管理者側での対策】

標的型攻撃メール訓練の実施
定期的なバックアップの実施と安全な保管（別の場所での保管推奨）
バックアップ等から復旧可能であることの定期的な確認
OS、各種コンポーネントのバージョン管理、パッチ適用
認証機構の強化（14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など）
適切なアクセス制御および監視、ログの取得・分析
シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認
攻撃を受けた場合に想定される影響範囲の把握
システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

【ユーザ側での対策】

不審なメールに注意し、容易にリンクをクリックしたり添付ファイルを開いたりしない
適切な認証情報の設定（多要素認証の有効化・パスワードの設定）
OSおよびソフトウェアを最新の状態に保つ
データを定期的にバックアップしておく
セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
セキュリティアップデートの通知を設定する
不審なアクティビティを検出した場合には、社内へ報告する

基本的な対策こそが重要

ランサムウェアはRaaSの登場などによる犯罪のビジネス化により、攻撃のハードルが下がったことで、高度な技術力を持たなくても攻撃者が参入しやすくなり、攻撃の数は増えるかもしれません。しかし、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

ランサムウェア攻撃は、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。
※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」および「石油」の14分野を特定している。

たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。ランサムウェア攻撃への備えとして、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

Security Report TOPに戻る
TOP-更新情報に戻る

2024.6.5（水） 13:00～14:00
＜ウェブセミナー＞
今さら聞けない！
スマホアプリのセキュリティあれこれ
スマホアプリのセキュリティについて、
どのようなリスクがあるのか？スマホアプリの脆弱性とは？実施による効果などについて解説します。

お申込み・詳細はこちら

2024.5.29（水） 13:00～14:00
＜ウェブセミナー＞
今さら聞けない！ PCI DSSで求められる
脆弱性診断 -4月1日運用開始！PCI DSSv4.0での脆弱性診断実施におけるポイントとは-
PCI DSSの準拠対応についてご紹介しつつ、PCI DSSで求められる脆弱性診断・
ペネトレーションテストについて今さら
聞けない!? 内容を徹底解説いたします。

お申込み・詳細はこちら

2024.5.22（水） 14:00～15:00
＜ウェブセミナー＞
対応必須!
情報セキュリティ事故発生時の緊急対応とは
～情報漏えい・サイバーセキュリティ
インシデント発生時にすべきこと～
実際のインシデントの事例を交えながら
インシデント発生時の対応についてご説明
いたします。

お申込み・詳細はこちら

2024.5.15（水） 12:50～14:00
＜ウェブセミナー＞
知っておきたいIPA
『情報セキュリティ10大脅威 2024』
～セキュリティ診断による予防的
コントロール～
連休前に開催した今年のIPA『情報セキュリティ10大脅威 2024』（組織編）についてご好評につき再配信いたします。
昨年とどうトレンドが変化したのか、改めて確認してみたい方はぜひご覧ください。

お申込み・詳細はこちら

2024.5.8（水） 12:50～14:00
＜ウェブセミナー＞
知っておきたいIPA
『情報セキュリティ10大脅威 2023』
～セキュリティ診断による予防的
コントロール～
昨年（2023年度）開催した中でも好評いただいたIPA『情報セキュリティ10大脅威 2023』（組織編）ついて知っておきたい基本情報を解説。
前回見逃してしまった方や昨年度との比較をしたい方は、ぜひ5月15日の配信と併せてお申込みください。

資料ダウンロードはこちら