標的は中小企業!?関係ないではすまないサイバー攻撃の危険性

「メールの添付ファイルを開いたらウイルスに感染した」「個人情報が漏えいした」など、ネットワークを対象にしたサイバー攻撃は世界中で日々発生しています。

しかしながら「標的になるのは大企業だから小さな町工場は関係ない」「ウイルス対策ソフトを入れているから大丈夫」とお考えの中小企業の経営者様は多いのではないでしょうか?

年々増加するサイバー攻撃などのサイバーセキュリティリスクに対して、2017年に経済産業省より公表されたサイバーセキュリティ経営ガイドラインでは、「サイバーセキュリティは経営問題」と明確に位置付け、経営者による率先したサイバーセキュリティ対策とインシデント発生に備えた体制の構築まで含めた包括的な対応が求められています。

そこで今回はサイバーリスクと実際の事例の紹介、中小企業に迫るサイバーリスクについて紹介します。

 

サイバー攻撃とは?

サイバー攻撃とは、一般的にサーバーや企業内のネットワーク、PCやスマートフォンに対して、ネットワークを通じてプログラムを送り込み、システムを破壊したり情報改ざんや個人情報の不正取得を行うことを指します。
サイバー攻撃は特定の企業・組織・個人を標的としたものや、不特定多数を無差別に攻撃するものがあり、その目的は機密情報を人質とした身代金目的のものから、情報漏洩による営業妨害や騒ぎを起こして自己承認欲求を満たしたいという身勝手ものまで多岐にわたります。

 

サイバーリスクの種類

企業が直面するサイバーリスクは、こうしたサイバー攻撃に加えて「ヒューマンエラー(内部原因)」によるものもあり、どんなに強固なセキュリティを構築しても、完全にサイバーリスクを根絶することは困難だと言われています。

ここでは代表的なサイバーリスクの一部をご紹介します。

標的型メール攻撃

サイバー攻撃
主にマルウェア付きの電子メールを用いて特定の組織や個人を狙う攻撃です。

ランサムウェア

サイバー攻撃
PC内のファイルを暗号化したり、PCをロックしたりすることで、業務継続を困難にし、元に戻すことと引き換えに「身代金」を要求するマルウェアです。

ウェブサイト改ざん

サイバー攻撃
組織のウェブサイトに外部から侵入し、ウェブサイトの内容を書き換えてしまう攻撃です。

DDoS攻撃

サイバー攻撃
複数箇所から同時に大量の通信を発生させ、インターネットサイト等を利用できなくする手法です。

盗難・紛失

ヒューマンエラー(内部原因)
PCやUSBメモリの盗難・紛失、またはメールを関係の無い社外の人に誤って送信する等、組織内部の人間の過失により発生する事故です。

内部不正

ヒューマンエラー(内部原因)
組織内部の人間が、個人情報や営業機密を社外に不正に持ち出す等の行為です。

 

ニュースになっている事例紹介

毎日のようにニュースになっている企業組織による情報漏洩ですが、近年特にインパクトの大きかったサイバーリスク事例についてを紹介します。

 

■「ドコモ口座」の不正利用問題

銀行口座の情報を不正に入手した犯人が、本人に成りすましてドコモ口座を開設して銀行口座と連携させ、銀行からドコモ鋼材にチャージ(出金)させるこちらの手口では、被害総額が2,800万円以上となりました。また発端となったのはドコモ口座でしたが、その後PayPayやLINE Payといった複数の電子決済サービスで、同じような手口の銀行口座不正出金が過去に遡って確認されました。

 

■カプコン ランサムウェア攻撃にて最大35万件の情報流出

ゲームメーカーカプコンはサイバー犯罪集団からの不正アクセスを受け、顧客や取引先、会計関連、知的財産に関する情報が最大で35万件流出した可能性があると発表。
サイバー犯罪集団は、盗んだデータを流出させると脅し1100万ドル(約11億5500万円)分の支払いを要求。カプコンは要求に応じず、新作ゲームの情報などがリークされたことが確認されています。

 

 

危ないのは大企業だけ?中小企業に迫るサイバーリスクについて

こうした事例を見ていると、「狙われるのは大企業だから中小企業は関係ない」「機密情報は扱っていないのでそれほど大きな被害は出ないのでは?」という声が中小企業の経営者から聞こえてきますが、実は中小企業がターゲットとなり大きな被害が出てしまうことを認識しなくてはなりません。

サイバー攻撃には「標的型攻撃」と「ランダム攻撃」があります。
「ランダム攻撃」ではインターネットに接続されているPCやスマートフォン端末が法人・組織・個人に関係なくすべて狙われています。

乗っ取られたPCは「踏み台」として、攻撃者が直接攻撃しているという足跡を残さないために活用されることがあります。
自分のパソコンが踏み台になってしまうと、自分が気づかない状態で見ず知らずの相手にサイバー攻撃を仕掛けてしまい「加害者」となって攻撃側に加担してしまうことになります。
また第三者に重大な被害をもたらしてしまうのはもちろんですが、自社で”加害者ではなく踏み台利用された被害者である”ことを証明する必要があり、この調査には莫大な費用と労力を要します。

さらに気をつけないといけないのが、セキュリティが比較的脆弱な中小企業を狙う「サプライチェーン攻撃」です。

「サプライチェーン攻撃」では、機密情報を保有している大手企業に対して直接的に攻撃を仕掛けるのではなく、ビジネス上の取引があり、メールなどによって情報のやり取りがある関連子会社や、ビジネス上で取引のある中小企業を狙います。

サプライチェーン攻撃の標的となりビジネス上やりとりのある大企業の情報を漏えいさせることになってしまった中小企業は、事態収拾に対応する費用や原因究明のための調査費用、および売り上げの減少に対して取引先の大企業からの損害賠償請求を受け、最悪の場合、廃業に追い込まれてしまうことまで想定できます。

ビジネスをおこなう以上、様々な企業・組織とネットワークでつながることを避けることはできません。
適切なセキュリティ対策を取っていたとしても、年々巧妙な手口のサイバー攻撃が生まれ、そのすべてを防ぐことは不可能であると言われています。
もはや企業にとってサイバーリスクは、自然災害同様、発生したときのことまで想定した対策が必要な時代がきているのです。

 

サイバーリスクに備えるなら、損害保険最適化サポート

解決ファクトリーの「損害保険最適化サポート」では、地震や火災といった自然災害だけではなく、サイバーリスクを含めたあらゆる企業のリスクを想定し、被害を最低限に抑えられるように様々なサポートをおこなっています。

サイバーリスクに対して、何から始めたらいいのかお困りの中小企業経営者の皆様は、解決ファクトリーまでお気軽にご相談ください。

「損害保険最適化サポート」について、詳しくはこちらから▼

保険見直しでコスト削減「損害保険最適化サポート」のバナー