SmartStage

IT部門をビジネスクリエイティブ集団にpowerd bysmart stage

IT部門をビジネスクリエイティブ集団に

システムの安定稼働、コスト削減、コンプライアンス強化など、IT部門の「作業」は年々増加しています。
しかし、新規事業や新技術の立ち上げなど、企業力強化のうえで不可欠なものは、IT部門の「知恵」です。
IT部門がビジネスクリエイティブ集団に生まれ変わるためのヒントやトレンド情報をご提供いたします。

sp_kv

  • 事例

2023.06.01

 更新日:

2023.03.14

全2回 御社は大丈夫?サイバー攻撃・内部不正による情報セキュリティ事件簿 《連載:第1回》 ランサムウェアだけではない!国内企業のサイバー攻撃被害事例

ランサムウェアだけではない!国内企業のサイバー攻撃被害事例

情報セキュリティ対策はIT部門にとって重要任務のひとつ。今回は、現在情報セキュリティに大きな影響を及ぼしている脅威や、実際に国内企業で発生したセキュリティ被害の事例を2回にわたって紹介します。

目立つサイバー攻撃被害

2023年1月、IPA(独立行政法人 情報処理推進機構)が「情報セキュリティ10大脅威2023」を発表しました。同ランキングは、情報セキュリティにおける脅威のうち、2022年に社会的影響が大きかったトピックを専門家らが選出したもので、組織(企業、行政機関など)部門の上位10位は次のようになっています。

情報セキュリティ10大脅威2023|IPA

※出典:情報セキュリティ10大脅威2023|IPAをもとに作成

トップを占めるのは、3年連続で1位に選出された「ランサムウェアによる被害」のほか、2位「サプライチェーンの弱点を悪用した攻撃」、3位「標的型攻撃による機密情報の窃取」と、すべてサイバー攻撃による脅威。同時に、「内部不正による情報漏えい」「不注意による情報漏えい等の被害」といった、内部要因による被害がそれぞれ前年から順位を上げている点も気になるところです。

それでは、まずは1位のランサムウェアによる被害事例を紹介します。

国内企業のランサムウェア被害事例

ランサムウェアはマルウェア(不正プログラム)の一種で、「身代金要求型ウイルス」とも呼ばれています。その呼び名の通り、ランサムウェアによる攻撃は、企業のパソコンをロックしたり、端末保存しているデータを暗号化したりした上で、解除キーの提供や復号化の対価として金銭(暗号資産含む)を要求することを主な手法としています。

ただし近年は手口の多様化が進んでおり、警視庁サイバー犯罪対策プロジェクトのWebサイトによると、従来のEメールを感染経路とする「ばらまき型」に代わり、ネットワーク機器のインフラの脆弱性を狙って侵入する「侵入型」のランサムウェアが多くみられるということです。また、データを暗号化した上で窃取し、データ公開と引き換えに金銭を要求する二重恐喝(ダブルエクストーション)と呼ばれる手口も確認されているようです。

■リモート接続機器を狙ったランサムウェア攻撃事例

2022年3月、大手自動車メーカーの部品仕入先企業がランサムウェア攻撃を受け、メーカーの国内全14工場28ラインが停止に追い込まれました。

調査報告書によると、狙われたのは同社子会社のリモート接続機器の脆弱性。攻撃者はそのリモート接続機器から子会社内のネットワークに侵入。そこから親会社の社内ネットワークへ侵入し、サーバやパソコン端末の一部のデータを暗号化したということです。

なお、脅迫メッセージは確認されたものの、要求額の記載はなく、外部に情報が持ち出された形跡もなかったことが明らかにされています。

■データ暗号化を伴うランサムウェア攻撃事例

2022年10月、近畿地方の某店舗がランサムウェア攻撃を受け、大規模なシステム障害に見舞われました。後に発表された調査結果によると、基幹システムサーバを含む複数のサーバに不正な侵入があり、ほとんどのデータが暗号化されたということです。

また報道では、各種システムが使えなくなったタイミングでプリンターから大量の紙が出力されているのが見つかり、そこには「犯行声明」という言葉と、システム復元のためのソフトと引き換えに金銭(ビットコイン)を要求する文章が印刷されていたと伝えられています。

最終的に身代金は支払わず、約2カ月を費やして自力でシステムを復旧。ただし、不正利用などは確認されていないものの、40万人以上の顧客情報が漏えいした可能性があることも発表されています。

多様化するサイバー攻撃事例

続いて、ランサムウェア以外のサーバ攻撃による被害事例を紹介します。

■SQLインジェクション攻撃の被害事例

SQLインジェクション攻撃は、WebサイトやWebアプリケーションの脆弱性を狙い、データベースに直接アクセスして不正に操作する攻撃です。ランサムウェアと異なり脅迫や身代金の要求をおこなわないため、企業が情報漏えいに察知できないケースもあります。

2022年6月、大手調査会社サイトのサーバに、外部からSQLインジェクションによる不正アクセスがあったことが判明。同社会員のメールアドレスと暗号化されたログインパスワード約10万件が流出した可能性があると発表されました。

自社では攻撃を検知できず、被害が発覚したのは取引先の問い合わせがきっかけとのこと。不正利用などは確認されていないようですが、サイトの一時閉鎖と顧客ログインパスワードの初期化などの対応が求められたようです。なお同社は、再発防止策として脆弱性防御ツールと脆弱性管理ツールの導入を挙げています。

■ゼロデイ攻撃の被害事例

ゼロデイ攻撃とは、OSやアプリケーションなどの脆弱性に対するパッチ(修正プログラム)が公表される前に、その脆弱性を狙っておこなわれる攻撃を指します。対策を講じる前に攻撃されてしまうことから、サイバー攻撃の中でも深刻な脅威とされています。

2020年1月、大手電機メーカーがゼロデイ攻撃の被害を受け、一部の業務情報や約8000人分の個人情報が流出していたと公表しました。標的となったのは、社内で使うウイルス対策システムに存在していた未知の脆弱性。幸い情報流出による被害は報告されていないようです。

ゼロデイ攻撃への事前対策はいくつかありますが、少なくとも修正プログラムが提供されないサポート切れ製品の利用を避けることは大前提です。

■Webスキミングの被害事例

サイバー攻撃の標的となるのは大企業だけではありません。2022年6月、洋菓子の製造や店舗運営を手がける企業が、ECサイトから個人情報の漏えいが発生したと発表しました。漏えい可能性が確認されたのは、決済に利用されたクレジットカード情報約7,600件。不正アクセスにより、支払い用アプリケーションが改ざんされたことが原因だったようです。

このようにカード情報入力フォームなどを改ざんし、利用者の入力情報を盗み取る攻撃は「Webスキミング」と呼ばれています。対策としては、Webアプリケーションに脆弱性がないかを適宜検査し、修正していくことなどが挙げられます。

■Emotet攻撃の被害事例

Emotet(エモネット)はEメールを感染経路とするコンピューターウイルス(マルウェア)のこと。メール送信者として実在の組織や個人になりすますなど手口が巧妙で、受信者が添付ファイルを開くとEmotetがダウンロードされ、ウイルス感染やデータを不正に取得される恐れがあります。

2022年2月、大手書店チェーンの一部のパソコンがEmotetに感染し、同社従業員を装った不審メールが各所に送信されていることが確認されました。メール送信者には同社従業員の氏名が表示されていましたが、送信元のメールアドレスは同社が使用しているものとドメインが異なっていたようです。 

なお同時期には、他の多くの企業・組織でも同様の感染被害が続出しており、事態を重く見たIPAが注意喚起を発表しています。 

次回第2回目の記事では内部要因による情報漏えい事例を紹介します。 

SmartStage

SmartStage編集部

IT部門がビジネスクリエイティブ集団に生まれ変わるためのヒントやトレンド情報を発信していきます。

「システム運用改善セミナー」ITIL準拠のサービスデスク管理システムが構築できる「SmartStageサービスデスク」を体験! 《システム運用改善事例》 西武グループ、イオングループ、JALグループの運用事例に学ぶ!