SubGateによるランサムウェア対策|内部拡散を防ぐセキュリティスイッチの仕組みと効果
catfish_admin
経営リスクナビ
サイバー攻撃の企業事例から学ぶ事業リスクとセキュリティ対策
catfish_admin
企業のセキュリティ攻撃による被害事例は、事業継続に深刻な影響を及ぼすリスクとして年々高まっています。しかし、自社にどのような脅威があり、何から対策すべきか判断に迷う担当者の方も多いのではないでしょうか。具体的な被害実態を知らないまま対策を先送りにすると、ある日突然、事業停止や大規模な情報漏洩といった事態に直面する可能性があります。この記事では、近年の国内企業におけるサイバー攻撃の具体的な被害事例とその手口、企業が取るべき基本的な対策について解説します。
目次
近年のサイバー攻撃に見る主要トレンド
ランサムウェア攻撃の巧妙化・二重脅迫
近年のランサムウェア攻撃は、単にデータを暗号化して身代金を要求するだけでなく、窃取したデータを公開すると脅す「二重脅迫(ダブルエクストーション)」が主流となっています。これは、バックアップからの復旧体制を整える企業が増えたため、攻撃者がより確実に金銭を得るための手口として進化させたものです。
攻撃者は事前にネットワークへ侵入して内部を偵察し、価値の高い機密情報や個人情報を特定して外部サーバーへ転送します。その後、システムを暗号化して事業活動を停止させ、バックアップから復旧しようとする企業に対し、データの公開を盾に支払いを強要します。最近では、データの暗号化を行わず窃取と暴露の脅迫のみを行う手口や、さらにサービス妨害(DDoS)攻撃を仕掛ける「三重脅迫」も確認されており、攻撃は悪質化・複雑化の一途をたどっています。
二重脅迫型ランサムウェア攻撃の一般的な流れ
- ネットワークへの侵入と内部探索
- 機密情報や個人データなどの価値の高い情報を特定し、外部へ窃取
- 社内システム上のデータを一斉に暗号化し、業務を停止させる
- 「身代金を支払わなければ窃取した情報を公開する」と脅迫する
このように、システムの復旧手段を確保するだけでは被害を防ぎきれず、組織内への侵入そのものを防ぐ対策と、データが外部へ持ち出される動きを検知する仕組みの構築が不可欠です。
サプライチェーンの弱点を狙う攻撃の増加
セキュリティ対策が強固な大企業を直接狙うのではなく、関連会社や取引先など、セキュリティが比較的手薄になりがちな中小企業を踏み台にする「サプライチェーン攻撃」が増加しています。攻撃者にとって、サプライチェーンを構成する企業群は、標的への格好の侵入経路となるためです。
攻撃者はまず、業務委託先や部品供給元といった企業のシステムに侵入し、そこから得た情報やネットワークの接続経路を利用して、本来の標的である大企業のシステムへ静かに侵入範囲を拡大します。また、正規のソフトウェア・アップデートに悪意のあるコードを仕込み、その更新プログラムを利用する多数の企業を一度に感染させる手口も存在します。大手自動車メーカーが、部品サプライヤーへのサイバー攻撃が原因で国内全工場の稼働停止に追い込まれた事例は、この脅威の深刻さを示しています。
サプライチェーン攻撃は一社の対策だけでは防げません。自社だけでなく、取引先を含めたサプライチェーン全体で連携し、一定水準のセキュリティを確保する体制を構築することが、現代の経営における必須課題となっています。
ディープフェイク技術を悪用した詐欺
AI技術を用いて実在の人物の映像や音声を精巧に合成する「ディープフェイク」が、企業の資金を騙し取る新たな金融詐欺の手口として使われています。生成AIの発展により、少量のデータからでも本人と見分けがつかない偽のコンテンツを容易に作成できるようになったことが背景にあります。
攻撃者は、企業のCEOやCFOなど経営幹部の講演動画やインタビュー音声を学習させ、本人そっくりのデジタルクローンを生成します。そして、緊急の企業買収案件などを装い、従業員にビデオ会議や電話で直接送金を指示します。香港で発生した事例では、ビデオ会議に登場した複数の役員がすべてディープフェイクであり、担当者が疑うことなく数十億円を送金してしまう被害が起きました。攻撃者は緊急性や機密性を強調し、相手に心理的なプレッシャーをかけて正常な判断を妨げるのが特徴です。
このような高度な詐欺に対しては、映像や音声を安易に信用せず、以下の対策を組織的に徹底することが不可欠です。
ディープフェイク詐欺への対策
- 重要な送金や契約手続きにおける承認プロセスを複数化する
- 指示された連絡手段とは別の経路(事前に登録された電話番号など)で事実確認を行う
- ディープフェイク詐欺の手口について従業員への注意喚起と教育を定期的に実施する
自社が攻撃の踏み台となる「加害者」リスク
自社のサーバーやネットワーク機器が攻撃者に乗っ取られ、他社を攻撃するための中継地点(踏み台)として悪用されるリスクも深刻化しています。攻撃者は自身の身元を隠蔽し、攻撃元を特定されにくくするために、セキュリティ対策が不十分な第三者のシステムを利用します。
踏み台にされた企業は、サイバー攻撃の被害者であると同時に、意図せずして攻撃の「加害者」となってしまう危険性をはらみます。自社のシステムから大量の不正アクセスや迷惑メールが送信されれば、社会的な信用を失うだけでなく、被害を受けた他社から取引を停止されたり、損害賠償を請求されたりする可能性があります。企業は自社を守るだけでなく、社会インフラの一部として、他者に危害を加えないためのセキュリティ対策を講じる責任があります。
【業種別】国内企業の攻撃被害事例
製造業:工場停止とサプライチェーン寸断
製造業では、サイバー攻撃によって生産ラインが停止し、サプライチェーン全体が寸断される深刻な被害が多発しています。工場の生産設備を制御するOT(Operational Technology)システムと、社内の情報システム(IT)との連携が進んだ結果、一部のシステム障害が工場全体の操業停止に直結しやすくなっているためです。
国内大手自動車メーカーの事例では、部品サプライヤーがランサムウェア攻撃を受け、部品の受発注システムが停止しました。これにより部品供給が完全に停止し、親会社である自動車メーカーは国内全工場の稼働を一時的に停止せざるを得なくなりました。この一件による経済的損失は甚大であり、製造業において情報システムがいかに事業継続の生命線であるかを示しています。また、大手飲料メーカーでは、社内システムへの攻撃で物流データが連携できなくなり、商品の出荷が滞る事態も発生しました。
製造業におけるサイバー攻撃は、自社内の問題にとどまらず、部品調達から生産、物流、販売に至るサプライチェーン全体を麻痺させる経営上の重大な危機です。
サービス・小売業:大規模な個人情報漏洩
ECサイトや会員向けサービスを通じて膨大な顧客データを扱うサービス業や小売業では、個人情報やクレジットカード情報を狙った攻撃による大規模な情報漏洩事件が後を絶ちません。これらの情報は金銭的な価値が高く、攻撃者にとって格好の標的となるからです。
ある流通大手企業の事例では、ランサムウェア攻撃によってシステムが停止しただけでなく、窃取された個人情報が外部に公開される二重脅迫の被害に遭いました。侵入経路は、業務委託先向けに発行していた管理者アカウントの認証情報が漏洩し、多要素認証が設定されていなかったために不正利用されたことでした。
個人情報を漏洩させた企業は、社会的信用の失墜に加え、多大なコスト負担を強いられます。
情報漏洩時に企業が負う主な対応とコスト
- 漏洩原因の特定と影響範囲の調査にかかる費用
- 監督官庁(個人情報保護委員会など)への報告
- 漏洩対象となった本人への通知・謝罪・補償対応
- クレジットカード不正利用などの二次被害に対する損害賠償
- 信頼回復のための広報活動や再発防止策の導入費用
大量の個人情報を取り扱う事業者にとって、情報漏洩は事業の根幹を揺るがす事態であり、厳格なアクセス管理と継続的な監視体制が不可欠です。
IT・通信業:脆弱性によるサービス停止
情報技術や通信インフラを提供するIT・通信業では、自社が提供するソフトウェアやネットワーク機器の脆弱性を突かれ、サービス自体が停止に追い込まれる事例が発生しています。これらの企業のサービスは多くの顧客の事業基盤となっているため、一度インシデントが発生すると影響が広範囲に及びます。
ある国内メーカーが提供していた情報共有ツールで脆弱性が悪用され、ツールを利用していた多数の顧客企業で機密情報の漏洩が発生しました。メーカーはサービスの長期停止を余儀なくされ、顧客の業務に多大な支障をきたした上、信頼を大きく損なう結果となりました。また、プレスリリース配信サービス事業者が不正アクセスを受け、発表前の企業情報が漏洩した事例もあります。
IT・通信業におけるセキュリティインシデントは、自社の被害にとどまらず、サービスを利用する多くの顧客企業に直接的な損害を与えるため、製品の設計段階からのセキュリティ確保(セキュアバイデザイン)と、運用中の厳格な脆弱性管理が極めて重要です。
海外で発生した注目すべき攻撃事例
ディープフェイクによる巨額の金融詐欺
海外では、AIを用いて生成された精巧な偽の映像や音声を悪用し、企業の財務担当者を欺いて巨額の資金を送金させるディープフェイク詐欺が現実の脅威となっています。攻撃者は経営層の権威を悪用し、緊急性を装うことで正規の承認プロセスを回避させます。
特に注目されたのが、香港に拠点を置く多国籍企業で発生した事件です。
香港で発生したディープフェイク詐欺の手口
- 英国本社のCFO(最高財務責任者)を装った人物から、香港支社の担当者へ極秘取引に関するメールが届く。
- 担当者が不審に思ったところ、偽のCFOからビデオ会議に招待される。
- 会議にはCFOだけでなく、見知った複数の同僚も参加していたが、担当者以外の全員がディープフェイクで生成された偽物だった。
- 会議の様子を信じ込んだ担当者は、指示通りに約2億香港ドル(約38億円)を送金してしまった。
この手口は、公開されている動画などから顔や声のデータを収集・学習させることで、リアルタイムのビデオ通話にも対応できるほど巧妙化しています。企業は、いかなる指示であっても定められた承認プロセスを遵守し、別経路での本人確認を徹底する必要があります。
クラウドサービス設定不備による情報流出
クラウドサービスの利用拡大に伴い、利用者の設定不備を原因とする大規模な情報漏洩事故が海外でも頻発しています。クラウドは迅速かつ柔軟に利用できる反面、アクセス権限などの設定を誤ると、意図せず機密情報がインターネット上で誰でも閲覧できる状態になってしまいます。
例えば、機密情報が保存されたクラウドストレージのアクセス権限を誤って「公開(パブリック)」に設定してしまい、競合他社に情報が流出してビジネス機会を失うといったケースが報告されています。クラウド環境は設定項目が複雑で多岐にわたるため、初期設定のまま利用したり、一時的な設定を解除し忘れたりすることが重大な事故に直結します。
クラウドを安全に利用するためには、サービス提供者と利用者との「責任共有モデル」を正しく理解し、自社が責任を持つべき設定項目を継続的に監視・監査する体制を構築することが不可欠です。設定の不備を自動で検知するツールの活用も有効な対策となります。
企業が標的となる代表的な攻撃手法
企業を標的とするサイバー攻撃には様々な手法がありますが、特に警戒すべき代表的なものを以下に示します。
| 攻撃手法 | 目的 | 主な手口 | 有効な対策 |
|---|---|---|---|
| 標的型攻撃メール | 機密情報の窃取、マルウェア感染 | 業務連絡などを装ったメールに不正なファイルを添付し、受信者に開封させる。 | 不審なメールや添付ファイルを開かない、従業員教育、サンドボックスによる検知。 |
| ビジネスメール詐欺(BEC) | 金銭の詐取 | 取引先や経営者になりすまし、送金先口座の変更などを指示する偽のメールを送る。 | 送金や重要な変更指示は、メール以外の方法(電話など)で必ず事実確認を行う。 |
| DDoS攻撃 | サービスの妨害、脅迫 | 多数の端末から標的のサーバーに大量のデータを送りつけ、サービスを停止させる。 | DDoS攻撃対策サービスの導入、トラフィックの監視と異常検知。 |
| ゼロデイ攻撃 | システムへの侵入、情報窃取 | ソフトウェアの未知の脆弱性(修正プログラム未提供)を悪用して攻撃する。 | 侵入検知・防御システム(IDS/IPS)の導入、EDRによる不審な挙動の監視、多層防御。 |
事例から学ぶ企業の基本的な対策
脆弱性管理とアクセス権限の最小化
サイバー攻撃の多くは、システムの脆弱性や不適切な権限設定を突破口とします。そのため、平時から脆弱性管理とアクセス権限の最小化を徹底することが防御の基本となります。
脆弱性管理と権限最小化の基本
- IT資産の正確な把握: 自社で使用しているOS、ソフトウェア、ネットワーク機器をすべてリスト化し、管理する。
- 修正プログラムの迅速な適用: ベンダーから提供されるセキュリティパッチを速やかに適用し、システムの脆弱性を解消する。
- 権限の最小化: 従業員やシステムに与えるアクセス権限を、業務上必要な最低限の範囲に限定する(最小権限の原則)。
これらの地道な管理を継続することが、攻撃者に侵入の隙を与えず、万が一侵入された場合でも被害を最小限に抑えるための基盤となります。
多要素認証(MFA)の導入徹底
IDとパスワードだけに頼った認証は、パスワードの漏洩や使い回しによって容易に突破される危険があります。これを防ぐため、多要素認証(MFA)の導入を全社的に徹底することが極めて重要です。
多要素認証は、以下の3つの要素のうち2つ以上を組み合わせて本人確認を行います。
- 知識情報: パスワード、PINコードなど、本人のみが知る情報
- 所持情報: スマートフォン、ICカードなど、本人のみが持つ物
- 生体情報: 指紋、顔、静脈など、本人固有の身体的特徴
社内システムやクラウドサービス、VPN接続など、重要な情報にアクセスするすべての経路にMFAを導入することで、万が一パスワードが漏洩しても不正アクセスを効果的に防ぐことができます。これは、比較的少ないコストでセキュリティレベルを飛躍的に向上させられる、費用対効果の高い対策です。
インシデント対応計画の策定と訓練
サイバー攻撃を100%防ぐことは不可能であるという前提に立ち、被害発生時の対応手順を定めた「インシデント対応計画(IRP)」を事前に策定し、定期的な訓練を実施することが不可欠です。有事の際に行き当たりばったりの対応をすると、初動の遅れから被害が致命的に拡大する恐れがあります。
計画には、以下の項目を具体的に定めておきます。
インシデント対応計画に盛り込むべき主要項目
- 異常発見時の報告ルートと緊急連絡体制
- 被害拡大を防ぐためのシステム隔離手順
- 攻撃の証拠を保全するための手順
- 経営層へのエスカレーション基準
- 外部専門家や関係省庁への連絡手順
- 顧客やメディアへの公表に関する方針
策定した計画が絵に描いた餅にならないよう、経営層も参加する模擬演習を定期的に行い、組織全体の対応能力を高めておくことが、被害の最小化と事業の早期復旧につながります。
従業員へのセキュリティ教育と意識向上
どれほど高度なシステムを導入しても、従業員一人の不注意が攻撃の侵入口となり得ます。そのため、全従業員に対する継続的なセキュリティ教育を通じて、組織全体のセキュリティ意識を向上させることが不可欠です。
教育では、パスワードの適切な管理や機密情報の取り扱いといった基本ルールを周知徹底するとともに、実際の攻撃を模した「標的型攻撃メール訓練」などを定期的に実施し、不審なメールを見抜く能力を養います。また、万が一インシデントを発生させてしまったり、不審な点に気づいたりした場合に、隠さずに速やかに報告できるオープンな組織文化を醸成することも重要です。従業員一人ひとりが「最後の砦」であるという自覚を持つことが、組織全体の防御力を高めます。
インシデント発生時の経営判断と報告体制のポイント
重大なセキュリティインシデントが発生した際、その後の被害を左右するのは経営トップの迅速かつ的確な意思決定です。事業の一時停止や対外的な公表といった重大な判断は、現場担当者だけでは行えません。
有事の際には、現場から経営層へ遅滞なく情報が伝わる報告体制を確立し、経営者はリーダーシップを発揮して以下の判断を主導する必要があります。
インシデント発生時に経営層が主導すべきこと
- 正確な事実関係の把握と被害状況の評価
- 事業への影響を考慮した上でのサービスや工場の停止判断
- 法的義務に基づく監督官庁(個人情報保護委員会など)への報告
- 顧客、取引先、株主などステークホルダーへの情報開示のタイミングと内容
インシデント対応における経営者の姿勢は、企業の社会的責任とブランドイメージに直結するため、平時から危機管理体制を整えておくことが求められます。
よくある質問
被害発覚後の初動対応は?
サイバー攻撃の被害が発覚した場合、最優先すべきは被害拡大の防止と証拠の保全です。慌てて不適切な対応を取ると、被害が拡大したり、後の調査に必要な情報が失われたりする可能性があります。
被害発覚後の基本的な初動対応手順
- ネットワークからの隔離: 感染が疑われる端末をLANケーブルから抜く、Wi-Fiをオフにするなどして、速やかにネットワークから切り離します。
- 証拠の保全: 攻撃の痕跡(ログ)が消えるのを防ぐため、端末の電源は切らずにそのままの状態を維持します。
- 専門部署への報告: 社内の情報システム部門やセキュリティ担当部署に、状況を速やかに報告し、指示を仰ぎます。
冷静かつ迅速な初期対応が、その後の被害の大きさを左右します。
セキュリティ対策費用はどれくらい?
セキュリティ対策費用は、企業の規模、業種、保有する情報の価値などによって大きく異なります。重要なのは、対策費用を単なるコストとしてではなく、事業を継続し、企業の信頼を守るための「投資」と捉えることです。
費用の内訳は、大きく初期費用と運用費用に分けられます。
セキュリティ対策費用の主な内訳
- 初期費用: ファイアウォール等の防御機器の購入、セキュリティ診断サービスの利用、各種システムの導入費用など。
- 運用費用: ウイルス対策ソフトのライセンス料、24時間監視サービス(SOC)の委託費用、定期的な従業員教育の実施費用、脆弱性診断の費用など。
自社の事業におけるリスクを評価し、それに見合った適切な予算を確保することが肝要です。
中小企業も攻撃の標的になりますか?
はい、中小企業もサイバー攻撃の主要な標的です。むしろ、セキュリティ対策が手薄になりがちであるため、攻撃者にとっては格好のターゲットと見なされています。
中小企業が狙われる主な理由は2つあります。
- サプライチェーン攻撃の踏み台: 大企業への直接侵入が難しい場合、取引関係にある中小企業を侵入口として利用します。
- 無差別型攻撃の対象: ランサムウェアなどは企業の規模を問わず無差別にばらまかれるため、対策が不十分な企業が被害に遭います。
「自社には盗まれるような情報はない」という考えは非常に危険です。サプライチェーンの一員として、また事業継続の観点からも、基本的なセキュリティ対策は必須です。
情報漏洩時の法的義務(報告義務等)は?
個人データの漏洩等が発生した場合、個人情報保護法に基づき、個人情報保護委員会への報告と漏洩した本人への通知が義務付けられています。特に、以下のいずれかに該当する重大な事態では、速やかな報告が必要です。
個人情報保護委員会への報告が義務付けられる主なケース
- 要配慮個人情報(思想、信条、病歴など)が含まれる漏洩
- クレジットカード情報など、財産的被害が生じるおそれがある漏洩
- 不正アクセスなど、不正な目的による漏洩
- 漏洩の対象となる本人の数が1,000人を超える漏洩
これらの義務を怠ると罰則が科される可能性があるため、企業は漏洩発生時に迅速に対応できるよう、あらかじめ報告手順や連絡体制を整備しておく必要があります。
サイバー保険でどこまでカバーされますか?
サイバー保険は、サイバー攻撃によって企業が被る経済的な損失を補償するものです。インシデント発生時には、システムの復旧費用だけでなく、調査費用や損害賠償など、多岐にわたる費用が発生するため、財務的なリスクを軽減する上で有効です。
補償内容は保険商品によって異なりますが、一般的には以下のような損害が対象となります。
サイバー保険の主な補償対象
- 第三者への損害賠償金
- 原因調査や復旧にかかる費用(フォレンジック調査費用など)
- 事業中断によって失われた利益(逸失利益)
- 弁護士への相談費用や訴訟対応費用
- コールセンターの設置や見舞金・見舞品購入などの対応費用
ただし、保険はあくまで事後の金銭的補填であり、適切な事前対策を講じていることが加入や支払いの前提となる場合がほとんどです。保険に頼るだけでなく、日頃からのセキュリティ対策の徹底が最も重要です。
まとめ:最新の攻撃事例から学び、事業継続のためのセキュリティ対策を
本記事では、ランサムウェアの二重脅迫、サプライチェーン攻撃、ディープフェイク詐欺など、近年の企業を狙ったサイバー攻撃の事例と対策を解説しました。これらの事例からわかるように、攻撃手口は巧妙化・悪質化しており、自社が被害者となるだけでなく、意図せず加害者になるリスクも存在します。セキュリティ対策を単なるコストと捉えるのではなく、事業継続に不可欠な投資と位置づけ、自社の状況に合わせた優先順位付けが重要です。まずは自社のIT資産やアクセス権限の管理状況を確認し、インシデント発生を想定した対応計画が整備されているかを見直すことから始めましょう。本記事で解説した内容は一般的な対策であり、個別の状況に応じた具体的な対応については、セキュリティの専門家へ相談することをお勧めします。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
