2024.07.30
【2.4倍増!】サイバー攻撃の脅威 | 脆弱性を放置するリスクと被害事例
急増するサイバー攻撃:直近3年間で被害「2.4倍」に サイバー攻撃の脅威は年々増大しており、特に国内においては過去3年間でそのリスクが2.4倍にも膨れ上がっています。 この急激な増加の背景には「攻撃手法の高度化」が大きく関与しており、こうした攻撃の多くはシステムに内在する「脆弱性」を巧みに悪用することで成立しています。 特に中小企業では、日々の業務に追われてセキュリティ対策が後回しにされがちです。しかし、脆弱性診断を怠ると、知らぬ間にハッカーの侵入を許す可能性が高まり、企業の存続にも関わる重大なリスクを抱えることになります。そのため、企業がこのような脅威から自身を守るためには、脆弱性診断が極めて重要な役割を果たすこととなります。 そこで本記事では、脆弱性を放置することによる具体的なリスクについて詳しく解説します。 サイバー攻撃の実例を踏まえながら、脆弱性対策を怠った場合に企業が直面する問題とその対策方法についても触れていきます。 大手・中小企業の対策状況は? サイバー攻撃の脅威が年々増大する中で、大手企業と中小企業のサイバーセキュリティ対策には大きな差があります。多くの中小企業では、サイバー攻撃対策が十分に行われていないのが現状です。具体的な要因として、以下の点が挙げられます。 業務の多忙さ コストの問題 優先度の低さ 技術的な知識不足 出典:『中小企業におけるサイバーセキュリティ対策の現状と課題|日本政策金融公庫』 経済産業省の調査報告書によると、中小企業のサイバーセキュリティ対策が人材、時間、費用の不足により後手に回っている実態が明らかになりました。多くの企業が日々の業務に追われ、対策に時間を割けない状況です。 また、コスト面での負担や重要性の認識不足、専門知識を持つ人材の不足も大きな課題となっています。 大阪シティ信用金庫の調査では、未対策企業の理由として「必要性を感じない」「方法がわからない」「費用負担が大きい」「人材不足」などが挙げられました。 さらに、日本損害保険協会の調査では、中小企業経営者の約半数がサイバー攻撃をイメージできないという結果が出ています。これは脅威認識の不足が対策の遅れにつながっている可能性を示唆しており、中小企業のセキュリティ対策には改善の余地があると言えるでしょう。 出典:『中小企業サイバーセキュリティ対策促進事業(北海道におけるサイバーセキュリティコミュニティ強化に向けた調査) 調査報告書|株式会社 道銀地域総合研究所 』 出典:『中小企業におけるサイバーリスクへの対応状況 |大阪シティ信用金庫』 出典:『中小企業の経営者のサイバーリスク意識調査2019|日本損害保険協会』 脆弱性を放置することによる3大リスク では実際に脆弱性診断を怠ると、どのようなリスクがあるのでしょうか? ここからは診断を怠った場合の3大リスクについて詳しく解説していきます。 1. データ漏洩(企業の“信頼性”が低下) 脆弱性診断を怠り、攻撃者の侵入を許してしまった場合、個人情報や機密データが漏洩し、重要な情報資産が危険にさらされる可能性があります。 これにより、企業の信頼性が大きく損なわれ、顧客離れや取引先からの信用失墜につながる恐れがあります。データ漏洩は、企業の存続自体を脅かす深刻な問題となり得ます。 2. 業務停止リスク(DDoS攻撃・ランサムウェアによる危機) 脆弱性を放置すると、サイバー攻撃によってシステムが停止し、業務停止を引き起こす可能性があります。 例えば、DDoS攻撃やランサムウェア感染によってシステムが機能不全に陥り、長時間にわたってサービスが提供できなくなる事態が発生する恐れがあります。これは、顧客満足度の低下や売上の減少、さらには損害賠償請求につながる可能性があるのです。 3. リーガルリスク(個人情報・損害賠償訴訟など) 脆弱性診断を怠ることで、法的な責任や賠償のリスクが高まります。 個人情報保護法や各種業界規制に違反した場合、行政処分や罰金などの法的制裁を受ける可能性があります。また、情報漏洩やサービス停止によって顧客や取引先に損害を与えた場合、損害賠償訴訟を起こされるリスクもあります。 サイバー攻撃・ランサムウェアの具体的な被害事例 日本国内でも、サイバー攻撃やランサムウェアによる被害が増加しています。これらの攻撃は、システムの脆弱性を巧みに突いて侵入し、データの暗号化や窃取を行うなど、企業活動に甚大な打撃を与えています。 以下に具体的な事例を紹介します。 1. 大手ゲームソフトウェアメーカーの事例 2020年11月、株式会社カプコンがランサムウェア攻撃を目的とした不正アクセスを受け、最大39万件の個人情報が流出しました。この攻撃により、メールやファイルサーバーが利用できなくなり、一時的に業務停止に追い込まれました。攻撃の原因は、テレワーク導入のために使用した旧式VPN装置の脆弱性が狙われたことです。 出典:『不正アクセスに関する調査結果のご報告【第4報】(株式会社カプコン)』 出典:『不正アクセスに関する調査結果のご報告【第3報】(株式会社カプコン)』 2. 大手製薬グループ会社の事例 2023年6月、エーザイ株式会社の複数のサーバーが暗号化されるランサムウェア攻撃が発生しました。物流システムが被害を受け、業務に大きな影響が出ました。社内ネットワークから該当サーバーを隔離するなどの対策が講じられましたが、被害は避けられませんでした。 出典:『ランサムウェア被害の発生について(エーザイ株式会社)』 3. 国立大学運営組織の事例 2022年10月、東海国立大学機構の認証サーバーが脆弱性を突かれて不正アクセスを受け、ランサムウェアに感染しました。この攻撃により、個人情報や認証情報など約4万件分が流出した可能性があります。調査の結果、サーバーがブルートフォース攻撃を受けていたことが判明しました。 出典:『東海国立大学機構への不正アクセスによる個人情報流出について(東海国立大学機構)』 4. システム開発企業の事例 2024年5月29日、株式会社イセトーがランサムウェアに感染し、被害を発表しました。ランサムウェア感染が発生したサーバーに格納されていたデータがインターネット上に公開され、ダウンロード可能な状態となっていました。その後の調査で、市民や企業の情報など少なくとも150万件近くの個人情報が漏えいしたことが判明しました。 出典:『ランサムウェア被害の発生について(続報2)(株式会社イセトー)』 出典:『「イセトー」にサイバー攻撃 委託元の約150万件の情報漏えいか(NHK NEWS WEB)』 中・小企業ほど標的に! すぐに始められる脆弱性対策 中小企業のオーナー様からよく「うちの規模感なら狙われないでしょ…」というご相談を頂きますが、実際2019年のVerizonのレポートによると、サイバー攻撃における約43%の対象先は「中小企業」であることがわかり、むしろ「中小企業こそ診断を」と考えるべき現状になりつつあります。 しかし、「優先順位をつけて、自社に適した診断を検討する」といっても、日々の業務に追われて時間的余裕がなかったり、適切な方法がわからなかったりすることも多いでしょう。 そこで、まずは即座に実践できる基本的な対策から始めることをお勧めします。以下に、すぐに取り組める効果的な対策をご紹介します。 基本的なセキュリティ対策の実施 まずは、基本的なセキュリティ対策をしっかりと行うことが大切です。以下の対策をすぐに始めてみましょう: 強力なパスワードの使用と定期的な変更 簡単に推測されない強力なパスワードを使い、定期的に変更することで不正アクセスのリスクを減らします。 ファイアウォールとアンチウイルスソフトの導入 ネットワークを外部からの攻撃から守るために、ファイアウォールとアンチウイルスソフトを導入し、常に最新の状態に保ちましょう。 定期的なソフトウェアアップデート ソフトウェアの定期的なアップデートも忘れてはいけません。使用しているすべてのソフトウェアを最新の状態に保つことで、発見された脆弱性を修正し、セキュリティを強化できます。これは、ソフトウェアの弱点を狙った攻撃を防ぐ上で重要な対策となります。 従業員教育の実施 従業員がセキュリティ意識を持つことは、企業全体のセキュリティを向上させるために不可欠です。 フィッシング詐欺の認識と対策、そして定期的なセキュリティトレーニングを通じて、従業員のセキュリティ意識を高めましょう。 簡易的な脆弱性スキャンツールの利用 簡易的な脆弱性スキャンツールの利用も効果的です。無料または低コストで利用できるツールを活用し、定期的にシステムの脆弱性をチェックすることで、潜在的なリスクを早期に発見し、適切な対策を講じることができます。 クイックWebアプリケーション脆弱性診断 外部専門家による診断サービスの活用 最後に、外部専門家による診断サービスの活用をお勧めします。 セキュリティの専門家による診断は、最新技術を使って隠れたリスクを見つけ出す効果的な方法です。自社に合った診断を選べば、コストを抑えつつ効率的に評価できます。その結果を基に対策を講じることで、確実にセキュリティ体制を強化できるのです。 当社では、プロの診断員が最新のセキュリティガイドラインに基づいて診断を行い、コスト効率の高い充実したサービスを提供しています。 ハイブリッドWebアプリケーション脆弱性診断 まとめ:脆弱性対策は投資であり、企業の責任 中小企業であっても、サイバーセキュリティ対策は避けて通れません。まずは自社の現状を正確に把握し、適切な対策を講じることが、ビジネスを守る第一歩となります。 当社でもプロの診断員の目と技術と、各種セキュリティガイドライン規格で診断しますので、 万一のために、潜在的なリスクも見逃したくない 第三者による的確なセキュリティ評価が欲しい クレジットカードや口座番号などの機密情報を必ず守りたい 上記のようにお考えの方は、一度ご相談ください! >「脆弱性診断」のお申し込みはこちらから