サイバーセキュリティ対策の重要性
昨今では、サイバー攻撃の被害を未然に防ぐ対策の重要性が高まっています。というのも、ランサムウェアやサイバー攻撃による被害が広範囲で確認されるなど、日本国内で深刻な情勢が続いているためです。
警視庁が公表した「 令和4年の犯罪情勢 」によると、令和4年(2022年)のランサムウェアによる被害件数は230件で、前年比で57.5%増加しました。その多くは、テレワークなどで利用されるVPNやリモートデスクトップをはじめとした機器のぜい弱性を狙ったケースとなっています。
サイバー攻撃の被害は、企業の規模や業種を問わず、広範囲に及んでいます。中には、セキュリティ対策が万全でない子会社や委託業者を狙って、大企業の内部ネットワークに侵入するケースもあります。
また、個人を狙ったサイバー犯罪も後を絶ちません。特に、金融機関やカード会社、大手通販の 偽サイト を使って、個人情報を盗み取る フィッシング詐欺 は、個人にとって大きな脅威です。2021年に報告されたフィッシング件数は526,504件と、前年と比較して2.3倍に増えています。また、サイバー犯罪全体の被害総額は、推定320億円を超えます。
企業・個人を問わずサイバー攻撃の矛先となり、被害件数が増加傾向にある日本国内では、これまで以上にサイバーセキュリティ対策を強化していく必要があります。
では、実際に今日本でどのようなサイバー犯罪が起こっているのでしょうか?種類別に企業・団体のサイバー犯罪事例を見ていきましょう。
日本の主なサイバー犯罪事例 1:大手企業の情報漏えい
2022年には、150社の上場企業とその子会社が情報漏えいを発表しました。企業から漏えいした個人情報は、592万7,057人分にも及んでおり、前年比で3.0%増加しています。ウイルス感染や不正アクセスを原因とした情報漏えいは年々増加の一途をたどっており、情報漏えいを報告した社数・事故件数は、いずれも2年連続で最多を更新しました。
以下では、日本の大手企業における情報漏えい事例を2つ見ていきましょう。
森永製菓株式会社
2022年3月22日、森永製菓株式会社は、不正アクセスが原因で「森永ダイレクトストア」を利用した顧客164万8922人の情報が流出した可能性があることを発表しました。
この被害により、商品の製造や流通過程に遅れが生じました。今回の被害を受け、森永製菓株式会社はこれまで以上に情報セキュリティ対策を強化し、再発防止に取り組むことを表明しています。
トヨタ自動車株式会社
2023年5月12日、トヨタ自動車株式会社は、個人情報が漏えいした可能性を報告しました。原因は、管理データの委託先であるトヨタコネクテッド株式会社による、クラウド環境の誤設定です。2013年11月6日から2023年4月17日までの間、顧客の個人情報(車台番号や車両の位置情報など)が、外部から閲覧できる状態のままとなっていました。
これを受け、トヨタ自動車株式会社は、委託先との密接な連携、および従業員への教育の徹底による再発防止に取り組んでいます。また、クラウド環境の設定状況を監視するための仕組みの構築も発表しました。
日本の主なサイバー犯罪事例 2:故意・過失による情報漏えい
個人情報の漏えいは、サイバー攻撃やウイルス感染のほか、従業員の故意・過失によっても起こります。実際に、2022年に東京商工リサーチが実施した「 上場企業の個人情報漏えい・紛失事故 」調査によると、多かった情報漏えいの原因は以下のとおりです。
- 1.ウイルス感染・不正アクセス(55.1%)
- 2.誤表示・誤送信(26.0%)
- 3.紛失・誤廃棄(15.1%)
- 4.盗難(3.0%)
- 5.不明・その他(0.6%)
不正アクセスのような外部からの被害のほかに、盗難や誤送信など従業員による故意・過失を原因とした情報漏えいも多く発生しており、セキュリティ対策の重要性がうかがえます。以下は、日本で発生した「過失」が原因の情報漏えい事例です。
兵庫県尼崎市
2022年6月23日、兵庫県尼崎市は、住民税課税世帯への臨時給付金支給事業を委託していた事業者の関係者が、全市民の住民基本台帳データなどが記録されたUSBメモリを紛失したことを公表。その社員はUSBメモリを外部へ持ち出し、帰宅前に立ち寄った飲食店でかばんごとUSBメモリを紛失したのです。
USBメモリが暗号化されていたためか、個人情報が流失したと見られる事態は確認されませんでした。しかし、市はこの事件を重く受け止め、データ持ち出しに関する許可の徹底や、安全の高い運搬方法の導入、個人情報保護の重要性の周知などの対策に取り組んでいます。
日本の主なサイバー犯罪事例 3:ランサムウェア被害
ランサムウェア は、「身代金(Ransom)」と「ソフトウェア(Software)」からなる造語です。ウイルス感染させることでデータを暗号化し、使用できない状態にします。その上で、解除と引き換えに金銭の支払いを要求するのが特徴です。
2022年、警察庁が公表したサムウェアによる被害件数は230件と、前年比で57.5%増加しました。近年では、ランサムウェアの攻撃手法も多様化および巧妙化しているため、対策事例を参考にした取り組みが必須と言えます。
ここでは、日本におけるランサムウェア被害事例を2つ紹介します。
徳島県つるぎ町立半田病院
2021年10月、徳島県つるぎ町立半田病院はランサムウェアの被害を受けました。VPN機器の定義ファイルの更新漏れから感染が拡大し、すべてのシステムがダウンした後、計8万5,000人分の患者データが暗号化される事態に陥ったのです。
これにより、手術の中止や救急患者の受け入れ停止など、災害レベルのダメージが生じました。さらに、電子カルテシステムの再構築には、2億円近い費用がかかりましたが、感染したシステムを復旧させながら、レンタルサーバーを活用して再構築に取り組むことで、被害を最小限に留めることに成功しました。
2か月にも及ぶ被害に発展した事件でしたが、ランサムウェアの攻撃を受けた際の迅速かつ適格な対応が評価され「情報セキュリティ事故対策アワード」特別賞を受賞しています。
株式会社ニップン
2020年7月7日、株式会社ニップンにてサイバー攻撃によるシステム障害が発生。暗号化被害は、基幹システムや財務会計システムなど広範囲に広がり、最終的には会計システムの再構築を強いられる事態となりました。
株式会社ニップンでは自然災害を防ぐため、データセンターは数か所に配置してありました。それでも感染を止められず、ほぼすべてのシステムにまで広がったのです。国内事例では珍しい、大きなランサムウェア被害の1つです。
日本の主なサイバー犯罪事例 4:仮想通貨取引所の被害
仮想通貨取引所を狙ったサイバー犯罪は、国内外で報告されています。仮想通貨は、電子データでやり取りする資産であるため、管理体制によってはハッカーの標的になりやすいとされています。
特に、日本は仮想通貨の流通が多く、暗号資産実現利益は約7385億円と世界で4番目に高い国です。同時に被害にも遭いやすく、これまで日本の仮想通貨取引所の高額被害は3件あり、ハッキング被害額ランキングでも日本は4位にランクインしています。
以下では、日本における仮想通貨取引所の被害事例を2つ紹介します。
北朝鮮によるサイバー攻撃
近年、日本の仮想通貨は北朝鮮によるサイバー攻撃の標的になっています。2017年以降、北朝鮮系のハッカー集団が日本から奪った仮想通貨の額は約980億円にも上ることがわかっています。これは、世界全体の被害額の約3割に当たります。
コインチェック事件
2018年、日本国内の大手取引所「Coincheck(コインチェック)」にて、顧客の暗号資産が大量に流失する事件が起こりました。
被害の原因は、悪質なハッカーによる攻撃で、被害額は750億円以上、被害者数は26万人以上に及んでいます。
当事件を受け、金融庁は経営体制の見直しや顧客保護の徹底などの業務改善命令を下しました。現在では、セキュリティ対策が徹底的に強化され、コインチェックは再び多くの人が安心して利用できる取引所として知られています。
インターネットセキュリティの未来の課題
インターネット技術の進歩により、明るい未来が期待される一方、優れたIT技術の悪用による課題やセキュリティ脅威も存在します。
サイバー攻撃のさらなる高度化や巧妙化は、AI技術の進歩による懸念の1つです。AI技術を悪用すれば、企業のシステムのぜい弱性や不具合を発見し、攻撃方法を最適化するといったことが可能だと予想されています。
では、現時点ではどのくらいの企業がインターネットセキュリティ対策に取り組んでいるのでしょうか? 2021年9月に実施された調査 によると、日本の98%以上の企業が何らかのセキュリティ対策を実施しています。なお、対策の中で最も使用率が高かったのは、ウイルス対策ソフトウェアでした。
本調査結果では企業のセキュリティ対策は行われているようですが、サイバー攻撃手法は年々多様化および巧妙化しているため、これまで通りの対策では不十分な可能性も考えられます。
AI技術の悪用によって巧妙化したサイバー攻撃から身を守るには、守る側もAI技術を活用し、先回りして対策を講じなければなりません。
今一度サイバー犯罪の脅威を認識し、これまでのセキュリティ対策を継続するとともに、最新の状況に合わせて常にアップデートしていくことが大切です。
サイバー犯罪から身を守る方法
身近なところに潜むサイバー犯罪から身を守るには、一人ひとりがサイバー犯罪の脅威を認識し、対策を講じていくことが大切です。以下は、企業および個人がこれからできる対策の一例です。
【企業ができる対策】
- 個人情報流出に関する社内教育を実施する
- 保守義務に関する書面を取り交わす
- Webサイトやソフトのぜい弱性対策を行う
- セキュリティソフトを導入・更新する
- 不正アクセス検知システムを導入する
【個人ができる対策】
- 強力なパスワードを使用する
- パスワードを使い回さない
- 個人情報を適切に管理する
- OSやアプリを常に最新の状態に保つ
- フリーWi-Fiの危険性に注意する
- 不審なメールやSMS、サイトに注意する
- 多要素認証を導入する
サイバー犯罪を未然に防ぐためには、企業レベルと個人レベルの双方における防衛が欠かせません。経営者だけでなく、従業員一人ひとりが個人情報漏えい対策を意識し、安全を確保していきましょう。
まとめ
今回は、日本におけるサイバーセキュリティ対策の重要性や現状を、統計データと犯罪事例を用いて解説しました。
サイバー犯罪が増加傾向にある今、サイバー犯罪の危険は、個人・組織を問わず身近なところに潜んでいます。また、IT技術やAI技術の発展により、サイバー攻撃の巧妙化や新たな脅威の存在が危惧されています。
これまでのサイバー犯罪事例を通して、サイバーセキュリティ対策の重要性を今一度認識し、セキュリティ対策の強化、および時代に合わせたアップデートを行っていきましょう。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保