docomo business | NTT Communications

注目のキーワード

中小企業も標的に!サイバー攻撃の実態

中小企業も標的に!サイバー攻撃の実態

2022.05.31

セキュリティセキュリティ対策強化セキュリティ脆弱性対策サイバー攻撃

2022年3月に情報処理推進機構セキュリティセンターが、「情報セキュリティ10大脅威2022」を発表しました。デジタル化が進むなかで企業が注意すべきサイバー攻撃のリスクと対策について考えます。

目次

メルマガを登録する!(無料)

1.サイバー攻撃の魔の手は中小企業にも

情報セキュリティの整備は、企業にとって不可欠です。もし、無策でいると、悪意あるウイルスや人為的なミスにより、企業の内部情報が外部に漏えいしてしまう可能性が高まってしまいます。

最近、特に注目を集めているのが、大企業のサプライチェーンである中小企業を狙ったサイバー攻撃です。これは、セキュリティ対策が比較的手薄な中小企業を踏み台とし、標的とする企業へ侵入を試みる攻撃で、場合によっては被害者でありながら、加害者にもなってしまうため、特に注意が必要でしょう。

最近では、大手自動車メーカーのサプライチェーンである企業が、サイバー攻撃の標的になりました。取引用システムなどの一部がマルウェアに感染、部品の納入処理に利用するサーバーも被害に遭ったことで、取引先の大手自動車メーカーの工場も操業を停止する事態となってしまいました。

このように、サイバー攻撃の標的にされるのは、今や大企業だけではありません。中小企業にも相応のセキュリティ対策が求められています。ではどのような対策が有効なのでしょうか。まずは、情報処理推進機構が発表した「情報セキュリティ10大脅威 2022」(※)を参考に、サイバー攻撃の種類と手口を理解しましょう。

(※) 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2022」

2.「情報セキュリティ10大脅威 2022」で発表された上位リスクとは

中小企業にもサイバー攻撃のリスクが懸念される中、2022年3月に情報処理推進機構は「情報セキュリティ10大脅威 2022」を発表しました。これは、2021年に発生したセキュリティ事故や攻撃の状況、脅威を選出し、そのリスクを順位付けしたものです。ここでは組織部門で挙げられた、1位から5位についての内容と被害例を見てみましょう。

情報セキュリティ10大脅威(2022)
(※) 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2022」を基に編集部で作成

1位は、ランサムウェアによる被害です。ウイルスの一種であるランサムウェアに、PCやサーバーが感染すると、端末のロックやデータの暗号化が行われてしまうという攻撃で、データの復旧と引き換えに金銭を要求されることもあります。主な感染経路としては、ウェブサイトの閲覧やメール、公開サーバーへの不正アクセスが挙げられます。

このランサムウェアによる被害を受けたある病院では、感染により電子カルテや会計システムにアクセスできなくなりました。復旧には2ヶ月かかり、その影響で一部の診療科で新規患者の受け入れを中止する事態になったといいます。

2位は、標的型攻撃による機密情報の窃盗です。企業や官公庁といった特定の組織を狙い、機密情報の窃取や業務妨害を行う行為です。手口としては、メールへの添付されたファイルやリンクにアクセスさせることでウイルスに感染させるケースが多いようです。ほかにも、不正アクセスや、標的の組織が頻繁に利用するウェブサイトを調べ、改ざんしたサイトにアクセス誘導させるという巧妙な手口も確認されています。

3.サプライチェーンやテレワーク、内部不正による脅威も

第3位は、冒頭に紹介したサプライチェーンを狙った攻撃です。セキュリティが強固な企業を狙わず、サプライチェーンの脆弱な部分を攻撃して経由することで、間接的に標的組織を狙う手口です。

特に、子会社や海外拠点、業務委託先などが被害を受けてしまうケースが多く、ある建設会社では、ランサムウェア攻撃により約7億5,000万円の特別損失が計上されました。さらに、業務委託のために貸与していたデータも被害を受けた可能性があると言われています。

多様な働き方が推進されるなかで、見逃せないのが、第4位のテレワーク等のニューノーマルな働き方を狙った攻撃です。

テレワークが拡大し、社外から社内システムにアクセスする機会が増えるなか、テレワーク用のソフトウェアの脆弱性を悪用したものや、個人で所有している端末がウイルスに感染し、被害が発生するというケースが増えています。

こうしたリスクを防ぐために、テレワークを実施する場合は、セキュリティについてあらためて考える必要があるでしょう。

5位はニュースでも目にすることの多い、内部不正による情報漏えいです。従業員や元従業員が不正に情報を持ち出し、情報を外部へ公開するもので、手口としては付与されたアクセス権限や、在職中に割り当てられたアカウントを悪用するといったものがあります。

ほかにも、外部記憶媒体を使い、不正に持ち出すというケース、元従業員が有利に転職するために情報を提供し、競合他社に売却するといった刑事罰につながるようなケースも発生しています。

4.情報セキュリティ対策の基本を踏まえた取り組みが重要

先に挙げた、上位5つの脅威を見ると、全てが企業の規模を問わず起こりうるものと言えます。サイバー攻撃に狙われて、100%攻撃を防ぐ手段はありません。そのため、さまざまな角度からサイバー攻撃が行われる可能性があるということを意識して、対策を講じる必要があります。

サイバー攻撃から自社を守るための基本はセキュリティソフトの利用や、ソフトウェアの更新を怠らないことです。既にセキュリティ対策を講じている場合でも、定期的にメンテナンスを行うべきでしょう。パスワードの管理や認証の強化、設定の見直しを行い、よりリスクを低減するよう取り組むことが大切です。

情報セキュリティ対策の基本
(※) 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2022」を基に編集部で作成

中小企業の場合、ノウハウやコストの問題から、十分なセキュリティ対策へのハードルは高いかもしれません。しかし、ソフトウェアの更新など基本的な対策を徹底することは、サイバー攻撃から自社を守るための第一歩といえます。「うちは中小企業だから関係ない」と思わずに、できるところからセキュリティの強化を進めてみてはいかがでしょうか。

メルマガを登録する!(無料)

関連サービス

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

メルマガ登録

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

相談・購入はこちらから

今すぐ購入したい方はこちら

オンラインショップ

オンラインで相談・購入したい方はこちら

オンライン相談

店舗で相談・購入したい方はこちら

ドコモショップ

最適なサービスを探したい方はこちら

中小企業向けサービスサイト

関連記事

もっと見る
検索