ITを利活用する組織にとって脅威なのが、サイバー犯罪です。サイバー犯罪は、コンピュータやネットワークを利用した犯罪で、マルウェアへの感染、フィッシング、不正なITシステム・サービスの利用など多様な手口が存在しています。
サイバー犯罪による被害を避けるためには、手口や被害状況を正しく知り、対策を行うことが重要です。また、様々な手口が次々登場するため、最新の動向にアンテナを張り巡らしておく必要があります。
本記事ではサイバー犯罪について、概要や脅威の主体、事例や最新の動向、対策、被害に遭った場合の対応などを紹介します。サイバー犯罪への備えとして、目を通しておいていただきたい内容です。
また、2023年に発生したセキュリティインシデント事例を解説した資料を無料で配布しています。社内研修のネタ等にぜひご活用ください。
サイバー犯罪とは
サイバー犯罪とは、大まかに言えばコンピュータやインターネットを悪用した犯罪のことを指します。
より詳細には、下記の3つに該当するものがサイバー犯罪にあたります。
- 不正アクセス行為の禁止等に関する法律違反
- コンピュータ・電磁的記録対象犯罪、不正指令電磁的記録に関する犯罪
- ネットワーク利用犯罪
警察庁では、「サイバー空間をめぐる脅威」という表現をしており、より広い範囲を対象として具体的に例をあげて取り扱っています。
- DDoS攻撃による被害とみられるウェブサイトの閲覧障害
- クレジットカード不正利用被害額及びインターネットバンキングに係る不正送金被害の増加
- 「ノーウェアランサム」による被害
- フィッシング等に伴う被害
- ランサムウェア被害
- サイバー空間における脆弱性探索行為
- インターネット上の違法・有害情報
サイバー犯罪を引き起こす脅威の主体
サイバー犯罪を引き起こす脅威の主体は、複数存在しており、バックグラウンドや攻撃の目的、手法などに違いが見られます。サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)における中小企業対策強化WGで発表された「中小企業(中堅企業の外部拠点を含む)がDX推進において認識すべきサイバーリスクと対策の重点事項」内では、脅威の主体を下記の3つに分類しています。
- 国家の支援を受ける「サイバー攻撃グループ」
- 諜報活動や、軍事的、政治的、経済的な目的でサイバー犯罪を行う
- さまざまな形態を持つ「サイバー犯罪グループ」
- 営利目的が主であり、個人や協力者で形成されている
- 個人レベルの「悪意のあるハッカー」
- 怨恨や嫉妬、自己顕示欲といった、個人感情によるもの
サイバー犯罪の代表的な事例
サイバー犯罪の代表的な事例を紹介します。
マルウェア攻撃
マルウェアは悪意のあるプログラムであり、コンピュータウイルスとも言われます。
マルウェアの中でも近年猛威を振るっているのがランサムウェアです。ランサムウェアは感染すると業務システムを含む情報資産を暗号化します。この情報資産を盾にとって身代金を要求する手口は、2017年のWannaCryの蔓延を前後して広がり、警察庁によると令和5年上半期も103件の被害件数が確認されています。
フィッシング
企業や行政機関を騙ったメールにより不正なWebサイトへ誘導し、情報の略取を行うサイバー攻撃は、フィッシングと呼ばれます。フィッシング対策協議会には多くの報告が寄せられており、2024年1月に緊急情報として注意喚起されているだけでも、下記の手口が報告されています。
- 2024年01月24日 りそな銀行をかたるフィッシング
- 2024年01月24日 NTTドコモをかたるフィッシング
- 2024年01月22日 メルカリをかたるフィッシング
- 2024年01月22日 Appleをかたるフィッシング
- 2024年01月11日 国税庁をかたるフィッシング
サービスのアカウントを悪用して商品を詐取
フィッシングなどの攻撃で各種サービスのアカウント情報が漏えいした場合、アカウントを悪用して商品を詐取する事例などが報告されています。
例として、2020年5月にはNTTドコモの会員ID「dアカウント」を悪用して家電販売店から商品を略取した事例が報道されました。
大阪の医療センターがサプライチェーン攻撃を受けシステムダウン
2022年10月、大阪府の医療センターが給食委託事業者を経由したサプライチェーン攻撃を受け、ランサムウェアに感染し、電子カルテシステムを含むITシステムが停止する事態が発生したことが報告されています。全面的な復旧までには2カ月以上を要し、社会インフラとしての医療の提供機会が失われる事態となりました。
サプライチェーン攻撃の可能性は以前より指摘されてきましたが、実際に深刻な事態が公表され、あらためてその危険性が浮き彫りとなった事例です。
サイバー犯罪の最新動向
「令和5年版 警察白書」によると、令和4年4~12月間のサイバー事案の検挙数は1,844件でした。
明確な増加傾向が見られ、サイバー犯罪は勢いを増しているといえそうです。
| 検挙数 | 前年比 | |
| 不正アクセス禁止法違反 | 522件 | 93件(21.7%)増加 |
| コンピュータ・電磁的記録対象犯罪 | 948件 | 219件(30.0%)増加 |
| サイバー犯罪(※) | 1万2,369件 | 160件(1.3%)増加 |
※不正アクセス禁止法違反、コンピュータ・電磁的記録対象犯罪その他犯罪の実行に不可欠な手段として高度情報通信ネットワークを利用する犯罪の合計
注視すべき個別の傾向
個別のサイバー攻撃について、注視すべき傾向としては、下記があげられます。
ランサムウェアの被害の拡大
組織が受ける肥大が甚大になる傾向があります。大企業だけでなく、中小企業や官公庁もターゲットとなった事例が目立ちました。
サプライチェーン攻撃への危機感
サプライチェーン攻撃の脅威は衰えることなく続いており、委託先も委託元もすべての組織で対応が必要となっています。
実在の企業などを騙るフィッシングメールが巧妙化
実在の企業やサービスなどを騙り、巧妙な内容のメールを使ったフィッシングが多数発生しました。巧妙な偽サイトなどを用意しているケースもあり、ますます偽物の見分けが付かなくなっています。
生成AIの利用にまつわるサイバー犯罪の懸念
生成AIの利用が広範に普及し、悪用したサイバー犯罪も懸念されます。大手サービスのChatGPTでもアカウント流出が確認されているため、慎重な利用が必須といえます。
サイバー犯罪から自社のシステムを守るには
サイバー犯罪から自社のシステム、情報資産を守るためには、組織レベルでの対策と従業員レベルでの対策が必要です。また、従業員に向けた教育も求められます。情報セキュリティにおいては、総合的に対策を施すことが重要です。
組織レベルの対策
サイバー犯罪による被害はITリスクとしての認識だけでなく、企業にとっては経営課題となっています。企業の経営層が主導して組織全体の対策に取り組むことが必要です。
より詳細に取り組みを分けていくと、下記があげられます。
- 情報資産とリスクの可視化
- リスクに応じた管理施策の実施
- 外部、内部を原因とした不正の早期検知
- 検知した事象への適切な対処
- 被害を最小限にするための管理
より詳しくは、官公庁などによるセキュリティに関するガイドラインが参考になります。
従業員レベルの対策
サイバー犯罪への対策は、組織レベルだけでなくITシステムを利用する全従業員の個人レベルでも行う必要があります。なぜなら、セキュリティに関する製品やシステムを導入し高度な仕組みを作っても、個人レベルの対応によりサイバー犯罪の被害を受ける場合があるためです。
下記は、一般的なセキュリティ対策としてあげられるポイントですが、これらを周知して徹底することが重要です。
- 不審なリンクやメールは開かない。
- OSやセキュリティソフトウェアなどは最新の状態にアップデートしておく
- Webサイトを参照する際は、URLに注意する
- 機密情報や個人情報は安全が確保されている場合のみに入力、伝える
サイバー犯罪の被害に遭ってしまったら
サイバー犯罪の被害にあってしまった場合には、どのように行動すべきでしょうか。
まずは被害拡大の阻止に努めることが重要です。原因が特定できている場合には、被害が広がらないよう対処を行います。
また、被害の復旧も一刻も早くしたいところです。システム停止による業務の中断が発生している場合には、金銭的損害が広がるため、一刻も早く復旧するための手立てが必要です。
ただし、原因の特定からの被害拡大防止、被害の復旧は普段からのセキュリティ対策が行われていなければ対処に時間がかかることが想定されます。詳細な原因が不明でも、企業内の一部ネットワーク遮断などの対応を行う場合もあるでしょう。
これらのサイバー犯罪被害にあってしまった場合には、警察への通報・相談を行います。警察庁のサイバー犯罪窓口の一覧のページから所在地の警察にご連絡ください。
まとめ
コンピュータやネットワークを利用して行われるサイバー犯罪は、企業や組織、個人にとっても身近な脅威として存在しています。サイバー犯罪の検挙件数は令和5年上半期も増加傾向を示ししており、手口の多様化、巧妙化が進んでいることから、企業では組織レベルの対策と従業員レベルの対策が必要です。多様化するサイバー犯罪への対策については、専門家のコンサルティングを活用することも一つの手段といえます。
また、2023年に発生したセキュリティインシデント事例を解説した資料を無料で配布しています。社内研修のネタ等にぜひご活用ください。
