どんなサイバー攻撃にあう可能性があるの?
サイバー攻撃は、大きく2種類に分類できます。
ターゲットを特定せず、
迷惑メールやマルウェア等を無差別に送り付けて、企業に混乱をもたらすもの。
特定の企業にターゲットを絞り、
あらゆる手段を用いて目的となる情報を盗んだり、システムの制御を奪うもの。
多くの情報を持っている大企業がサイバー攻撃の標的になりうるのはもちろんですが、中小企業も無縁ではありません。
中小企業には、攻撃者が特定の企業にターゲットを絞り攻撃を行う際に、「踏み台」として狙われるリスクもあります。
狙われる中小企業
攻撃者が標的とするのは、保有する情報の多さなどから大企業である場合がほとんどです。
しかし、大企業に直接サイバー攻撃を行おうとしても、システム防御が厳重なため、困難であることが現状です。
そこで、狙われるのが中小企業です。
大企業に直接サイバー攻撃を行うのではなく、比較的セキュリティが甘い中小企業を介してサイバー攻撃を行います。
■ 踏み台とされた場合に、どのような事態が想定されるのか、
アニメーションで確認しましょう。
サイバー攻撃を受けることによる被害
参考:「中小企業の情報セキュリティ対策ガイドライン 『情報セキュリティ対策を怠ることで企業が被る不利益』」(IPA)
情報セキュリティ事故を起こすことによって
経営者が負う法的責任
企業が個人情報などの管理義務のある情報を適切に管理していなかった場合、
経営者や役員、担当者は業務上過失として、次のような刑事上または民事上の責任を問われることとなります。
法令 |
条項 |
罰則など |
|
|---|---|---|---|
個人情報保護法 |
173条 |
委員会からの命令に違反 |
委員会による勧告に対し、正当な理由なく勧告に係る措置をとらなかった場合、 1年以下の懲役又は100万円以下の罰金 |
174条 |
個人情報データベース等不正提供罪 |
業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用した場合、 1年以下の懲役又は50万円以下の罰金 |
|
177条 |
報告及び立入検査 |
委員会による立入検査、帳簿書類等の物件検査及び質問に必要な資料の提供をしない場合又は虚偽の報告をする場合、 50万円以下の罰金 |
|
179条 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、 法人に対しても1億円以下の罰金 |
|
180条 |
委員会への虚偽の報告など |
偽りその他不正手段により個人情報開示の合意を得た場合、 10万円以下の過料 |
|
マイナンバー法 |
48条 |
正当な理由なく特定個人情報ファイルを提供 |
4年以下の懲役若しくは200万円以下の罰金又は併科 |
49条 |
不正な利益を図る目的で、個人番号を提供又は盗用 |
3年以下の懲役若しくは150万円以下の罰金又は併科 |
|
50条 |
情報提供ネットワークシステムに関する秘密を漏えい又は盗用 |
||
51条 |
不正な手段で個人番号を取得 |
人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取、施設への侵入、不正アクセス行為、その他の個人番号を保有する者の管理を害する行為により、個人番号を取得した場合、 3年以下の懲役又は150万円以下の罰金 |
|
53条 |
委員会からの命令に違反 |
2年以下の懲役又は50万円以下の罰金 |
|
54条 |
委員会への虚偽の報告など |
1年以下の懲役又は50万円以下の罰金 |
|
55条 |
偽りその他不正の手段により個人番号カード等を取得 |
6月以下の懲役又は50万円以下の罰金 |
|
57条 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、法人に対しても 1億円以下の罰金又は各本条が定める罰金 |
|
不正競争防止法 |
3条 |
差止請求権 |
営業上の利益を侵害された、又はその恐れがある者からの侵害の停止又は予防の請求 |
4条 |
損害賠償 |
営業上の利益を侵害した者は損害を賠償する責任を負う |
|
14条 |
信頼回復措置 |
営業上の信用を害された者からの信用回復措置請求がなされた場合、裁判所より信用回復に必要な措置の命令 |
|
民法 |
709条 |
不法行為による損害賠償 |
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う |
715条 |
使用者等の責任 |
||
参考:「中小企業の情報セキュリティ対策ガイドライン 『経営者が負う責任』」(IPA)
(注)罰金はサイバーセキュリティ保険で補償対象とはなりません。
更に! 2022 年4 月施行の改正個人情報保護法では個人情報が漏えいした企業に対し被害者への通知が義務付けられ、これに違反すると最大で1億円の罰金が科せられます。
貴社が受ける可能性のある攻撃を見ていきましょう!
情報を抜き取られるリスクがあります!
ログイン画面、お問い合わせフォームなどを設置した場合、お客さまの個人情報等をサーバで保管することになります。攻撃者は、この個人情報等を蓄積しているサーバを狙い、ログイン画面などに特殊な入力を行うことで、大量の個人情報を抜き取ろうとします。「SQLインジェクション」といわれる攻撃が有名で、非常に多くの情報漏えい事故が発生しています。
ホームページ改ざんリスクがあります!
攻撃者が会社のホームページを改ざんする攻撃です。
攻撃者が、会社のホームページ自体にマルウェア(ウイルス)を仕組んだり、他の悪意のあるサイトに誘導したりすることで、閲覧者にもマルウェア感染の被害が拡大するケースも多くあります。
ホームページをダウンさせられるリスクがあります!
攻撃者が複数のパソコンやIoT機器に指示を出し、ターゲットに対して一斉に大量の処理要求を行うことで、処理が追いつかなくなり、サーバダウンさせる攻撃を受ける可能性があります。
この攻撃を一般的に、「DDoS攻撃」といいます。
DDoS攻撃はホームページ以外のネットワークに行われるケースもあり、
結果として、取引先等の営業を阻害する可能性もあります。
自社ホームページを持っていなくても…
インターネット上の多くのホームページが改ざんの被害にあっています。この場合、それらのホームページを閲覧しただけでマルウェア(ウイルス)に感染するおそれがあります。
▶上記チェックボックスYesにチェックを入れて、リスクの詳細を確認しましょう。
不審なメールと気づかず、添付ファイルを開くことで、
マルウェア(ウイルス)に感染するリスクがあります!
標的となる企業に、攻撃者がマルウェアを仕込んだメールを送信。
送られたメールに添付されたファイルを開封したり、
記載のURLを開くことでマルウェアに感染します。
近年、マルウェアの一種「ランサムウェア」が猛威を振るっています。
ランサムウェアとは「ランサム(身代金)」と「ソフトウェア」を組み合わせた造語で、感染したPCをロックしたり、データを暗号化したりすることで使用不可能にした上で、その解除と引き換えに金銭を要求するサイバー攻撃です。
さらに、ここ数年は、「二重の脅迫」と呼ばれるランサムウェア被害が急造しています。
ターゲットとなる企業・組織内のネットワークへ侵入し、PC 等の端末やサーバ上のデータを窃取した後に一斉に暗号化してシステムを使用不可能にし、脅迫をするサイバー攻撃です。システムの復旧に対する金銭要求に加えて、窃取したデータを公開しない見返りの金銭要求も行うため、二重の脅迫と恐れられています。
徹底されているとしても…
攻撃者は、メールの受信者がだまされやすいような仕掛けをしてきます。
このため、使用ルールを徹底していても、うっかり開いてしまう可能性もあり、リスクを排除できません。
▶上記チェックボックスNoにチェックを入れて、リスクの詳細を確認しましょう。
クレジットカード情報の漏えいリスクがあります!
クレジットカード情報の流出は、利用者をだまして正規サイトを模倣した偽サイトへと誘導し、カード番号などを入力させることで情報を詐取する通称「フィッシング詐欺」が有名です。
その一方、多くのクレジットカード情報を保有する企業へのサイバー攻撃によるクレジットカード情報の流出も発生しています。
クレジットカード情報を取り扱う会社は、サーバが不正アクセスを受けたり、ウェブサイトが偽サイトに誘導されるよう改ざんされたりすることで、顧客のクレジットカード情報が漏えいする可能性があります。
さらに、加盟店規約に基づいて、クレジットカード会社から再発行等の手続きにかかった費用を求償される可能性もあります。
クレジットカードを取り扱っていなくても…
多くのクレジットカード情報を保有する企業へのサイバー攻撃によるクレジットカード情報の流出が増えています。
クレジットカードを取り扱っていなくても、多くのクレジットカード情報を保有する企業に対するサイバー攻撃の踏み台となるおそれもあります。
▶上記チェックボックスYesにチェックを入れて、リスクの詳細を確認しましょう。