どんなサイバー攻撃にあう可能性があるの?

サイバー攻撃は、大きく2種類に分類できます。

01

ターゲットを特定せず、

迷惑メールやマルウェア等を無差別に送り付けて、企業に混乱をもたらすもの。

02

特定の企業にターゲットを絞り、

あらゆる手段を用いて目的となる情報を盗んだり、システムの制御を奪うもの。

多くの情報を持っている大企業がサイバー攻撃の標的になりうるのはもちろんですが、中小企業も無縁ではありません。
中小企業には、攻撃者が02 の「特定の企業にターゲットを絞り、攻撃を行う」際に、「踏み台」として狙われるリスクもあります。

狙われる中小企業

攻撃者が標的とするのは、保有する情報の多さなどから大企業である場合がほとんどです。
しかし、大企業に直接サイバー攻撃を行おうとしても、システム防御が厳重なため、困難であることが現状です。

そこで、狙われるのが中小企業です。
大企業に直接サイバー攻撃を行うのではなく、比較的セキュリティが甘い中小企業を介してサイバー攻撃を行います。

■ 踏み台とされた場合に、どのような事態が想定されるのか、
アニメーションで確認しましょう。

サイバー攻撃を受けることによる被害

参考:「中小企業の情報セキュリティ対策ガイドライン 『情報セキュリティ対策を怠ることで企業が被る不利益』」(IPA)

情報セキュリティ事故を起こすことによって
経営者が負う法的責任

参考:「中小企業の情報セキュリティ対策ガイドライン 『経営者が負う責任』」(IPA)

企業が個人情報などの管理義務のある情報を適切に管理していなかった場合、
経営者や役員、担当者は業務上過失として、次のような刑事上または民事上の責任を問われることとなります。

法令

条項

罰則など

個人情報保護法

40条

報告及び立入検査

委員会による立入検査、帳簿書類等の物件検査及び質問

83条

個人情報データベース等提供罪

1年以下の懲役又は50万円以下の罰金

84条

委員会からの命令に違反

6月以下の懲役又は30万円以下の罰金

85条

委員会への虚偽の報告など

30万円以下の罰金

87条

両罰規定

従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑

マイナンバー法
(番号法)

48条

正当な理由なく特定個人情報ファイルを提供

4年以下の懲役若しくは200万円以下の罰金又は併科

49条

不正な利益を図る目的で、個人番号を提供又は盗用

3年以下の懲役若しくは150万円以下の罰金又は併科

50条

情報提供ネットワークシステムに関する秘密を漏えい又は盗用

同上

51条

人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入、不正アクセス等により個人番号を取得

3年以下の懲役又は150万円以下の罰金

53条

委員会からの命令に違反

2年以下の懲役又は50万円以下の罰金

54条

委員会への虚偽の報告など

1年以下の懲役又は50万円以下の罰金

55条

偽りその他不正の手段により個人番号カード等を取得

6月以下の懲役又は50万円以下の罰金

57条

両罰規定

従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑

不正競争防止法

3条

差止請求

利益を侵害された者からの侵害の停止又は予防の請求

4条

損害賠償請求

利益を侵害された者は損害を賠償する責任

14条

信頼回復措置請求

信用を害された者からの信用回復措置請求

民法

709条

不法行為による損害賠償

故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う

(注)罰金はサイバーセキュリティ保険で補償対象とはなりません。

貴社が受ける可能性のある攻撃を見ていきましょう!

Q1:あなたの会社はホームページを持っていますか?
↓

情報を抜き取られるリスクがあります!

ログイン画面、お問い合わせフォームなどを設置した場合、お客さまの個人情報等をサーバーで保管することになります。攻撃者は、この個人情報等を蓄積しているサーバーを狙い、ログイン画面などに特殊な入力を行うことで、大量の個人情報を抜き取ろうとします。「SQLインジェクション」といわれる攻撃が有名で、非常に多くの情報漏えい事故が発生しています。

ホームページ改ざんリスクがあります!

攻撃者が会社のホームページを改ざんする攻撃です。

攻撃者が、会社のホームページ自体にマルウェア(ウィルス)を仕組んだり、他の悪意のあるサイトに誘導したりすることで、閲覧者にもマルウェア感染の被害が拡大するケースも多くあります。

ホームページをダウンさせられるリスクがあります!

攻撃者が複数のパソコンやIoT機器に指示を出し、ターゲットに対して一斉に大量の処理要求を行うことで、処理が追いつかなくなり、サーバーダウンさせる攻撃を受ける可能性があります。
この攻撃を一般的に、「DDoS攻撃」といいます。

DDoS攻撃はホームページ以外のネットワークに行われるケースもあり、
結果として、取引先等の営業を阻害する可能性もあります。

↓

自社ホームページを持っていなくても…

インターネット上の多くのホームページが改ざんの被害にあっています。この場合、それらのホームページを閲覧しただけでマルウェア(ウィルス)に感染するおそれがあります。

▶上記チェックボックスYesにチェックを入れて、リスクの詳細を確認しましょう。

Q2:あなたの会社では、「不審なメールを開封しない」など、メールの使用ルールが徹底されていますか?
↓

不審なメールと気づかず、添付ファイルを開くことで、
マルウェア(ウィルス)に感染するリスクがあります!

標的となる企業に、攻撃者がマルウェア(ウィルス)を仕込んだメールを送信。
送られたメールに添付されたファイルを開封したり、
記載のURLを開くことでマルウェア(ウィルス)に感染します。

標的となった企業は、

■メールに添付されたファイルを開くと、マルウェア(ウィルス)に感染する

■メールに記載されたURLを開くと、マルウェア(ウィルス)に感染する

といった被害を受けます。
この攻撃を一般的に、「標的型メール攻撃」といいます。

↓

徹底されているとしても…

攻撃者は、メールの受信者がだまされやすいような仕掛けをしてきます。
このため、使用ルールを徹底していても、うっかり開いてしまう可能性もあり、リスクを排除できません。

▶上記チェックボックスNoにチェックを入れて、リスクの詳細を確認しましょう。

Q3:あなたの会社はクレジットカードを取り扱っていますか?
↓

クレジットカード情報の漏えいリスクがあります!

クレジットカード情報の流出は、利用者をだまして正規サイトを模倣した偽サイトへと誘導し、カード番号などを入力させることで情報を詐取する通称「フィッシング詐欺」が有名です。
その一方、多くのクレジットカード情報を保有する企業へのサイバー攻撃によるクレジットカード情報の流出も発生しています。

クレジットカード情報を取り扱う会社は、サーバーが不正アクセスを受けたり、ウェブサイトが偽サイトに誘導されるよう改ざんされたりすることで、顧客のクレジットカード情報が漏えいする可能性があります。
さらに、加盟店規約に基づいて、クレジットカード会社から再発行等の手続きにかかった費用を求償される可能性もあります。

↓

クレジットカードを取り扱っていなくても…

多くのクレジットカード情報を保有する企業へのサイバー攻撃によるクレジットカード情報の流出が増えています。

クレジットカードを取り扱っていなくても、多くのクレジットカード情報を保有する企業に対するサイバー攻撃の踏み台となるおそれもあります。

▶上記チェックボックスYesにチェックを入れて、リスクの詳細を確認しましょう。

サイバー攻撃の対策