どんなサイバー攻撃にあう可能性があるの?

サイバー攻撃は、大きく2種類に分類できます。

01

ターゲットを特定せず、

迷惑メールやマルウェア等を無差別に送り付けて、企業に混乱をもたらすもの。

02

特定の企業にターゲットを絞り、

あらゆる手段を用いて目的の情報を盗んだり、システムの制御を奪うもの。

多くの情報を持っている大企業がサイバー攻撃の標的として狙われるのはもちろんですが、中小企業も無縁ではありません。
中小企業には、攻撃者が02 の「特定の企業にターゲットを絞り、攻撃を行う」際に、「踏み台」として狙われるリスクがあります。

サイバー攻撃を請負う組織がある?!

攻撃者が標的とする「特定の企業」はほとんどの場合、情報量を多く持っているなどの理由から、大企業です。
大企業に直接サイバー攻撃を行なおうとしても、大企業は、システム防御が厳重なため、行えないことが多いのが現状です。

そこで、狙われるのが中小企業です。
大企業に直接サイバー攻撃を行うのではなく、比較的セキュリティが甘い中小企業を介してサイバー攻撃を行ないます。

<踏み台とすることによる攻撃者のメリット>

1.セキュリティの甘い企業を介した方が、攻撃がしやすい

2.踏み台とすることで、攻撃元を特定しにくくすることができる

このような手法を取る攻撃を、「踏み台攻撃」といいます。

■ 踏み台とされた場合に、どのような事態が想定されるのか、
アニメーションで確認しましょう。

サイバー攻撃を受けることによる被害

参考:中小企業の情報セキュリティ対策ガイドライン 「情報セキュリティ対策を怠ることで企業が被る不利益」

情報セキュリティ事故を起こすことによって
経営者が負う法的責任

参考:中小企業の情報セキュリティ対策ガイドライン 「経営者が負う責任」

企業が個人情報などの管理義務のある情報を適切に管理していなかった場合、
経営者や役員、担当者は業務上過失として、次のような刑事上または民事上の責任を問われることとなります。

法令

条項

罰則など

個人情報保護法

40条

報告及び立入検査

委員会による立入検査、帳簿書類等の物件検査及び質問

83条

個人情報データベース等提供罪

1年以下の懲役又は50万円以下の罰金

84条

委員会からの命令に違反

6月以下の懲役又は30万円以下の罰金

85条

委員会への虚偽の報告など

30万円以下の罰金

87条

両罰規定

従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑

マイナンバー法
(番号法)

48条

正当な理由なく特定個人情報ファイルを提供

4年以下の懲役若しくは200万円以下の罰金又は併科

49条

不正な利益を図る目的で、個人番号を提供又は盗用

3年以下の懲役若しくは150万円以下の罰金又は併科

50条

情報提供ネットワークシステムに関する秘密を漏えい又は盗用

同上

51条

人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入、不正アクセス等により個人番号を取得

3年以下の懲役又は150万円以下の罰金

53条

委員会からの命令に違反

2年以下の懲役又は50万円以下の罰金

54条

委員会への虚偽の報告など

1年以下の懲役又は50万円以下の罰金

55条

偽りその他不正の手段により個人番号カード等を取得

6月以下の懲役又は50万円以下の罰金

57条

両罰規定

従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑

不正競争防止法

3条

差止請求

利益を侵害された者からの侵害の停止又は予防の請求

4条

損害賠償請求

利益を侵害された者は損害を賠償する責任

14条

信頼回復措置請求

信用を害された者からの信用回復措置請求

民法

709条

不法行為による損害賠償

故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う

(注)罰金はサイバーセキュリティ保険で補償対象とはなりません。

貴社が受ける可能性のある攻撃を見ていきましょう!

Q1:あなたの会社では、「不審なメールを開封しない」など、メールの使用ルールが徹底されていますか?
↓

不審なメールと気づかず、添付ファイルを開くことで、
マルウェアに感染するリスクがあります!

攻撃者が標的となる企業にマルウェアの仕込まれたメールを送信。
送られたメールに添付されたファイルを開封したり、
記載のURLを開くことでマルウェアに感染します。

標的となった企業は、

◎メールに添付されたファイルを開くと、マルウェアに感染する

◎メールに記載されたURLを開くと、マルウェアに感染する

といった被害を受けます。
この攻撃を一般的に、「標的型メール攻撃」といいます。

↓

徹底されているとしても…

攻撃者は、受信者がだまされやすいような仕掛けをしてきます。
・うっかりメールを開いてしまう可能性も
・このため、使用ルールを徹底していても、リスクを0にはできません。

→上記チェックボックス「No」にチェックを入れて、リスクの詳細を確認しましょう。

Q2:あなたの会社はホームページを持っていますか?
↓

1. ホームページ改ざんリスクがあります!

攻撃者が会社のホームページを改ざんする攻撃です。

攻撃者が、会社のホームページ自体にマルウェアを仕組んだり、他の悪意のあるサイトに誘導したりすることで、閲覧社にもマルウェア感染の被害が拡大するケースも多くあります。

2. ホームページをダウンさせられるリスクがあります!

攻撃者が複数のパソコンやIOT機器に指示を出し、ターゲットに対して一斉に大量の処理要求を行うことで、処理が追いつかなくなり、サーバーダウンさせる攻撃を受ける可能性もあります。
この攻撃を一般的に、「DDos攻撃」といいます。

DDos攻撃はホームページ以外のネットワークに行われるケースもあり、
結果として、取引先等の営業を阻害する可能性もあります。

3. 会員情報を抜き取られるリスクがあります!

会員サイトを運営する場合には、お客さまの個人情報等をサーバーで保管することになります。攻撃者はこの、会員の個人情報等を蓄積しているサーバーを狙い、ログイン画面などに特殊な入力を行うことで、大量の個人情報を抜き取ろうとします。「SQLインジェクション」といわれる攻撃が有名です。

↓

自社ホームページを持っていなくても…

サイバー攻撃により、ホームページを改ざんされた企業のページを閲覧しただけでマルウェアに感染するおそれもあります。

→上記チェックボックス「Yes」にチェックを入れて、リスクの詳細を確認しましょう。

Q3:あなたの会社はクレジットカードを取り扱っていますか?
↓

クレジット情報の漏えいリスクがあります!

クレジット情報の流出は、利用者をだまして正規サイトを偽装する偽サイトへと誘導し、カード情報などを入力させることで情報を詐取する通称「フィッシング詐欺」が有名です。
その一方、多くのクレジット情報を保有する企業へのサイバー攻撃によるクレジット情報の流出が増えています。

クレジット情報を取り扱う会社は、サーバーが不正アクセスを受け、顧客のクレジットカード情報が漏えいする可能性があります。
さらに、加盟店規約に基づいて、クレジットカード会社から再発行等の手続きにかかった費用を求償される可能性もあります。

↓

クレジットカードを取り扱っていなくても…

多くのクレジット情報を保有する企業へのサイバー攻撃によるクレジット情報の流出が増えています。

クレジットカードを取り扱っていなくても、多くのクレジット情報を保有する企業への踏み台となるおそれもあります。

→上記チェックボックス「Yes」にチェックを入れて、リスクの詳細を確認しましょう。

サイバー攻撃の対策