サイバー攻撃対策で中小企業が取るべきセキュリティ策は？ 被害企業の事例や特徴も解説

企業を標的にしたサイバー攻撃件数は年々増加しており、手口も巧妙化しています。サイバー攻撃が深刻なのは、業務停止、情報漏えい、経済的損失、企業イメージの低下にとどまらず、顧客への影響といった被害の影響が多岐にわたることです。
本記事では、企業を狙うサイバー攻撃の概要や被害事例、具体的な対策を解説します。

サイバー攻撃が増加する中、以下の要因により企業のセキュリティ対策の必要性が増しています。

• 企業規模に関係なく、中小企業も狙われる
• 情報漏えいによるリスクが高い
• 業務を一時停止せざるを得なくなる
• 経済的な損失が生じる
• 踏み台に利用されサイバー攻撃に加担させられる
• 企業の社会的信頼を失う

サイバー攻撃の被害に遭えば、個人情報漏えいによる賠償責任や、業務停止中の利益損失といった金銭的な負担が生じることがほとんどです。加えて企業の社会的なイメージが低下してしまうため、将来にわたって、より大きなダメージを受けるかもしれません。

さらに、近年のサイバー攻撃は大企業だけでなく、中小企業も標的にされています。中小企業を狙う攻撃のひとつが「サプライチェーン攻撃」です。
IPA（独立行政法人情報処理推進機構）の「情報セキュリティ10大脅威 2023」によれば、サプライチェーン攻撃の脅威度は2023年で第2位にランクインしています。サプライチェーン攻撃の脅威は年々増しており、中小企業のセキュリティ対策強化の重要性が高まっています。

企業を狙うサイバー攻撃の種類は多数あります。主な種類は次の7つです。

1. 標的型攻撃
2. ビジネスメール詐欺（BEC）
3. サプライチェーン攻撃
4. ランサムウェア
5. DDoS攻撃
6. 脆弱性の悪用
7. 不正アクセス

具体的な手口を解説します。

標的型攻撃とは、不特定多数を狙うのではなく、特定の企業を狙い撃ちするサイバー攻撃です。攻撃者はあらかじめターゲットのセキュリティ体制や脆弱性を調べ、効果的な攻撃方法を探ります。
例えば、標的の弱点に合わせた独自マルウェアの制作、VPN（Virtual Private Network）などの内部ネットワークへの侵入、RAT（遠隔操作ウイルス）を添付したメールの送信など、様々な手段を用います。

ビジネスメール詐欺（BEC：Business E-mail Compromise）とは、企業の関係者になりすましたメールを送信して従業員をだまし、金銭を詐取する標的型攻撃です。
攻撃者はターゲットのメールサーバーに不正侵入したり、マルウェアに感染させたりして、実際の取引内容や社員名をかたった攻撃メールを作成します。主に、「取引先のふりをして請求書を送る」または「標的の経営層に偽装して送金を指示する」といったパターンがあります。

関連記事をご用意しております。ぜひご確認ください。
▼Emotet（エモテット）の特徴と感染時の対策を解説

サプライチェーン攻撃とは、大企業の取引先や子会社などの関連会社を踏み台にして、最終的に大企業を狙うサイバー攻撃です。
一般的に、大企業のセキュリティ体制は堅牢なため、直接の侵入は困難です。そこで攻撃者は、まずセキュリティ対策が甘い関連会社へ侵入します。次に、「大企業とつながるVPNへの侵入」「関連会社のメールアドレスによる不正メール送信」などの手口を実行し、大企業への攻撃を仕掛けるのです。

ランサムウェアとは、企業のデータを暗号化し、データを元に戻すことを条件に身代金を要求するマルウェアです。事業に関わる重要なデータが暗号化されてしまうため、実際に身代金を支払った企業も多数存在します。
しかし、身代金を支払っても、データが必ず元に戻る保証はありません。また、身代金の支払い後、「データを公開されたくなければさらに金を払え」と二重恐喝される恐れがあります。

ランサムウェアについて、以下の記事で詳しく解説しています。
▼マルウェア・ランサムウェアとは？ 被害の重大性や対策を確認しておこう

DDoS攻撃とは、企業のWebサーバーに短時間で膨大なトラフィックを送り、システム障害を起こすサイバー攻撃です。金銭目的の犯行もありますが、企業への抗議活動や私怨によっても実行されます。
DDoS攻撃には、複数のコンピューターが必要です。そのため、個人や企業などの第三者のコンピューターがマルウェアに乗っ取られ、DDoS攻撃を実行させられている場合もあります。企業のコンピューターがDDoS攻撃に加担してしまった場合、社会的信用が低下する恐れがあります。

DDoS攻撃についてさらに詳しく解説したこちらの記事もご覧ください。
▼DDoS攻撃の目的や種類、DoS攻撃との違い、対策方法を解説

サイバー攻撃の手口は、ソフトウェアやハードウェアの脆弱性を悪用するケースもあります。
サービスベンダーは通常、脆弱性を発見すると、脆弱性の内容および修正パッチを公表します。こうした脆弱性の情報は、ユーザーだけでなく攻撃者も知ることになります。攻撃者は直ちに脆弱性を悪用し、企業ネットワークへの侵入やマルウェアへの感染を試みます。
したがって、システムをアップデートせずに放置している企業ほど、脆弱性を突いた被害に遭いやすくなるでしょう。

不正アクセスとは、企業のネットワークや端末、クラウドサービスに侵入する攻撃手口です。攻撃者はマルウェアや脆弱性を利用して侵入し、機密情報の窃取またはランサムウェアによる脅迫などの犯行におよびます。
あるいは、IDやパスワードなどの認証情報を盗んでアカウントを乗っ取り、正規ユーザーとしてログインするパターンもあります。

攻撃者は、どのような企業を狙う傾向があるのでしょうか。サイバー攻撃の標的となりやすい企業の特徴は、下記3つです。

1. 大企業と取引している中小企業
2. リモートワークを導入している企業
3. システムのアップデートを怠りがちな企業

それぞれの理由を説明します。

サプライチェーン攻撃の脅威が増しているため、大企業と関わりのある中小企業は標的になる可能性が高くなっています。中小企業は、大企業と比較して予算を確保できないことも多く、中にはセキュリティレベルが低い企業もあり、攻撃者にとって都合の良い存在だからです。
中小企業でも大企業並みにサイバー攻撃に狙われる現状を踏まえ、強固なセキュリティ体制を構築するべきでしょう。

IPAの「情報セキュリティ10大脅威 2023」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が第4位の脅威に位置付けられています。
在宅勤務を実施する場合、リモートワーク用ツールの脆弱性には注意が必要です。仮にリモートワーク用のVPNへ一度でも侵入されれば、攻撃者は社内ネットワークを自由に動き回ります。
また、Web会議ツールやクラウドストレージを利用する際は、セキュリティ設定にミスがないかを慎重に確認しましょう。

IT機器やソフトウェアのアップデートを放置しがちな企業は、サイバー攻撃被害に遭うリスクが非常に高くなります。IT機器やソフトウェアのベンダーが脆弱性情報を公開すると、攻撃者は脆弱性を悪用したサイバー攻撃を試みるからです。
IPAの「情報セキュリティ10大脅威2023」では、「脆弱性対策情報の公開に伴う悪用増加」を第8位の脅威と位置づけられました。プログラムの更新を放置している間に、攻撃者に脆弱性を突かれるかもしれません。

実際にサイバー攻撃を受けた企業の被害事例5件を紹介します。

1. ランサムウェアによる電子カルテ暗号化（2022年）
2. サプライチェーン攻撃による一時生産中止（2022年）
3. 不正アクセスによる個人情報漏えい（2022年）
4. ビジネスメール詐欺による3.8億円被害（2017年）
5. IoT機器を悪用した世界的なDDoS攻撃被害（2016年）

具体的な被害内容を解説します。

2022年10月、国内の医療機関がランサムウェアによるサイバー攻撃を受けました。業務に用いる電子カルテがランサムウェアによって暗号化され、診察機能が利用できなくなったのです。
医療機関では外来診療を一時的に停止せざるを得ず、診療を求める地域住民や患者に影響が及んでいます。その後の調査により、ランサムウェアの侵入経路は、医療機関が委託している給食事業者のVPNと判明しました。

2022年3月、国内製菓メーカーで不正アクセス被害が発生しています。
同メーカーは自社のサーバーが不正アクセスされ、通信販売事業が扱う約164万件の個人情報が流出した恐れがあると公表しました。公表と同時に同メーカーは、該当顧客への連絡や、専用の対応窓口を設置するなどの対処を実施しました。

2022年2月、国内自動車メーカーのサプライヤー企業が、サプライチェーン攻撃の標的にされました。同社の総務部門から受発注システムまでランサムウェア攻撃を受け、国内自動車メーカーの生産ラインが一時停止する被害が生じています。
後に攻撃の標的となった企業は、子会社が使用しているリモート機器の脆弱性が狙われたと報告しました。

2017年9月、国内航空会社がビジネスメール詐欺の被害に遭っています。取引先の金融会社に偽装したメールにだまされ、約3.8億円を送金してしまったのです。
メールは「航空機リース料の支払い口座を変更した」という旨の内容で、送信元のメールアドレスは実在の担当者と同じものに偽装されていました。

2016年、IoT（Internet of Things：モノのインターネット）機器に感染するマルウェア「Mirai」が世界的に流行。Miraiは侵入したIoT機器を不正にボット化し、DDoS攻撃を仕掛けるための巨大なボットネットを構築しました。
様々な企業がDDoS攻撃の標的となり、とりわけ米国のDNSサービス会社の被害は広範囲に影響が出ています。同社の顧客であるX（旧Twitter）やPayPalも影響を受け、サービスが一時停止しました。

企業が行うべきサイバー攻撃対策は、以下の3つに分類できます。

1. 入口対策
2. 内部対策
3. 出口対策

各対策ごとに有効なセキュリティ技術は異なり、中には複数の対策を兼ねている技術も存在します。各対策の概要や具体的な取り組みを見ていきましょう。

入口対策とは、サイバー攻撃の侵入を防ぐための対策です。多くのサイバー攻撃は外部から仕掛けられるため、入口対策によって大半の攻撃を遮断する体制が重要になります。マルウェアや脆弱性による不正侵入を防ぐ手段として、次の5つの対策を実施しましょう。

脆弱性を突いた攻撃の予防として、OS・ソフトウェア・ハードウェアのアップデートは必ず行いましょう。社内のIT機器やソフトウェアが多く正確な管理が難しい場合は「IT資産管理ツール」の導入がおすすめです。社内のIT資産のセキュリティ状況やライセンスを一元管理できるため、脆弱性の放置を防ぎやすくなります。
また、現状のセキュリティ体制を評価する「脆弱性診断」を定期的に行えば、具体的な弱点と実施すべき対策がわかります。

マルウェア感染を防ぐためには、セキュリティシステムによる対策が効果的です。マルウェア対策に適したセキュリティシステムは、以下の一覧表をご確認ください。

社内ネットワークへの侵入を防ぐ手段として、「ファイアウォール」や「IDS／IPS」が有効な対策となります。
ファイアウォールとは、通信の送信元や接続先を検証し、不審な通信を遮断する技術です。
IDS（不正侵入検知システム）は、通信の内容を検証し、不審な通信を検知。IPS（不正侵入防止システム）は、IDSの機能に通信の遮断を加えたシステムです。

WAF（Web Application Firewall）とは、Webアプリケーションに特化したセキュリティ対策です。Webアプリケーションへの不正な通信を検知し、サイバー攻撃を遮断します。
自社Webサイトの改ざん防止に加え、入力フォームを悪用した「SQLインジェクション」や「クロスサイトスクリプティング」といったサイバー攻撃の阻止も可能です。

入口対策として、従業員の情報セキュリティ教育は不可欠です。サイバー攻撃に対する従業員の知識が低ければ、「スパムメールのマルウェアを開いてしまう」といったインシデントが起きかねません。
従業員のセキュリティ意識を高め、マルウェア侵入を防ぐことで、各種システムで構築した入口対策の効果をより一層高められるでしょう。

内部対策とは、社内システムに侵入した脅威の活動を封じ込めるための対策です。脅威がネットワーク内を水平移動して他の領域に侵入していく「ラテラルムーブメント」や、データへの被害を阻止します。内部対策向けの施策は、以下の4つです。

EDR（Endpoint Detection and Response）とは、入口対策をすり抜けた脅威を検知し、管理者による迅速な対応をサポートするセキュリティ製品です。
PCやスマホなどを守る「エンドポイントセキュリティ」のひとつであり、各端末への遠隔操作による対処もできます。
例えば、マルウェアに感染した端末のネットワーク隔離が可能です。早期に対処することで、ラテラルムーブメントなどの活動を遮断します。

ファイル暗号化とはその名の通り、重要なファイルを暗号化し、データの流出や改ざんを防ぐ対策です。
仮に攻撃者が社内ネットワークに侵入しても、暗号化された重要なデータの閲覧や改ざん、破壊はできません。また、メールの誤送信による情報漏えいの予防策としても機能します。

ログ監視とは、PCやサーバー、アプリケーションといったあらゆる拠点のログを監視し、記録するツールです。
「どの機器やアプリケーションに対し」「誰が」「いつ」「どのような操作をしたか」を監視し、不正な操作を検知・防止します。社員による内部不正の抑制にも役立つシステムです。

重要なデータは、日頃からバックアップを取っておきましょう。社内システムに侵入したマルウェアによるデータ破壊や暗号化に加え、マルウェア駆除のためにシステムを初期化しなくてはいけない場合もあります。
常に最新データのバックアップがあれば、サイバー攻撃の被害に遭っても迅速に復旧できるでしょう。

出口対策とは、侵入した脅威による外部通信および情報の持ち出しを防ぐ対策です。
DDoS攻撃や迷惑メール送信の踏み台化、あるいは情報流出といったインシデントを防ぎ、自社への被害を最小限に抑えます。代表的な出口対策は、次の2つです。

次世代ファイアウォールとは、従来のファイアウォールを強化した技術です。
従来のファイアウォールは、ポート番号やIPアドレスなどの情報を元に通信の可否を判断する仕組みです。次世代ファイアウォールは、アプリケーションごとの通信制御、IPS、ユーザー識別といった多くの機能が追加されています。脅威を検知すると外部との通信を遮断し、被害拡大を防ぎます。

DLP（Data Loss Prevention）とは、重要なデータへの操作を監視し、改ざん、破壊、持ち出しなどの不正を防ぐシステムです。
不正な操作はブロックされ、管理者に通知されます。パスワードやIDでユーザーを管理するのではなく、データを直接管理することで内部不正や侵入した脅威を迅速に検知できます。なお、重要なデータの識別はDLPが自動で行うため、データごとに指定する必要がありません。

サイバー攻撃対策には、自社の課題に合ったセキュリティ製品の導入が必要です。「どの領域から強化すればいいかわからない」とお悩みの場合、まずは基本的なセキュリティ対策から強化してみてはいかがでしょうか。
メールセキュリティやマルウェア対策など、基本的な対策ができる製品を3つ紹介します。

「Sophos Email Security」とは、AI（人工知能）を活用して脅威を排除するメールセキュリティ製品です。不審な添付ファイルやなりすましメールを検知し、ブロックします。メール送信時の暗号化機能があるため、誤送信による情報流出を予防できます。また、Google WorkspaceやMicrosoft 365などのメールサービスと連携可能です。現在お使いのメールサービスを変えることなく、セキュリティ対策を向上させられます。
テクバンのSophos Email Security導入支援サービスとは？

「SS1（System Support best 1）」とは、IT資産管理ツールです。使い慣れたExcel風の管理画面で、組織全体のIT端末をわかりやすく管理します。OSのバージョンや更新プログラムの他、ソフトウェアのライセンス状況も一覧化されます。こうした基本機能に加え、レポートや操作ログといったオプション機能の追加も可能です。
テクバンのSS1（System Support best 1）導入支援サービスとは？

CrowdStrike Falconとは、NGAVによってマルウェアの侵入を防御できるセキュリティソリューションです。EDR機能による内部対策も行えるため、脅威の侵入前と後の両面から対策を強化できます。さらに、CrowdStrike Falconの運用を委託するMDR（Managed Detection and Response：検知対応マネージドサービス）も提供しています。情報システム人材が不足している企業でも、MDRを活用すれば問題なく運用できるでしょう。
テクバンのCrowdStrike Falcon導入支援サービスとは？

企業を狙うサイバー攻撃は多発しており、中小企業も例外ではありません。あらゆる規模の企業が標的となり得るため、適切なサイバーセキュリティ対策が必要です。入口対策・内部対策・出口対策の3つに分け、不足している部分を強化していきましょう。

何から手をつければ良いかわからないお客様は、テクバンへぜひご相談ください。お客様の社内環境の調査やヒアリングから丁寧に行い、最適なセキュリティ製品の提案および導入支援をいたします。
テクバンへ相談する