1. HOME
  2. ビジネスブログ
  3. 日本で生じたサイバー攻撃の事例一覧|防ぐための対策とは?

日本で生じたサイバー攻撃の事例一覧|防ぐための対策とは?

2025.01.23

サイバー攻撃の被害事例は、企業が扱う顧客情報が漏洩したり、身代金を要求されたりなどさまざまです。

サイバー攻撃により被害を受けると、一時的な損害だけではなく、今後の長期的な信頼関係に影響する恐れがあります。

電子化が進むなか、サイバー攻撃からシステムや機密情報などを守るために、対策を徹底することが大切です。

本記事では、日本で発生したサイバー攻撃の事例をはじめ、攻撃からシステムを守るための対策をご紹介します。

システムやネットワークのセキュリティを高めたい場合は、サイバー攻撃の対策ができているか確認し、必要に応じて対策を実施しましょう。

サイバー攻撃とは?

サイバー攻撃とは、情報システムやネットワークに対する不正アクセスや侵入、データの盗難、改ざん、妨害など、意図的に行われる悪意ある活動のことです。

具体的には、マルウェアの使用、フィッシング、ランサムウェア攻撃、DDoS攻撃、データ漏洩などが含まれます。

サイバー攻撃は企業や個人に重大な損害を与える可能性があり、セキュリティ対策が不可欠です。

日本で起こったサイバー攻撃の事例一覧

ここでは、日本で起こったサイバー攻撃の事例を8つご紹介します。

1. 自社の顧客情報が流出した

あるソフトウェア会社がランサムウェア攻撃を受け、大量の顧客情報が流出するという事態が発生しました。

この攻撃では、同社が管理していた顧客データが攻撃者によって暗号化され、その復号の条件として金銭を要求されました。

この事例の特徴として、ランサムウェアが同社を特定してカスタマイズされていた点が挙げられます。

近年では、不特定多数を狙った無差別な攻撃ではなく、特定の企業を標的にした攻撃が増加傾向にあり、狙い撃ちされるリスクが高まっています。

2. Webサイトへの不正アクセスで個人情報が漏洩した

ある情報通信会社が不正アクセスを受け、多数の個人情報が漏洩するという事態が発生しました。

この攻撃は、システムの脆弱性を悪用してアプリケーションの一部が改ざんされたことが原因とされています。

漏洩した情報には、顧客のクレジットカード情報も含まれています。

わずかなシステムの脆弱性であっても対応を怠れば、アプリケーションの改ざんや大規模な情報漏洩を引き起こすリスクが高い事例のひとつです。

3. 不正ログインでWeb履歴書が流出した

人材会社のサーバーが不正アクセスを受け、サービス利用者のWeb履歴書が大量に流出していたことが報告されました。

同社の調査によると、ユーザーが他のサービスで同じIDとパスワードを使い回していたことを狙ったリスト型攻撃が原因である可能性が高いとされています。

この事例では、20年以上にわたりユーザーの情報が窃取されていたことがわかりました。

この事例からは、サーバーに蓄積されたデータが多い場合、膨大な量の情報が流出するリスクがあるといえるでしょう。

4. 外部委託業者が不正アクセスにより顧客情報が流出した

保険会社の外部委託業者が不正アクセスを受け、特定の保険商品に加入した顧客の情報が流出しました。

流出したデータには、顧客の名前、生年月日、メールアドレスなどが含まれており、一部の情報が別のWebサイトに掲載されていたことで被害が判明しています。

当事例では、攻撃の対象となったのは保険会社自身ではなく、その外部委託業者でした。

サイバー攻撃のリスクを軽減するためには、保険会社のみならず、パートナー企業や関連会社、グループ会社も含めて、全体的な対策を講じる必要があります。

5. 自社サイトへの大量の不正ログインが確認された

保険会社のWebサイトが膨大な数の不正ログイン攻撃を受けた事例では、数日間にわたり大量の不正ログインが確認されました。

攻撃者は他社サービスから流出したパスワードを利用したと考えられていますが、保険会社は具体的な攻撃手法については公表していません。

それでも、多数のユーザー情報が不正に取得された形跡があることから、リスト型攻撃が行われた可能性が高いと見られています。

当事例は、自社でセキュリティ対策を実施していたとしても、他社サービスから漏洩したパスワードが悪用され、不正ログインを許してしまうリスクを示唆しています。

6. ランサムウェア感染で個人情報のデータが暗号化された

マーケティング会社がランサムウェア攻撃の標的となり、大量の機密情報が暗号化される被害が発生しました。

攻撃により、機密情報を管理していたサーバーやPCがランサムウェアに感染し、データが不正に暗号化されたほか、身代金を要求する脅迫メールも送られてきました。

調査の結果、このランサムウェア感染の原因は、不正アクセスだったことが判明しています。

当事例は、少数の不正アクセスであっても、企業全体の運営に不可欠な重要データを失う深刻な事態につながる可能性があるのを示しています。

7. 個人情報の暗号化に加え身代金の脅迫被害を受けた

病院のシステムがランサムウェアに感染し、大量の個人情報が暗号化される被害が発生しました。

患者情報が暗号化され利用できなくなっただけでなく、病院内のプリンターが不正操作され、脅迫文が印刷されるといった被害も確認されています。

この攻撃により、病院は一時的に新規患者の受け入れをほぼ全面的に停止せざるを得ない状況に追い込まれました。

脅迫文には、データ復号の条件として身代金を要求する内容が記載されていましたが、病院は支払いを拒否し、自力でデータの復旧を試みました。

その後、病院は運営を再開できたものの、通常業務に戻るまでには相当な時間がかかったとされています。

8. なりすましで開発機関のVPNに不正アクセスされた

研究開発法人が不正アクセスを受け、個人情報が流出する被害が発生しました。

同法人の開発機関が不審な通信を検知して調査を行った結果、VPNを利用して職員になりすました攻撃者の存在が明らかになりました。

この攻撃によって、名前やメールアドレス、パスワードを含む多数の職員情報が流出しました。

このように、攻撃者が実在する人物になりすます場合、不正アクセスの発覚までに時間がかかるケースがあります。

テレワークを導入する組織が増えている現状では、VPNを使用していても不正アクセスのリスクを十分に考慮し、対策を講じる必要があるでしょう。

サイバー攻撃を防止するための対策

ここでは、サイバー攻撃から守るための対策を5つご紹介します。

1. 定期的にバックアップを行う

サイバー攻撃によりデータが損失や暗号化された場合、定期的にバックアップを行っていれば、迅速に以前の正常な状態に復元でき、被害を最小限に抑えられます。

例えば、ハードウェア障害、自然災害、データ消失などに備えておくことができ、データが失われても、バックアップから復元できるため事業の継続性が保たれるでしょう。

定期的なバックアップは、毎日、週次、月次など、組織の規模や重要性に応じた頻度を設定することが重要です。

クラウドバックアップ、外部ストレージ、オフサイト保管など、安全性が確保できる方法を使用すると良いでしょう。

バックアップデータが正常に復元できるかを定期的にテストし、万が一に備えておくのがポイントです。

2. システムやアプリケーションの脆弱性を確認する

システムやアプリケーションに存在する脆弱性は、悪意ある攻撃者にとって攻撃の手段となります。

未修正の脆弱性が放置されると、不正アクセスやデータ漏洩、ランサムウェア感染などの被害が生じるリスクが高まります。

ソフトウェアベンダーが提供する定期的なパッチやアップデートを適用すると、既存の脆弱性の修正が可能です。

第三者によるセキュリティテストや内部監査の実施により、新たな脆弱性が発見され、迅速に対応できます。

また、システムやアプリケーションの脆弱性を確認・修正することで、全体的なセキュリティレベルが向上します。

特に、個人情報や機密データを取り扱うシステムにおいては、脆弱性の管理が重要です。

3. パスワード強化や多要素認証を導入する

簡単なパスワードや使い回しのパスワードは、サイバー攻撃者にとって容易に突破できる障壁です。

強力なパスワードが必要であり、パスワードが推測されにくくなると、不正アクセスリスクが大幅に低減します。

MFAは、ユーザー認証に加えて、スマートフォンによる認証、指紋認証、SMS認証などを追加することで、セキュリティをさらに強化します。

パスワード強化とMFAを導入することで、第三者によるアカウントの不正利用が困難になるでしょう。

特に、フィッシング詐欺やパスワードリスト攻撃に対して有効です。

4. アクセス権限や範囲を整備する

必要最小限の権限は、ユーザーが業務を遂行するために必要な最小限の権限しか与えないというセキュリティ原則です。

これにより、誤操作や意図的な不正アクセスを防ぎ、攻撃の影響範囲を限定します。

重要なデータやシステムへの不正アクセスを防ぐために、役職や業務内容に応じたアクセス権限を設定しましょう。

管理者や特定部門にのみ必要な情報や機能を提供することで、内部からのリスクを低減します。

また、サイバー攻撃者は通常、特定のアクセス権限を持つユーザーアカウントを狙います。

不要な権限を削減することで、不正アクセスのリスクの抑制が可能です。

5. 従業員のセキュリティ教育と訓練を実施する

サイバー攻撃の多くは、従業員の誤操作や悪意ある行動から始まります。

従業員が適切なセキュリティ知識を持つことで、パスワードの管理やフィッシング詐欺への対処、マルウェア感染の防止などが向上します。

従業員が適切に行動すると、意図的または無意識的な内部不正や情報漏洩が減少するでしょう。

セキュリティ教育を通じて、リスクの最小化が可能です。

具体的には、従業員向けのセキュリティ教育やシミュレーションを行ったり、メールマガジンやニュースレターなどで定期的にセキュリティ情報を提供したりする方法が挙げられます。

まとめ

企業が直面するリスクには、顧客情報流出、不正アクセス、ランサムウェア感染など多岐にわたります。

これらのリスクを防ぐためには、定期的なバックアップ、脆弱性の確認、パスワード強化、多要素認証の導入、適切なアクセス制御、従業員への教育と訓練が必要です。

企業がセキュリティ対策を強化することで、サイバー攻撃からの被害を最小限に抑えられます。

ビジネスブログ一覧に戻る