どんなサイバー攻撃にあう可能性があるの?
サイバー攻撃は、大きく2種類に分類できます。
ターゲットを特定せず、
迷惑メールやマルウェア等を無差別に送り付けて、企業に混乱をもたらすもの。
特定の企業にターゲットを絞り、
あらゆる手段を用いて目的となる情報を盗んだり、システムの制御を奪うもの。
多くの情報を持っている大企業がサイバー攻撃の標的になりうるのはもちろんですが、中小企業も無縁ではありません。
中小企業には、攻撃者が02 の「特定の企業にターゲットを絞り、攻撃を行う」際に、「踏み台」として狙われるリスクもあります。
狙われる中小企業
攻撃者が標的とするのは、保有する情報の多さなどから大企業である場合がほとんどです。
しかし、大企業に直接サイバー攻撃を行おうとしても、システム防御が厳重なため、困難であることが現状です。
そこで、狙われるのが中小企業です。
大企業に直接サイバー攻撃を行うのではなく、比較的セキュリティが甘い中小企業を介してサイバー攻撃を行います。
■ 踏み台とされた場合に、どのような事態が想定されるのか、
アニメーションで確認しましょう。
サイバー攻撃を受けることによる被害
参考:「中小企業の情報セキュリティ対策ガイドライン 『情報セキュリティ対策を怠ることで企業が被る不利益』」(IPA)
情報セキュリティ事故を起こすことによって
経営者が負う法的責任
参考:「中小企業の情報セキュリティ対策ガイドライン 『経営者が負う責任』」(IPA)
企業が個人情報などの管理義務のある情報を適切に管理していなかった場合、
経営者や役員、担当者は業務上過失として、次のような刑事上または民事上の責任を問われることとなります。
法令 |
条項 |
罰則など |
|
|---|---|---|---|
個人情報保護法 |
40条 |
報告及び立入検査 |
委員会による立入検査、帳簿書類等の物件検査及び質問 |
83条 |
個人情報データベース等提供罪 |
1年以下の懲役又は50万円以下の罰金 |
|
84条 |
委員会からの命令に違反 |
6月以下の懲役又は30万円以下の罰金 |
|
85条 |
委員会への虚偽の報告など |
30万円以下の罰金 |
|
87条 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑 |
|
マイナンバー法 |
48条 |
正当な理由なく特定個人情報ファイルを提供 |
4年以下の懲役若しくは200万円以下の罰金又は併科 |
49条 |
不正な利益を図る目的で、個人番号を提供又は盗用 |
3年以下の懲役若しくは150万円以下の罰金又は併科 |
|
50条 |
情報提供ネットワークシステムに関する秘密を漏えい又は盗用 |
同上 |
|
51条 |
人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入、不正アクセス等により個人番号を取得 |
3年以下の懲役又は150万円以下の罰金 |
|
53条 |
委員会からの命令に違反 |
2年以下の懲役又は50万円以下の罰金 |
|
54条 |
委員会への虚偽の報告など |
1年以下の懲役又は50万円以下の罰金 |
|
55条 |
偽りその他不正の手段により個人番号カード等を取得 |
6月以下の懲役又は50万円以下の罰金 |
|
57条 |
両罰規定 |
従業者等が業務に関し違反行為をした場合、法人に対しても罰金刑 |
|
不正競争防止法 |
3条 |
差止請求 |
利益を侵害された者からの侵害の停止又は予防の請求 |
4条 |
損害賠償請求 |
利益を侵害された者は損害を賠償する責任 |
|
14条 |
信頼回復措置請求 |
信用を害された者からの信用回復措置請求 |
|
民法 |
709条 |
不法行為による損害賠償 |
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う |
(注)罰金はサイバーセキュリティ保険で補償対象とはなりません。
更に! 2022 年4 月施行の改正個人情報保護法では個人情報が漏えいした企業に対し被害者への通知が義務付けられ、これに違反すると最大で1億円の罰金が科せられます。
貴社が受ける可能性のある攻撃を見ていきましょう!
情報を抜き取られるリスクがあります!
ログイン画面、お問い合わせフォームなどを設置した場合、お客さまの個人情報等をサーバで保管することになります。攻撃者は、この個人情報等を蓄積しているサーバを狙い、ログイン画面などに特殊な入力を行うことで、大量の個人情報を抜き取ろうとします。「SQLインジェクション」といわれる攻撃が有名で、非常に多くの情報漏えい事故が発生しています。
ホームページ改ざんリスクがあります!
攻撃者が会社のホームページを改ざんする攻撃です。
攻撃者が、会社のホームページ自体にマルウェア(ウィルス)を仕組んだり、他の悪意のあるサイトに誘導したりすることで、閲覧者にもマルウェア感染の被害が拡大するケースも多くあります。
ホームページをダウンさせられるリスクがあります!
攻撃者が複数のパソコンやIoT機器に指示を出し、ターゲットに対して一斉に大量の処理要求を行うことで、処理が追いつかなくなり、サーバダウンさせる攻撃を受ける可能性があります。
この攻撃を一般的に、「DDoS攻撃」といいます。
DDoS攻撃はホームページ以外のネットワークに行われるケースもあり、
結果として、取引先等の営業を阻害する可能性もあります。
自社ホームページを持っていなくても…
インターネット上の多くのホームページが改ざんの被害にあっています。この場合、それらのホームページを閲覧しただけでマルウェア(ウィルス)に感染するおそれがあります。
▶上記チェックボックスYesにチェックを入れて、リスクの詳細を確認しましょう。
不審なメールと気づかず、添付ファイルを開くことで、
マルウェア(ウィルス)に感染するリスクがあります!
標的となる企業に、攻撃者がマルウェア(ウィルス)を仕込んだメールを送信。
送られたメールに添付されたファイルを開封したり、
記載のURLを開くことでマルウェア(ウィルス)に感染します。
近年、マルウェアの一種「ランサムウェア」が猛威を振るっています。
ランサムウェアとは「ランサム(身代金)」と「ソフトウェア」を組み合わせた造語で、感染したPCをロックしたり、データを暗号化したりすることで使用不可能にした上で、その解除と引き換えに金銭を要求するサイバー攻撃です。
さらに、ここ1、2 年では、「二重の脅迫」と呼ばれるランサムウェア被害が急造しています。
ターゲットとなる企業・組織内のネットワークへ侵入し、PC 等の端末やサーバ上のデータを窃取した後に一斉に暗号化してシステムを使用不可能にし、脅迫をするサイバー攻撃です。システムの復旧に対する金銭要求に加えて、窃取したデータを公開しない見返りの金銭要求も行うため、二重の脅迫と恐れられています。
徹底されているとしても…
攻撃者は、メールの受信者がだまされやすいような仕掛けをしてきます。
このため、使用ルールを徹底していても、うっかり開いてしまう可能性もあり、リスクを排除できません。
▶上記チェックボックスNoにチェックを入れて、リスクの詳細を確認しましょう。
クレジットカード情報の漏えいリスクがあります!
クレジットカード情報の流出は、利用者をだまして正規サイトを模倣した偽サイトへと誘導し、カード番号などを入力させることで情報を詐取する通称「フィッシング詐欺」が有名です。
その一方、多くのクレジットカード情報を保有する企業へのサイバー攻撃によるクレジットカード情報の流出も発生しています。
クレジットカード情報を取り扱う会社は、サーバが不正アクセスを受けたり、ウェブサイトが偽サイトに誘導されるよう改ざんされたりすることで、顧客のクレジットカード情報が漏えいする可能性があります。
さらに、加盟店規約に基づいて、クレジットカード会社から再発行等の手続きにかかった費用を求償される可能性もあります。
クレジットカードを取り扱っていなくても…
多くのクレジットカード情報を保有する企業へのサイバー攻撃によるクレジットカード情報の流出が増えています。
クレジットカードを取り扱っていなくても、多くのクレジットカード情報を保有する企業に対するサイバー攻撃の踏み台となるおそれもあります。
▶上記チェックボックスYesにチェックを入れて、リスクの詳細を確認しましょう。