標的型攻撃の被害内容とは?被害額や被害件数の推移なども解説

この記事は約9分で読めます。

度々ニュースにもあがるようになった「標的型攻撃」。情報セキュリティに関する攻撃方法であり、企業にとって脅威だという認識は広まっているでしょう。 
しかし、実際に攻撃を受けていなければ、どこか他人事となってしまっているのではないでしょうか。実は非常に身近なところにまで迫っており、対策の急がれる攻撃です。 
本記事では、標的型攻撃を含むサイバー攻撃に関して被害内容や被害額、被害件数をデータを交えて記載することで脅威を再確認し、対策の大きな方針について紹介します。 

標的型攻撃の主な被害状況

​標的型攻撃の具体的な被害例について記載します。また、その前に標的型攻撃の定義についてもおさらいしておきましょう。 

標的型攻撃とは、企業、組織、業界などをターゲットとして絞り込んで行われるサイバー攻撃です。重要性の高い情報を持つ企業を狙って情報の詐取、情報漏えいなどに繋げることを目的とします。

 メールやフィッシングサイトによるばらまき型のサイバー攻撃とは一線を画しており、ターゲットにあわせた手口を利用してくることが特徴となります。
ターゲットの情報を事前に調べ、業務や扱うデータを知っており、その内容に関するメールを送ることが攻撃の発端となるケースが多く見られます。 ターゲットの調査に事前に時間をかけており、攻撃の精度の高さや、被害の大きさもその特徴となります。 

代表的な手口は、標的型攻撃メールと呼ばれるものです。受信者が内容を確認したくなるメールを送付し、添付ファイルやURLへの誘導を実施。添付ファイルやURLへのアクセスによりマルウェアに感染。マルウェアを通して、さらなるマルウェア感染端末の拡大、セキュリティ情報の外部送信、外部からの遠隔操作を行い、情報を詐取します。 

近年の標的型攻撃の傾向

標的型攻撃は2003年頃から存在し、2011年頃からその脅威が顕在化してきました。 
2019年には重工メーカーが狙われ、日本の防衛関連企業4社が攻撃されたことを公表しています。また、日本企業の中国法人を狙った攻撃が急増しているのも新たな傾向といえます。 

被害件数についての項目でも触れていますが、引き続き日本の法人を狙った標的型攻撃は発生しており、今後もターゲットとされていることが想定されます。企業の規模に関わらず、保有する情報の価値の高さが狙われる傾向があります。 

さらに、グローバル企業では、現地法人を狙った攻撃も存在しており、組織網全体での対策が必要となってきています。

近年の標的型攻撃メールの手口

標的型攻撃メールの手口についても、近年の傾向を確認しておきましょう。

メールの文面で騙す
標的型攻撃メールでは、関係者を装ったメールが送られてくる手口が多いのですが、その精巧さは日ごとに増していると考えられます。
添付ファイルの細工
添付ファイルを開かせる手口では、添付ファイルの危険性が浸透するにつれ、より巧妙な形に変化しています。 アイコンの偽装、ファイル拡張子の偽装、ショートカットの悪用、Microsoft Office製品の脆弱性を突いた手口が増加しています。

添付ファイルの細工の詳細

添付ファイルの細工について、より詳細な点として、下記があります。

ショートカットを利用した手口
Windowsのショートカットと呼ばれる仕組みを利用するものです。ショートカットはあるプログラムを起動するためのリンクの一種で、起動するプログラムのアイコンと近いアイコンが表示されます。ショートカットにはスクリプトと呼ばれるプログラムを埋め込むことができるため、直接的に攻撃に繋がります。システムの仕組みを利用した攻撃といえます。
Microsoft Officeの脆弱性を突いた攻撃
Microsoft Office製品は利用者が多く、サイバー犯罪者にとっても悪用する価値のあるものなのでしょう。Office製品の脆弱性を突いた攻撃やマクロ機能を悪用した攻撃が存在しており、利用者を確認せずに開くことでトラブルに繋がる可能性が示唆されています。
オンラインストレージを利用した手口
利用の広がるクラウドサービスの一種にオンラインストレージがあります。URLのリンク先が不審なサイトではなく、オンラインストレージとなっており、そこに置いてあるファイルをダウンロードすることでマルウェア感染などに導く攻撃の手口が報告されています。

標的型攻撃を含むサイバー攻撃の被害額

​2019年4月から2020年3月のサイバー攻撃の被害額をまとめた資料として、トレンドマイクロより 「法人組織のセキュリティ動向調査 2020年版」 が発表されています。

セキュリティインシデントが発生した企業では、年間の平均被害額は1億4800万円にのぼりました。調査対象の48.3%が該当しており、被害の大きさがうかがわれます。 

​この被害額には、下記の内容が含まれるものです。

  • システムやサービスの停止による損失額
  • インシデント対応にかかった費用
  • インシデントと原因究明のための調査費用
  • インシデント改善策の導入
  • 損害賠償

​セキュリティインシデントが発生した企業のうち49.6%が1000万円未満の被害だった一方で、15.7%では1億円以上の被害が発生しました。最大では10億円を超えて、被害総額の検討がつかないとした企業も16.8%あります。 

標的型攻撃は特に価値のあるデータを持った相手をターゲットとするため、大きな被害額となることが懸念されます。 

これに加えて、情報漏えいが発生した場合の一件当たりの損害賠償額についてもおおよその目安となるデータがあります。JNSAによると、2016年~2018年の3年間における、情報漏洩時の一人当たりの平均想定損害賠償額は28,303円です。
情報漏えいした人数に乗した金額が損害賠償の全体額となるため、企業の経営さえも揺るがしかねない規模となり得る金額です。 

標的型攻撃の全体に占める被害件数割合

トレンドマイクロの「法人組織のセキュリティ動向調査 2020年版」によると、調査対象の78.3%の回答者が該当の1年間中に何らかのセキュリティインシデントを経験しています。これは4社の内3社は何らかの攻撃を受けているという、サイバー攻撃の身近さを示すデータです。 

また、同調査ではセキュリティインシデントを経験した企業の22.2%が「標的型攻撃」を受けたという結果が得られています。サイバー攻撃を受けた企業のうち、4社に1社近くは標的型の攻撃を受けており、サイバー犯罪者がターゲットを拡げている状況がうかがわれます。 

標的型攻撃の被害は拡大している

​警察庁の資料によると、サイバーインテリジェンス情報共有ネットワークを通じて把握した標的型メール攻撃の件数は平成27年から平成30年に向けて上昇を続け、平成30年から令和元年に向けては減少傾向を示しました。平成30年の6740件をピークとしていますが、令和二年度上期は3978件とピークを上回りかねない勢いです。 

このデータから、今後も標的型攻撃は増減しながら続くとみられます。情報の持つ価値の向上、情報システムの巨大化、データの収集蓄積が進むことを考えると、被害は拡大してきているともいえる状況です。 

標的型攻撃の被害事例がある企業とは

標的型攻撃を受け被害にあった企業の事例をご紹介します。​ 

オペレーションオーロラ

オペレーションオーロラは2010年にアメリカのGoogle、Adobe、Yahoo!をはじめとした30社以上が攻撃を受けたことを報告している標的型攻撃メールによるサイバー攻撃です。標的型メールからMicrosoft社のInternet Explorerの未知の脆弱性を突いて、マルウェアに感染させる手口でした。

​知的財産の詐取などの被害が出ており、Webメールのアカウント情報の流出も報告されています。中国のサイバー犯罪者集団によるものとされ、Googleの中国本土からの撤退などに大きな影響を与えたといわれています。

日本年金機構

こちらは企業ではありませんが、日本の巨大な組織に対する攻撃です。

​2015年に日本年金機構は標的型攻撃メールによって攻撃され、125万人分の個人情報が流出したことを報告しています。特定の職員向けに、業務内容を把握したメールが送られてきており、日本の企業や組織がターゲットになっていることが明白となっています。

JTB

2016年6月には旅行業のJTBも標的型攻撃メールを発端として、793万人もの個人情報が流出してしまったことを公表しています。パスポート番号も含む情報であり、何よりも対象者数の多さが大きな衝撃となりました。

カプコンの受けたランサムウェア攻撃も標的型攻撃の一種

ランサムウェアによる企業への脅迫として大きなニュースとなった2020年のゲーム大手カプコンへのサイバー攻撃も、標的型攻撃の一種です。
この事件では、カプコンのアメリカ現地法人が最初に攻撃されており、グローバル企業は組織網での対策が必要となることを強く示唆しています。

標的型攻撃に対する対策とは

​被害の続く標的型攻撃に対し、独立行政法人情報処理推進機構では 「情報セキュリティ白書2020」 の中で、対策として下記をあげています。​ 

利用者向けの対策
  • 不審メールに対する注意力の向上
  • オンラインストレージサービスを悪用した手口の周知
  • マクロ機能の危険性の周知
組織体制による対策
  • CSIRT(Computer Security Incident Response Team)の設置
  • ウイルス感染を想定した訓練と教育
システムによる対策
  • 不審メールを確保できる仕組みの確立
  • 適切な修正プログラムの適用
  • ファイルの実行防止

まとめ

標的型攻撃メールによる被害は、発生に関するデータからも今後も続くことが想定されます。被害額の大きさ、攻撃対象の拡大はもはや他人事では済まされない状況です。 

企業における情報セキュリティ対策としては、利用者、組織、システムと対策可能なポイントを総動員することが必要となります。 

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました