サイバー犯罪とは?使用される攻撃の種類や事例・企業に必要な対策
企業や団体を狙って実行されるサイバー犯罪には、さまざまな手口があります。代表的なサイバー犯罪にはどのようなものがあり、企業としてそれらに対しどのような備えをしておく必要があるのでしょうか。
この記事では、サイバー犯罪の種類や特徴、企業に求められるサイバー犯罪対策などについてご紹介します。
目次
サイバー犯罪・サイバー攻撃とは
サイバー犯罪とはどのような犯罪を指すのでしょうか。現在のサイバー犯罪発生動向や攻撃の目的などを見ていきましょう。
サイバー犯罪・サイバー攻撃とは
サイバー犯罪とは、インターネットと電子機器を用いて行われる、不正アクセスや破壊行為などの犯罪行為の総称です。とてもよく似た言葉で「サイバー攻撃」もありますが、これはサイバー犯罪を実行する際の具体的な手段を指します。
サイバー犯罪の検挙件数は増加傾向にある
以下は、警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」内のデータによる、サイバー犯罪の検挙件数の推移をグラフ化したものです。
出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
2018年(平成30年)から2023年(令和5年)までの6年間の推移を見ると、サイバー犯罪による検挙数は実に約1.38倍に増加しており、2023年は12,479件と過去最大の結果となっています。
このように企業のサイバー犯罪被害は増加傾向にあり、その攻撃手法も巧妙化しています。
サイバー犯罪の目的
サイバー犯罪の目的は、金銭の盗取であるケースが多数です。その他、対象を混乱に陥れて楽しむ「愉快犯」や、ターゲットの企業に対する個人的な怨恨などが動機となり、不利益をもたらす目的で行われるケースもあります。
サイバー犯罪の目的と種類
サイバー犯罪の手段となるサイバー攻撃には、非常に多くの手口が存在します。一般的には以下の3つに分類されます。
- 不正アクセス行為の禁止等に関する法律違反
- コンピュータ・電磁的記録対象犯罪、不正指令電磁的記録に関する犯罪
- ネットワーク利用犯罪
ところが、サイバー犯罪の手口が複雑化するにつれて3つのカテゴリでは収まりきれない状態となっています。本コラムでは以下の5つのカテゴリに分類して説明します。
- 不正アクセス関連犯罪
- 金銭的被害を及ぼす犯罪
- データ・情報に関する犯罪
- システムやネットワークを妨害する犯罪
- コンテンツ関連の犯罪
不正アクセス関連犯罪
主な不正アクセスの種類は以下の通りです。不正アクセスはアクセスすることが目的ではなく、その先に情報や金銭の窃取、システムの破壊などのサイバー犯罪の足掛かりとなっています。
パスワードクラッキング
システムの認証を突破するため、パスワードを総当たりで試行したり、辞書データを使用して解読を試みる手法です。単純なパスワードや使い回しされているパスワードが特に狙われやすく、一度突破されると、アカウントの乗っ取りやなりすまし行為に発展する可能性があります。
ソーシャルエンジニアリング
技術的な手法ではなく、人間の心理や行動を利用して情報を入手する方法です。例えば、正規の管理者や同僚になりすまして電話やメールでパスワードを聞き出したり、親しげに話しかけて機密情報を引き出したりします。
SQLインジェクション
Webアプリケーションの入力フォームに不正なSQL文を挿入し、データベースを不正に操作する手法です。適切な入力チェックが行われていないシステムが狙われ、データの窃取や改ざん、システムの制御権限の奪取などが行われます。
セッションハイジャック
正規ユーザーとサーバー間の通信を横取りし、セッション情報を盗用してなりすます手法です。公共Wi-Fiなどの安全でないネットワークで特に発生しやすく、ログイン状態を乗っ取られてしまいます。
フィッシング
実在する組織を装ったメールや偽サイトを使用して、ユーザーのログイン情報などを騙し取る手法です。近年は巧妙化が進み、本物のサイトと見分けがつきにくい偽サイトも増えています。この手法は金銭的被害を及ぼす犯罪にも多様されています。
マルウェア感染
ウイルスやトロイの木馬などの不正プログラムを用いて、システムに侵入する手法です。メールの添付ファイルや不正なダウンロードを通じて感染し、バックドアの作成やキーロガーの設置などが行われます。
脆弱性を狙った攻撃
システムやソフトウェアの脆弱性を悪用して不正アクセスを行う手法です。特にセキュリティパッチが適用されていない既知の脆弱性や、設定ミスによる脆弱性が狙われやすく、データの窃取やシステムの制御権限の奪取につながります。
中間者攻撃(Man-in-the-Middle)
通信経路上に割り込み、データの傍受や改ざんを行う手法です。暗号化されていない通信や、証明書の検証が不十分な場合に発生しやすく、機密情報の漏洩やなりすまし行為につながります。
金銭的被害を及ぼす犯罪
オンライン詐欺
インターネット上で、架空の商品販売や偽のサービス提供により金銭をだまし取る犯罪です。動画やチャットで信頼を得た後、金銭を要求したり、偽のオンラインショップで決済情報を盗んだりします。
フィッシング詐欺
銀行や公的機関を装ったメールや偽サイトを通じて、クレジットカード情報や銀行口座情報を不正に入手する手法です。本物そっくりのWebサイトで個人情報を騙し取ります。
ランサムウェア
コンピューターシステムやデータを暗号化し、その解除と引き換えに金銭を要求する悪意のあるソフトウェアによる攻撃です。企業や個人の重要なデータを人質にして金銭を要求します。近年では、データの暗号化を行わず、窃取した情報を公開すると脅して金銭を要求するノーウェアランサムも発生しています。
不正送金
銀行口座やクレジットカード情報を不正に入手し、被害者に無断で金銭を別の口座に送金する犯罪です。フィッシングやマルウェアなどの手法で情報を盗み取ります。
クレジットカード詐欺
窃取したカード情報を使用して、被害者になりすまし不正な商品購入や現金引き出しを行う犯罪です。オンラインや実店舗での不正利用、カード情報の売買が含まれます。
仮想通貨詐欺
仮想通貨取引や投資において、偽の取引所や投資プラットフォームを作り、利用者から資金をだまし取る犯罪です。ポンジスキームや架空の投資プロジェクトなどが含まれます。
ビジネスメール詐欺(BEC)
企業の経営者や担当者になりすまし、緊急の送金や機密情報の開示を要求するメール詐欺です。企業の信頼関係や組織構造を悪用して大規模な金銭被害を引き起こします。
投資詐欺
架空の投資機会や高収益を約束し、投資家から資金をだまし取る犯罪です。仮想通貨、株式、不動産投資などの分野で、魅力的な利回りを餌にして詐欺を行います。
これらの犯罪は、技術の進歩とともに手口が巧妙化しており、被害を防ぐためには常に注意と最新の対策が必要です。
データ・情報に関する犯罪
個人情報の不正取得
個人の氏名、住所、クレジットカード情報などを違法に収集・売買する犯罪です。データベースハッキングやフィッシング、マルウェアなどの手法で情報を入手します。
企業機密情報の窃取
競合他社や外国勢力が、企業の営業秘密や技術情報を不正に入手する行為です。サイバー攻撃やスパイ活動、内部者による情報漏洩などの方法で行われます。
データベース侵害
大規模なデータベースに不正侵入し、大量の個人情報や機密情報を窃取する犯罪です。セキュリティの脆弱性を利用して、一度に膨大な情報を流出させます。
知的財産の不正利用
特許、著作権、商標などの知的財産権を無断で使用・複製・販売する違法行為です。デジタルコンテンツの違法配布や技術情報の不正使用が含まれます。
サイバースパイ活動
国家や組織が、政治・経済・軍事上の機密情報を不正に収集する行為です。高度な技術を用いたハッキングや、標的型攻撃などの手法が使用されます。
プライバシー侵害
個人の同意なく、私的な情報を公開・共有・利用する行為です。メールやSNSの個人情報を無断で拡散したり、プライベートな映像や画像を公開したりすることが含まれます。
内部情報漏洩
組織内の従業員や関係者が、意図的または過失により機密情報を外部に漏らす行為です。金銭目的や個人的な怨恨、不注意などが原因となります。
クラウドデータ不正アクセス
クラウドサービス上に保存された企業や個人のデータに不正にアクセスし、情報を窃取または破壊する犯罪です。認証情報の盗用やセキュリティ脆弱性を利用するほか、企業側のシステム設定の不備により適切なアクセス権限が設定されておらず情報が漏えいする事案もあります。
システムやネットワークを妨害する犯罪
DDoS攻撃
大量のアクセス要求を同時に送信し、サーバーやネットワークの機能を麻痺させる攻撃です。複数の感染端末を使用して、対象のシステムに過剰な負荷をかけます。
マルウェア配布
コンピューターウイルス、トロイの木馬、スパイウェアなど、システムに害を与える不正なソフトウェアを作成・拡散する行為です。サイバーテロリズム
政治的・社会的目的のために、重要なインフラシステムや国家システムを攻撃・破壊する行為です。電力網、通信システム、金融システムなどが標的になります。
ボットネット攻撃
多数の感染端末を遠隔操作し、大規模な攻撃を仕掛ける手法です。スパム送信、DDoS攻撃、情報窃取などに利用されます。
システム破壊工作
重要なシステムやネットワークインフラに対して、意図的に破壊や機能停止を引き起こす行為です。データの消去や物理的な機器の損壊が含まれます。
ランサムウェア攻撃
システムやネットワークを人質に取り、その機能を制限し、復旧と引き換えに金銭を要求する攻撃です。
クリティカルインフラ攻撃
電力、通信、交通、医療などの重要インフラシステムを標的にした攻撃です。社会機能に深刻な影響を与えることを目的としています。
ネットワークスキャニング
システムの脆弱性を探査し、侵入経路を見つけるための下見行為です。将来の攻撃に向けた情報収集を行います。
コンテンツ関連の犯罪
著作権侵害
他人の創作物を許可なく複製、配布、公開する違法行為です。音楽、映画、書籍、ソフトウェアなどのデジタルコンテンツが対象となります。
名誉毀損
インターネット上で、他人の社会的評価を著しく低下させる虚偽の情報や中傷的な内容を公開する行為です。SNSや掲示板などで発生しやすいです。
プライバシー侵害
個人の同意なく、私的な情報や画像、動画を公開・拡散する違法行為です。個人のプライバシーを著しく侵害します。
わいせつコンテンツ配布
法律に違反する性的な映像や画像を作成、所持、配布する犯罪です。特に未成年者に関するわいせつコンテンツは厳しく規制されています。
違法取引コンテンツ
違法薬物、偽造品、武器などの取引に関するコンテンツを配信・共有する行為です。オンラインマーケットやダークウェブで行われます。
サイバーいじめ
電子的な手段を用いて、他人を継続的に脅迫、侮辱、harassment(嫌がらせ)する行為です。SNSやメッセージアプリで多く発生します。
デマ・偽情報の拡散
社会的混乱を招く虚偽の情報を意図的に作成・拡散する行為です。政治、健康、災害情報などで特に深刻な影響を与えます。
サイバー犯罪の事例
実際に発生したサイバー犯罪の事例についても、いくつかご紹介します。
マッチングサービスを狙った不正アクセスによる情報漏えい
2020年5月に、交際相手紹介サービスの業務用サーバへの不正アクセスにより情報が搾取された事案です。その結果、顧客の運転免許証、健康保険証、パスポートなど本人確認のための画像データに関する情報漏えいが、約171万件発生した可能性があるとされています。
中小企業が長期にわたって攻撃を受けた事例
2021年7月、健康食品などを取り扱う企業のECサイトのシステムが第三者によるアプリケーションの改ざんが行われたことが原因で、顧客の氏名やカード番号など大量の個人情報漏えいが発覚した事案です。調査の結果、約1年3か月の長期にわたって約300名の顧客情報の流出があったことが発覚しました。この影響で当該企業のECサイトはいったん閉鎖を余儀なくされ、現在に至るまで長期にわたって休止が続いています。
ビジネスメール詐欺(BEC)の事例
2020年5月、機械部品の製造を行う企業に、ドイツの取引先を装った英文の偽メールが届き、商品代金を詐取された事案です。偽メールには「新型コロナウイルスの影響で銀行が機能していないため、通常入金する口座とは異なる口座に振り込んでください。」という旨が記されており、商品代金の150万円が詐欺によってだまし取られたとされています。
大企業や公的機関などが被害を受けるサイバー攻撃の報道はたびたび目にしますが、中小企業が標的にならないわけではありません。報道の機会は少ないものの、現在も数多くの企業や団体がサイバー犯罪の被害に遭っています。特に中小企業では、サイバー攻撃に気づける仕組みを導入していない企業が多く、目に見えるような不具合を起こさない攻撃の場合は、攻撃を受けていることにそもそも気づけないことがあります。
サイバー犯罪の被害を受けると、早期の復旧や再興が困難になります。また先述したサプライチェーン攻撃の標的となる可能性もあり、その被害に遭った場合は親会社や取引企業への攻撃に利用される恐れもあります。
サイバー犯罪に巻き込まれると、業務への影響がきわめて長期にわたることもあるため、適切に備えておく必要があるでしょう。
企業が実施すべきサイバー犯罪への対策
サイバー攻撃の手口は非常に数多くあり、攻撃を受けるリスクもさまざまな箇所に潜んでいます。このため、企業のサイバー犯罪対策もさまざまな方面からの攻撃を想定して行う必要があります。ここでは、企業に求められるサイバー犯罪対策を入口、内部、出口の3か所に分けてご紹介します。
入口対策:ネットワークへの侵入を防ぐ
入口対策とは、企業・個人を問わず従来重視されてきたセキュリティ対策です。ファイアウォールやスパムフィルタなどの対策ツールが知られており、すでに運用している企業も多いと思います。
ただし、すべての攻撃を入口対策だけで防ぐことは困難です。入口対策を行うことは必須ですが、加えて内部対策や出口対策も組み合わせる必要があるでしょう。
内部対策:すでに侵入したマルウェアや権限のないユーザーの不正アクセスから情報を守る
不正アクセスによって侵入を図られたり、マルウェアを送りつけられたりしても、それらによる情報などの盗取を阻止するための対策です。代表的なものにはコンピュータのログ監視や機密情報などのファイル暗号化、EDRなどが挙げられます。
ログ監視は、不正アクセスや情報漏えい防止などを目的としてコンピュータやタブレットなどの使用記録を監視することです。不正な操作やデータの持ち出しなど不正アクセスや情報漏えいの原因となる動きを検知します。また、ログ監視を行っていることを利用者に周知することにより、内部犯行の抑止にも役立ちます。
ファイル暗号化は、機密情報が持ち出されても第三者に情報を読み取らせない暗号に置き換えることです。これにより重要な情報が第三者に傍受され、流出することを防止します。情報漏えいの原因はサイバー攻撃だけではありません。コンピュータや記録媒体の紛失、メールの誤送信などケアレスミスからの情報漏えいも、暗号化しておけば情報を盗み見られずに済みます。
EDRは、ネットワーク下にあるコンピュータなどの各端末の操作状況や通信内容を監視し、異常を検知するソリューションです。ネットワークに接続された端末はサイバー攻撃を受けるものという前提とした対策といえます。EDRについては下記コラムをご参照ください。
ALSOK関連コラム
ALSOKでは、内部対策として「ALSOK ホームページ改ざん対策」を提供しています。近年、企業のホームページが改ざんされる被害が増えてきています。ALSOKでは改ざん攻撃の検知から復旧までを自動で行うサービスと検知時に自動でメンテナンス画面に切替えるサービスを提供しております。お客様のホームページの運用状況に応じてに最適なサービスをお選びいただけます。
ALSOKの関連商品
出口対策:マルウェアによる情報の外部流出を防ぐ
万一社内の機器やシステムがマルウェアに感染しても、被害を最小限に抑えながら外部への感染を阻止するための対策です。外部送信データのチェックや、不正通信の遮断などが挙げられます。
ALSOKではサイバー攻撃による入口・出口対策として、ウイルスや不正侵入などの脅威から守り、ネットワークの不正利用を防止・監視するサービスを提供しています。
お客様のネットワーク監視から緊急時の対応、定期的な通信状況のレポート送信まで、情報セキュリティ関連業務の一貫したアウトソーシングが可能です。ALSOKによる管理・監視ノウハウにより強固なセキュリティ対策の実現と同時に、管理の手間とコストも削減できます。
ALSOKの関連商品
まとめ
大企業や大規模団体がサイバー犯罪被害に遭うニュースが報道されても、これまで対岸の火事のように感じていた方が多いかもしれません。しかし決して他人事ではなく、どのような企業も攻撃の標的や踏み台にされる可能性があることを意識しておく必要があります。
ALSOKではさまざまな情報セキュリティ対策サービスをご提供しています。現状の課題をじっくりお伺いした上で、企業の規模やニーズに合ったソリューションをご提案しますので、ぜひお気軽にご相談ください。