損害保険から生命保険まで。保険の事なら京都市西京区の保険代理店「ミックコーポレーション」にお任せ下さい

【サイバー攻撃】踏み台攻撃をわかりやすく解説【具体的な対策あり】

多くのTVやニュースサイトでも取り上げられましたが、22年2月28日にトヨタ自動車の関連会社でサイバー攻撃が発生しました。

国内の14工場のすべてで生産停止。
影響範囲は約1.3万台の生産に影響が出る見込み。

と、影響範囲はとてつもない規模です。

 

今回の攻撃は、大企業のトヨタ自動車を狙うのでなく、関連会社を狙ったサイバー攻撃であり、結果的に自動車生産に大きな影響が出ました。

 

近年は関連会社のシステムを乗っ取り、大元の大企業を攻撃をする「踏み台攻撃」と呼ばれるサイバー攻撃も急増しております。

「踏み台攻撃…?」とあまり馴染みがない方もいるかと思いますので、わかりやすくまとめてみました。

 

本記事を読んでほしい人

・「踏み台攻撃」の事を知りたい人
・「踏み台攻撃」による被害の影響や規模を知りたい人
・「踏み台攻撃」の具体的な対策をしたい人

 

この記事を書いている私(@dep_shogo)は損害保険プランナー。
日々、様々なリスクを抱えている中小企業様のリスクコンサルタントをしています。

前職ではWEBマーケティング関連の仕事を6年間しており、ネット関連のリスクは常日頃感じていましたのでその観点も踏まえ、解説できればと思います。

ぜひ、最後まで見ていってくださいね。

 

踏み台攻撃とは

「踏み台攻撃」とは、比較的セキュリティ対策の弱い会社のコンピュータを乗っ取って、ターゲットである企業への攻撃に使用することをいいます。

ちょっとわかりにくいですよね?例を使って見てみましょう。

 

ハッカー
「今回の攻撃の狙いは大企業A社。でもセキュリティが強固だから直接攻撃するのが難しい…。そうだ!まずはセキュリティの弱いB社のパソコンを乗っ取り、B社経由で大企業A社にウイルスメールを送り付けてやる!」

<とある日>

大企業A社
「B社からのメールか…開いてみよう。むむむ!なんだかPCの挙動がおかしいような…。」

<数日後>

大企業A社
「B社からのメールを開いたらウイルス被害が出た!どうしてれる!」
関連会社B社
「えっ・・・うちが加害者なの・・?」

 

と、いったような流れです。

関連会社B社も被害者ですが、結果的には加害者のようにサイバー攻撃に加担してしまうので「踏み台攻撃」と呼ばれます。

 

直接大企業は狙わない、中小企業を狙ってくる。

踏み台攻撃が怖いのは狙われたのは関連会社のB社という事実です。
いきなり大将を狙うのではなく、比較的セキュリティが弱いであろう中小企業のシステムに侵入してきます。

つまり、大企業だけでなく、中小企業も含めたあらゆる企業が攻撃対象であるということです。

私もよく、中小企業の社長様とサイバー攻撃関連のお話をさせて頂くのですが

 

社長
「うちみたいな小さな会社は大丈夫だよ」
「盗まれるような情報はないよ」

 

と、お話される経営者様も多いです。

でも実際は、

・大丈夫という根拠は何もない
・機密情報のありなしに関わらず、踏み台として加害者になるリスクがある

冒頭にご紹介したトヨタ自動車の関連会社へのサイバー攻撃被害は、被害を拡大しないように外部とのネットワークを遮断したことで部品の受発注ができなくなったのが理由なので、厳密には「踏み台攻撃」ではないですが、魔の手は中小企業にも及んでいます。

 

サイバー攻撃のニュースは後を絶たない

乱雑で恐縮ですが、話題になったニュースをいくつか紹介します。

話題になったニュースをピックアップ

 

など、サイバー攻撃による被害は日々増えています。

特に自動車業界は踏み台攻撃をはじめとするサイバー攻撃のニュースが多いように思いますね。かくいう保険業界でも起きています。

経営者のみなさまには、踏み台攻撃をはじめとするサイバー攻撃は決して他人事ではなく、自分事化として真剣に向き合うべきと強くお伝えしたいです。

 

 

踏み台攻撃の影響範囲、とてつもなく大きい

 

では実際に踏み台攻撃を受けた場合の影響範囲についてですが、ザッと考えるだけでもこれだけのリスクがあります。

考えられるリスク

■金銭の損失
・取引先、顧客からの損害賠償請求
・原因の調査、関係者対応などでかかる事故対応費用
・復旧までの利益損失

■顧客の喪失
・信頼低下による顧客の流出
・取引先からの受注停止

■事業継続の阻害
・業務関連システムやメールの停止による納期遅れ
・社内のモラル・士気低下による人材流出・従業員からの訴訟

参考:サイバー攻撃が企業に与える影響

 

踏み台攻撃ではないですが、私も前職でTVやニュースでも取り上げられるようなネット上でのトラブルを経験したことはあり、やはりあることないこと含めて叩かれました。
社内でも変な噂が流れたりもしました。

「信頼は簡単に落ちる、取り戻すのは時間がかかる」ことを、身をもって経験したからこそ、できる限りみなさんにも今できる対策は取っていただきたいですね。

 

アンケート結果からわかるサイバーリスクの実態

中小企業の経営者に聞いた、こんなアンケート調査結果があります。
※踏み台攻撃だけでなく、サイバー攻撃全般のアンケートです

■経営者の52.3%がサイバー攻撃対象になると認識していない。
■約3割(29.7%)がサイバー攻撃の被害をイメージできていない。

サイバー攻撃の被害にあうとも、被害の規模もイメージができていない会社様も結構いらっしゃったりします。

こんな実態もわかっています。

■約4社に1社(24.0%)の中小企業はサイバー攻撃の対策をしていないと回答。
■現在行っている対策が十分なのかわからないが43.8%。

サイバー攻撃の対策も十分ではない、わからないと感じている企業様もいらっしゃいます。サイバーリスクは専門用語が多く、普段からWEBサイト構築やシステム関連業務に接していない人だと、なかなかとっつきづらいのも確かにわかります。

 

一方で、

■中小企業の5社に1社が被害を経験。

アンケート結果では約20%もの企業様がすでに被害を経験しています。
知らない、わからないでは大きな損失になりかねないですし、もし踏み台攻撃による損害賠償請求がされた場合には最悪倒産リスクも出てきます。

サイバー攻撃による被害はニュースで取り上げられることも増えてきていますし、今後より増える可能性が高そうです。

 

参考:日本損害保険協会
中小企業の経営者のサイバーリスク意識調査2019
国内企業のサイバーリスク意識・対策実態調査2020

 

個人情報保護法が22年4月に改正しました。

これだけサイバー攻撃が増える中、22年4月に個人情保護法が改正しました。
個人情報を持っている企業ならば、マストでおさえておきたい法改正ですね。

いくつか変更点がありますが、特にサイバー攻撃に関連しそうなポイントを2点だけご紹介します。

 

①個人情報漏えいの報告義務と本人への通知も義務化に。

法人に対して「個人情報漏えいの報告義務」と「被害者への通知義務」が追加されます。
現行法では、個人情報が漏えいした事実の報告はあくまでも「努力義務」だったのですが、改正法では「法令上の義務」になります。
企業としては当たり前の責任かもしれませんが、言い逃れができなくなります。
報告フローも先に決めておかないと、いざ事故が発生した際にはてんやわんやになりかねません。混乱しないように報告フローを整えておきましょう。

 

②命令違反や虚偽報告などをした際に発生するペナルティが厳しくなります。

改正前後の法定刑の比較(法人の場合)

カテゴリ 現行法 新法
個人情報保護委員会からの命令への違反 30万円以下の罰金 1億円以下の罰金
個人情報データベースの不正な流用 ​50万円以下の罰金 1億円以下の罰金
個人情報保護委員会への虚偽報告等 ​30万円以下の罰金 50万円以下の罰金

 

22年4月の個人情報保護の改正により、法人に対する罰金刑が引き上がります。
個人情報保護委員会からの命令違反や虚偽報告と、きちんと対応すればないこともしれませんが罰則規定は厳しくなりますので、的確に調査・対策して、正しく報告したいですね。

 

より詳しく知りたい方は個人情報保護委員会のサイトでも個人情報保護法改正の概要や対応のチェックポイントがまとめられていますのでご参照ください。URLを貼っておきます。

参考:個人情報保護委員会

個人情報の保護に関する法律等の一部を改正する法律(概要)
改正個人情報保護法対応チェックポイント

 

サイバー攻撃への対策

 

 

最後に、サイバー攻撃、踏み台攻撃について紹介してきましたが、どういう対策が必要かまとめました。

大前提としてはトヨタ自動車の取引先事故にもあるように、サイバー攻撃の手口は日々進歩しており、くどいようですが完全に防ぐことは難しいです。ただ、適切な対策を講じておけば、被害を最小限に抑えられます。

 

会社のセキュリティ対策を強化する

出費や工数のかかるものではありますが、企業としてはリスクマネジメント観点からもどれも必ず対応しておきたいTODOです。いくつか例をあげておきます。

・ウイルス対策ソフト、セキュリティソフトを導入する
・セキュリティポリシーを定める
・会社端末やUSBメモリの持ち出し、個人端末の持ち込みを制限する
・業務内容に合わせアクセス権限を付与する

 

自分たちでできる範囲の対策をとる

費用をかけずとも小さなことからでもできる対策はたくさんあります。まずは以下のような身近なところから始めてみるのはいかがでしょうか。

・サイバー攻撃の手口や脅威を理解する(リテラシーを高める)
・不審なメールやサイトに注意する
・月1回のPCパスワード変更
・大文字、小文字、数字、記号を組み合わせた桁数の長いパスワードの設定

 

サイバー保険で備える

私が保険マンということでサイバー保険もおススメさせてください^^;

「サイバー攻撃は完全に防げない」
「いざ情報漏洩事故が起きた際に適切な対応がわからない」
「専門家を採用するほどの出費はできない」

 

そんな課題をお持ちの企業様も多いので、ぜひおススメしたいです。

事故が起きる前提として、損害賠償請求をはじめとする費用面のカバーや専門コンサルタントの紹介ができるサービスも中にはあります。

いざという時に、すぐ近くに相談ができる人がいるいないでは安心感も、事故対応スピードも格段に変わります。
今、中小企業の経営者様からの引き合いも非常に高まっています。

他にも経済産業省が出しているサイバーセキュリティのガイドラインも参考になります。サイバー攻撃から企業を守るための『経営者が認識しておくべき3原則』と、セキュリティ対策の責任者に指示すべき『重要10原則』が紹介されていますので、リスク回避のために一読しておくのがよいでしょう。

参考:経済産業省
サイバーセキュリティ経営ガイドライン

 

まとめ

いかがでしたでしょうか。サイバー攻撃の手口は巧妙化してきており、実際「踏み台攻撃」と呼ばれる手法では、大企業だけでなくあらゆる業種、規模の企業が狙われるリスクがあります。

みなさんも、例えば「自動車事故が起きると人の命に係わるので怖い。保険でカバーしないと!」と、自動車保険に入られらっしゃる方は多いと思いますが、サイバー攻撃も身体的なダメージはなくとも、企業にとっては致命的なダメージになる可能性は往々にしてあります。
まだサイバー攻撃に対する対策が足りないなと感じた方は、ぜひ紹介させてもらった対策を今日から始めてみてくださいね。

みんなが気になる「お金」「保険」にまつわる情報発信!
>無料相談のご予約はこちら

無料相談のご予約はこちら

企業様からご家庭まで。生命保険から損害保険まで。お客さまにマッチした保険をご提供します。保険の新規加入、ご相談をご希望の方はお気軽にご連絡ください。

CTR IMG