なぜ今、サイバー攻撃と情報漏洩が他人事じゃないのか? ~今日からできる対策と心構え~
近年、「サイバー攻撃」や「情報漏洩」といった言葉をニュースで目にしない日はありません。大企業だけでなく、中小企業や個人までもが被害に遭う事例が増え、「自分には関係ない」とは言えなくなってきました。
今回は、なぜ今、これほどサイバー攻撃や情報漏洩が増えているのか、企業としてどう防ぐか、そして私たち一人ひとりがどうすれば身を守れるのか、実際の事例を交えて「情報セキュリティ対策」について解説します。
なぜサイバー攻撃や情報漏洩は起こるのか?~その背景と手口~
サイバー攻撃や情報漏洩が頻発する背景には、主に以下の要因があります。
- デジタル化の進展と情報資産の増加
私たちの生活やビジネスのあらゆる場面でデジタル化が進み、事業内容や企業規模に関わらず顧客や従業員の個人情報、経営戦略や新規事業計画、システム開発に用いられるソースコードなどの機密情報等、デジタルデータとして取り扱う情報資産が飛躍的に増えています。これらは悪意のある攻撃者にとって金銭的価値のある「宝の山」となるため、狙われやすくなっています。
総務省が発表する「情報通信白書」では、情報流通量の増加とそれに伴うリスクの拡大が指摘され、注意喚起が行われています。 - 攻撃手法の高度化・巧妙化
マルウェア(悪意のあるソフトウェア)やフィッシング詐欺、ランサムウェア(身代金要求型ウイルス)など、攻撃の手法は日々進化し、見破ることが困難なほど巧妙になっています。近年では、AIや機械学習の技術が攻撃者側にも利用され始めており、よりパーソナライズされたフィッシングメールの作成や、セキュリティシステムの隙を突く効率的な攻撃が可能になりつつあります。
警察庁の「サイバー空間をめぐる脅威の情勢等」やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)の公開情報で、最新の攻撃手口や被害状況が報告されています。 - セキュリティ意識の低い「人」を狙う
企業としてどんなに高度なセキュリティシステムを導入していても、最終的に情報を取り扱うのは人間です。パスワードの使い回し、不審なメールの開封、安易なクリックなど、人の心理的な隙や知識不足を突く「ソーシャルエンジニアリング」と呼ばれる手口が多く使われます。
情報処理推進機構(IPA)が毎年発行する「情報セキュリティ10大脅威」では、常に「標的型攻撃」や「サプライチェーン攻撃」など、人を起点とした脅威が上位にランクインしています。 - 金銭目的の犯罪の増加
サイバー攻撃は、もはや愉快犯的な行為ではなく、情報売買や身代金要求など、明確な金銭目的の犯罪ビジネスとして組織化・大規模化しています。各国の法執行機関(FBI、欧州刑事警察機構など)の発表やサイバーセキュリティ企業のレポートで、ランサムウェア攻撃グループによる多額の被害額や犯罪収益が報告されています。こうした事件の中には、身代金を払っても奪われた情報が戻って来ないケースも報告されています。万が一、トラブルに巻き込まれた場合の対応策や方針などを事前に決めておくことが、迅速な対応には必要です。
実際に起こったサイバー攻撃・情報漏洩の事例とその原因
ここでは、実際に発生したサイバー攻撃や情報漏洩の事例をいくつかご紹介します。
事例1:大手医療機関のシステム停止と情報漏洩(2021年、2022年)
- 概要
2021年には西日本の医療機関が、2022年には近畿地方の総合医療センターがそれぞれランサムウェア攻撃を受けました。電子カルテシステムを含む基幹システムが停止し、手術や外来診療に大きな影響が出ました。身代金の支払いを要求され、患者情報が漏洩した可能性も指摘されました。 - 被害規模
西日本の医療機関では、 被害総額は試算で2億数千万円に上ると報じられ、近畿地方の総合医療センターでは、診療制限による逸失利益と復旧費用を合わせ、数十億円規模の被害が見込まれています。システムが完全に復旧するまでに73日間を要しています。
事例2:大手コンテンツ企業のシステム障害(2024年)
- 概要
大手コンテンツ企業がランサムウェア攻撃を受け、動画配信サービスを含む複数のWebサービスが停止しました。 大量の社内データが暗号化され、公式サイトが一時閉鎖される事態に陥り、一部の内部データがダークウェブ上で公開されるといった事象も確認されています。 - 被害規模
このサイバー攻撃に伴う特別損失が当初36億円、後に24億円に修正計上されるなど、甚大な経済的影響が出ています。事業活動への影響は長期にわたりました。
事例3:大手通信教育サービスの個人情報漏洩(2014年)
- 概要
大手通信教育サービスで、顧客の個人情報が大量に漏洩しました。氏名、住所、電話番号、子どもの生年月日などが含まれていました。 - 被害規模
流出し売却された顧客情報は2億1,639万件に及ぶとされており、同社の損害額は200億円以上にも及ぶと言われています。これにより、当該年度の連結決算では107億円の最終赤字を計上するなど、業績に深刻な打撃を与えました。
事例4:大手ネット証券での不正アクセス・不正取引(2025年)
- 概要
2025年2月頃から、大手ネット証券会社において、顧客口座への不正アクセスが相次いで発生しました。著名な個人投資家の口座も被害に遭い、本人の意図しない株式の売却や、意図しない銘柄(特に中国株など)の買付が行われるという手口が確認されています。これは、不正に入手したIDやパスワードを使い、市場操作(仕手行為)を行うことで利益を得ることを目的とした攻撃と見られています。 - 被害規模
金融庁の発表によると、2025年2月1日から4月16日までの約2カ月半で、不正な取引件数は1,454件に上り、被害総額(売却額と買付額の合計)は約954億円という異例の規模に達しました。
どういった対策や心構えが必要なのか?~今日からできること~
サイバー攻撃や情報漏洩は決して他人事ではありません。企業はもちろんのこと個人としても適切な対策と心構えを持つことで、リスクを大幅に減らすことができます。
【技術的な対策】これだけは押さえたい基本
- パスワードの強化と管理
長く複雑なパスワードを設定し、サービスごとに異なるパスワードを使用することが求められます。情報処理推進機構(IPA)の「日常における情報セキュリティ対策」に関する資料でも「長く、複雑なパスワード」を設定が推奨されています。 - 二段階認証・多要素認証の活用
ログイン時にパスワードだけでなく、スマートフォンに送られるコードや指紋認証など、複数の要素を組み合わせることでセキュリティを強化できます。特に金融サービスでは、FIDO認証などより強固な認証方式の利用を検討することが望ましいです。Google、Microsoftなど主要なサービス提供者がその有効性を公言し、導入を推奨しています。 - ソフトウェアの最新状態を保つ
OS(Windows, macOSなど)やアプリケーション、ブラウザは常に最新の状態にアップデートが必要です。セキュリティパッチが適用され、脆弱性が修正されます。各ソフトウェアベンダーが定期的にセキュリティアップデートをリリースし、適用を強く推奨しています。 - セキュリティソフトの導入と更新
ウイルス対策ソフトやファイアウォールを導入し、常に最新の定義ファイルに更新が必要です。情報処理推進機構(IPA)の「情報セキュリティ対策」に関する資料でも基本的な対策として挙げられています。 - 不審なメールやサイトに注意
身に覚えのないメールや怪しい添付ファイル、URLは絶対に開かない、クリックしない。差出人や件名に不審な点がないか確認が必要です。警察庁の「フィッシング対策」や国民生活センター「インターネットトラブル」などで、フィッシング詐欺や不審なメールに関する注意喚起が常に行われています。
【心構え】企業や私たち一人ひとりに求められる意識
- 「自分は大丈夫」という過信をしない
誰もが攻撃の対象になり得るという認識を持つことが第一歩です。「うちの会社は大丈夫」「自分だけは大丈夫」などと過信せず、セキュリティ対策に取り組む意識が必要です。 - 常に疑う習慣を持つ
不審な連絡や情報に対しては、「本当だろうか?」と一度立ち止まって考える習慣をつけることが大切です。「至急確認」や「未払い」「失効します」など、相手を焦らせらせるような文面には特に注意が必要です。 - 情報源を確認する癖をつける
ニュースやSNSで流れてくる情報が正しいか、信頼できる情報源からのものか、複数の情報源で同様の情報が公開されているかなど、その情報に間違いがないか確認する習慣をつけることが求められます。 - 個人情報の安易な公開を避ける
SNSなど不特定多数の人の目に触れる場所に本名、住所、生年月日、電話番号などの個人情報を安易に公開しないことも大切です。1枚の写真から個人を特定される事例も報告されており、他にも電車などの移動中にノートパソコンを開いて作業を行うことも情報漏洩の起因となる可能性があります。 - 定期的なバックアップ
万が一、サイバー攻撃等にあってしまった場合の対策も必要です。データが暗号化されたり、消去されたりしても復旧できるよう、重要なデータは定期的にバックアップを取っておくことが被害の拡大や損失を最小限に抑えるためには大切です。
【専門家の知見を活用】外部セキュリティサービスの活用も検討を
自社だけでのセキュリティ対策には限界があります。専門知識と技術を持った外部のセキュリティサービスを活用することも、非常に有効な選択肢です。サービス選定の際には、経済産業省が策定した「情報セキュリティサービス基準」を参考にすることをおすすめします。
この基準に適合したサービスは、一定の技術要件と品質管理要件を満たしていることが第三者によって確認されています。特に、以下のようなサービスは、脆弱性診断やセキュリティ監視・運用など、今日のサイバー攻撃に対抗するために不可欠な要素を含んでいます。
- 脆弱性診断サービス
自社のWebサイトやシステムに潜在する弱点を発見し、攻撃を受ける前に修正するのに役立ちます。 - セキュリティ監視・運用サービス
24時間365日体制でシステムを監視し、異常を早期に検知・対処することで、被害の拡大を防ぎます。
信頼できる外部サービスを賢く活用し、自社のセキュリティレベルを継続的に高めていくことが大切です。
テコテックのセキュリティ対策と専門性
テコテックでは、お客さまが安心してビジネスに取り組めるよう、最新の技術と知見に基づいた情報セキュリティ対策に日々取り組んでいます。
AIをはじめとする最先端技術の進化を常に注視し、攻撃側の巧妙化に対応できるような堅牢なシステム開発・運用を徹底しております。また、情報セキュリティマネジメントシステム (ISMS) に関する国際規格「ISO/IEC 27001:2022」の認証を取得しています。
お客さまの事業を縁の下で支えるテックカンパニーとして、セキュリティを重視し、お客さまの大切な情報資産を守るための安全なシステム開発・運用を徹底しています。
安全なデジタル環境のために、私たちがお手伝いします
サイバー攻撃や情報漏洩は、私たちの生活やビジネスに大きな影響を及ぼす可能性があります。企業だけでなく、私たち一人ひとりが原因と対策、心構えを理解することで、被害に遭うリスクを格段に減らすことができます。
昨今のデジタル社会において、セキュリティ対策はもはや「コスト」ではなく「未来への投資」です。「何から始めたら良いかわからない」「自社のセキュリティ体制に不安がある」といったお悩みがありましたら、お気軽にご相談ください。お客さまの状況に合わせた最適なソリューションをご提案し、安心・安全なデジタル環境の実現をサポートいたします。
「知る」こと、そして「行動する」ことが、安全なデジタル社会を築くための第一歩です。今日できることから、ぜひ始めてみてください。
筆者:TECOTEC++blog編集部
TECOTEC++blog とは
「テクノロジーの力で未来にレバレッジをかける、小さな力で大きな動力を産む、てこの原理。」テコテックでは、社会を変革させる「梃子」となるテクノロジーを、お客様へ提供することを目指してまいりました。
その一環として、変化し続ける世の中において機会損失のないよう、気づき、考え、作る、そして社会に貢献するという「テコテック++構想」の考えを軸に、テックカンパニーとしてのテコテックならではの様々な情報発信をするための公式ブログ『TECOTEC++blog』を開設しました。
『TECOTEC++blog』では次世代を担う技術にいち早く気づき、考え、紹介することを始め、当社の開発実績を紹介する開発ストーリーなど、公式ブログでしか見られないコンテンツを公開してまいります。
