企業や官公庁、学校など、特定の組織をターゲットにしたサイバー攻撃「標的型攻撃」は、増加の一途をたどっている。

 警察庁によると、2015年に発生したサイバー攻撃で、関係者を装って添付ファイルやリンクを操作させてウイルスの感染を狙う「標的型メール」の件数は3828件と過去最高だった。2014年の1723件から倍増している。

 標的型メールだけではない。警察庁がインターネット上に設置した、偽の公開サーバーには、攻撃の下準備だと思われるアクセスなどが1日当たり平均で約730件もあるという。

 増加する標的型攻撃により、個人情報漏洩、Webサイトのサービス停止や改ざんなど、毎日のように国内のどこかでセキュリティ事故(インシデント)が発生している(図1-1)。

図1-1●日本年金機構の個人情報漏洩以降、約1年間に発生した主なセキュリティインシデント
図1-1●日本年金機構の個人情報漏洩以降、約1年間に発生した主なセキュリティインシデント
テレビや新聞などで報じられたり、複数の企業や団体が立て続けに攻撃を受けたりしたインシデントを取り上げた。これらはすべて、「標的型攻撃」とされる。公表時期は、攻撃を受けた企業が被害を発表した時期、もしくは報道で複数取り上げられた時期を示した。
[画像のクリックで拡大表示]

 大規模な個人情報漏洩も後を絶たない。2015年5月に被害を受けた日本年金機構では約125万人、2016年3月のJTBでは約679万人の個人情報が漏洩した。

 標的型攻撃によるインシデントは組織の規模の大小によらず、どの組織でも起こり得る。2015年9月から11月の間に、数十の企業や公共団体が立て続けに攻撃され、Webサイトのサービス停止や個人情報漏洩の被害を受けている。この中には、従業員数が100人に満たない中小規模の企業も含まれる。

 どんな企業でも標的になるのだ。「標的になるような情報資産はない」「うちは有名じゃないから」などと高をくくっていると、想定外の事態に追い込まれるかもしれない。

 しかし、その対策も難しい。膨大な数の標的型攻撃対策製品やサービスがリリースされていて、すべて対応するにはかなりのコストがかかってしまう。それぞれの製品やサービスが有効に働く攻撃手法は異なるためだ。

▼標的型攻撃
明確な定義はない。本特集は攻撃をわかりやすく分類するために、特定の組織を狙った攻撃を標的型攻撃とした。
▼警察庁による
警察庁が2016年3月に発表した「平成27年におけるサイバー空間をめぐる脅威の情勢について」による。URLは、https://www.npa.go.jp/kanbou/cybersecurity/H27_jousei.pdf。
▼JTBでは約679万件
JTBは当初約793万件と発表していたが、678万8334人と修正した。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。