日本のビジネス環境におけるDX化の波は、従来の企業の業務プロセスを劇的に変革し、メールの重要性もますます高まっています。しかし、その一方で、サイバーセキュリティのリスクも飛躍的に増加しており、ランサムウェアを始めとするメール関連のサイバーセキュリティ被害は深刻な状況です。
本記事では、経営者や情シス担当者が知っておきたい日本における2023年のセキュリティインシデントとトレンドを分かりやすくまとめます。2024年のセキュリティ対策にお役立てください!
目次
- ランサムウェア被害による重要インフラの停止と個人情報漏えい
- QRコードと短縮URLを悪用するフィッシング攻撃の増加
- AIを悪用したなりすましによるビジネスメール詐欺(BEC)の増加
- クラウドストレージなど正規サービスを経由して騙すサイバー攻撃
- スパムメール対応/GoogleとYahooによる電子メールセキュリティ要件の厳格化
1. ランサムウェア被害による重要インフラの停止と個人情報漏えい
IPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも3年連続首位になっているのがランサムウェアによる被害です。2023年は規模・発生数ともに深刻な被害が起きました。
<2023年7月>
年間貿易額21兆円の名古屋港がランサムウェア被害で約3日間停止
名古屋港は、2023年7月4日にランサムウェア(身代金要求型のコンピューターウイルス)「LockBit」によるサイバー攻撃を受けました。標的となったのは、港内に5つあるコンテナターミナルを一元的に管理する「名古屋港統一ターミナルシステム(NUTS)」です。この攻撃では、コンテナの積み降ろしができなくなり、約3日間にわたり物流がストップしました。
▼NHK:貿易額21兆円の港がダウンした日
https://www3.nhk.or.jp/news/html/20230905/k10014183621000.html
<2023年7月>
セイコーグループへのランサムウェア攻撃で約60,000件の個人情報の漏えいを確認
日本を代表する企業であるセイコーグループ株式会社が、2023年7月28日にランサムウェア「BlackCat(別名ALPHV)」の被害に遭い、その後の調査によって、不正アクセスを受けたサーバ内に保存されていた顧客や取引先担当者など約60,000件の個人情報が漏えいしたことが確認されました。
▼セイコー、ランサムウェアで約6万件の個人情報漏えい 取引先や採用応募者の情報も
https://www.itmedia.co.jp/enterprise/articles/2310/27/news060.html
これらの被害は各国内外のメディアでも大きく報道され、日本の重要インフラや企業がサイバー攻撃のターゲットになっていることやセキュリティ対策にまだまだ課題があることが広く知られました。
ランサムウェアでは他にも深刻な被害が多発しています。
<2023年5月>
日本コンクリート工業株式会社がランサムウェア被害で有価証券報告書の提出を延期
5月3日(水)、日本コンクリート工業株式会社がランサムウェア攻撃を受け、調査対象サーバー15台中11台が暗号化されました。その結果、暗号化された現行システムの完全復旧は困難と判断して断念するとともに、決算業務が遅延することで有価証券報告書の提出が1ヶ月延期しました。
▼日本コンクリート工業のランサムウエア感染被害、復旧を断念し新システムに移行
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300225/
<2023年6月>
コクヨがランサムウェア攻撃によって約186万件の個人情報漏えいの懸念
2023年6月5日にコクヨ株式会社がランサムウェア攻撃を受けました。その後の調査によって、保有する約186万件の個人情報が外部へ漏えいした可能性は極めて低いものの、可能性を完全には否定することは困難な状況であると判断し、個人情報保護法の本人通知義務のルールにより、すべての対象者にメール・ハガキによって通知する対応を実施しました。コクヨはASKUL・LOHACOなど多数のサービスの商品配送業務を委託していたため、影響は広範囲にわたりました。
▼コクヨに身代金要求型サイバー攻撃 社内の会計システムなど
https://www3.nhk.or.jp/kansai-news/20230608/2000074685.html
2023年はランサムウェアが猛威をふるったのみならず、これまではあまり目立たなかった新たな攻撃手法の増加がみられました。2024年もランサムウェアへのが最も警戒が必要な脅威であるトレンドは継続すると予想されます。
ランサムウェア対策の方法とは?
最新のパターンファイルに常に対応できるスパムメールフィルタ機能・アンチウイルス機能・PPAP対策等の運用が必要です。例えば当社の製品であればオールインワンパッケージになっている下記製品があります。
▼Cloud Mail SECURITYSUITE for MS 365 & G Workspace
https://cmss.cybersolutions.co.jp/
2. QRコードと短縮URLを悪用するフィッシング攻撃の増加
QRコードは、スマートフォンなどのカメラで読み取ることで、Webサイトへのアクセスや情報の入力を簡単に行うことができる便利さから広く普及しています。しかし、悪意のある第三者が悪用し、ユーザーを不正なウェブページに誘導するケースも増えています。
2023年には有名企業のチラシやダイレクトメール内のQRコードから不正なサイトに誘導され、クレジットカード情報を詐取される事件が相次ぎました。
<2023年10月>
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。
https://www.itmedia.co.jp/news/articles/2311/10/news120.html
<2023年11月>
オートバックスDMのQRコード読み込み→不正サイトでカード情報抜き取られ
会員向けに郵送したダイレクトメールに記載された、会員制度リニューアルのホームページを案内する2次元バーコードを読み込むと、設定していない広告サイトや不正サイトに誘導され、クレジットカードの情報を抜き取られるという被害が発生。
https://biz-journal.jp/2023/11/post_364157.html
このようなQRコードを悪用したフィッシング攻撃は2024年も増加していくことが予想されます。
自社で発信する情報に使うQRコードがトラブルに巻き込まれないように注意するとともに、印刷物やメールで受信したQRコードも無防備に信用して開かないように注意が必要です。
【参考記事】短縮URLサービス利用時に表示された悪質な広告についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/11/12/014635
3. AIを悪用したなりすましによるビジネスメール詐欺(BEC)の増加
従来、ウイルスや不正やURLを持つメールは自動翻訳などによって日本語が不自然であることが特徴であるといわれてきました。しかし、AIの技術が進化するにつれて、サイバー攻撃者はAIを悪用した攻撃手法を開発し、まったく不自然さのない不正メールが急速に増加しています。
AIによってサイバー攻撃者は、受信者の情報を分析し、個別の状況や関心や好みに合わせた内容などカスタマイズされたメールを作成することができるようになりました。これにより、受信者が不正なリンクをクリックしたりウイルスが含まれた添付ファイルを開いたりする可能性が高まっています。
<2023年7月>
ビジネスメール詐欺が増加、人的セキュリティ対策が重要に
2022年に急増したBECの事案では、米連邦捜査局(FBI)が提供した情報によると、平均被害額が約5万ドル(約700万円)に達し、3年連続で増加している。
https://japan.zdnet.com/article/35206452/
<2023年6月>
ヨーロッパにおけるビジネス電子メール侵害攻撃が 10 倍に増加 (英文)
現在は英語圏が中心で、日本でなりすましメールによる被害が話題になったのは2018~2019年ごろですが、いずれ日本でも攻撃が広がる可能性は高いと予想されます。以前の日本におけるなりすましメールによる大規模な被害を紹介します。
▼<2018年>JAL 3.8億円詐欺被害 ビジネスメールに割り込み偽請求
https://www.yomiuri.co.jp/fukayomi/20180109-OYT8T50178/
▼<2019年>虚偽の指示で約40億円詐欺被害 トヨタ紡織欧州法人
https://www.asahi.com/articles/ASM965H5HM96OIPE02Q.html
2024年にはこのようなAIを悪用したビジネスメール詐欺(BEC)が大幅に増加することが予想されます。
ビジネスメール詐欺(BEC)については、下記の記事でも詳しく解説していますので、ぜひご参考にお読みください。
【参考記事】ビジネスメール詐欺とは? 手口と必要な対策
https://blog.cybersolutions.co.jp/scam-3
4. クラウドストレージなど正規サービスを経由して騙すサイバー攻撃
メールのなりすまし対策技術が高度化するに伴い、従来とは別のルートによるなりすましが増えています。Google DriveやDropboxなどのクラウドストレージや詐取したサービスアカウントによって、マルウェアをダウンロードさせたりクレジットカード情報を盗む手口です。日頃信頼して使っているサービスからメールやメッセージが送信されてくるため、ユーザはなりすましであることに気づかずに騙される被害が増加しています。
<2023年10月>
「娘のアレルギー情報はこちら」→マルウェアDLさせる ホテルなど狙うサイバー攻撃増加
攻撃者は、標的型メール攻撃によりホテル従業員の端末をマルウェアに感染させ、宿泊予約サイトの認証情報を取得。ホテル従業員になりすまし、宿泊履歴などを基に予約者にメッセージを送信し、フィッシングサイトに誘導してクレジットカード情報を不正に入手するという。
URLはGoogle Driveなどのクラウドストレージに保存された圧縮ファイルへのリンクになっており、解凍すると、無害な写真や動画などに混じって実行形式のマルウェアファイルが展開されるという。
https://www.itmedia.co.jp/news/articles/2310/24/news088.html
<2023年11月>
宿泊予約サイトに不正侵入 カード情報盗む手口 世界規模で確認
宿泊施設を予約した人にうそのメッセージを送ってクレジットカード情報を盗む
https://www3.nhk.or.jp/news/html/20231114/k10014257381000.html
このような正規サービスを悪用した被害は2024年も増加していくことが予想されます。
サービス運営者は不正なアクセスを防止する対策を強化すること、サービス利用企業は2段階認証などアカウントの保護に努めることが必要です。
【参考記事】不正アクセスの被害を防止する「二段階認証」とは?二要素認証との違いや認証方式の種類を解説
https://www.sedesign.co.jp/dxinsight/what-is-a-two-step-verification
5. スパムメール対応/GoogleとYahooによる電子メールセキュリティ要件の厳格化
スパムメールへの対応として、Google社・米国Yahoo社が2024年2月よりメール受信の厳格化を実施するとの発表がありました。
▼Yahoo
NEW MINIMUM REQUIREMENTS FOR SENDING BULK MAIL TO GMAIL AND YAHOO
▼Google
Googleヘルプ:メール送信者のガイドライン
企業のメールシステムを管理する情シス担当者は、自社から発信するメールが受信者に届くようにこれらの要件に対応する必要があります。2024年2月以降、ガイドラインを満たさない送信メールは、受信者側でスパム判定されたり不達になる可能性が高くなります。ビジネスにおいてメールでのコミュニケーションに支障が生じる重大な問題ですので、本件については早急な対応が必要です。
【参考記事】「Google & 米国Yahoo!の迷惑メール対策強化について」JPAAWGセミナーレポート
https://blog.cybersolutions.co.jp/google-yahoo-mail
まとめ
今回紹介したようなトレンドを踏まえ、企業はメールセキュリティに対する認識を高め、適切な対策を講じることが求められています。ビジネス活動がますますデジタル化する今日、メールセキュリティは経営トップが陣頭指揮をとって取り組まなければならない重要な課題となっています。
今回ご紹介したサイバー攻撃の詳細や対応策を知りたい企業の方はこちらからお気軽にご相談ください。
https://www.cybersolutions.co.jp/inquiry/
サイバーソリューションズは2024年も日本のビジネスメールの安全を守るために最善の努力を尽くしてまいります。