猛威をふるうオンラインバンキング詐欺・DDoS攻撃・ランサムウェア

サイバー攻撃の脅威は、日々増大し続けています。情報処理推進機構（IPA）が発行している「情報セキュリティ白書」の2016年版によれば、2015年のオンラインバンキングを狙った不正送金や攻撃の被害件数は1495件。被害金額は30億7300万円にも上っています。被害件数は前年の1876件より減っているものの、金額は前年比で1億6000万円あまりも増えました。また、攻撃対象も都市銀行や地方銀行だけでなく信用金庫・信用組合へと広がっているのも特徴です。

図1：不正送金の被害の件数と金額

DDoS攻撃は前年比2倍近くに増加しました。こちらは件数だけでなく攻撃トラフィックも10Gbpsを超えるものが全体の20％以上を占めるなど、規模も拡大する傾向がみられます。アノニマスを名乗る、匿名のインターネット活動家の一部は、捕鯨やイルカ漁の反対をアピールするため、自治体や漁協、水族館などを標的に攻撃を展開していますが、取引がある企業や関連する民間企業までもターゲットとして見なされかねません。また主張を広げるため、オリンピックやワールドカップなど、注目を集めるイベントを攻撃対象とすることもあります。ある日突然、DDoS攻撃の被害者になってしまうこともあるのです。

ランサムウェアの猛威も2016年から続いています。2017年5月にはランサムウェアの「WannaCry」が世界中に被害を及ぼしました。1台が感染すると、脆弱（ぜいじゃく）性を悪用してワームのようにイントラネット内のパソコンに次々と広がっていきます。国内でもメーカーや交通機関など、大手企業の被害が確認されました。

事故が起きない「無謬（むびゅう）性」だけでは乗り切れないサイバー社会

標的型攻撃メール、フィッシングメール、ばらまき型攻撃メールも文面が洗練され、「あやしいメールや添付は開かない」といった注意喚起だけでは、もはや被害を防ぐことはできません。加えてインダストリー4.0やIoT、AIといったトレンドは、これまで以上に、重要なインフラ、製造業、あるいは身近な機器など、さまざまな分野にITが浸透していくことを意味しています。つまりそれは、重要インフラや自動車へのサイバー攻撃、ネットワークカメラのボット化、乗っ取りなどの新たな脅威を生み出す可能性があります。

企業をターゲットにした攻撃メールに添付されるマルウェアは、秒単位で新種・亜種が作られており、従来型のアンチウイルスソフトでは対応が難しい状況です。ログファイルから異常や攻撃を検知しても、すでにマルウェアを実行してしまった後ということも少なくないでしょう。

人々の生活・ビジネスにITが深く関わるほど、技術だけでは守れなくなっているのがサイバーセキュリティーの現状です。

サイバー攻撃が、ビジネス上の被害に直結する時代に

多くの企業にとってサイバー攻撃は無視できない問題となっています。実際にマルウェアに感染して顧客情報や企業の機密情報が漏えいしたり、DDoS攻撃によってサービスが停止すると、どのような被害、損害を受けるのでしょうか。

金銭的被害や業務停止のように被害を定量化しやすいものから見ていきましょう。金融機関がサイバー攻撃を受けて不正送金などをされた場合、その金額がそのまま被害額となります。2016年2月には、バングラデシュ中央銀行がサイバー攻撃を受け8100万ドル（90億円以上）が不正に送金されたという事件も発生しています。

データを暗号化して利用不能にするランサムウェアの被害では、身代金が数万円から数百万円と幅があります。個人所有のパソコンを狙った場合は、個人でも支払いに応じやすくするため3万円前後に設定されることが多いのですが、企業や病院などを狙ったランサムウェアの場合、より大きな金額が要求される可能性があります。また相手は犯罪者であり、泣く泣く身代金の支払いに応じたからといっても、復旧が保証されているわけではありません。金銭をだまし取られた上に、ゼロからデータを再作成するとなれば、膨大な費用が生じる可能性もあります。

DDoS攻撃に関しても、ECサイトなどへユーザーがアクセスできなくなったとしたら、その間、逸失利益が生じます。直接的な売り上げの減少に加え、原因究明や復旧にかかわるコストも発生するでしょう。

サイバー攻撃によって被害が生じたらクライアントやステークホルダーへの説明や対応も必要になります。アカウント情報や個人情報を漏えいすれば、企業は被害者でありながら、ユーザーに補償をしなければなりません。企業ブランドの毀損（きそん）、信用低下による業績への影響といった社会的制裁のほか、行政処分などの対象にもなります。

経営的な視点で、サイバー攻撃の被害を捉える必要