企業が知るべき2024年重大サイバー攻撃被害4選・中学生もハッカーに？！

アクモスセキュリティチームです！

2024年は生成AIなどのデジタル技術がますます進化して便利になる一方で、サイバー攻撃の脅威も今までにないほど広がっています。

企業の大事な情報などと引き換えに身代金を要求するランサムウェア攻撃や、中学生によるサイバー攻撃が現実となり、情報セキュリティの重要性がさらに注目されています。例えば、KADOKAWAグループが受けた攻撃ではサービスが停止し、大きな被害が出ました。また、大手保険会社の委託先での情報漏えい、中学生によるDDoS攻撃など、多様な脅威が企業活動に深刻な影響を及ぼしています。

この記事では、2024年に日本で起きた4つの大きなセキュリティ事件を取り上げ、それぞれの被害内容や影響、そして企業が実践できる対策についてご紹介します。

サイバー攻撃がどんなリスクをもたらすのかを一緒に確認し、次の脅威に備えるために何ができるのかを考えていきましょう！

2024年に発生したサイバー攻撃による被害事例４選

(1) KADOKAWAグループが受けたランサムウェア攻撃

内容
攻撃によってKADOKAWAグループのサーバーが暗号化され、大きな被害が発生しました。主力サービスである「ニコニコ動画」を含む複数のサービスが一時的に停止し、出版事業や社内業務にも大きな影響を与えました。

この攻撃からの復旧には時間を要し、その間に顧客離れが進むなど、企業のブランドイメージにも悪影響を及ぼしました。この事件は、どんな企業でもランサムウェアの脅威にさらされる可能性と影響の大きさを改めて示しています。

影響

• ニコニコ動画などのプラットフォームサービスが停止
• 出版業務が遅れるなど、社内外に影響が波及
• 社員や取引先、利用者の個人情報が流出（確認された件数は25万件以上）
• SNSで流出情報が拡散され、スパムメールなどの二次被害が発生

原因と必要な対策
攻撃の原因として、フィッシングメールを通じて従業員のアカウント情報が盗まれた可能性が指摘されています。メールには、担当者の業務内容に関連することが巧妙に記載されており、従業員が誤って開封し、添付ファイルを開いたり、URLをクリックするなどのことが被害のきっかけとなったと考えられます。

対策としては、以下のような取り組みが必要です。

• 従業員教育：標的型攻撃メールを見分けるスキルを養うための訓練を実施
• ゼロトラストセキュリティの導入：すべてのアクセスを慎重に検証し、不正を防ぐ仕組みを整備
• 情報セキュリティポリシーの見直し：全社的なセキュリティルールを再確認し、強化する

ランサムウェアの被害は復旧に多大な時間とコストを要するため、事前の対策が何よりも重要です。企業全体でセキュリティ意識を高め、次なる脅威への備えを進めることが求められます。

(2) 中学生などが行ったDDoS攻撃の事例

内容
DDoS攻撃とは、大量のデータを送りつけることでウェブサイトを一時的にダウンさせる手法です。今回の事件では、中学生がインターネットを利用して簡単に攻撃代行サービスを依頼し、企業や学校のサーバーに負荷をかけました。

被害内容はウェブサイトの閲覧不能、企業の信頼低下、そして経済的損失が含まれますが、この事件では攻撃者が未成年だったことが特に注目され、社会全体でサイバー攻撃・犯罪への教育不足が浮き彫りとなりました。

影響

• 攻撃を受けたウェブサイトが一時的に閲覧不可になる
• 企業は信頼性を損ない、経済的な損害を被る
• 若年層による攻撃の増加が社会問題として浮上

原因と必要な対策
今回の事件では、攻撃を受けた企業や学校のセキュリティ対策として、クラウド型DDoS防御サービスや監視体制が十分ではなかった可能性があります。一方で、攻撃を行った中学生たちは、インターネット上で簡単に攻撃を依頼できる環境や、その行為が重大な犯罪であるという認識の薄さが背景にあったと考えられます。

対策としては、以下のような取り組みが必要です。

• 被害を防ぐために：DDoS防御サービスの導入や、リアルタイムの監視体制を整備する
• 加害者を出さないために：サイバー攻撃が犯罪であることを社会全体で啓もうし、若年層へのサイバーセキュリティ教育を強化する

この事件は、企業だけでなく、社会全体のサイバー犯罪への教育不足が課題として浮き彫りとなりました。

(3) 東京海上日動火災保険の委託先で発生したランサムウェア被害

内容

1. 2024年7月のランサムウェア攻撃
7月には、税務・会計業務を委託していた税理士法人事務所がランサムウェア攻撃を受けました。この攻撃により、保険契約者や取引先、従業員など約6万3200件の個人情報が流出した可能性があります。漏えいの情報には、氏名、住所、電話番号、保険証券番号などが含まれていました。

2. 2024年10月のランサムウェア攻撃
10月には、委託先の損害保険鑑定会社での攻撃が発覚しました。この事件では、約7万2000件の個人情報が標的となり、保険契約者や事故の相手方に関するデータが暗号化されました。損害査定関連書類も影響を受け、被害者への通知が行われました。
これらの事例は、アウトソーシング業務におけるセキュリティ管理の甘さがリスクを高めることを示しています。

影響

• 取引先や顧客の個人情報が流出し、信頼関係にダメージ
• 委託先のセキュリティ不足が問題視される
• アウトソーシング業務全体の見直しが必要になる契機に

原因と必要な対策
委託先とのセキュリティ基準や監査の不備が被害を招いた可能性があります。自社の対策がしっかりしていても、委託先の対策が十分でなければリスクは軽減されません。

対策としては、以下のような取り組みが必要です。

• セキュリティ基準を厳格化し、委託先と統一する
• 委託先への定期的な監査を行い、弱点を見直す
• サプライチェーン全体のセキュリティ強化を推進する

今回の事件は、企業が自社の枠を超えてセキュリティ体制を見直し、包括的なリスク管理を行う必要性を改めて示しました。企業全体で取り組むことで、再発防止と信頼回復につなげることが求められます。

(4) 株式会社イセトーが受けた不正アクセスの事例

内容
2024年5月26日、株式会社イセトーの情報処理センターや営業拠点で使用されていた端末やサーバーが不正アクセスの標的となりました。攻撃者はVPN（仮想プライベートネットワーク）を悪用してネットワークに侵入し、受託業務の過程で取り扱われたデータを盗み出しました。さらに、6月には攻撃者グループがリークサイトに流出した情報を公開。その中には取引先の顧客情報も含まれており、影響は大きなものとなりました。

影響

• 委託元である複数の企業や組織（地方自治体、商工会議所、銀行、クレジットカード会社、小売業者など）が被害
• 2024年7月時点で流出が確認された情報は約150万件にのぼる
• イセトーのセキュリティマネジメントシステム認証などが一時的に停止される事態に

原因と必要な対策
攻撃者はVPNの脆弱性を突いてネットワークに侵入しました。また、管理体制の甘さも指摘されています。例えば、消去されたはずの個人情報が完全には削除されていなかったり、個人情報を保存してはならないネットワークにデータが残されていたことが原因の一つとされています。

対策としては、以下のような取り組みが必要です。

• VPNに代わるセキュリティを強化した環境の構築
• 外部ネットワークとの接続制限を実施
• データ取り扱いルールの見直しと厳守を徹底
• 社員教育を通じて情報セキュリティの意識を向上

この事件は、サイバー攻撃の被害が委託業務を通じて広がる危険性を改めて示しています。企業は自社だけでなく、委託先や取引先のセキュリティ対策を確認し、全体で防御力を高める取り組みが必要です。

以上でご紹介した事例は規模の大きい企業を中心としたものですが、現在では委託先や中小企業も攻撃の対象となっており、すべての企業が警戒を怠れない状況です。

まとめ

2024年は、サイバー攻撃がますます巧妙化し、情報セキュリティが企業経営の重要課題として再認識された一年でした。KADOKAWAグループへのランサムウェア攻撃や中学生によるDDoS攻撃など、多様な手法で企業が狙われ、技術的な方法だけではなく人的ミスや意識の低さが攻撃の引き金となることが明らかになりました。

特に注目すべき点は、サイバー攻撃の多くが「VPNやシステム」の脆弱性や、「標的型攻撃メール」を利用してセキュリティリテラシーの弱点を突いていることです。標的型攻撃メールの場合、攻撃者は時流に沿った巧妙な内容で従業員の関心を引き、油断を狙って情報を盗み出します。このような脅威に対抗するためには、「標的型攻撃メール訓練」の実施が効果的です。

訓練を通じて、従業員が攻撃メールを見分けるスキルを高めることで、リスクを未然に防ぐことが可能になります。

技術的な対策だけでなく、人的リスクへの対応も欠かせません。「アクモスの標的型攻撃メール訓練」は、セキュリティ意識の向上に貢献できますので、詳しい内容はお気軽にお問い合わせください！

＜アクモスのセキュリティサービス紹介＞
標的型攻撃メール訓練サービスの概要

＜アクモスのセキュリティサービス紹介＞
TMT３ヶ月プラン・料金の詳細

＜資料で検討したい場合＞
サービス資料のダウンロード

＜問い合わせしたい場合＞
お問い合わせ・導入相談

＜2ヶ月間無料で体験できる無料プランで試してみたい場合＞
Freeプランのお申込みはこちら