「標的型サイバー攻撃を理解する」の第1回では、標的型サイバー攻撃とは何か、どのような特徴があるか、また他のサイバー攻撃とどう違うのかについて述べました。第2回では、標的型サイバー攻撃が、標的となった組織だけでなく、その顧客にどう影響を与えるかについても説明します。標的型サイバー攻撃は、各組織や顧客双方を経済的困難に陥れたり、悪い評判を与える恐れがあります。また、大量の解雇や、国家の安全保障の侵害、また関係者への厳しい罰則などの原因となることもあります。

■標的型サイバー攻撃は、標的となった各組織やその顧客にどのように影響を与えますか?

標的型サイバー攻撃によってもたらされる影響は、攻撃対象や攻撃者の目的によってさまざまです。弊社が確認した大規模な攻撃と、攻撃によってもたらされたすべての影響に基づくと、標的型サイバー攻撃が各組織に与える最も一般的な影響として、以下のことが挙げられます。

  • 営業妨害:攻撃によってシステムがダウンしたり、攻撃への対応に人員を割く必要があるため、企業は通常の業務や運営ができなくなる可能性があります。昨年確認された仏テレビネットワーク「TV5Monde」への攻撃では、標的型サイバー攻撃によりネットワークが停止し、11局で放送が中止しました。
  • 知的財産の損失:企業の知的財産が漏えいする恐れがあります。セキュリティ企業「RSA」の事例では、SecurID の二要素認証に関連する情報が窃取されました。また、ソニーの情報漏えい事例では、未公開の映画がインターネット上で公開されました。
  • 顧客情報の損失:顧客の「個人情報(personal identifiable information、PII)」を保有する企業のデータベースが侵害されると、情報が窃取される恐れがあります。結果として、顧客は個人情報の窃取や恐喝などの被害に遭うかもしれません。これは、標的型サイバー攻撃で頻繁に起きる被害で、「Target」 や「Home Depot」 などの大手小売業で起きた情報漏えい事例は、その最たる例です。これらの事例では、何百万人もの顧客の個人情報が窃取されました。
  • 評判の喪失:企業が顧客や国家の安全保障に重要な情報を保護できないと見なされれば、企業の評判は失墜します。情報漏えいによる影響はインターネットの世界を超え、企業が起訴されたり、CEO が辞任に追い込まれるなどの大きな打撃となるかもしれません。Ashely Madison の例では、CEO の Noel Biderman は辞任し、アカウントが漏えいした顧客は、Webサイト利用が明らかになった後の始末をしなければならなくなりました。
  • 経済損失:企業は、標的型サイバー攻撃による法律上の問題(集団訴訟など)や顧客離れ(企業への不信感)により、経済的損失を受ける可能性があります。攻撃を受けた企業は、多額の賠償金を払うだけでなく、今後攻撃を受けないための投資をする必要があるかもしれません。2013年に起きた Target の情報漏えい事例では、攻撃後に利益が 46%減となっただけでなく、新たな不正侵入を防ぐために、1億米ドル以上を投資してシステムを更新しました。

■標的型サイバー攻撃を受けた企業の顧客はどのような影響を受けますか?

標的型サイバー攻撃によって情報が漏えいし、その企業や組織が顧客を抱えていた場合、顧客は以下の危険にさらされる恐れがあります。

  • 個人情報の窃取:情報漏えいによって、顧客の氏名や住所、電話番号、その他の個人情報が流出する恐れがあります。こうした情報は、他の攻撃者グループが不正な目的で利用したり、恐喝の機会を狙うサイバー犯罪者が利用するかもしれません。
  • 脅迫:漏えいした情報を利用して、サイバー犯罪者が顧客から金銭を脅し取られる恐れがあります。Ashley Madison から顧客の情報が漏えいした後、このような脅迫が確認されました。
  • 経済的損失:漏えいした顧客の金融情報が、オンラインバンキングのアカウントを窃取するために利用される恐れがあります。
  • 名誉毀損:不正侵入でどのような情報が漏えいしたかによって異なりますが、Ashley Madison のような事例では、顧客の評判を傷つける可能性があります。

■標的型サイバー攻撃によってもたらされるその他の影響は?

標的型サイバー攻撃を受けた企業は、新たな攻撃からシステムを保護するための費用だけでなく、顧客の信用を取り戻し、企業の評判を回復するための資金も必要となります。システムやネットワーク基盤の全体的な見直しの他、責任者と考えられた社員が解雇される可能性もあります。

さらに、攻撃を受けた企業は法執行機関やセキュリティ企業と協力し、攻撃に関与した攻撃者グループを特定する必要があるでしょう。こうしたことは、企業のさらなる損失となります。標的型サイバー攻撃の前後、および実行中に企業が受ける営業妨害を考え合わせると、標的型サイバー攻撃は企業にとって痛恨の一撃であると考えられます。特に、顧客からの収益に頼っている企業にとっては大打撃です。

顧客にとって、標的型サイバー攻撃は大企業や政府機関への不信感の増加につながります。また攻撃者グループも攻撃する度に大胆になります。攻撃対象となった企業の社員もまた、雇用主に対して不信感を抱いたり、企業が顧客の情報を保護できなかったことで怒った顧客によって公の場で罵倒されたり糾弾されるかもしれません。

標的型サイバー攻撃の影響は広範囲で、攻撃対象となった企業に留まりません。そのため、標的になると高いリスクのある企業などは、セキュリティ保護を確実にすることが非常に重要です。弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」により、企業は、巧妙な不正プログラムや、標的型サイバー攻撃、またAPTのような最新の脅威を検出、分析、対応することが可能です。