2002年には913件であったサイバー犯罪の検挙数は、2022年には12,369件と、約13.5倍に増加しています。ランサムウェアを利用した脅迫や、標的型攻撃、ビジネス相手になりすました詐欺メールなど、企業を狙うサイバー犯罪の手口は様々です。企業のサイバーセキュリティの脆弱性を突き、情報を人質に10億円以上の身代金を要求するなどの規模の大きいサイバー犯罪も発生しているため、速やかな対策が必要です。

この記事では主なサイバー犯罪の種類や企業が受けたサイバー犯罪の事例、サイバー犯罪の対策方法について解説します。

目次

1. サイバー犯罪とは？

2. 主なサイバー犯罪の種類

2-1. コンピュータ・電磁的記録を対象とした犯罪

2-2. 不正アクセス

2-3. ネットワークを利用した犯罪

3. サイバー犯罪の事例

3-1. 大手ゲーム企業への不正アクセスによる個人情報流出

3-2. 企業をターゲットとしたビジネスメール詐欺

3-3. 自動車会社のWebサイト改ざん

4. 企業がサイバー犯罪への対策をする方法

まとめ

1. サイバー犯罪とは？

サイバー犯罪とは、インターネットとコンピュータなどの電子機器を用いて行われる犯罪行為の総称です。主にコンピュータやネットワーク、ネットワークと接続したデバイスを標的として、不正アクセスや破壊行為が行われます。

サイバー犯罪の件数は右肩上がりに増加しています。2002年に913件だった検挙数は、2022年には12,369件まで増加しました。

出典：法務省「令和4年版 犯罪白書 第4編/第5章/第1節」

出典：警察庁「令和４年におけるサイバー空間をめぐる脅威の情勢等について」

2. 主なサイバー犯罪の種類

日本では、サイバー犯罪を以下の3つの類型に分類しています。

出典：石川県警察「サイバー犯罪とは」

サイバー犯罪の3つの類型の内容は、以下のようなものです。

2-1. コンピュータ・電磁的記録を対象とした犯罪

コンピュータシステムや電磁的記録を不正に操作・改ざんする行為および、不正な動作を起こす電磁的記録の制作や配布などの行為が該当する犯罪です。

コンピュータ・電磁的記録を対象とした犯罪行為の具体例は、以下の通りです。

出典：大阪府警察「サイバー犯罪とは？」

コンピュータ・電磁的記録を対象とした犯罪は「電子計算機使用詐欺」や「電磁記録不正作出・供用」など、さらに複数の犯罪に分類されます。

2-2. 不正アクセス

「不正アクセス」には、不正アクセス禁止法に違反する行為全般が該当します。不正アクセス禁止法とは、管理権限を与えられていない者が、IDやパスワードを不正取得・不正保管する行為や、不正アクセスを助長する行為を禁止する法律です。

不正アクセス禁止法に違反する犯罪行為の具体例は、以下の通りです。

不正アクセス禁止法に違反した場合、罰則が課されます。罰則は違反内容によって異なりますが、不正アクセスをした場合には、3年以下の懲役または100万円以下の罰金が課されます。

出典：総務省「不正アクセス行為の禁止等に関する法律」

2-3. ネットワークを利用した犯罪

犯罪を実行する手段としてコンピュータネットワークを悪用した犯罪が該当します。ネットワークを利用した犯罪行為の具体例は、以下の通りです。

出典：静岡県警察「サイバー犯罪（犯罪の手段としてコンピューターネットワークを利用した犯罪）」

ネットワークを利用した犯罪は、3つの類型の中でも特に多種多様な罪種が見られることが特徴です。

3. サイバー犯罪の事例

デジタル化やテレワークの増加などにより、企業がサイバー犯罪のターゲットとなるリスクは年々増大しています。主に企業がターゲットとなるサイバー犯罪には、以下のようなものがあります。

2022年度には、特にランサムウェアの被害が深刻化しています。また、学術関係者・暗号資産関連事業者を標的とするサイバー攻撃や、インターネットバンキングにかかわる不正送金などの被害も増加傾向にあります。

出典：警察庁「令和４年におけるサイバー空間をめぐる脅威の情勢等について」

過去に起きたサイバー犯罪の事例のうち、大規模なものを3つ紹介します。

3-1. 大手ゲーム企業への不正アクセスによる個人情報流出

2020年11月、CAPCOMは社内ネットワークへの不正アクセスを受け、15,649人分の個人情報が外部に流出しました。不正アクセスの原因は、テレワーク勤務の増加によるネットワークへの負荷を背景として、旧型のVPN装置を使用したことです。

緊急対応として使用された旧型のVPN装置がサイバー攻撃の被害に遭い、VPN装置を経由してアメリカ・日本の一部機器への不正アクセスが行われました。攻撃者は情報を盗むだけでなく、ランサムウェアを利用した脅迫も行い、11億円以上の身代金を要求しました。

出典：CAPCOM「不正アクセスに関する調査結果のご報告【第4報】」

3-2. 企業をターゲットとしたビジネスメール詐欺

2021年3月、国内企業のA社と中国企業のB社の取引中、B社の担当者を名乗る攻撃者から、A社のメールアドレスに送金先口座の変更を依頼するメールが送られました。

A社の担当者はメールを本物と認識して偽の銀行口座に送金しましたが、B社は送金先口座の変更を依頼しておらず、後日詐欺であることが判明しました。A社は銀行に資金返却を依頼したものの、2021年7月時点では資金回収に至っていません。

出典：IPA「ビジネスメール詐欺（BEC）の詳細事例2」

3-3. 自動車会社のWebサイト改ざん

2013年6月、トヨタ自動車は、同社のWebサイトが改ざんされていた事実を明らかにしました。改ざんされたのは同社の運営するWebサイト上の一部のニュースコンテンツで、閲覧した場合、不正なプログラムが自動でインストール・実行される可能性があります。

事件による個人情報の流出は確認されていないものの、同社は改ざんのあったサーバーを停止し、該当サービスは一時的に利用できない状態になりました。

出典：トヨタ自動車「弊社ホームページの改ざんに関する調査結果のご報告（続報）」

4. 企業がサイバー犯罪への対策をする方法

サイバー犯罪の件数が増加し、サイバー攻撃に遭うリスクが高まっている昨今、企業もサイバー攻撃に関する認識を深め、セキュリティ対策を強化することが大切です。

出典：経済産業省・総務省・警察庁・内閣官房内閣サイバーセキュリティセンター「現下の情勢を踏まえたサイバーセキュリティ対策の強化について（注意喚起）」

企業が行うべきサイバー犯罪への対策は、主に以下の2つです。

サイバー犯罪は、企業にとって他人事ではありません。自社のセキュリティリスクを知り、普段からリスクを減らすように適切な対策を行えば、サイバー犯罪を未然に防ぎ、被害を抑えることが可能になります。

まとめ

サイバー犯罪とは、電子機器を用いて行われる犯罪の総称です。「コンピュータ・電磁的記録を対象とした犯罪」「不正アクセス」「ネットワークを利用した犯罪」の3種類に分類されます。

サイバー犯罪の検挙数は年々増加しており、企業が標的となるリスクも増しています。サイバーセキュリティの脆弱性をついたランサムウェアから、ビジネスメールを利用した詐欺までサイバー犯罪の手口は多様です。標的となった企業は多大な損害を被る恐れがあるため、適切な対策が必要です。

サイバー犯罪への対策には、まずは自社のサイバーセキュリティを見直すとよいでしょう。CTCのSecurity Stewardは、セキュリティを外部から評価してリスクを可視化し、企業のセキュリティ見直し・再構築を包括的にサポートします。