showby アスクルサイト

お役立ちコラム

ホームお役立ちコラム北海道で起きたサイバー攻撃事例|対策も併せてわかりやすく解説
2025.07.17

北海道で起きたサイバー攻撃事例|対策も併せてわかりやすく解説

サイバー攻撃の脅威は地域を問わない

近年、サイバー攻撃は大都市圏だけでなく日本全国で発生しており、北海道も例外ではありません。「地方だから狙われない」という思い込みは危険です。むしろ、セキュリティ対策が不十分な地方の組織は、攻撃者にとって格好の標的となりえます。

警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー犯罪の検挙件数は年々増加傾向にあり、2023年上半期だけで5,711件に達しています。特に、フィッシングサイトの件数は2023年上半期に9,825件と過去最多を記録しました。

北海道においても、大学や企業などさまざまな組織がサイバー攻撃の被害に遭っています。こうした状況を踏まえると、地域を問わずサイバーセキュリティ対策の強化が急務といえるでしょう。

北海道で実際に起きたサイバー攻撃事例

北海道内で発生した具体的なサイバー攻撃事例を見ていきましょう。これらの事例から得られる教訓は、あなたの組織のセキュリティ対策にも役立つはずです。

北海道大学病院のフィッシングメール被害(2024年2月)

2024年2月、北海道大学病院は職員が業務用として使用しているメールアカウントが第三者に不正利用され、約3万件のフィッシングメールが外部に送信されていたことを公表しました。

同院の調査によると、不正アクセスの手口は「リスト型攻撃」と見られます。リスト型攻撃とは、他のサービスから流出したIDとパスワードの組み合わせを使って、別のサービスへのログインを試みる攻撃手法です。つまり、パスワードの使い回しが被害拡大の一因となった可能性があります。

この事例から学べることは、一つのアカウントが乗っ取られるだけでも大きな被害につながるということです。医療機関から送られてくるメールは一般的に信頼性が高いと認識されるため、受信者がフィッシングの被害に遭うリスクが高まります。また、組織の社会的信用にも大きな影響を及ぼす可能性があります。

対策

  • 各サービスで異なるパスワードを使用すること
  • 多要素認証の導入
参考情報源
  • 北海道大学病院「メールアカウントの不正使用によるフィッシングメール送信について」 – 北海道大学病院

北海道大学の個人情報流出事案(2024年3月)

2024年3月、北海道大学は工学部のウェブサーバーが外部からの不正アクセスを受け、工学系部局に特定期間在籍していた学職員等の個人情報合計2万3,554件が流出した可能性があると発表しました。

不正アクセスは2023年11月6日~11月28日にかけて発生し、発覚後すぐにネットワークを遮断するなどの措置を講じました。しかし、外部調査機関による調査の結果、データベースに保存されていた個人情報の漏えいが懸念されることが判明しました。

この事例で注目すべき点は、不正アクセスが発生してから被害の全容解明まで数か月を要していることです。サイバー攻撃は発生後すぐに被害が明らかになるとは限らず、専門的な調査を経て徐々に実態が判明することも少なくありません。

対策

  • ウェブサーバーの脆弱性を定期的にチェック
  • 適切なパッチ適用を行うこと
参考情報源
  • 北海道大学「工学部ウェブサーバーへの不正アクセスによる情報流出の可能性について」 – 北海道大学

株式会社北海道産地直送センターの個人情報漏えい(2024年6月)

2024年6月、株式会社北海道産地直送センターは同社が運営するECサイト「産地直送センター」が第三者による不正アクセスを受け、1万8,443名のクレジットカード情報や5万4,583名の個人情報に漏えい懸念があることを発表しました。

原因はシステムに内在していた脆弱性であり、クレジットカード会社からの連絡を受けて調査したところ、この脆弱性を利用したサイバー攻撃により、決済システムの改ざんが見つかりました。

特に注目すべきは、改ざん行為が発覚から約3年前の2021年3月に行われていたという点です。発生から問題発覚までの約3年間にわたり、サイトでカード決済した顧客の情報に漏えいの懸念が浮上しています。

この事例は、「潜伏型攻撃」の危険性を示しています。システムの脆弱性が長期間にわたって悪用され続け、その間に大量の顧客情報が流出した可能性があります。また、問題が発覚したのが外部からの指摘によるものである点も重要です。

対策

  • 定期的な脆弱性診断やセキュリティ監査を実施
  • クレジットカード情報の取り扱いについては、PCI DSSなどの国際基準に準拠した対策を講じるべき
参考情報源

北海道内の中小企業のサイバーセキュリティ実態

北海道経済産業局が実施した「中小企業のサイバーセキュリティ対策実態調査」によると、北海道内の中小企業においてもサイバー攻撃による被害が現実のものとなっています。

この調査によると、回答企業の約3割がサイバー攻撃による被害を経験しており、主な被害としては「システム障害」「情報漏えい」「金銭的被害」などが報告されています。一方で、専任のセキュリティ担当者を置いている企業は少なく、対策が十分とはいえない状況が浮き彫りになっています。

特に北海道の中小企業では、IT人材の不足や予算の制約から、セキュリティ対策が後回しになりがちです。しかし、前述の事例からもわかるように、サイバー攻撃は規模の大小を問わず発生しており、一度被害に遭えば事業継続に大きな影響を及ぼす可能性があります。

あなたの会社でも「うちは小さな会社だから狙われない」という認識があるかもしれませんが、それは危険な思い込みです。むしろ、セキュリティ対策が十分でない中小企業は、サイバー犯罪者にとって格好のターゲットとなりえます。

参考情報源
  • 経済産業省北海道経済産業局「中小企業のサイバーセキュリティ対策実態調査」 – 経済産業省

効果的なサイバーセキュリティ対策

これらの事例から学び、組織として実施すべき対策を詳しく見ていきましょう。

1. エンドポイントセキュリティの強化

エンドポイントセキュリティとは、個々のデバイス(パソコン、スマートフォン、タブレットなど)にインストールされるセキュリティソフトウェアのことです。従来の単純なウイルス対策ソフトから進化し、現在は人工知能(AI)や機械学習を活用した次世代型のセキュリティソリューションが主流となっています。

北海道大学病院や北海道産地直送センターの事例では、エンドポイントでの不正な活動を早期に検知できていれば、被害の拡大を防げた可能性があります。特に最新のEDR(Endpoint Detection and Response)ソリューションは、従来のアンチウイルスソフトでは検出できなかった未知の脅威や、正規のツールを悪用した攻撃(Living off the Land攻撃)なども検知できるようになっています。

エンドポイントセキュリティを導入する際は、以下の点に注目することが重要です

  • リアルタイム検知能力:新たな脅威を素早く検出できるか
  • 振る舞い分析機能:ファイルの動作を分析し、不審な動きを検知できるか
  • 自動対応・隔離機能:脅威を検出した際に自動で対応・隔離できるか
  • 中央管理コンソール:組織全体のセキュリティ状況を一元管理できるか
  • クラウド連携機能:テレワークなど、社外からのアクセスにも対応できるか

特に北海道のような地方では、専門的なセキュリティ人材が不足している場合が多いため、導入・運用のしやすさも重要な選定基準となります。

参考情報源
  • 情報処理推進機構(IPA)「企業のセキュリティ対策」 – IPA

2. OSやアプリケーションの定期的な更新

OSやアプリケーションの更新(アップデート、パッチ適用)は、サイバーセキュリティ対策の基本中の基本です。多くのサイバー攻撃は、既知の脆弱性を悪用して行われるため、これらを迅速に修正することが不可欠です。

北海道産地直送センターの事例では、システムの脆弱性が攻撃の原因となりました。こうした脆弱性は、定期的なアップデートによって修正できる可能性があります。

アップデート管理で特に注意すべき点は以下の通りです

  • サポート期限の確認:サポートが終了したOSやアプリケーションは速やかに更新する
  • 自動アップデートの活用:可能な限り自動アップデート機能を有効にする
  • 計画的な適用:重要なシステムへの適用は事前にテスト環境で検証する
  • 優先順位の設定:「緊急」「重要」などの優先度に基づいてアップデートを適用する
  • アップデート後の確認:適用後に正常に動作することを確認する

特に中小企業では、古いシステムをそのまま使い続けているケースも少なくありません。しかし、サポートが終了したOSやアプリケーションは新たな脆弱性に対する修正プログラムが提供されないため、セキュリティリスクが急速に高まります。例えば、Windows 7のサポートは2020年1月に終了しましたが、依然として使用している組織も見受けられます。

最新の状態を維持することは、コストや手間がかかるものの、サイバー攻撃のリスクを大幅に低減する効果的な対策です。

参考情報源
  • JPCERT/CC「ソフトウェアアップデート管理について」 – JPCERT

3. 定期的なデータバックアップの実施

データバックアップは、サイバー攻撃や不測の事態に備える上で不可欠な対策です。特に、近年猛威を振るうランサムウェア攻撃の被害を最小限に抑えるためには、バックアップの重要性が極めて高くなっています。

効果的なバックアップ戦略には、「3-2-1ルール」の適用が推奨されています

  • 少なくとも3つのデータコピーを作成する
  • 2種類以上の異なる媒体にデータを保存する
  • 1つは遠隔地に保管する

この原則に従うことで、ランサムウェア感染や自然災害などの様々なリスクに対応できます。例えば、オフィスのサーバー、外付けハードディスク、クラウドストレージの3か所にデータを保存することで、万が一の事態に備えることができます。

バックアップを行う際の重要なポイント

  • オフラインバックアップ:ランサムウェア攻撃からバックアップデータを守るため、ネットワークから切り離された状態でバックアップを保管する
  • バックアップの暗号化:バックアップデータ自体も暗号化して保護する
  • 定期的なバックアップテスト:バックアップからの復元が確実に行えることを定期的に確認する
  • 自動バックアップの設定:人為的なミスを防ぐため、可能な限り自動化する

北海道のような広大な地域では、地理的に分散したバックアップの実現が容易です。例えば、本社が札幌にある企業なら、旭川や函館など離れた場所の拠点にもバックアップを保管することで、地域的な災害リスクも軽減できます。

参考情報源
  • 経済産業省「中小企業向けサイバーセキュリティ経営ガイドライン」 – 経済産業省

4. 不審なWEBサイト・メールからのファイルダウンロード禁止

不審なWEBサイトやメールからのファイルダウンロードを禁止することは、サイバー攻撃から組織を守る上で重要な対策です。北海道大学病院の事例では、フィッシング攻撃によってメールアカウントが乗っ取られた可能性があります。

多くのマルウェアやランサムウェアは、不審なファイルのダウンロードやリンクのクリックを通じて感染します。特に最近のフィッシング攻撃は非常に巧妙で、本物そっくりのメールやウェブサイトを使って個人情報やログイン情報を窃取しようとします。

効果的な対策として

  • フィッシングメール対策:送信者のメールアドレスや本文の内容を慎重に確認し、不自然な点がある場合は開かない
  • URLの確認:メール内のリンクは、マウスオーバーしてURLを確認してから開く
  • 添付ファイルの注意:予期せぬ添付ファイルは開かない(特に.exe、.vbs、.jsなどの実行可能ファイル)
  • Webフィルタリングの導入:組織レベルで不審なサイトへのアクセスをブロック
  • セキュリティ教育:従業員に対して、不審なサイトやメールの見分け方を定期的に教育

特に、「緊急」「重要」などの言葉で焦らせたり、「お得な情報」「懸賞当選」などの言葉で釣ったりするメールには注意が必要です。また、取引先や上司を装ったビジネスメール詐欺(BEC)も増加しているため、普段と異なる内容や急ぎの振込依頼などには特に警戒すべきです。

参考情報源
  • JPCERT/CC「フィッシング対策ガイドライン」 – JPCERT
  • IPA「情報セキュリティ10大脅威 2024」 – IPA

5. 従業員教育とセキュリティ意識の向上

従業員教育とセキュリティ意識の向上は、技術的対策と並んで重要な防御策です。どれだけ高度なセキュリティシステムを導入しても、それを使用する人間がセキュリティを意識していなければ、その効果は限定的です。

北海道で発生した事例のいずれも、最終的には「人」が関わるポイントが存在します。フィッシングメールの判別、不審なサイトへのアクセス回避、適切なパスワード管理など、従業員一人ひとりのセキュリティ意識が組織全体の防御力を左右します。

効果的な従業員教育とセキュリティ意識向上のためには

  • 定期的なセキュリティトレーニング:最新のサイバー脅威や対策について、定期的に従業員向けトレーニングを実施
  • フィッシング訓練:実際のフィッシングメールに似た模擬メールを送信し、従業員の対応をテスト
  • セキュリティポリシーの周知:組織のセキュリティポリシーを明確に定め、全従業員に周知徹底
  • インシデント報告の奨励:セキュリティインシデントを発見した際の報告手順を明確にし、報告を奨励する文化を醸成
  • 役職別トレーニング:経営層、管理職、一般従業員など、役職に応じた適切なセキュリティ教育を実施

北海道のような地方では、セキュリティ専門家の不足や、大都市圏と比較してセキュリティ意識が低い傾向がある場合もあります。そのため、オンライントレーニングの活用や、地域の情報セキュリティ団体との連携など、工夫が必要です。

参考情報源
  • 総務省「国民のためのサイバーセキュリティサイト」 – 総務省
  • 北海道警察「サイバーセキュリティ対策」 – 北海道警察

6. 自社環境の脆弱性診断の実施

サイバーセキュリティ対策の一環として、自社システムの脆弱性診断を定期的に行うことが重要です。北海道産地直送センターの事例では、システムの脆弱性が約3年間も放置され、その間に多くの顧客情報が漏えいした可能性があります。定期的な脆弱性診断によって、このような長期間にわたる侵害を防ぐことができます。

脆弱性診断では、システムの弱点や潜在的な脅威を特定し、修正するための具体的な対策を講じます。これにより、攻撃者が利用する可能性のあるセキュリティホールを事前に防ぐことができます。

効果的な脆弱性診断には以下のアプローチが含まれます

  • 外部からの侵入テスト(ペネトレーションテスト)
  • 内部ネットワーク診断
  • Webアプリケーション診断
  • 設定診断
  • コード診断

特に、ECサイトや顧客情報を扱うシステムでは、定期的な脆弱性診断が重要です。PCI DSSなどの国際的なセキュリティ基準に準拠した診断を行うことで、クレジットカード情報などの機密データを保護することができます。

北海道内には脆弱性診断サービスを提供する企業も増えてきており、地域の特性を理解した上での診断・対策が可能になっています。中小企業でも利用しやすい診断サービスもあるため、自社のリスクレベルに応じたサービスを選択することをお勧めします。

参考情報源
  • IPA「安全なウェブサイトの作り方」 – IPA
  • JPCERT/CC「脆弱性診断ガイドライン」 – JPCERT

まとめ

北海道で発生したサイバー攻撃事例からわかるように、サイバー攻撃の脅威は地域を問わず存在し、その手法は日々巧妙化しています。「地方だから標的にならない」という考えは非常に危険で、むしろセキュリティ対策が十分でない地方組織は攻撃者にとって格好のターゲットとなりえます。

効果的な対策としては、技術的対策(エンドポイントセキュリティ、OSの更新、バックアップなど)と人的対策(従業員教育、セキュリティ意識向上)の両面からのアプローチが重要です。また、定期的な脆弱性診断やセキュリティ監査を実施し、自社のセキュリティ状況を常に把握しておくことも必要です。

サイバーセキュリティ対策は「やったから終わり」というものではなく、継続的な改善が求められるものです。北海道内の組織も、今回紹介した事例や対策を参考に、自社のセキュリティ体制を見直してみてはいかがでしょうか。

近藤商会では、情報資産の洗い出しからリスク評価、具体的な対策の策定まで、包括的なセキュリティコンサルティングを提供しています。詳しくは情報セキュリティ対策サービスをご覧ください。

参照・引用元一覧

本記事で参照した信頼できる情報源:

  • 警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」 – 警察庁 – 最新のサイバー犯罪統計情報
  • 北海道大学病院「メールアカウントの不正使用によるフィッシングメール送信について」 – 北海道大学病院 – 実際の被害事例
  • 北海道大学「工学部ウェブサーバーへの不正アクセスによる情報流出の可能性について」 – 北海道大学 – 教育機関でのサイバー攻撃事例
  • 株式会社北海道産地直送センター「当社ECサイトへの第三者による不正アクセスについて」 – 北海道産地直送センター – ECサイトへの不正アクセス事例
  • 経済産業省北海道経済産業局「中小企業のサイバーセキュリティ対策実態調査」 – 経済産業省 – 北海道内の実態調査結果
  • 情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」 – IPA – 最新のサイバーセキュリティ脅威動向

経済産業省「中小企業向けサイバーセキュリティ経営ガイドライン」 – 経済産業省 – 中小企業向けセキュリティガイドライン

一覧に戻る