昨年、国内の自治体や各種団体がサイバー攻撃の標的となり、情報漏洩やシステム停止といった被害を受ける事例が相次ぎました。地方自治体・政府団体などの公共機関では住民情報や行政サービスに関わるデータが狙われるケースもあり、社会的な影響が懸念されています。
本記事では、会社以外の法人・組織や自治体を対象とした2024年の被害事例を独自にピックアップし、攻撃の傾向や背景を解説します。
2024年の自治体・各種団体の被害件数は25件
2024年に発生した自治体や各種団体の被害件数は25件、そのうち情報漏洩(可能性を含む)を公表した団体は11件にのぼりました。今回の調査で最多漏洩件数が確認されたのは長崎県物産振興協会の78,840件です。
特に自治体や団体が運営するECサイトからの情報漏洩が深刻であり、大量の個人情報が流出するケースが目立っています。こうしたECサイトのセキュリティリスクについては、別記事で詳しく解説していますので、ぜひご参照ください。
被害カテゴリの傾向
ランサムウェア(24.0%)の割合が高いのは、自治体が保有する住民情報や行政データが攻撃者にとって価値が高く、身代金支払いを迫る手口が有効なためと考えられます。業務が停止する確率が高く、被害が深刻化しやすいのも特徴です。
その他に被害件数が多かったフィッシング(20.0%)、DDoS攻撃(20.0%)の特徴に関してはこの後の章で詳しく解説します。
被害の特徴①地方自治体へのDDos攻撃
地方自治体が直接受けたサイバー攻撃7件のうち4件はDDos攻撃によるものでした。また、同年11月には自民党の公式サイトもDDos攻撃の被害を受けています。
大量のデータを送り込みネットワークを麻痺させ、システムを一時的に停止させる手法。2024年末には日本航空(JAL)、三菱UFJ銀行などの大企業がDDos攻撃の影響でサービスが一時利用停止となり、大きな波紋を広げました。
DDos攻撃によって公共サービスが停止すると住民生活に大きな混乱を招き、自治体の業務に深刻な影響を及ぼします。また、地方自治体や政府団体でサイト障害が発生すればニュースなどで取り上げられやすくなるため、攻撃者にとっては宣伝効果が高いという側面もあります。
選挙や災害対応などの重要な時期に狙われることが多い点も特徴的で、2024年10月には衆議院選挙公示日に自民党のサイトで障害が発生しています。
実際の事例:熊本県HPでDDos攻撃、脆弱性突いて情報窃取か
県熊本県が運営する「くまもとグリーン農業ホームページ」において、計21,074件の集中アクセスが発生し、脆弱性のあるページから生産宣言者および応援宣言者の個人情報(氏名、住所、電話番号)の一部が漏洩した可能性が報告されました。
通常、DDos攻撃はサーバに過剰な負荷をかけてシステムを一時的に停止させることが目的であり、情報漏洩に直接つながるケースは多くありません。しかし、この事例ではサーバ負荷を引き起こす攻撃と並行して脆弱性を突いた不正アクセスが行われた可能性が指摘されています。DDos攻撃が他の攻撃と組み合わされることで情報漏洩リスクが高まる点については今後も注視すべきでしょう。
被害の特徴②フィッシング要因の不正アクセス
今回の調査では、自治体職員がサポート詐欺やフィッシング被害に遭ったケースが5件報告されました。
サポート詐欺とは、インターネットの広告や警告画面を装って電話をかけさせ、遠隔操作ソフトのインストールを促すなどしてアクセス権を奪い取る手口です。この手法は、個人だけでなく企業や団体でも被害が増加しています。
上図はIPAが発表している国内で発生したサポート詐欺の報告数です。サポート詐欺の被害は全国で徐々に増加し続けていることが分かります。特に自治体などの公共機関は内部システムに接続した端末が不正アクセスに利用されるリスクも高く、被害が組織全体に波及する可能性があるため、より深刻な影響を招きかねません。
また自治体では予算不足などが背景となり職員のセキュリティ意識を高めるための教育やトレーニングが十分に行き届いていないことが多いのも課題です。フィッシング・詐欺の被害が発生した場合、組織全体の信頼性や業務運営に大きな影響を及ぼすため、対策の強化が急務といえます。
実際の事例:笛吹市商工会で1,000万円の詐欺被害
笛吹市商工会では、サポート詐欺により遠隔操作ソフトウエアがインストール、複数回にわたって不正に送金させられ、最終的に被害総額が1,000万円に達する深刻な事例が発生しました。
この事例は情報漏洩の被害にとどまらず、直接的な金銭的損失をもたらす点で特に深刻だったといえます。
被害の特徴③フィッシングメールの踏み台に
今回の調査では、メルマガ配信サービスやメールアカウントを経由して登録先にフィッシングメールを送る「踏み台攻撃」の被害が3件報告されました。公益社団法人全国公立文化施設協会の公式発表によれば、同協会のメールアドレスを悪用して以下のような件名のフィッシングメールが送信されていたことが確認されています。
「全国公立文化施設協会のサーバーに重大な脆弱性を確認したため、サーバーを乗っ取り貴殿の情報を保護しました。」
不審なアドレスからのメールであれば詐欺だと容易に気づけますが、信頼性の高い団体の実際のメールアドレスを利用された場合、詐欺だと気づかず被害に遭う可能性が高まります。
まとめ
自治体や各種団体では不正アクセスやDDoS攻撃、サポート詐欺などのサイバー攻撃が相次いでいるものの、セキュリティ対策の決定・実施に時間がかかるケースが依然として多く見られます。また今回はサイバー攻撃を受けた事例に焦点を当ててご紹介しましたが、職員の誤操作や設定ミスが原因となる情報漏洩も少なくありません。
こうした被害のリスクを軽減するためには、組織におけるセキュリティ体制の強化が不可欠とです。特に、メールアカウントやECサイトを含むWebサイト・システムの保守管理が重要でしょう。
例えば多くの団体が利用するWordPressなどのCMSは脆弱性を放置して狙われるケースが多発しているため、定期的なアップデートとセキュリティ対策を進めていく必要があります。
【2024年版】サイバー攻撃被害に遭った自治体・各種団体一覧
| 日付 | 企業名 | 被害カテゴリ | 情報漏洩の有無 | 漏洩件数 |
|---|---|---|---|---|
| 2/21 | NPO法人美原体育協会 | フィッシング | 漏洩のおそれあり・調査中 | 14,000 |
| 2/21 | 横須賀市 | DoS・DDoS攻撃 | 漏洩のおそれあり・調査中 | |
| 3/7 | 一般財団法人公園財団淀川河川公園管理センター | 不正アクセス | 漏洩のおそれあり・調査中 | 34,000 |
| 3/15 | JRA日本中央競馬会 | フィッシング | 漏洩あり | 500 |
| 3/15 | 関東地方ESD活動支援センター | 不正アクセス | 漏洩あり | 2,296 |
| 3/15 | 笛吹市商工会 | フィッシング | 漏洩のおそれあり・調査中 | 2,000 |
| 3/18 | 静岡県焼津市 | フィッシング | 漏洩のおそれあり・調査中 | 15,000 |
| 4/26 | 独立行政法人高齢・障害・求職者雇用支援機構 | フィッシング | 漏洩のおそれあり・調査中 | 591 |
| 5/7 | 公益社団法人全国公立文化施設協会 | 不正アクセス | 不明 | – |
| 5/16 | 一般社団法人関西経済同友会 | 不正利用・不正ログイン | 不明 | – |
| 5/21 | 全国漁業協同組合連合会 | XSS_クロスサイトスクリプティング | 漏洩のおそれあり・調査中 | – |
| 5/23 | 国立研究開発法人情報通信研究機構 | 不正アクセス | 漏洩あり | 524 |
| 5/26 | 長崎県物産振興協会 | 不正アクセス | 漏洩のおそれあり・調査中 | 78,840 |
| 8/27 | 佐賀県玄海町 | 不正アクセス | 漏洩のおそれあり・調査中 | – |
| 8/30 | 公益財団法人モラロジー道徳教育財団 | ランサムウェア | 漏洩のおそれあり・調査中 | – |
| 9/25 | 静岡市 | DoS・DDoS攻撃 | 漏洩なし | – |
| 10/09 | 公益財団法人神奈川県下水道公社 | ランサムウェア | 漏洩のおそれあり・調査中 | – |
| 10/15 | セキスイ健保組合 | ランサムウェア | 漏洩のおそれあり・調査中 | 53,410 |
| 10/16 | 山梨県 | DoS・DDoS攻撃 | 漏洩なし | – |
| 10/17 | 自民党 | DoS・DDoS攻撃 | 漏洩なし | – |
| 11/05 | 一般社団法人日本介護協会 | 不正アクセス | 不明 | – |
| 11/15 | 日本電気協会 | ランサムウェア | 漏洩のおそれあり・調査中 | – |
| 11/30 | 熊本県 | DoS・DDoS攻撃 | 漏洩のおそれあり・調査中 | – |
| 12/2 | 神奈川芸術文化財団 | ランサムウェア | 漏洩のおそれあり・調査中 | – |
| 12/09 | 郡山市 | ランサムウェア | 漏洩のおそれあり・調査中 | 1,513 |
