メディア

役員家族が"リスク"を持ち込む? サプライチェーン先を襲う脅威の実態

サイバー攻撃者の多くはあらゆる手段で攻撃の機会をうかがっている。大企業のサプライチェーンを対象とするなど、近年増加傾向にある中堅・中小企業を対象としたサイバー被害の実例を紹介する。

» 2022年04月07日 08時00分 公開
[野依史乃キーマンズネット]

 技術の進歩に伴ってサイバー攻撃も進化し、新型コロナウイルス感染症(COVID-19)や深刻化する国際情勢などに伴いサイバー攻撃も変化している。

年々増加するサイバー攻撃、コロナ禍で過去最多に

 サイバー攻撃の件数は増加傾向にあり、情報通信研究機構(NICT)の調査によると、COVID-19の流行開始時の2020年は過去最高の年間総パケット数である約5705億件を記録し、続く2021年は前年よりも減少したものの約5180億件となった。COVID-19以前の2019年が約3756億件、2018年が約2169億だったことと比較すると大きく増加していることが分かる(注1)。

図1 NICTERダークネット観測統計(過去10年間) 出典:情報通信研究機構「NICTER 観測レポート 2021」

(注1)情報通信研究機構「NICTER 観測レポート 2021」より参照。総観測パケット数はNICTERで観測しているダークネットの範囲に届いたパケットの個数を示すものであり、日本全体や政府機関に対する攻撃件数ではない。

 サイバー攻撃が増加傾向にある理由について、OpenTextグループのセキュリティ企業ウェブルートは次のように分析する。サイバー攻撃者は業務の妨害や重要情報の窃取、金銭の獲得といった多様な目的を持つ。中でも、金銭利益が目的のランサムウェア攻撃の増加や、COVID-19流行以降、テレワークやDX(デジタルトランスフォーメーション)の取り組みによる業務のデジタル化が進んだことでサイバー攻撃の対象領域も拡大したことが攻撃増加の大きな背景として挙げられる。その他、人の心理をついた攻撃手口である「ソーシャルエンジニアリング攻撃」が用いられるなど、攻撃の戦術が高度化、複雑化したことや大規模スポーツイベントの開催といった「際的なイベントの開催も攻撃増加の理由だ。最近ではウクライナ情勢も影響する。

 サイバー攻撃の進化は止まらず、攻撃手口の巧妙化だけでなくAPT攻撃に代表されるような「国家が関与する犯罪集団の組織化」や「犯罪ビジネスの台頭」といった要因も抱える。暗号資産の発展により足取りが付かない形での金銭の授受も容易となった。

図2 進化が止まらないサイバー攻撃 出典:ウェブルート講演資料

サイバー攻撃に遭いやすい中小企業 大企業も人ごとではない

 注目すべきは、「先に挙げられたようなサイバー攻撃は一般的に大企業や国家が狙われると考えられているが、実際はそうではない」ということだ。警察庁が2022年2月10日に発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)」によると、2021年の被害企業・団体等の規模別報告件数は大企業が49件、中小企業が79件、団体等が18件となり、全体のランサムウェア被害報告件数146件の内、中小企業が54%を占めた。ウェブルートはこの結果について「所有する資産や機密情報、知的財産の規模に大企業と中堅・中小企業の差はない。むしろ中堅・中小企業の方がサイバー攻撃者に狙われやすく、企業規模を問わず狙われる可能性を持つ」と警鐘を鳴らす。

 また、中堅・中小企業を対象とした攻撃に遭うのはの被害当事者の企業だけではない。2022年3月に発生したトヨタ自動車のサプライチェーンに連なる企業がマルウェア感染したことで工場ラインが停止したという事案も記憶に新しいように、サプライチェーン先が攻撃を受けた場合は関連する企業にも大きな被害を及ぼすこととなる。

役員家族が"リスク"を持ち込む? 驚きのサイバー攻撃被害例とは

 ではなぜ中堅・中小企業がサイバー攻撃の対象となりやすいのだろうか。以降では実際の被害例を挙げながら、ウェブルートが分析したサイバー攻撃の要因を紹介する。

 中堅・中小企業がサイバー攻撃に遭う被害例の多くは、セキュリティ対策が不十分及び脆弱(ぜいじゃく)であることに起因する。例えば、セキュリティ対策ソフトが未導入で社内PCやサーバがウイルス感染したり、従業員の私用端末が会社のWi-Fiに無断接続されていたことで不正通信が発覚したりといったケースがある。中には、企業役員の家族が個人的に持ち込んだ無線ルーターを介して社内のPCにランサムウェアが広がったという例もある。

図3 サイバー攻撃の被害例 出典:ウェブルート講演資料

 セキュリティ対策が不十分かつ脆弱であればあるほど、攻撃者にとっては攻撃の労力やコストが少なくて済むため犯罪を仕掛ける標的になりやすい。

 ウェブルートは中堅・中小企業の多くが抱えるセキュリティ課題として次の4つを挙げる。

  • テレワークなどのワークスタイル変革やクラウド移行といった事業環境の変化に対して、対策が適切にアップデートされていない
  • OSやソフトウェアが最新版に更新されておらず、犯罪に悪用できる脆弱性が残っている
  • セキュリティやデータの保護が従業員任せで、対策やセキュリティポリシーが存在していない
  • BYOD(Bring Your Own Device)により私用デバイスが社内に混在しているが、BYOD向けの対策が施されていない

 さらに、サイバー攻撃者は先述したように中堅・中小企業を相手にサプライチェーン攻撃を仕掛けることもある。攻撃者はセキュリティ対策が脆弱な中小企業に侵入して攻撃準備を整えた後、本命の標的である大企業を狙う。堅牢なセキュリティ対策を取っている大企業も、下請けや取引企業からのメールであれば警戒が緩み、不正侵入に成功する可能性は高くなるからだ。

図4 中堅・中小企業におけるセキュリティ課題 出典:ウェブルート講演資料

中堅・中小企業が取るべき対策とは?

 もしサイバー攻撃の被害に遭ってしまった場合、システムの復旧や原因調査、損害賠償に掛かる費用といった直接的被害の他、風評被害や信用失墜、それによる顧客と取引先の喪失などの二次的被害も想定される。そのような事態に備えるため、ウェブルートは、「サイバーリソースを含むシステムの悪条件やストレス、攻撃、侵害を予測し、それに耐え、回復し、適応する能力である『サイバーレジリエンス』(レジリエンス=復元力、弾性)こそ中堅・中小企業にとって最適なフレームワークだ」と述べる。

 AI(人工知能)や機械学習などを活用してサイバーレジリエンスのフレームワークを支援する同社は「近年はサイバー攻撃の影響を最小化し、早急に元の状態に戻す仕組みや能力としてが重要視される。その体制を整えることが喫緊の課題だ」とする。

本稿は、OpenTextグループのウェブルートが開催した説明会「サイバーレジリエンスから中小企業のサイバーセキュリティ対策を考える」を基に、編集部で再構成した。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。