特集

2025年9月24日

GoogleやMicrosoftが協力する小売業界のサイバー防衛の実態とは：Cybersecurity Dive

小売業界などの企業のセキュリティ強化に寄与する組織は、どのようにサイバー防衛に役立っているのだろうか。英国の小売業者が相次いでサイバー攻撃を受ける中、このような組織は対応できているのだろうか。

[Eric Geller，Cybersecurity Dive] PC用表示関連情報

LINE

Hatena

　サイバー防衛を強化するために自社が人や資金を割り当てる以外にできることはないだろうか。自社が属する業界内でISAC（情報共有・分析センター）を立ち上げたり、協力することが効果的だ。

　ISACは「鳥の群れ」に似ている。一羽が敵を発見して鳴き声を上げると集団全体が反応するという共通点がある。これがISACの3つのメリットを生むとも言えるだろう。「タイムリーな情報共有」「コスト削減と効率化」「専門知識の蓄積と共同防御」は集団で対処するからこそ生まれるメリットだ。

　日本では製造業に次いで小売業が民間の雇用を支えている。つまり攻撃を受けて事業が停止した場合に影響が大きい。以下では小売業でのISACの事例を取り上げて解説した。

GoogleやMicrosoftが協力する小売業界のサイバー防衛とは

　2025年4月以降、英国の百貨店Harrodsや小売大手Marks and Spencer Group傘下のスーパーマーケットMarks and Spencer（M＆S）を含む複数の小売業者がランサムウェア攻撃の被害を受けた（注1）。

　エネルギーや水道、医療など、生命や安全に関わる分野へのサイバー攻撃に対する懸念が高まる一方、小売業者やホスピタリティ業界（宿泊、飲食、イベントなど）が直面する脅威は比較的注目されにくい。小売業者は米国最大の雇用主であり、その回復力は米国経済にとって不可欠な要素だという。

米国の小売業者やホスピタリティ業の企業を守る組織の実態は？

　小売業者とホスピタリティ業向けの情報共有・分析センター（Retail ＆ Hospitality Information Sharing ＆ Analysis Center、以下RH-ISAC）はこれらの業界に特化したコミュニティー（注2）だ。RH-ISACは有名企業から知名度がそれほど高くないサプライチェーンにおける重要企業まで、あらゆる規模の小売業者を保護する上で重要な役割を果たしてきた。ISACは、特定の業界や地域で発生するセキュリティ脅威や攻撃に関する情報を関係者間で共有し、分析するための組織だ。

　RH-ISACのパム・リンデモーン氏（最高セキュリティ責任者兼戦略担当副社長）は『Cybersecurity Dive』に対して、専門家がサイバー犯罪グループ「Scattered Spider」の仕業と特定した小売業界へのサイバー攻撃について次のように述べた。

　「2025年に発生した小売業界への攻撃は小売企業同士がこれまでどのように互いを守るために団結して、協力してきたのかを示す良い機会になった。小売業界は企業間で協力体制を強化して、インテリジェンスやベストプラクティス、対応戦略を共有してきた」

　主に米国と英国の10代の若者や若年成人で構成される犯罪組織Scattered Spider（注3）は、2025年5月、複数の小売大手企業を襲った。被害を受けたのは、アパレルメーカーVictoria's Secret（注4）、スーパーマーケットチェーンWhole Foodsの主要卸売業者United Natural Foods、百貨店チェーンのBelkなどだ。他の小売業者が攻撃に注目し、対策を講じる動きを見せる中、RH-ISACは業界全体のセキュリティ対策を支援する取り組みを強化した。

　英国でScattered Spiderからの攻撃に対処したばかりの同盟者に頼ることができたのは、RH-ISACにとって幸いだったという。Scattered SpiderはHarrods（注5）、M＆S（注6）、消費者協同組合のCo-operative Group（Co-op）（注7）のシステムに侵入したばかりだった。攻撃後、英国当局から緊急警告（注8）が発表された経緯がある。

　リンデモーン氏によると、一連の攻撃直後、RH-ISACは脅威インテリジェンスを専門とするセキュリティベンダーMandiantの専門家によるメンバー向けブリーフィングを開催した。英国での攻撃や被害状況をより深く理解するために英国企業と連携し、攻撃集団が米国の小売業者に注目し始めた場合に備えた。

Scatterd Spiderの攻撃の特徴とは

　Scattered Spiderを構成するメンバーは比較的若い世代ではあるものの、標的に深刻な脅威をもたらしている。システムの脆弱（ぜいじゃく）性を利用する従来型の攻撃手法ではなく、ヘルプデスクの従業員をだましてパスワードをリセットさせるなどのソーシャルエンジニアリング手法に依存する傾向にあるのも組織の特徴だ。標的とした企業のネットワークに深くアクセスできる能力を持ち、攻撃の対策について協議するWeb会議にひそかに参加することもあるとも報じられている。

　リンデモーン氏はScattered Spiderの戦術を、「高度な技術的防御策を講じても、人間の脆弱性が最大の弱点となり得ることを知らしめるもの」と説明する。続けて、「Scattered Spiderはセキュリティ対策を回避するためにソーシャルエンジニアリングに依存した攻撃を仕掛ける。そのため、多層防御に焦点を当てる必要がある」とその手口について語る。

RH-ISACはどのように小売業界を助けているのか

　多層防御の推進はRH-ISACの主要な使命の一つだ。RH-ISACは2014年、スーパーマーケットチェーンTargetを含む小売業者が標的となった一連のサイバー攻撃（注9）を受けて設立された。設立当初の会員企業は約30社だったが、本稿の公開時点では、ホテルやレストラン、小売業者、消費財メーカーを含む250社以上の企業が加盟している。リンデモーン氏によれば、RH-ISACの役割は、会員企業間で観測した脅威活動についての情報共有の促進や、攻撃の兆候に関する情報共有だけではない（注10）。

　リンデモーン氏によると、RH-ISACの活動の特徴の一つが、「攻撃からの教訓をリアルタイムで共有すること」だ。

　2025年7月、RH-ISACは他業界のISACと提携して、Scattered Spiderからの攻撃に備えることを目的とした指南書を作成、公開した（注11）。指南書によると、Scattered Spiderは「現実的な脅威」であり、「組織に重大なリスクをもたらす」という。

　RH-ISACは主要ITベンダーとの連携も進めている（注12）。GoogleやMicrosoft、Palo Alto Networks、Akamai Technologiesと提携して、各企業のサービスと知見をRH-ISACの会員企業に共有している。Microsoftは脅威に関する概要の提供の他、人工知能（AI）をセキュリティ運用に統合する際のアドバイスを提供している。Googleは対面での従業員研修や脅威インテリジェンスに関する情報を提供している。Akamai Technologiesはセキュリティ関連の運用技術に関する研修の開催やサイバー詐欺活動の追跡を支援している。Palo Alto Networksはセキュリティ部門のリーダーが取締役会へ脅威報告をする際の指導を担っている。

　2024年10月、RH-ISACは同組織の会員企業に製品やサービスを提供する企業のサイバーセキュリティ強化を支援するプログラムを開始した（注13）。この取り組みは、小売業やホスピタリティ業界において、サプライチェーンの脆弱性への深刻な懸念が高まっていることを反映した動きだ。

　「RH-ISACの取り組みは『非常に効果的』であり、『過去数年間の継続的な成長がそれを証明している』」。米国の小売業界団体National Retail Federation（NRF）のクリスチャン・ベックナー氏（小売技術、サイバーセキュリティ担当副社長）はこう述べる。サイバー脅威に関する情報の共有や不正対策関連の研修内容の開発といった活動において、NRFがRH-ISACと提携を決めた理由の一つは「RH-ISACの成熟度の向上」（注14）だったとも同氏は説明する。

　リンデモーン氏によれば、RH-ISACは「会員企業が互いに学び、集団的に防御を強化できるよう支援すること」ことに焦点を当てている。

　他業界のISACと同様、RH-ISACには市場で激しく競っている企業が多数参加している。リンデモーン氏は、同組織の会員企業に対して、「攻撃者が行動を起こした際に企業がビジネス上のライバル関係を脇に置く様子に感銘を受けた」と語る。

　「小売業界の企業では競争的な性質が消え、協力が生まれる」。リンデモーン氏はRH-ISACの会員企業をこう表現する。「『こんな情報を聞いたけど、助力が必要なら言ってくれ』という電話を実際に受けたことがある。そのような協力体制が実現するのを見るのは本当に感動的だ」（リンデモーン氏）

攻撃者は従業員の親切さを悪用する

　リンデモーン氏はこのような協力体制が、「サイバー攻撃を受けやすい性質を持つ業界では重要になる」と指摘する。

　リンデモーン氏によると、RH-ISACの会員企業で働く従業員は、Scattered Spiderのような犯罪者集団を最前線で防衛する役割を担う一方、友好的で信頼できる人材になるように訓練されている。ただし、このような特徴のある従業員が働く環境は、ソーシャルエンジニアリング攻撃の標的となりやすいと同氏は説明する。さらに、攻撃集団は、年末商戦の繁忙期（注15）に特に攻撃を仕掛ける傾向があるという。「多忙を極める小売店の従業員が警戒を緩めやすいため」だと同氏は述べる。

　リンデモーン氏は、小売業界への攻撃に対して「従業員の親切心を利用することが、小売業界に対する攻撃の特徴だ。攻撃集団は親切さを悪用する」と説明する。

　「小売業やホスピタリティ関連の企業のセキュリティに関わる専門家にとっての課題は、従業員の温かなコミュニケーションと警戒心のバランスをどう取るかにある」とリンデモーン氏は指摘する。「従業員を教育し、親切なコミュニケーションを取れるようにしながらも、攻撃集団に悪意を持って利用をされないような対応をする」ための取り組みが課題なのだとリンデモーン氏は述べる。

　RH-ISACの課題は他にもある。RH-ISACへの参加は任意であり、会員企業のサイバーセキュリティ対策への影響力は限られている。セキュリティ対策の好事例を会員企業に推奨することはできるが、強制することはできない。そのため、会員企業の中にはRH-ISACが推奨する施策を熱心に実行する企業もあれば、そうでない企業もあり、業界全体としてサイバーセキュリティの対応にばらつきが生じる恐れがある。

　ISACの会員企業の構成が、業界全体に与える影響もある。

　RH-ISACの年次報告書によると（注16）、主要会員企業の約70％の年間売上高は少なくとも10億ドル以上、13％の年間売上高は200億ドル以上だ。業界最大手の企業が中心となっているRH-ISACでは、小規模の企業がRH-ISACの活動に影響力を持ちにくく、RH-ISACに参加していない企業はセキュリティに関する支援を受けにくい状況にある。主要会員企業の48％は小売企業で、ホテルやカジノなどのホスピタリティ産業は18％、レストラン業界は9％と、会員構成に偏りがある。

　リンデモーン氏によると、特に小売業やホスピタリティ業界では、会員企業の多様性を確保することが重要だという。その理由は、業界全体のビジネス課題やセキュリティ問題にRH-ISACの活動の成果を反映させるためだ。

　「規制が少なく、業界の多様性が高いほど、業界の全企業にリーチするのは難しくなる」

　セキュリティ関連の非営利組織（NPO）、Cyber Threat Alliance（CTA）のCEO、マイケル・ダニエル氏はこう述べる。「小売業界には数え切れないほどの企業が存在する。業界の個々の企業の規模も重要だが、企業の数そのものも重要だ」（同氏）

業界全体のサイバーレジリエンス底上げに向けて

　しかし、RH-ISACには楽観的な材料もある。RH-ISACがITコンサルティング企業Accentureと共同で公開した調査レポート「2025 CISO Benchmark Report」（注17）によると、小売業界やホスピタリティ業界の最高情報セキュリティ責任者（CISO）の内、経営幹部に直接報告する割合は、2024年の7％から2025年に19％へと増加して、全体では12ポイント増えた。リンデモーン氏はこの結果を受けて、「CISOはこの分野で影響力を高めている」と述べる。本調査レポートは、CISO171人に実施した調査結果に基づく。

　調査結果からは、サイバーレジリエンスの重要な考慮事項の一つ、事業の継続性をCISOが重視していることも分かった。調査によると、51％の回答者はセキュリティの優先事項に「事業の継続性」を上げていた。リンデモーン氏は「攻撃の防止だけでなく、攻撃からの迅速な回復にも注目が集まっている。小売業界やホスピタリティ業界にとって不可欠な要素だ」と調査レポートの結果を評価している。

　小売業界やホスピタリティ業界には、セキュリティ向けの予算の制約など課題はある。しかしリンデモーン氏は、「RH-ISACの会員企業のリーダーたちが、増加する脅威に対処できている状況に満足している」と述べる。

　「これほど多くの注目を集める攻撃が発生しているにもかかわらず、レジリエンス（回復力）を示すことができている」とリンデモーン氏は会員企業を評価している。

原文へのリンク