サイバー攻撃増加に伴い 経済産業省が経営者へ注意喚起 内容と必要な対策をわかりやすく解説 #DDSセキュリティノート2
サイバー攻撃の増加を受け、経済産業省は2020年12月18日に企業経営者へ向けてサイバーセキュリティの取組強化を促す注意喚起を発表しました。
今回は、この注意喚起の概要と、今後経営者に求められるセキュリティ対策の姿勢や行うべき対策をわかりやすく解説していきます。
今回の経済産業省による注意喚起のポイントは、3つあります。それぞれの内容を見てみましょう。
① 中小企業を巻き込んだサプライチェーン上での攻撃パターンが急拡大
中小企業を含む取引先や海外拠点、新型コロナウイルスの感染拡大に伴うテレワークの増加によるセキュリティ対策の隙など、攻撃者が利用するサプライチェーン上の「攻撃起点」がますます拡大し、攻撃パターンが増加している。
サプライチェーンとは、製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの全体の一連の流れのことをいいます。
たとえば自動車業界では、部品の原材料を製造・販売する企業から始まり、次に部品を加工する企業、組み立てを行うメーカーの工場、販売会社というように、数多くのステップが設けられ、自動車が顧客に届けられるまでに非常に長いサプライチェーンが形成されています。
昨今のサイバー攻撃では、このサプライチェーン上のセキュリティ対策の穴をついた攻撃が拡大しています。
膨大な情報を持つ大企業は、セキュリティ対策に多額の投資を行っているケースがほとんどです。しかし、その大企業と関わりのある企業の中には、セキュリティ対策が十分に行われていない企業も存在します。この「取引企業のセキュリティ対策の穴」をサイバー攻撃者(ハッカー)が狙っているのです。
攻撃者(ハッカー)は、メールアドレスを盗取してセキュリティ対策が十分でない主に中小企業へマルウェアを送り付けます。そして、その中小企業を踏み台にして大企業へマルウェアを送りこむことで個人情報や技術情報といった金銭的に価値ある情報の盗取を試みます。
ここで注意が必要なのが、攻撃者(ハッカー)の踏み台にされた企業は、同時に取引先へマルウェアを送り付けた加害者にもなってしまう点です。最悪の場合、責任を問われた企業は、信用失墜にとどまらず、取引停止や損害賠償請求といったビジネス上の大きな損失を伴います。
経済産業省は昨今のサプライチェーン攻撃の拡大をうけ、今回の注意喚起を行っています。では、そもそもこの事実は企業経営者にどの程度知られているのでしょうか。
当社で2020年11月に製造業の経営者向けに実施した調査では、4人に1人の経営者が「自社がサプライチェーン攻撃を受けた後に取引先へ被害を拡大させ、取引停止や損害賠償請求をされるリスクを知らなかった」と回答しています。
そもそもリスク自体を認識していなければ対策の施しようがなく、セキュリティ対策にどれだけのコストや人員を割くべきなのか適切な経営判断を行うこともできません。
報道で取りあげられる情報漏洩のニュースは大企業が中心になることが多く、中小企業の経営者は特に「自分たちには関係ない」と誤解しやすいことも事実です。まず何よりも、自社に関係のある脅威や今後考えられるリスクを正しく認識することがセキュリティ対策の第一歩といえるでしょう。
② 大企業・中小企業等を問わずランサムウェアによる被害が急増
暗号化したデータの復旧のために身代金を要求する、または、暗号化の前にデータを窃取し身代金を支払わなければデータを公開すると脅迫する「二重の脅迫」を行うランサムウェア被害の急増している。
2点目のポイントとして、ランサムウェアによる「二重の脅迫」があげられました。
ランサムウェアは、感染したPCをロックしたり、ファイルを暗号化することで使用不能にしたのち、元の状態に戻すことと引き換えに「身代金」を要求する不正なプログラムです。
新型コロナウイルス感染拡大の陰で、医療機関を標的としたランサムウェア攻撃が増加していることは前回のnoteでも触れました。
実は、日本は世界各国と比較して、ランサムウェアの攻撃成功率が著しく高い国です。
ソフォス社の2020年の調査では、データが暗号化される前に阻止したランサムウェアの攻撃の割合を国別に発表しています。調査結果では、世界平均で25%の組織がランサムウェアにデータを暗号化される前に攻撃を阻止しているのに対し、日本ではわずか5%の組織しか攻撃を阻止できていません。
つまり日本国内の95%の組織はランサムウェア攻撃をうけた際、阻止できずにデータを暗号化されてしまう可能性があるのです。
上記のデータからも分かるように、どの組織においても、万が一に備えたデータの定期的なバックアップを行うことはもちろん、そもそもランサムウェアをはじめとしたマルウェアに感染しないためにどのような対策をとるべきなのか?を考え、実行に移す必要があると言えます。
③ 情報の窃取が目的と考えられる海外拠点を経由した攻撃が深刻化
グローバル化に伴う海外拠点と連携したシステムの構築が進む一方、セキュリティ対策が不十分な状態で海外と日本国内のシステムを接続した結果、海外拠点で侵入経路を構築され、国内に侵入されるリスクが増大している。
3つめのポイントは「対策の穴」に着目した指摘です。企業のセキュリティ対策の穴をつく攻撃手法は、ここであげられている海外拠点経由に限った話ではありません。
新型コロナウイルス感染拡大に伴い企業で導入されたテレワークでは、社員がセキュリティ対策の十分ではない自宅でマルウェアに感染し、後にオフィスへ出社して、意図せず社内にマルウェアを持ちこんでしまう事例が報告されています。また、VPNの脆弱性をついた情報漏洩被害が数多く報道されました。
企業経営者は「自社のセキュリティ対策になんらかの抜け穴があれば、攻撃者に狙われてしまうリスクがある」ことを常に認識しなくてはなりません。
今回の経済産業省のように行政による注意喚起やメディアによる報道、助成金の補助等により、少しずつ企業のセキュリティ対策に対する意識と行動は変容しているように思います。
しかし、当社でセキュリティ対策のお話をさせていただく際にも、未だに緊急性を感じていない企業経営者や役員の方が一定数いらっしゃるのも事実です。
「セキュリティ対策を行うよう言われているが、うちには盗まれて困る情報はない」
「アンチウイルスソフトやUTMで十分ではないのか?」
「そもそも、対策と言われても何をやったらいいかわからない」
これまでにも、このような声を多数いただいています。
そもそも、盗まれていい情報はありません。
そして、ひとたび情報漏洩が発生すると、多額の賠償金による経営状態の悪化や企業の信用失墜による取引停止といった多大な損失が発生します。企業は規模や業種・業態を問わず、適切なセキュリティ対策を行う必要があるのです。
今回の経済産業省による注意喚起は、激動の2020年を振り返り、これから2021年を生きていく企業経営者に向けた重要なメッセージといえるでしょう。
新型コロナウイルスの影響により、以前と比較しても流動的な働き方が増えています。企業が大きな転換点を迎えている今だからこそ、セキュリティ対策を見直してはいかがでしょうか。
当社では、全自動で不正通信を検知・遮断する出口対策製品DDHBOXの導入をはじめ、セキュリティ対策ならびにマルウェア感染調査にまつわるご相談を受け付けております。Webフォームより、お気軽にご相談ください。
DDHBOX 公式HP
デジタルデータソリューション株式会社 公式HP
この記事が気に入ったらサポートをしてみませんか?