Shutterstock

コンテンツ企業大手KADOKAWAがランサムウェアによるサイバー攻撃によって大規模なシステム障害にみまわれるなど、ここ数年で企業をめぐるサイバーセキュリティ対策の再点検が意識されはじめている。 【全画像をみる】急増するサイバー攻撃、専門家が指摘する「日本企業の課題」。大手出版社、自動車メーカーだけじゃない 子会社や取引先の脆弱性を攻撃され、その影響で自社のサービスがストップするような事例も出ている。サプライチェーン全体で、サイバー攻撃をどうやって防ぐかが重要になってきているのだ。

脆弱性を狙った攻撃が180％増加

多くのビジネスには、商品を提供するためのサプライチェーンがあり、取引先、子会社などとはなんらかの形でつながっている。 こうした状況では、「弱いところから攻撃者に侵入されてしまう」とMS&ADインターリスク総研の杉田司氏は指摘する。同社は、数百社を超える関係会社・取引先のセキュリティ対策状況を簡単に一括診断できる新サービスをこの3月から提供している、リスク対策のコンサルティング企業だ。 「これまでのように、自社だけ守っていれば十分という状況ではなく、サプライチェーン全体を見て、セキュリティの弱いところに対してしっかりと対策をしていかなければいけない状況」（杉田氏）に変わってきたことが、近年のポイントであるという。 米通信大手ベライゾンが毎年公開している世界中の情報漏洩と侵害に関する「データ漏洩侵害調査報告書」（2024年版）によると、既知の脆弱性を狙った初期侵入攻撃が前年に比べ180%増加している。 ランサムウェアやその他の恐喝へ支払われた額の中央値は4万6000ドル（約700万円）、2022年と2023年に電子メール詐欺で支払われた額の中央値は5万ドル (約770万円)と被害額も大きい。 フィッシングメールに騙され、クリックするまでの時間は約1分と非常に短い一方、KEV（アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が発行している既知の脆弱性に関するレポート）にリストされている脆弱性を、55日以内に修正しているのは全体の50%に満たない。「2024年は“脆弱性の逆襲”になってきていると思う」と、ベライゾンジャパンの森マーク氏はコメントしている。 実際、国内でもサプライチェーン攻撃の事例が増えている。 資料では「大手自動車会社」が影響を被ったと取り上げているが、これは2022年に公表されたトヨタ自動車の主要サプライヤーが攻撃を受けた事例のことだ。 取引先部品メーカーのさらに子会社が不正アクセスを受け、その結果、取引先部品メーカーが稼働停止となり、結果的に自動車メーカーの国内全14工場がライン停止を余儀なくされた。 また、別の事例では取引先の給食会社にセキュリティ的な問題があり、ランサムウェアに感染した結果、病院のシステムが停止してしまったという事例もある。いずれも被害総額は億円単位と大きい。 こうした状況に情報システム担当者は対応しなくてはならないが、「対策に課題がある」と杉田氏は言う。例えば、取引先企業に、セキュリティ対策の状況がどうなっているかをチェックリストで調べることはよくあるが、自己申告になってしまうので、担当者の感覚に依存してしまうという問題がある。また、技術的な詳細は質問しづらい。 また、コストやリソースの限界もある。セキュリティ対策を依頼する側も受ける側も、チェックリストの確認は手間がかかり、何度も依頼するのは尻込みしてしまう。対策できていない場合も、取引先なので強く言えない……という構造がある。