身代金要求型サイバー攻撃 新たに日本企業の海外関連会社3社に（NHKニュース、2021年5月8日）

以前から、大企業へのサイバー攻撃は話題になり、昨今は毎月、毎週のように取り上げられています。しかし、サイバー攻撃を受け、実際に被害に遭ったらしいということだけで、参考になるべき、その被害の実際の内容とその後の対策、および情報漏えいを質とした脅迫への対応についての報道は皆無と言っても過言ではありません。しかも報道されるのは、著名な大企業へのサイバー攻撃ばかりですが、かならずしも大企業ばかりが標的にされるわけではありません。

最近ではサイバー攻撃、そしてサイバーテロともいえる広範囲な被害が想定されて、様々な業界、地域、そして国の機関においても調査が行われています。特に中小企業を対象とした調査結果においては総じて、マルウェア（コンピュータウイルス）対策ソフトは導入しているものの、それ以上の対策を行っておらず、迷惑メールを利用したマルウェア感染を目的とした攻撃については日々受けているものの、深刻な被害を受けていないという内容であり、サイバー攻撃自体への危惧はあるものの、対策方法への無知や費用が用立てられず、十分な対策を取り得ていないということが報告されています。

すでに4年前の2017年6月、大阪商工会議所では会員である中小企業からサイバーセキュリティ関係の相談が増加していることを受けて、サイバー攻撃に対する意識調査、現状の対策、被害状況についてアンケート調査を行いました。現在の調査結果とさほど変わらないという大きな問題点とともに、特筆すべきは標的型攻撃メールを受けているだけでなく、ランサムウェア（身代金ウイルス）に感染し、各種サーバやパソコンが動作しなくなる被害を受け、しかも要求に応じて身代金を払っている企業が存在することでした。それが1社や2社ではなく、回答に応じた大阪の中小企業315社のうち、22社もあったということです。

それまでも明らかにはされていませんでしたが、すでに中小企業は小さくない割合でサイバー攻撃を受けているだけでなく、被害を被っている、ただそれに気が付いていないだけという仮説が存在してました。ランサムウェアという一つの攻撃手法だけで、それも目に見える形での被害だけで、無作為に選んだ中小企業のうち７％もの企業が被害に遭っているのです。回答してきた企業がサイバー攻撃に関心がある企業、被害を受けた経験のある企業であるということを考慮しても、被害に気付かない攻撃手法も多いことから、多数の中小企業が実際に被害を受けているのではないかという疑念が一層強くなりました。

そこで大阪商工会議所では神戸大学の協力で、大阪府内の各種業種から任意に選んだ30社の中小企業に、どのようなサイバー攻撃が実際に行われ、被害に遭っているのかということを検知できるセンサを設置し、三か月間において調査し、その検知されたデータを詳細に分析しました。細かな分析結果は1,600ページもの分量で詳細に記述されています。その最大の調査結果は、30社のすべてが何らかのサイバー攻撃を受けていること、多くの企業が当時の最新のサイバー攻撃を受けていること、そして会社内部のサーバ、あるいはパソコンがマルウェアに感染し、情報漏えいや、海外の悪性サイトと更新している企業が5社以上存在したということです。

この結果は経済産業省等の中小企業に対するサイバーセキュリティ強化に刺激を与え、昨年になって、サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）と呼ばれる、業界団体とそのサプライチェーン上にある中小企業を中心に対策を推進する組織を立ち上げ、活動を始めました。その一環として、「サイバーセキュリティお助け隊」なる事業を企画し、中小企業に必要なセキュリティ対策をサービス提供側の基準としてまとめ、それを中小企業が受け入れ可能な価格帯で提供します。すでにサービス提供企業の審査が終わり、5社が「サイバーセキュリティお助け隊」のブランド名でサービスを始めようとしています。

改めて、今年の3月に、近畿経済産業局と近畿総合通信局が中心となり、関西地方の産官学、すなわち企業、大学、自治体、および民間組織が一体となって組織した関西サイバーセキュリティネットワークでは、近畿2府そして福井県を含む５県に対してに中小企業10,000社に対してアンケート調査を行いました。回答数は1,522社でした。

結果として、サイバーセキュリティ対策を実施していると8割以上が回答していることより、中小企業においても危機意識が浸透し、ここ数年で大きく改善していると考えられます。しかしながら、その対策の内容はアンチウイルスソフトこそ9割以上の導入となっているものの、ファイヤーウオールやIDSと言った、いわゆる受け身の簡易的対策装置に頼っている割合が7割弱となっており、マネージトサービスの導入、いわゆるSOC による監視に至っては2割程度であり、何よりも従業員へのセキュリティ教育の実施が4割程度であることから、十分なセキュリティ対策が必ずしも理解されていないことを意味しています。その理解できない理由は、業務が停止する等、その脅威が実感として捉えられないことによるものです。セキュリティ対策が十分でない企業にヒアリング等で理由を聞くと、サイバー攻撃を受けたことがないとの回答が多いのですが、更に聞くとサイバー攻撃を受けたかどうかわからないと回答しています。サイバーセキュリティの脅威の可視化と、その脅威を理解できるよう従業員すべてにわたる最低限のセキュリティ教育が望まれているのです。さらに中小企業の相談相手としては、パソコンやネットワークを導入しているITベンダが主であり、中小企業に足を延ばすITベンダにおけるSEへの教育も必要です。

実際の被害状況ですが、すべての企業が何らかのサイバー攻撃を受けた経験があり、業務に支障があった攻撃は9割を超えています。特に被害に遭った企業の6％以上がビジネスメール詐欺の被害を受けたと回答し、これは注目すべき結果です。また被害受けた場合の事後の対策が問題となっています。マルウェア感染やランサムウェア等の被害から復旧するために相当時間が必要となっており、多大な損害を被っていることがいくつか報告されています。事前の対策となる危機管理について考えられておらず、十分な知識や情報がないことも課題となっているのです。