今回のテーマは「敵を知って、迎え撃つ」。日本におけるサイバーセキュリティの被害の実態を具体的に見ていきましょう。まずは第一回目の記事のおさらいです。組織を対象としたサイバー攻撃のうち、下記の10大脅威をご紹介しました。
★関連記事★
出典:情報セキュリティ 10 大脅威 2022 「組織」向けの脅威の順位
「情報セキュリティ 10大脅威 2022」独立行政法人 情報処理推進機構 セキュリティーセンター(2022年3月)
今回は、このうちもっとも被害の多い「ランサムウェアによる被害」と、被害を及ぼす範囲の広さがわかりやすい「サプライチェーンの弱点を悪用した攻撃」の内容をピックアップし具体的に紹介します。
▮サイバーセキュリティの現状と主な脅威
① ランサムウェアによる被害
ランサムウェアとはウイルスの一種です。PC やサーバーが感染すると、端末のロックや、データの暗号化が行われ、その復旧と引き換えに金銭を要求されます。脅迫に従うことによる金銭的被害に加え、窃取された重要情報(組織の機密情報や個人情報等)の漏えいにより信用の失墜にもつながるおそれがあります。また、金銭を支払ったとしても、データの復旧や漏えいした情報の削除が行われるとは限りません。
ウイルスの感染経路としては「メールの添付ファイルやメール本文中のリンクから」「脆(ぜい)弱性等を悪用しランサムウェアをダウンロードさせるように改ざんしたウェブサイトから」「公開サーバーに不正アクセスする」などが確認されています。
近年では、2021年に製粉会社のニップンがサイバー攻撃を受け、大部分のサーバーや一部端末が同時多発的に暗号化される被害を受けた事例があります。暗号化されたシステムにはグループ会社も利用している基幹システムも含まれていて、システムのオンラインバックアップを管理するサーバーも暗号化されたことにより早期復旧が困難になり、その結果、四半期決算報告書の提出を延期することとなりました。
② サプライチェーンの弱点を悪用した攻撃
サプライチェーンとは、商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群のことです。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスを最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口が報告されています。関連組織に預けた情報が漏えいしたり、本来の標的である企業が攻撃を受けたりすることで被害が発生します。
▮サイバー攻撃の具体的な事例
組織には、必ず何らかの形でサプライチェーンとの関係性が存在します。例えば、取引先や委託先、 導入しているソフトウェアも、そのひとつです。外部に対しては強固なセキュリティ対策を行っている組織でも、取引先等のサプライチェーンを足掛かりとされることで、 攻撃者の侵入を許してしまうおそれがある。
あるいは、あなたの企業を足がかりにしてウイルスが本命企業へと侵入していくかもしれません。つまり、セキュリティ対策を怠ることにより、他の企業に多大な被害を及ぼす危険があるのです。自組織が被害を受けるだけでなく、取引相手にも損害を与えてしまうことで、取引相手を失ったり、場合によっては、損害賠償を求められたりするおそれがあります。
【サプライチェーンを通じた攻撃の事例】ー 株式会社オリエンタルコンサルタンツ
近年の事例では、2021 年 9 月、建設コンサルティングのオリエンタルコンサルタンツがランサムウェア攻撃により連結業績で約 7 億 5000 万円の特別損失を計上すると発表した例があります。この攻撃により、同社に業務を委託していた東京都や千葉県市川市が貸与していたデータも被害を受けた可能性が指摘されました。
※引用:https://www.oriconsul.com/news/post_files/211008_newsrelease.pdf
これらの事例からは、サイバー攻撃による被害額の大きさや、被害を及ぼす範囲の広さや、いかにして取引先や社会からの信用を失ってしまうかが伝わってきます。あなたの企業のセキュリティ対策は万全ですか? いまいちど、私たちと一緒に見直してみませんか。
アクトのサイバーセキュリティ対策支援
アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、企業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。
アクトはEDR・SOCをはじめ、IPA認定『データお守り隊』や総合ID管理ソリューション『JumpCloud』をなど、厳重なサイバーセキュリティ対策を提供しております。
アクトでは専門のセキュリティチームが監視し、異常が検知された場合は迅速かつ効果的な対応を行っております。
もしもの時こそアクトのインシデントレスポンスサービスにお問い合わせください。
アクトではサイバーセキュリティの専門知識と経験豊富なチームと共に、企業や組織に対して高度なサイバーセキュリティコンサルティングサービスを提供しています。
また、サイバーセキュリティに関する知識普及の一環として、セミナーやトレーニングプログラムも提供しています。