増加するランサムウェア犯罪 IT部門の体制は十分か

サイバー犯罪による被害が、日本国内でも増加している。キャッシュレス決済の増加に加え、新型コロナウイルス感染症拡大防止のため、日本のあらゆる職場でワークフローの見直しとリモートワークという新しい常識への対応を迫られた。 サイバー犯罪者はこの状況を悪用し、様々な手口で侵入を試みている。自社のIT部門は外部からの悪意を持った不正アクセスに果たして十分な体制かどうか、業種や会社の規模を問わず、今一度見直す時期が来ているのではないか。

シェアする
ツイート

増加するサイバー犯罪被害

図1 企業・団体等におけるランサムウェア被害の報告件数の推移

▲図表の出所は、いずれも警察庁ウェブサイトをもとにフロンティア・マネジメント作成
令和4年2月10日令和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)

『社長、たっ大変です、本社のPCを立ち上げたら、画面に英語が出て使用できません!』

もしもこのような報告が貴社のIT部門から上がってきたら、備えは十分だろうか?

日本国内でも、キャッシュレス決済の普及等を背景として、2021年中のサイバー犯罪の検挙件数が12,275件(暫定値)と過去最多を記録している(警視庁)。

また、2021年中に警察庁に報告された国内のランサムウェアによる被害件数は146件(同)と、前年以降、右肩上がりで増加を続けており、その被害は、企業・団体等の規模やその業種等を問わず、広範に及んでいる。

図2 被害企業・団体等の規模別報告件数(2021年)

また、テレワーク等による外部から内部ネットワークへの接続が急増しVPN機器を導入する企業等が増加しているが、そのVPN機器のぜい弱性等から組織内部のネットワークに侵入し、感染させる手口が被害の多くを占めている。

図3 ランサムウェアの感染経路

データを使った国家レベルのサイバーテロリズムの脅威

世界中でランサムウェアによる被害が拡大するとともに、外部からの不正アクセスによる機密情報流出や、国家を背景に持つサイバー攻撃集団による諜報活動が明らかになるなど、サイバー空間をめぐる脅威は、極めて深刻な情勢が続いている。

2013年に米セキュリティー企業Mandiant (Googleが2022年3月に約54億ドル(約6250億円)で買収を発表)が公開した報告書において、ハッカー集団「APT1」による140を超す組織への侵入を分析し、その中国人民解放軍との結びつきを割り出した。

それ以降、Mandiant社は中国に加え、イラン、北朝鮮、そしてロシアを「ビッグ4」と呼び、国家の支援を受けたサイバー攻撃グループの活動が目立つ国々として注意喚起している。

米証券取引委員会(SEC)は2022年3月9日、上場企業のサイバーセキュリティーに関する新しい開示ルールを提案した。サイバー攻撃を受けた企業は発覚後4営業日以内に情報を開示しなければならないというものだ。

年次報告書にはリスク管理方針や専門知識を持つ取締役メンバーの有無についても記載を求めるとしている。

経済制裁の報復のおそれも

あらゆる端末がインターネットで常時つながった社会ではワンクリックが膨大な数の人、組織に重大な影響をもたらす。自らを利する思惑を隠さない国家にとってサイバー攻撃はきわめて魅力的な手段だ。

ロシアによるウクライナ侵攻でも、データそのものが世論操作や監視の道具になっている。

ロシアに経済制裁を加えた国はサイバー攻撃にさらされる恐れがあるとMandiantは警鐘を鳴らしている。

データは身代金目的の犯罪者の標的

図4 ランサムウェアの手口別報告件数(2021)

トヨタ自動車の主要サプライヤー、小島プレス工業(愛知県豊田市)が「ランサムウエア」(身代金要求型ウイルス)による攻撃を受けた事件はメディアで大々的に報じられた。

影響は、トヨタの国内にある全14工場の稼働停止に及び、2021年3月1日の工場停止でトヨタの国内の月間生産の4〜5%にあたる約1万3千台の生産が滞った。

図5 要求された金銭支払い方法別報告件数(2021)

ランサムウエアは2017年に世界に拡散した「ワナクライ」によって存在を広く知られるようになったコンピューターウイルスで、民間企業や政府が保有するデータを暗号化し、復元と引き換えに身代金として暗号資産(仮想通貨)などの支払いを要求、更に対価を支払わなければインターネットで公開するなど手口が巧妙化している。

弱いところから狙われる

日本の製造業はグループ会社や取引先など多数の企業が関わるサプライチェーン(供給網)を構成している。

犯人は、こうした体制に目を付け、セキュリティーが比較的弱い関連企業からネットワークに侵入し、サプライチェーン全体を狙ったと思われる。

実際にランサムウェアによる被害は近年確実に増加している。トレンドマイクロが2021年に国内で検出した件数は1万9881件。20年比7.8%増で、19年からは約7割増えた。

パロアルトネットワークスの調べでは、身代金の平均要求額は2020年の85万ドル(約9800万円)に対し、21年(速報値)は530万ドルと6倍超に増えた。平均の支払額も、20年の31万ドルに対し、2021年は57万ドル。最高支払額は21年に1100万ドルに達した。

データは新しい石油である──。

図6 被害からの復旧に要した期間

“The world’s most valuable resource is no longer oil, but data.”

英国「The Economist」 紙2017年5月6日号の表紙を飾った、巨大インターネットプラットフォーマーによる市場独占懸念を揶揄した見出しである。

20世紀の産業経済における「石油」のように、21世紀のデジタル経済において石油は「データのマネタイズ」を形容するうえでのメタファーとして使われてきた。石油は使用するまでに、採掘→備蓄→精製というプロセスをたどる一方、データは収集→蓄積→洗浄という工程をたどる。

誰も手を付けていない資源を探すという石油資源探査の性質や、埋もれた価値を人間が利用できるよう加工する必要があるという点において、石油とデータは似ている点が多いという主張である。

データはリニューアブルな資源

図7 被害の調査・復旧に要した総額

優秀な技術者を多数雇用できる少数の大手テクノロジー企業だけが利用者からデータを収集して儲けているという批判的な意見もある反面、自動運転、遺伝子治療などデータを提供する見返りに革新的で便利なサービスを受けられるというメリットもある。

石油は地球環境汚染リスクと常に隣合わせで、先進国を中心にクリーンエネルギーへの転換が進められようとしている一方で、開発途上国では今でも石油資源に依存せざるを得ない問題との両立という難しい課題に直面している。

データは石油と異なり「枯渇しない」「(人とともに)どこにでも存在する」「CO2を排出しない(増加させない)」という意味で、リニューアブルな資源とも言えるのではないか。

故に、データは悪意を持った犯罪者、集団から最も狙われやすい。

日本でも2022年度から重要インフラ事業者にサイバー防衛義務付け

図8 Miraiボットの特徴を有する国内を送信元とするアクセス件数の推移(宛先ポート別)

日本政府もサイバー攻撃の増加を踏まえ官民で防御体制を強化する。

情報通信や電力など14分野の重要インフラ事業者にサイバー攻撃への備えを義務付けることとし、経営陣主導の体制整備や対処計画づくりを求めていく方針で、2021年度中にも改定する重要インフラ行動計画に明記するとしている。

重要インフラ事業者以外にとっても決して“対岸の火事”ではない。

日本企業には、知的財産権の対象となり得るような価値あるデータが豊富に蓄積されていて、経営者は経済的利益だけではなく日本企業のレピュテーション(信用・評価)を傷付け競争力を失わせようとハッカーから常に狙われていることを改めて認識すべきだ。

図9 Javaライブラリ「Apache Log4j」のぜい弱性を標的としたアクセス件数の推移

データは富の源泉

「データ」が富の源泉と言われて久しく、今や経済にとどまらず国家の安全保障の命運も握る。

M&A取引でも市場取引でも、データの利活用が経済活動に与える影響を見極める視点は欠かせない。

業界や業態、扱っているデータの種類を問わず、データの持つ優れた特性とリスクの両方を正しく理解し、必要な対策に取り組むことが求められる。

コメントを送る

頂いたコメントは管理者のみ確認できます。表示はされませんのでご注意ください。

コメントが送信されました。

関連記事