サイバー攻撃の現状について経済産業省のサイバーセキュリティ課は「企業のシステム部門がセキュリティの穴をふさぐというレベルでは対応しきれない状況」と話しています。同省では、経営者に向けてサイバーセキュリティへの取り組みを強化するよう呼びかけています。
対策意識の薄い企業を足掛かりにして攻撃展開
昨年12月に「最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います」とタイトルのついたリリースが経済産業省サイバーセキュリティ課から発出されました。Emotetによる被害の相談が急増している実態や、Emotet感染により攻撃の起点を確保した後に展開される二重脅迫などを伴うランサムウェア攻撃の実態、VPN機器の脆弱性を悪用して社内ネットワークに侵入された事例などを具体的にあげ、「攻撃は格段に高度化し、被害の形態も様々な関係者を巻き込む複雑なものになり、技術的な対策だけでなく関係者との調整や事業継続等の判断が必要になっている」と指摘しています。
経産省によると、サプライチェーンにおいてセキュリティ対策や対策意識の薄い企業を足掛かりにして攻撃を展開する活動が活発化しているということです。Emotetに感染した中小企業が起点となり、その中小企業の端末やメールアドレスなどを悪用して取引先に対して攻撃を行い、二次的な攻撃として取引先企業に金銭取得を狙ったランサムウェア攻撃を仕掛けるケースや、最初に海外拠点に侵入し、その後、拠点間ネットワークを通じて国内拠点に侵入する手口、さらにVPN機器の脆弱性を突いた攻撃について指摘しています。VPNについてはテレワークの増加に伴い利用が拡大していますが、企業内で意識的に管理されるサーバ等とは異なり、運用体制や脆弱性対応の責任が不明瞭なケースも多いということです。そして、放置されたままの脆弱性から組織内のネットワークに侵入されるケースが増加しているほか、社員が社外からリモート接続した際になんらかの方法で社員端末に侵入され、社員端末経由で組織内ネットワークに侵入されたケースも確認されているということです。
国や地域により異なる環境やルール、システム統合で脆弱性持ち込む
「ランサムウェア攻撃に対する対応は企業の信頼に直結する問題となっており経営者でなければ判断できない」と経産省サイバーセキュリティ課は言います。億単位とも言われる高額な身代金要求があり、要求に応じればコンプライアンス上の問題が問われ、ケースによっては制裁対象にもなりかねません。一方で要求に応じない場合、顧客情報などが漏えいするリスクを負うことになるわけですから、その対応は経営者でなければ判断は困難だと言えます。また、国や地域によってインターネット環境やIT産業の状況、データ管理にかかるルールが異なっているため、海外拠点とのシステム統合を通じてセキュリティ上の脆弱性を持ちこんでしまうケースもあるということです。そのため、経産省では企業にサイバーセキュリティを踏まえたグローバルガバナンスを確立することを求めていて、それは経営の問題だということです。
経産省は、2015年12月に経営者がリーダーシップをとってサイバーセキュリティ対策を進める指針となる「サイバーセキュリティ経営ガイドライン」を策定して企業のサイバーセキュリティ対策の環境整備を図ってきました。しかし、ここにきて注意喚起という強い表現で経営者に取り組み強化を求めたのには、サイバー攻撃が悪質化、高度化していることに加え、企業のサイバーセキュリティ対策がシステム部門の問題としてとらえられがちで、そのために抜本的な対策が進んでいないとの認識があるのではないかと思います。前回、ランサムウェア攻撃によるデータの暗号化を阻止した割合が日本では極めて低い実態を示したレポートを紹介しましたが、こうした実態も経営者のサイバーセキュリティに対する意識が反映した結果なのかもしれません。
■出典
https://www.meti.go.jp/press/2020/12/20201218008/20201218008.html