「セキュリティ強化の好機」NISC 副センター長 吉川徹志氏が語る、日本のサイバーセキュリティ政策
最近の情勢を踏まえた我が国のサイバーセキュリティ政策について

2021年9月に「誰も取り残さないサイバーセキュリティ〜Cybersecurity for All〜」を掲げた新しいサイバーセキュリティ戦略が閣議決定された。その後、Emotetやランサムウェアなどのサイバー攻撃が増大し、改めてサイバーセキュリティの重要性が見直されている。最近の情勢も踏まえつつ、リスクに対応するための法令やガイドラインについて、その中で重視される企業の組織統治やサプライチェーンリスクの観点も含め、内閣官房 内閣サイバーセキュリティセンター(NISC)副センター長 内閣審議官を務める吉川徹志氏が解説を行った。
ランサムウェアやEmotetなどによる被害が拡大
冒頭、吉川氏は、最近の国内外における重大なサイバー攻撃事案について紹介した。2021年10月には、徳島県の町立病院でサーバーに侵入されて内部データが暗号化され、この攻撃によって3ヵ月にもわたって病院としての機能が一時停止した。また、2022年2月にはトヨタ社の取引先である部品メーカーが、リモート機器からネットワークへ侵入されてデータを暗号化され、車両製造工場がすべて停止することとなった。
米国でも2021年5月に、コロニアル・パイプライン社の石油製品デリバリー用ネットワークパイプラインに関わるシステムのデータが暗号化され、身代金を要求された。このときは1週間にわたって創業停止に追い込まれ、さらに身代金を支払うことになったという。他にも、米SolarWinds社がITインフラストラクチャ監視・管理プラットフォームのアップデートが侵害され、マルウェアが仕掛けられるという高度な攻撃を受けた。これにより、政府を含む1万8000機関への組織に影響が生じている。
吉川氏は「この1年で明らかにランサムウェアの被害が増大しており、この手法の出現によって状況が大きく変わっている」という。従来はサイバー攻撃を受けて情報を盗まれても気づかないこともあった。ランサムウェアの場合は事業停止や身代金の支払いなどで、経営的に大きな影響を受けることもあることや、暴露サイトに書き込まれることで攻撃を受けたことがいきなり公表されてしまう。警察庁の統計でも、令和2年下期と翌3年下期では報告数が4倍と大幅に増加しているという。

また、2021年11月からEmotetの攻撃活動が再び急増しており、国内企業・組織から感染被害が公表されている。Emotetは取引相手になりすまし、メールを使って不正プログラムが含まれたファイルを添付するというもの。非常に巧妙であるため影響範囲も広い。現在は沈静化しているものの、周期的に現れ、そのたびに高度化しているという厄介なものだ。
こうしたランサムウェアやEmontetの高度化やインパクトの深刻さについては、2022年3月に米国バイデン大統領が国内の重要インフラ事業者などに対して、ロシアのサイバー攻撃への警戒を呼びかける声明を発出している。吉川氏は「政府が民間に対して高度な情報を共有したということは、注目すべき対応の1つだと思われる」と評した。

その他、コロナ禍での巣ごもり需要によってネットショッピング利用が増加したことでフィッシング詐欺が急増していること、サプライチェーンの複雑化によってネットワークやシステムに海外製品が多く利用されているため警戒が必要であること。そして、人材不足にともなうリテラシーギャップが引続き存在していることなどが紹介された。特に日本では事業会社におけるセキュリティ人材不足が大きな課題となっており、不足と感じている企業は米国で12.9%に対し、日本では90.4%にも上っている。

さらに吉川氏は、IPA(情報処理振興機構)による『情報セキュリティ10大脅威 2022』を紹介。組織側のランキングでは1位が「ランサムウェア」、前述の米国Solarwindsが受けた「サプライチェーンの弱点を悪用した攻撃」が3位に入っており、4位がテレワーク関連を狙った攻撃となっている。そして、新たにランクインしたのが、7位の「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」だ。修正プログラムを必要とする脆弱性が発見され、パッチが当てられるまでの隙間に攻撃されるというもので、中には脆弱性公表のわずか15分に狙われたという例もあるという。

また、サイバー攻撃の国際化も進んでおり、国家が背景にいると思われるサイバー攻撃グループによる事例もでてきており、各国と共同で外務報道官談話として示す「パブリック・アトリビューション」を直近2〜3年のうちにも何度か実施しているという。実際に、警察によるアトリビューションに基づき、JAXAの攻撃に使用されたレンタルサーバーの不正契約被疑者の検挙などにもつながっている。
この記事は参考になりましたか?
- Security Online Day 2022レポート連載記事一覧
-
- 4つの現状課題からXDRの「理想と現実のギャップ」を埋める鍵を探る 活用事例から見た“有効...
- 「セキュリティ強化の好機」NISC 副センター長 吉川徹志氏が語る、日本のサイバーセキュリ...
- 改正個人情報保護法の施行で注意すべき点は? 個人情報データ保護とログ監視を軸に実効性の高い...
- この記事の著者
-
伊藤真美(イトウ マミ)
フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア