ランサムウェアの被害が急増、52%が中小企業
はじめに星氏は最近の傾向として情報処理推進機構(IPA)が毎年1月に発表する『情報セキュリティ10大脅威』を紹介した。最新版では「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」がワースト3としてランクインしている。
これらの脅威における注意点は、それぞれが独立した脅威ではなく「絡みあっている」点だ。その事例として星氏は、2022年10月に発生した国立病院へのランサムウェア攻撃を紹介した。攻撃により電子カルテシステム障害が発生し、緊急以外の手術や外来を一時停止するという状況に陥っており、その原因として病院給食の委託業者のサーバーからウイルスが侵入した可能性が高いという。つまり、「ランサムウェア」と「サプライチェーン」が絡んでいる。
このようなサイバー攻撃は対岸の火事ではない。警察庁に寄せられたランサムウェア被害の報告件数は右肩上がりで増えており、令和4年上半期は114件、令和3年上半期の61件から2倍近くの数だ[1]。星氏は、中小企業が52%を占めていることを指摘すると、「大企業だから狙われることはない。無差別に攻撃する中で、たまたま侵入できたために被害にあってしまったケースが多いのでは」と述べた。
なお、「『情報セキュリティ10大脅威2023』解説書」(PDF)については、サイバーセキュリティの傾向を掴むのにいいのではないか、と星氏。日本全体のセキュリティ意識を高めるためにも、周囲にこうした情報を広げたり薦めたりしてほしいと続けた。
[1] 参考:『サイバー空間をめぐる脅威の情勢等』(警察庁)
経済産業省が推進する“セキュリティ政策”とは
ランサムウェアやEmotetなど、サイバー攻撃による被害が増加していることを受け、経済産業省は2022年4月の産業サイバーセキュリティ研究会において、注意喚起を促すメッセージ[2]を出している。
そこでは、組織幹部のリーダーシップの下で対策強化に努め、被害を受けた場合は適切に対応するよう呼びかけている。なおメッセージには、海外支店や子会社を保有する場合は、国内や本部と同様に具体的な支援や指示をするようにといったことも含まれている。
具体的な対策としては、「保有する情報資産を漏れなく把握する」「不審なメールへの警戒や、機器等に対して最新のセキュリティパッチを当てる等の脆弱性対策を徹底する」といった基本的なものが並ぶ。感染が確認された場合は、報告・相談・対応を適宜行う、とされている。
経済産業省としては、業種別/分野横断的なガイドラインとして、サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)に基づくセキュリティ対策の提示、SBOM(ソフトウェア部品構成表)活用に向けた実証実験の実施(後述)などを提示。中小/地場企業へのサイバーセキュリティ対策の普及促進では、「サイバーキュリティお助け隊」などもある。
加えて、事案対処に備える基盤構築として、国境を越えるサイバー攻撃に対するJPCERT/CCの対応能力の向上などに取り組んでいるほか、人材育成や国際貢献にも寄与しているという。
[2] 参考:『産業界へのメッセージ』(2022年4月11日、産業サイバーセキュリティ研究会、PDF)
