本コンテンツは、お客さまがご利用のOSまたはブラウザーへ対応しておりません。
最新のOS、ブラウザーにアップデートしてください。

Reading keywords

「サイバーセキュリティ」は
 コストではなく投資!

近年、企業や個人に対してのサイバー攻撃が増加し手口も
巧妙になってきています。政府も2月1日から3月18日までを
「サイバーセキュリティ月間」と位置付け、さまざまな
普及啓発活動をしています。今回はその中でも話題になっている
「サプライチェーン攻撃」や、「Emotet(エモテット)」と呼ばれる
マルウエアがどのようなものかを紹介します。

中小企業が狙われる。「サプライチェーン攻撃」とは?

昨今、国防に関わる大企業が大規模なサイバー攻撃を受け、個人情報や企業機密が漏えいした可能性があるというニュースが話題になっていますが、そこでクローズアップされているのが「サプライチェーン攻撃」と呼ばれる攻撃手法です。

これは、ターゲットになる大企業を直接狙うのではなく、その企業の「サプライチェーン(供給網)」上にある、より規模の小さな関連企業や取引先企業、ソフトウエアやIT機器を開発する企業などに攻撃を仕掛け、そこを踏み台にしてターゲット企業へのアクセスを狙うという手口です。

大企業と比べて規模の小さな企業は、サイバーセキュリティに多額の予算を割けないため比較的脆弱なセキュリティ体制にあるケースが多く、そこに目をつけられた形です。
サプライチェーン攻撃という手法自体は昔からあるものですが、情報処理推進機構(IPA)発表の「情報セキュリティ10大脅威 2019」では4位に初ランクインするなど、近年急速に注目が高まっています。

サプライチェーン攻撃の仕組み

有名なサプライチェーン攻撃の例としては、2017年に流行した「WannaCry」があります。これはランサムウエア(身代金要求プログラム)と呼ばれる種類のウイルスで、ウェブサイトやメールの添付ファイルなどからPCに侵入し、ファイルを暗号化して使えない状態にします。そして画面には「ファイルを復元してほしければ身代金(仮想通貨)を支払え」といった文章が表示されるのです。調査によると日本では約1,400万円の振り込みが確認されましたが暗号化の解除は行われませんでした。

被害はそれだけではありません。「WannaCry」はWindowsの脆弱性を悪用し、自身を複製してネットワークでつながったほかのPCにも侵入・感染する「ワーム」と呼ばれる性質をもっていたため、サプライチェーン経由で日本を含む世界150カ国以上で、30万台を越えるPCに被害が広まりました。

このような攻撃に対しては、更新プログラムの随時適用、セキュリティソフトの運用、定期的なバックアップといったごく普通の対応が有効です。逆に言えば、このような最低限の対応すらされていない事例がまだまだ多いということなのです。

不明なメールは開かない!「Emotet」の脅威

サプライチェーン攻撃でも頻繁に使用される「マルウエア(malicious software:悪意のあるソフトウエア)」の脅威も相変わらず続いています。中でもここのところ話題になっているのが「Emotet(エモテット)」と呼ばれるマルウエアです。

「Emotet」は多くのマルウエア同様、メールに添付されたファイルや、ファイルへのリンクを開かせることで感染しそのPCを支配下に置きます。一度感染するとPC内に保存されたメールアドレスやメール本文、ネットワークパスワードなどが盗まれるだけでなく、その情報を使ってさらにネットワーク内に感染が拡大するようになっています。
また、一度感染したPCには外部の制御用サーバと通信して機能を追加することができるため、新たな攻撃手法を用いて攻撃されるリスクもあります。

「Emotet」の悪質な点は、あからさまに怪しいメールではなく、過去にやりとりしたことのある相手から実際に自分が送付したメールに「RE:〇〇」と返信のように送られてくるところです。本文には実際に自分が送付したメールの文面が引用されていることもあり、うっかり引っかかってしまう事例が後をたちません。

対策としては、怪しいメールの添付ファイル(多くがWordファイルです)やリンクを開かないことはもちろんですが、万一開いてしまったとしてもマクロを有効にするための「コンテンツの有効化」をクリックしなければ感染しないことがほとんどです。
このようなWordファイルが送られてきたら「コンテンツの有効化」ボタンを押す前に必ず詳しい人や部署に相談しましょう。

コンテンツの有効化表示画面

サイバーセキュリティ対策は組織にとって死活問題

それでは実際にサイバー攻撃の被害を見ていきましょう。経済産業省が発表した資料によると、2015年の調査でサイバー攻撃(ウイルス以外)被害を受けた企業は4割を超えていますが、そのうちの約半数は外部からの指摘により発覚しています。

特に情報の窃盗を目的としたサプライチェーン攻撃は適切なセキュリティ対策を実施していないと気づくことは難しいため、知らないうちに取引先などに被害が拡大する恐れがあり、最悪の場合経営責任や法的責任が問われ、取引停止や高額な賠償金を支払うなどの甚大な経営リスクになります。

経営者は自社のサイバーセキュリティ対策にとどまらず、サプライチェーンのビジネスパートナーや委託先も含めた総合的なサイバーセキュリティ対策を実施すべきです。

セキュリティ対策をリスクを抑えるための「コスト」と捉えるのではなく、ITを利活用することで収益を生み出す上での「投資」と捉えることが重要になります。

経済産業省の「サイバーセキュリティ経営ガイドライン」や情報処理推進機構(IPA)の「中小企業の情報セキュリティ対策ガイドライン」などを参考に積極的に対策を行っていくことが求められています。

サイバー攻撃(ウイルス以外)を受けた企業の割合
出典:経済産業省 独立行政法人 情報処理推進機構「サイバーセキュリティ経営ガイドラインVer 2.0」より作図

「サイバーセキュリティ」を支援する富士フイルムの製品・技術

  1. デジタルデータアーカイブ
    データをオフラインで保管すれば、ウイルス攻撃や人為的なミスによるデータ損失のリスクは最小限に。富士フイルムの磁気テープを活用して安全・安心に、低コストで長期保管を実現します。
    デジタルデータアーカイブサービス
    磁気テープを活用したストレージサービスとは
  2. IMAGE WORKS(イメージワークス)
    守秘資料・画像などのデジタルデータをウェブ経由で安全かつ効率的に共有・送受信するサービスです。企業間・場所・時間といった制約を超え、シームレスな情報共有を実現。
    クラウド型 ファイル管理・共有サービス IMAGE WORKS
  3. SECURE DELIVER(セキュアデリバー)
    インターネットを通じて、お客さまやパートナー企業と安全・確実に、セキュアな企業間ファイル授受・転送を行うことができるSaaS/クラウドサービスです。
    クラウド型 ファイル送受信サービス SECURE DELIVER

記事公開:2020年2月