昨年１１月１６日（月）放送の「ワールドビジネスサテライト」（テレビ東京）でコロナ禍で急増するサイバー攻撃について取り上げていたのでご紹介します。

なお、日付は全て番組放送時のものです。

ゲーム大手のカプコンは今日、サイバー攻撃によって最大で３５件分の顧客情報などが流出した可能性があると発表しました。

今年に入り企業へのサイバー攻撃が急増しています。

背景には新型コロナウイルスの感染拡大によるある変化がありました。

ストリートファイターなどで有名なカプコンが今月２日、あるメッセージを受け取りました。

「ハロー、カプコン、あなたのネットワークに侵入しました。身代金を支払って下さい。」

メッセージの送り主は自らをラグナロッカーと名乗る犯罪集団、身代金を払わなければ、盗んだ情報を公開すると脅してきたのです。

アメリカメディアによると、その金額は約１１億円と見られ、「２日以内に支払えば割り引きする」とまで書かれていました。

そして、ラグナロッカーは盗んだ情報の１０分の１程度と見られる一部を公開、そこにはなんと売り上げや銀行との取引記録、そして社員のパスポート情報まで含まれていました。

この事態を受け、カプコンは今日、お客や取引先の名前、住所、電話番号などの個人情報が最大で３５万件流出した可能性があると発表しました。

ラグナロッカーとはいったいどういう集団なのでしょうか。

セキュリティの専門家で三井物産セキュアディレクションの上級マルウェア解析技術者、吉川孝志さんは次のようにおっしゃっています。

「国外の犯罪グループが関与している可能性が高いかなと考えています。」

「攻撃者にたどり着くのは難しいかなと思っています。」

今回のサイバー攻撃は社内ネットワークに不正に侵入し、データを奪う、身代金を請求するランサムウェア、身代金要求型攻撃というものです。

今年になって、サイバー攻撃を受けた企業には以下の実例があり、急増しています。

６月　ホンダ

８月　キャノン、安川電機

１０月　塩野義製薬

背景には新型コロナウイルスの感染拡大で増えたテレワークの存在があります。

吉川さんは次のようにおっしゃっています。

「自宅から普段使っていないような仕組みを使って、遠隔で（データを）操作することがどうしても増えてきますので、そういったところを攻撃者が狙うというのは当然の流れかなと感じます。」

従来は社内でのみアクセス出来ていた機密情報にテレワークによって自宅など社外からもアクセス出来るようになり、そこに付け込まれた可能性があるといいます。

吉川さんは次のようにおっしゃっています。

「（ランサムウェアの被害に対して、企業は攻撃者に身代金を支払うしかないのかという問いに対して、）支払ったところで、情報が戻ってくる可能性は１００％ではないですし、支払うことによって全てが解決するかは何とも言いづらいところはあります。」

以上、番組の内容をご紹介してきました。

なお、昨年１１月２６日（木）放送の「ワールドビジネスサテライト」（テレビ東京）でも同様のテーマを取り上げていたのでご紹介します。　

国内の大手企業の約半数がランサムウェアのサイバー攻撃を受けていたことがアメリカの対策企業、クラウドストライクの調査で分かりました。

それによると、過去１年以内にランサムウェアに感染し、犯罪者組織に身代金を支払ったと回答した日本企業は３２％で、支払額は平均１億２３００万円に上ったということです。

こうした状況について、番組コメンテーターで大阪大学の安田洋祐准教授は次のようにおっしゃっています。

「（今後どのような対策をしていくべきかという問いに対して、）身代金を要求されないように、まずは人質を取られない事前の対策を進めることがどこの企業も力をいれると思うんですけども、いざ人質を取られてしまった時にどうするかということで、この犯罪組織に対して「“構わない”の二乗」と。」

「身代金を要求されても相手にしない。」

「二乗が付いているのは、構わないという対策で構わないですよということで、二乗にしてみたんですけども、なぜかというと「人質を取られないように事前に頑張ります」と。」

「いざ、頑張っても人質を取られてしまったら、何か救う方がいいんじゃないかという気がするかもしれないんですけども、安易に身代金を払ってしまうと、「この企業は脅せば要求を呑んでくれるかもしれない、交渉の余地があるかもしれない」ということが伝わってしまうよね。」

「そうすると結局取られた人質を返してもらえるかも分からないですし、２回目、３回目もサイバー犯罪の標的になってしまうかもしれない。」

「だとすると、今回はお金を払って解決したいという誘惑はあるかもしれないんですけども、あえて構わないということをルールとして定めてしまうと。」

「構わないことにコミットするということで、将来そういった犯罪に巻き込まれるリスクを減らすという対策が考えられるんじゃないかと思います。」

「（特に日本は来年東京オリンピック・パラリンピックが開催されるので、日本としても“構わない”という姿勢を出すのがいいのかという問いに対して、）そうですね、サイバー犯罪に限らずリアルでの人質事件とかも同じような対応をしている国は少なくないですから、是非参考にしていただきたいと思います。」

以上、番組の内容をご紹介してきました。

新型コロナウイルスの感染拡大は世界各国に経済的にも人的にも大きな影響を及ぼしており、いまだ現在進行形状態です。

同時に、私たちに新しい行動様式への移行をもたらしています。

その一つが自宅を中心とした社外でのテレワークです。

そして、このことがサイバー攻撃の被害に拍車をかけているのです。

それにしても過去１年以内にサイバー犯罪組織に身代金を支払ったと回答した日本企業は３２％で、支払額は平均１億２３００万円に上ったという数字を見る限り、こうした犯罪はサイバー関連の高度な技術者組織にとってはとても効率の良い犯罪と言えます。

しかも、専門家が指摘しているように、「サイバー攻撃者にたどり着くのは難しい」というのが現実なのです。

ですから、今後ともサイバー攻撃による犯罪は増えることはあっても減る可能性はとても低いと見込まれます。

そこであらためて急増するサイバー攻撃とそのリスク対応策について以下にまとめてみました。

（リスク）

・テレワークにより、社内セキュリティ管理システム外のセキュリティの脆弱性を突かれ、サイバー攻撃の被害に遭うリスクが高まっている

・こうした被害の公表は自社の企業イメージダウンにつながる

（対応策）

・テレワークにおいても社内セキュリティ管理と同等の環境を構築する

（コンティンジェンシープラン）

・サイバー攻撃の被害に遭い、攻撃者からの身代金要求に対して、毅然とした対応を取り、決して要求に応じず、当局に通報する

いずれにしても、ひとたびサイバー攻撃に遭い、身代金を要求されれば、要求に応じても応じなくても機密データを公開されるリスクが生じます。

こうしたリスクが発生した場合には、自社のみならず、自社の取引先の機密情報や多くの消費者の個人情報などが公開されてしまう場合もあり得るのです。

あるいは闇サイトでの売買の対象にもなり得ます。

ですから、リスク管理の大原則に基づいて、こうしたサイバー攻撃を受けても、セキュリティの脆弱性が見つからないように、しっかりしたセキュリティ管理システムを構築しておくことが最大の防御であり、最も重要なのです。